Red Hat Training

A Red Hat training course is available for RHEL 8

5.2.6. 高可用性和集群

新的 /etc/sysconfig/pcsd 选项拒绝客户端发起的 SSL/TLS 重新协商

当在服务器上启用 TLS 重新协商时,客户端可以发送重新协商请求,该请求将启动新的握手。握手的计算要求在服务器上高于客户端。这使得服务器易受 DoS 攻击。在这个版本中,/etc/sysconfig/pcsd 配置文件中设置 PCSD_SSL_OPTIONS 会接受 OP_NO_RENEGOTIATION 选项来拒绝重新协商。请注意,客户端仍然可以打开多个与在所有服务器中执行握手的服务器的连接。

(BZ#1566430)

删除的集群节点不再显示在集群状态中

在以前的版本中,当使用 pcs cluster node remove 命令删除节点 时,删除的节点在 pcs status display 的输出中会显示。在这个版本中,删除的节点不再显示在集群状态中。

(BZ#1595829)

现在可以使用更新的首选参数名称或已弃用的参数名称来配置隔离代理

大量隔离代理参数已被重命名,而旧参数名称仍被支持为已弃用。在以前的版本中,pc s 无法设置新参数,除非与 --force 选项一起使用。在这个版本中,pc s 现在支持重命名的隔离代理参数,同时保持对已弃用参数的支持。

(BZ#1436217)

pcs 命令现在可以正确地读取集群的 XML 状态。

pcs 命令以 XML 格式运行 crm_mon 实用程序来获取群集的状态。crm_mon 实用程序将 XML 打印到标准输出,并将警告打印到标准错误输出。之前,pcs 混合 XML 和警告为一个流,因此无法将其解析为 XML。在这个版本中,标准和错误输出在 pcs 中分离,并读取集群的 XML 状态可以正常工作。

(BZ#1578955)

在从现有集群创建新集群时,用户不再建议销毁集群

在以前的版本中,当运行 pcs cluster setup 命令时从现有集群指定的节点或使用 pcs d Web UI 创建集群时,pcs 会报告该节点作为错误,并建议用户销毁节点上的集群。因此,用户会销毁节点上的集群,破坏节点所属的集群节点,因为剩余的节点仍会将销毁的节点视为集群的一部分。在这个版本中,建议用户从其集群中删除节点,从而更好地通知他们如何在不中断集群的情况下解决问题。

(BZ#1596050)

pcs 命令不再以交互方式请求凭证

当非 root 用户运行 需要 root 权限的 pcs 命令时,pcs 会连接到本地运行的 pcsd 守护进程并将 命令传递给它,因为 pcsd 守护进程使用 root 权限运行并且能够运行 命令。在以前的版本中,如果用户没有通过本地 pcsd 守护进程的身份验证,pc s 会以交互方式请求用户名和密码。这给用户造成混淆,要求在运行 pcs 的脚本中进行特殊处理。在这个版本中,如果用户未通过身份验证,则 pcs 退出并显示应执行的操作: 无论是以 root 身份运行 pcs,还是使用新的 pcs client local-auth 命令进行身份验证。因此,pcs 命令 不会以交互方式要求提供凭据,从而改进了用户体验。

(BZ#1554310)

crypto-policies 设置为 FUTURE 时,pc d 守护进程现在从其默认自生成的 SSL 证书开始。

FUTURE 的加密策略设置 要求 SSL 证书中的 RSA 密钥至少为 3072b。在以前的版本中,pcs d 守护进程不会在设置此策略时启动,因为它使用 2048b 密钥生成 SSL 证书。在这个版本中,pc d 自生成的 SSL 证书的密钥大小增加到 3072b,pc sd 从默认自生成的 SSL 证书开始。

(BZ#1638852)

pcsd 服务现在在网络就绪时启动

在以前的版本中,当用户将 pcsd 配置为绑定到特定 IP 地址且在 pcsd 尝试启动时该地址在引导过程中没有就绪时,pc sd 无法启动,因此需要手动干预来启动 pcsd。在这个版本中,pcs d.service 依赖于 network-online.target。因此,pc sd 在 网络就绪并且能够绑定到 IP 地址时启动。

(BZ#1640477)