4.13. Red Hat Enterprise Linux システムロール
postgresql RHEL システムロールが利用可能になる
新しい postgresql RHEL システムロールは、PostgreSQL サーバーをインストール、設定、管理、起動します。このロールは、データベースサーバー設定を最適化してパフォーマンスを向上させます。
このロールは、RHEL 8 および RHEL 9 マネージドノード上で現在リリースされサポートされているバージョンの PostgreSQL をサポートします。
詳細は、postgresql RHEL システムロールを使用した PostgreSQL のインストールと設定 を参照してください。
keylime_server RHEL システムロール
新しい keylime_server RHEL システムロールを使用すると、Ansible Playbook を使用して、RHEL 9 システム上で verifier および registrar Keylime コンポーネントを設定できます。Keylime は、Trusted Platform Module (TPM) テクノロジーを使用するリモートマシン証明ツールです。
新しい ha_cluster システムロール機能のサポート
ha_cluster システムロールは、次の機能をサポートするようになりました。
- リソースおよびリソース操作のデフォルトの設定 (ルールを含む複数のデフォルトのセットを含む)。
- SBD watchdog カーネルモジュールのロードとブロック。これにより、インストールされているハードウェアウォッチドッグをクラスターで使用できるようになります。
-
クラスターホストとクォーラムデバイスへの個別のパスワードの割り当て。これにより、同じクォーラムホストが複数の個別のクラスターに参加し、これらのクラスター上の
haclusterユーザーのパスワードが異なるデプロイメントを設定できます。
これらの機能を実装するために設定するパラメーターの詳細は、ha_cluster RHEL システムロールを使用した高可用性クラスターの設定 を参照してください。
Bugzilla:2190483、Bugzilla:2190478、Bugzilla:2216485
storage システムのロールは、RAID LVM ボリュームのストライプサイズの設定をサポートする
この更新により、RAID LVM デバイスの作成時に、カスタムストライプサイズを指定できるようになりました。パフォーマンスを向上させるには、SAP HANA のカスタムストライプサイズを使用してください。RAID LVM ボリュームの推奨ストライプサイズは 64 KB です。
podman RHEL システムロールが Quadlets、ヘルスチェック、シークレットをサポートするようになる
Podman 4.6 以降では、podman RHEL システムロールで podman_quadlet_specs 変数を使用できるようになりました。Quadlet は、ユニットファイルを指定するか、インベントリー内で名前、ユニットのタイプ、仕様を指定して定義できます。ユニットのタイプは次のとおりです: container、kube、network、および volume。Quadlet は RHEL 8 上のルートコンテナーでのみ機能することに注意してください。Quadlet は、RHEL 9 上のルートレスコンテナーで動作します。
ヘルスチェックは、Quadlet コンテナータイプに対してのみサポートされます。[Container] セクションで、HealthCmd フィールドを指定して healthcheck コマンドを定義し、HealthOnFailure フィールドを指定してコンテナーが異常な場合のアクションを定義します。可能なオプションは、none、kill、restart、および stop です。
podman_secrets 変数を使用してシークレットを管理できます。詳細は、アップストリームのドキュメント を参照してください。
Jira:RHELPLAN-154440[1]
マウントポイントカスタマイズ用の新しいボリュームオプションが RHEL システムロールに追加される
この更新により、マウントディレクトリーに mount_user、mount_group、および mount_permissions パラメーターを指定できるようになりました。
kdump RHEL システムロールの更新
kdump RHEL システムロールが新しいバージョンに更新され、次の主な機能拡張が行われました。
-
kexec-toolsをインストールすると、このファイルを管理する必要がなくなるため、ユーティリティースイートは/etc/sysconfig/kdumpファイルを生成しなくなります。 -
このロールは、
auto_reset_crashkernel変数とdracut_args変数をサポートしています。
詳細は、/usr/share/doc/rhel-system-roles/kdump/ ディレクトリー内のリソースを参照してください。
ad_integration RHEL システムロールが AD ドメインに再参加できるようになる
この更新により、ad_integration RHEL システムロールを使用して Active Directory (AD) ドメインに再参加できるようになりました。これを行うには、ad_integration_force_rejoin 変数を true に設定します。realm_list の出力で、ホストがすでに AD ドメインに存在していることが示されている場合、ホストは再参加する前に既存のドメインから離脱します。
rhc システムロールがプロキシーサーバータイプの設定をサポートするようになる
rhc_proxy パラメーターの下に新しく導入された属性 スキーム により、rhc システムロールを使用してプロキシーサーバータイプを設定できるようになります。デフォルトの http と https の 2 つの値を設定できます。
設定バックアップを無効にする ssh ロールの新しいオプション
新しい ssh_backup オプションを false に設定することで、古い設定ファイルが上書きされる前にバックアップされることを阻止できるようになりました。以前は、バックアップ設定ファイルが自動的に作成されていましたが、これは不要な場合がありました。ssh_backup オプションのデフォルト値は true で、元の動作が保持されます。
certificate RHEL システムロールで、certmonger の使用時に証明書ファイルモードを変更できるようになる
以前は、certmonger プロバイダーを使用して certificate RHEL システムロールによって作成された証明書は、デフォルトのファイルモードを使用していました。ただし、ユースケースによっては、より制限のあるモードが必要になる場合があります。この更新により、mode パラメーターを使用して別の証明書とキーファイルモードを設定できるようになりました。
systemd ユニットを管理するための新しい RHEL システムロール
rhel-system-role パッケージには、systemd RHEL システムロールが含まれるようになりました。このロールを使用して、ユニットファイルをデプロイし、複数のシステム上で systemd ユニットを管理できます。systemd ユニットファイルとテンプレートを提供し、それらのユニットの状態 (開始、停止、マスクなど) を指定することで、systemd の機能を自動化できます。
network RHEL システムロールは、no-aaaa DNS オプションをサポートする
no-aaaa オプションを使用して、マネージドノードで DNS 設定を設定できるようになりました。以前は、getaddrinfo などの NSS ベースのインターフェイスによってトリガーされる AAAA ルックアップを含む、スタブリゾルバーによって生成される AAAA クエリーを抑制するオプションはありませんでした。DNS ルックアップのみが影響を受けていました。この機能拡張により、スタブリゾルバーによって生成された AAAA クエリーを抑制できるようになりました。
network RHEL システムロールは、DNS レコードの自動更新を制御する auto-dns オプションをサポートする
この機能拡張により、定義されたネームサーバーと検索ドメインのサポートが提供されます。DHCP からの dns record など、自動的に設定されたネームサーバーと検索ドメインを無効にしながら、dns および dns_search プロパティーで指定されたネームサーバーと検索ドメインのみを使用できるようになりました。この機能拡張により、auto-dns 設定を変更することで、自動 DNS 記録を自動的に無効にすることができます。
firewall RHEL システムロールは、ipsets に関連する変数をサポートする
firewall RHEL システムロールの今回の更新により、ipsets を定義、変更、削除できるようになりました。また、これらの ipsets をファイアウォールゾーンに追加したり、ファイアウォールゾーンから削除したりすることもできます。あるいは、ファイアウォールのリッチルールを定義するときに、これらの ipsets を使用することもできます。
次の変数を使用して、firewall RHEL システムロールで ipsets を管理できます。
-
ipset -
ipset_type -
ipset_entries -
short -
description -
state: presentまたはstate: absent -
permanent: true
この機能拡張の主な利点は次のとおりです。
- 多くの IP アドレスのルールを定義するリッチルールの複雑さを軽減できます。
- 複数のルールを変更せずに、必要に応じてセットに IP アドレスを追加または削除できます。
詳細は、/usr/share/doc/rhel-system-roles/firewall/ ディレクトリー内のリソースを参照してください。
restorecon -T 0 を使用した selinux システムロールのパフォーマンスの向上
selinux システムロールは、該当するすべてのケースで、restorecon コマンドで -T 0 オプションを使用するようになりました。これにより、ファイル上でデフォルトの SELinux セキュリティーコンテキストを復元するタスクのパフォーマンスが向上します。
firewall RHEL システムロールには、競合するサービスを無効にするオプションがあり、firewalld がマスクされている場合でも失敗しなくなる
以前は、ロールの実行時に firewalld サービスがマスクされていた場合、または競合するサービスが存在した場合に、firewall システムロールは失敗していました。この更新では、次の 2 つの主な機能拡張が提供されます。
linux-system-roles.firewall ロールは、ロールの実行時に常に firewalld サービスのインストール、マスク解除、および有効化を試みます。新しい変数 firewall_disable_conflicting_services を Playbook に追加して、競合する既知のサービス (iptables.service、nftables.service、ufw.service など) を無効化できるようになりました。firewall_disable_conflicting_services 変数はデフォルトで false に設定されます。競合するサービスを無効にするには、変数を true に設定します。
podman RHEL システムロールが getsubid を使用して subuid と subgid を取得するようになりました。
podman RHEL システムロールが、getubids コマンドを使用して、ユーザーとグループの subuid と subgid の範囲をそれぞれ取得するようになりました。podman RHEL システムロールは、ユーザーとグループがアイデンティティー管理で動作することを検証するのにも、このコマンドを使用します。
Jira:RHEL-866[1]
podman_kube_specs 変数が pull_image と continue_if_pull_fails フィールドをサポートするようになりました。
podman_kube_specs 変数が新しいフィールドをサポートするようになりました。
-
pull_image: 使用前にイメージがプルされるようにします。デフォルト値はtrueです。イメージがシステム上に存在することを確認するメカニズムが他にあり、イメージをプルしない場合は、falseを使用してください。 -
continue_if_pull_fails: イメージのプルが失敗しても、致命的なエラーとして扱わず、ロールを使用して続行します。デフォルトはfalseです。正しいイメージがシステム上に存在することを確認するメカニズムが他にある場合は、trueを使用します。
Jira:RHEL-858[1]
firewall RHEL システムロール設定のリセットには、最小限のダウンタイムが必要
以前は、previous: replace 変数を使用して firewall ロール設定をリセットすると、firewalld サービスが再起動されました。再起動するとダウンタイムが追加され、firewalld がアクティブな接続からのトラフィックをブロックしないオープン接続の期間が長くなります。この機能拡張により、firewalld サービスは再起動ではなく再ロードすることで、設定のリセットを完了します。リロードによりダウンタイムが最小限に抑えられ、ファイアウォールルールをバイパスする機会が減ります。その結果、以前の: replace 変数を使用して firewall ロール設定をリセットすると、ダウンタイムが最小限で済むようになりました。
