4.16. Red Hat Enterprise Linux システムロール

ルーティングルールは名前でルートテーブルを検索できます。

今回の更新により、rhel-system-roles.network RHEL システムロールは、ルーティングルールを定義するときに、名前によるルートテーブルの検索をサポートします。この機能は、ネットワークセグメントごとに異なるルーティングルールが必要な複雑なネットワーク設定を迅速にナビゲートします。

Bugzilla:2131293

network システムロールは、DNS 優先値の設定をサポートします。

この機能強化により、RHEL network システムロールに dns_priority パラメーターが追加されます。このパラメーターは、-2147483648 から 2147483647 までの値に設定できます。デフォルト値は 0 です。値が小さいほど優先順位が高くなります。負の値を指定すると、システムロールにより優先順位の数値が大きい他の設定が除外されることに注意してください。したがって、少なくとも 1 つの負の優先順位値が存在する場合、システムロールは、最も低い優先順位値を持つ接続プロファイルの DNS サーバーのみを使用します。

その結果、network システムロールを使用して、さまざまな接続プロファイル内の DNS サーバーの順序を定義できます。

Bugzilla:2133858

vpn RHEL システムロールの新しい IPsec カスタマイズパラメーター。

特定のネットワークデバイスが正しく動作するには IPsec のカスタマイズが必要なため、次のパラメーターが vpn RHEL システムロールに追加されました。

重要

高度な知識がないかぎり、次のパラメーターを変更しないでください。ほとんどのシナリオでは、カスタマイズする必要はありません。

さらに、セキュリティー上の理由から、Ansible Vault を使用して shared_key_content パラメーターの値を暗号化します。

  • トンネルパラメーター:

    • shared_key_content
    • ike
    • esp
    • ikelifetime
    • salifetime
    • retransmit_timeout
    • dpddelay
    • dpdtimeout
    • dpdaction
    • leftupdown

  • ホストごとのパラメーター:

    • leftid
    • rightid

その結果、vpn ロールを使用して、幅広いネットワークデバイスへの IPsec 接続を設定できます。

Bugzilla:2119102

selinux RHEL システムロールが local パラメーターをサポートするようになりました。

selinux RHEL システムロールのこの更新では、local パラメーターのサポートが導入されています。このパラメーターを使用すると、ローカルポリシーの変更のみを削除し、組み込みの SELinux ポリシーを保持できます。

Bugzilla:2128843

ha_cluster システムロールは、firewallselinux、および certificate システムロールの自動実行をサポートするようになりました。

ha_cluster RHEL システムロールは、次の機能をサポートするようになりました。

firewall および selinux システムロールを使用してポートアクセスを管理する
firewalld および selinux サービスを実行するようにクラスターのポートを設定するには、新しいロール変数 ha_cluster_manage_firewall および ha_cluster_manage_selinuxtrue に設定します。これにより、firewall および selinux システムロールを使用するようにクラスターが設定され、ha_cluster システムロール内でこれらの操作が自動化および実行されます。これらの変数がデフォルト値の false に設定されている場合、ロールは実行されません。このリリースでは、ファイアウォールはデフォルトで設定されなくなりました。これは、ファイアウォールで ha_cluster_manage_firewalltrue に設定されている場合のみ、設定されるためです。
certificate システムロールを使用して pcsd 秘密鍵と証明書のペアを作成する
ha_cluster システムロールは、ha_cluster_pcsd_certificates ロール変数をサポートするようになりました。この変数を設定すると、その値が certificate システムロールの certificate_requests 変数に渡されます。これは、pcsd の秘密鍵と証明書のペアを作成するための代替方法を提供します。

Bugzilla:2130010

postfix RHEL システムロールは、firewall および selinux RHEL システムロールを使用してポートアクセスを管理できるようになりました。

この機能強化により、新しいロール変数 postfix_manage_firewall および postfix_manage_selinux を使用してポートアクセスの管理を自動化できます。

  • これらが true に設定されている場合、各ロールはポートアクセスの管理に使用されます。
  • これらが false (デフォルト) に設定されている場合、ロールは関与しません。

Bugzilla:2130329

vpn RHEL システムロールは、firewall および selinux ロールを使用してポートアクセスを管理できるようになりました。

この機能強化により、firewall および selinux ロールを介した vpn RHEL システムロールでのポートアクセスの管理を自動化できます。新しいロール変数 vpn_manage_firewall および vpn_manage_selinuxtrue に設定すると、ロールはポートアクセスを管理します。

Bugzilla:2130344

logging RHEL システムロールは、ポートアクセスと証明書の生成をサポートするようになりました。

この機能強化により、logging ロールを使用してポートアクセスを管理し、新しいロール変数で証明書を生成できるようになります。新しいロール変数 logging_manage_firewall および logging_manage_selinuxtrue に設定すると、ロールはポートアクセスを管理します。証明書を生成するための新しいロール変数は、logging_certificates です。タイプと使用法は、certificate ロール certificate_requests と同じです。logging ロールを使用して、これらの操作を直接自動化できるようになりました。

Bugzilla:2130357

metrics RHEL システムロールは、firewall および selinux ロールを使用してポートアクセスを管理できるようになりました。

この機能強化により、ポートへのアクセスを制御できるようになります。新しいロール変数 metrics_manage_firewall および metrics_manage_firewalltrue に設定すると、ロールはポートアクセスを管理します。metrics ロールを使用して、これらの操作を自動化し、直接実行できるようになりました。

Bugzilla:2133528

nbde_server RHEL システムロールは、firewall および selinux ロールを使用してポートアクセスを管理できるようになりました。

この機能強化により、firewall および selinux ロールを使用してポートアクセスを管理できるようになります。新しいロール変数 nbde_server_manage_firewall および nbde_server_manage_selinuxtrue に設定すると、ロールはポートアクセスを管理します。nbde_server ロールを使用して、これらの操作を直接自動化できるようになりました。

Bugzilla:2133930

initscripts ネットワークプロバイダーは、デフォルトゲートウェイのルートメトリック設定をサポートします。

この更新により、rhel-system-roles.network RHEL システムロールの initscripts ネットワークプロバイダーを使用して、デフォルトゲートウェイのルートメトリックを設定できるようになりました。

このような設定の理由としては、次のことが考えられます。

  • トラフィック負荷をさまざまなパスに分散する
  • プライマリールートとバックアップルートを指定する
  • ルーティングポリシーを利用して、特定のパスを介して特定の宛先にトラフィックを送信する

Bugzilla:2134202

cockpit RHEL システムロールと firewallselinux、および certificate ロールの統合

この機能拡張により、cockpit ロールを firewall ロール、ポートアクセスを管理するための selinux ロール、および証明書を生成するための 証明書 ロールと統合できるようになります。

ポートアクセスを制御するには、新しい cockpit_manage_firewall 変数と cockpit_manage_selinux 変数を使用します。どちらの変数もデフォルトでは false に設定されており、実行されません。これらを true に設定すると、firewall および selinux ロールが RHEL Web コンソールサービスポートアクセスを管理できるようになります。その後、操作は cockpit ロール内で実行されます。

ファイアウォールと SELinux のポートアクセスを管理する責任があることに注意してください。

証明書を生成するには、新しい cockpit_certificates 変数を使用します。この変数はデフォルトで false に設定されており、実行されません。この変数は、certificate ロールで certificate_request 変数を使用するのと同じ方法で使用できます。その後、cockpit ロールは certificate ロールを使用して RHEL Web コンソール証明書を管理します。

Bugzilla:2137663

Active Directory と直接統合するための新しい RHEL システムロール

新しい rhel-system-roles.ad_integration RHEL システムロールが rhel-system-roles パッケージに追加されました。その結果、管理者は RHEL システムと Active Directory ドメインの直接統合を自動化できるようになりました。

Bugzilla:2140795

Red Hat Insights と Subscription Management のための新しい Ansible ロール

rhel-system-roles パッケージには、リモートホスト設定 (rhc) システムロールが含まれるようになりました。このロールにより、管理者は RHEL システムを Red Hat Subscription Management (RHSM) および Satellite サーバーに簡単に登録できるようになります。デフォルトでは、rhc システムロールを使用してシステムを登録すると、システムは Red Hat Insights に接続します。新しい rhc システムロールを使用すると、管理者はマネージドノードで次のタスクを自動化できるようになりました。

  • システムの自動更新、修復、タグなど、Red Hat Insights への接続を設定します。
  • リポジトリーを有効または無効にします。
  • 接続に使用するプロキシーを設定します。
  • システムのリリースを設定します。

これらのタスクを自動化する方法の詳細については、RHC システムロールを使用したシステムの登録 を参照してください。

Bugzilla:2141330

クローン MAC アドレスのサポートを追加しました。

クローンされた MAC アドレスは、マシンの MAC アドレスと同じデバイスの WAN ポートの MAC アドレスです。この更新により、ユーザーは MAC アドレスを使用してボンディングインターフェイスまたはブリッジインターフェイスを指定したり、ボンディングインターフェイスまたはブリッジインターフェイスのデフォルトの MAC アドレスを取得するために random または preserve などの戦略を指定したりできるようになります。

Bugzilla:2143768

Microsoft SQL Server Ansible ロールは非同期高可用性レプリカをサポートします。

以前は、Microsoft SQL Server Ansible ロールは、プライマリー、同期、監視の高可用性レプリカのみをサポートしていました。mssql_ha_replica_type 変数を asynchronous に設定して、新規または既存のレプリカに対して非同期レプリカタイプを設定できるようになりました。

Bugzilla:2151282

Microsoft SQL Server Ansible ロールは読み取りスケールクラスタータイプをサポートします。

以前は、Microsoft SQL Ansible ロールは外部クラスタータイプのみをサポートしていました。これで、新しい変数 mssql_ha_ag_cluster_type を使用してロールを設定できるようになりました。デフォルト値は external です。これを使用して Pacemaker でクラスターを設定します。Pacemaker を使用せずにクラスターを設定するには、その変数に値 none を使用します。

Bugzilla:2151283

Microsoft SQL Server Ansible ロールは TLS 証明書を生成できます。

以前は、Microsoft SQL Ansible ロールを設定する前に、ノード上で TLS 証明書と秘密キーを手動で生成する必要がありました。この更新により、Microsoft SQL Server Ansible ロールは、その目的で redhat.rhel_system_roles.certificate ロールを使用できるようになりました。これで、mssql_tls_certificates 変数を certificate ロールの certificate_requests 変数の形式で設定して、ノード上に TLS 証明書と秘密鍵を生成できるようになりました。

Bugzilla:2151284

Microsoft SQL Server Ansible ロールは SQL Server バージョン 2022 の設定をサポートします。

以前は、Microsoft SQL Ansible ロールは SQL Server バージョン 2017 とバージョン 2019 の設定のみをサポートしていました。この更新プログラムでは、Microsoft SQL Ansible ロールの SQL Server バージョン 2022 のサポートが提供されます。新しい SQL Server 2022 を設定するか、SQL Server をバージョン 2019 からバージョン 2022 にアップグレードするために、mssql_version 値を 2022 に設定できるようになりました。SQL Server をバージョン 2017 からバージョン 2022 にアップグレードすることはできないことに注意してください。

Bugzilla:2153428

Microsoft SQL Server Ansible ロールは、Active Directory 認証の設定をサポートします。

この更新により、Microsoft SQL Ansible ロールは SQL Server の Active Directory 認証の設定をサポートします。これで、mssql_ad_ 接頭辞を使用して変数を設定することで、Active Directory 認証を設定できるようになりました。

Bugzilla:2163709

journald RHEL システムロールが利用可能になりました。

journald サービスは、ログデータを収集し、一元化されたデータベースに保存します。この機能強化により、journald システムロール変数を使用して systemd ジャーナルの設定を自動化し、Red Hat Ansible Automation Platform を使用して永続的なログを設定できるようになりました。

Bugzilla:2165175

ha_cluster システムロールがクォーラムデバイス設定をサポートするようになりました。

クォーラムデバイスは、クラスターのサードパーティー調停デバイスとして機能します。クォーラムデバイスは、偶数のノードを持つクラスターに推奨されます。2 ノードクラスターでクォーラムデバイスを使用すると、スプリットブレインの状況で存続するノードをより適切に判別できます。ha_cluster システムロール (クラスターの qdevice と調停ノードの qnetd の両方) を使用してクォーラムデバイスを設定できるようになりました。

Bugzilla:2140804