4.13. Red Hat Enterprise Linux 系统角色

postgresql RHEL 系统角色现在可用

新的 postgresql RHEL 系统角色会安装、配置、管理和启动 PostgreSQL 服务器。角色还优化了数据库服务器设置,以提高性能。

角色支持 RHEL 8 和 RHEL 9 管理的节点上 PostgreSQL 的当前发布的和支持的版本。

如需更多信息,请参阅 使用 postgresql RHEL 系统角色安装和配置 PostgreSQL

Bugzilla:2151371

keylime_server RHEL 系统角色

有了新的 keylime_server RHEL 系统角色,您可以使用 Ansible playbook 在 RHEL 9 系统上配置验证器和注册器 Keylime 组件。Keylime 是一个使用可信平台模块(TPM)技术的远程机器验证工具。

Bugzilla:2224387

支持新的 ha_cluster 系统角色功能

ha_cluster 系统角色现在支持以下功能:

  • 资源配置和资源操作默认值,包括带有规则的多个默认值集合。
  • 加载和阻止 SBD watchdog 内核模块。这使得安装的硬件 watchdog 可供集群使用。
  • 向集群主机和仲裁设备分配不同的密码。因此,您可以配置一个部署,其中同一仲裁主机被加入到多个独立的集群,这些集群上的 hacluster 用户的密码不一样。

有关为实现这些功能而配置的参数的信息,请参考 使用 ha_cluster RHEL 系统角色配置高可用性集群

Bugzilla:2190483,Bugzilla:2190478,Bugzilla:2216485

storage 系统角色支持为 RAID LVM 卷配置条带大小

有了此更新,您可以在创建 RAID LVM 设备时指定自定义条带大小。为了更好的性能,请为 SAP HANA 使用自定义条带大小。建议的 RAID LVM 卷的条带大小为 64 KB。

Bugzilla:2141961

podman RHEL 系统角色现在支持 Quadlets、healthcheck 和 secret

从 Podman 4.6 开始,您可以在 podman RHEL 系统角色中使用 podman_quadlet_specs 变量。您可以通过指定一个单元文件来定义一个 Quadlet,或按名称、单元类型和规范在清单中定义一个 Quadlet。单元类型可以是以下:containerkubenetworkvolume。请注意,Qadlets 仅适用于 RHEL 8 上的 root 容器。Quadlets 适用于 RHEL 9 上的无根容器。

healthcheck 只支持 Quadlet 容器类型。在 [Container] 部分中,指定 HealthCmd 字段来定义 healthcheck 命令和 HealthOnFailure 字段,以在容器不健康时定义操作。可能的选项为 none,kill,restartstop

您可以使用 podman_secrets 变量来管理 secret。详情请查看 上游文档

Jira:RHELPLAN-154440[1]

RHEL 系统角色现在有用于挂载点自定义的新的卷选项

有了此更新,您现在可以为挂载目录指定 mount_usermount_groupmount_permissions 参数。

Bugzilla:2181661

kdump RHEL 系统角色更新

kdump RHEL 系统角色已更新至更新的版本,其带来了以下显著改进:

  • 安装 kexec-tools 后,工具套件不再产生 /etc/sysconfig/kdump 文件,因为您不再需要管理此文件。
  • 角色支持 auto_reset_crashkerneldracut_args 变量。

如需了解更多详细信息,请参阅 /usr/share/doc/rhel-system-roles/kdump/ 目录中的资源。

Bugzilla:2211272

ad_integration RHEL 系统角色现在重新加入一个 AD 域

有了此更新,您现在可以使用 ad_integration RHEL 系统角色重新加入一个活动目录(AD)域。为此,请将 ad_integration_force_rejoin 变量设置为 true。如果 realm_list 输出显示该主机已在一个 AD 域中,则它将在重新加入前离开现有域。

Bugzilla:2211723

rhc 系统角色现在支持设置代理服务器类型

rhc_proxy 参数下新引入的属性 scheme 使您可以使用 rhc 系统角色来配置代理服务器类型。您可以设置两个值:http 默认值和 https

Bugzilla:2211778

ssh 角色中禁用配置备份的新选项

现在,您可以通过将新的 ssh_backup 选项设置为 false 来防止旧配置文件被覆盖前备份它们。在以前的版本中,备份配置文件是自动创建的,这可能不是必需的。ssh_backup 选项的默认值为 true,其保留原始行为。

Bugzilla:2216759

certificate RHEL 系统角色现在允许在使用 certmonger时更改证书文件模式

在以前的版本中,由 certificate RHEL 系统角色使用 certmonger 提供程序创建的证书使用默认的文件模式。但是,在某些用例中,您可能需要更严格的模式。有了此更新,您现在可以使用 mode 参数设置一个不同的证书和密钥文件模式。

Bugzilla:2218204

用于管理 systemd 单元的新 RHEL 系统角色

rhel-system-role 软件包现在包含 systemd RHEL 系统角色。您可以使用此角色来部署单元文件,并在多个系统上管理 systemd 单元。您可以通过提供 systemd 单元文件和模板,并通过指定这些单元的状态(如 started、stoped、masked 和其他)来自动化 systemd 功能。

Bugzilla:2224388

network RHEL 系统角色支持 no-aaaa DNS 选项

现在,您可以使用 no-aaaa 选项在受管节点上配置 DNS 设置。在以前的版本中,没有选项来抑制 stub 解析器生成的 AAAA 查询,包括由基于 NSS 的接口(如 getaddrinfo )触发的 AAAA 查找;只有 DNS 查找受到影响。有了这个增强,您可以压制由 stub 解析器产生的 AAAA 查询。

Bugzilla:2218595

network RHEL 系统角色支持 auto-dns 选项,来控制自动 DNS 记录更新

此功能增强为定义的名称服务器和搜索域提供支持。现在,您只能使用 dnsdns_search 属性中指定的名称服务器和搜索域,同时禁用自动配置的名称服务器和搜索域,如 DHCP 中的 dns record。有了这个增强,您可以通过更改 auto-dns 设置来禁用自动 dns 记录。

Bugzilla:2211273

firewall RHEL 系统角色支持与 ipset相关的变量

有了 firewall RHEL 系统角色的这个更新,您可以定义、修改和删除 ipset。您还可以从防火墙区中添加和删除 ipset。或者,您可以在定义防火墙富规则时使用这些 ipset

您可以使用以下变量,使用 firewall RHEL 系统角色管理 ipset

  • ipset
  • ipset_type
  • ipset_entries
  • short
  • description
  • state: presentstate: absent
  • permanent: true

以下是此改进的一些显著优点:

  • 您可以降低为许多 IP 地址定义规则的富规则的复杂度。
  • 您可以根据需要从集合中添加或删除 IP 地址,而无需修改多个规则。

如需了解更多详细信息,请参阅 /usr/share/doc/rhel-system-roles/firewall/ 目录中的资源。

Bugzilla:2140880

使用 restorecon -T 0提高了 selinux 系统角色的性能

selinux 系统角色现在在所有适用的情况使用带有 restorecon 命令的 -T 0 选项。这提高了在文件上恢复默认的 SELinux 安全上下文的任务的性能。

Bugzilla:2192343

firewall RHEL 系统角色有一个禁用冲突服务的选项,如果 firewalld 被屏蔽,它不再失败

在以前的版本中,当 firewalld 服务在角色运行时或者存在冲突服务时,firewall 系统角色失败。这个更新引入了两个显著改进:

linux-system-roles.firewall 角色总是尝试在角色运行时安装、取消屏蔽,以及启用 firewalld 服务。您现在可以在 playbook 中添加一个新的变量 firewall_disable_conflicting_services ,来禁用已知的冲突服务,如 iptables.servicenftables.serviceufw.servicefirewall_disable_conflicting_services 变量默认被设置为 false。要禁用冲突服务,请将变量设置为 true

Bugzilla:2222809

podman RHEL 系统角色现在使用 getsubids 来获取 subuid 和 subgid

podman RHEL 系统角色现在使用 getsubids 命令来分别获取用户和组的 subuid 和 subgid 范围。podman RHEL 系统角色也使用此命令验证用户和组是否可用于身份管理。

Jira:RHEL-866[1]

podman_kube_specs 变量现在支持 pull_imagecontinue_if_pull_fails 字段

podman_kube_specs 变量现在支持新字段:

  • pull_image :确保镜像在使用前被拉取(pull)。默认值为 true。如果您有一些其他机制来确保镜像在系统上存在,且您不想拉取镜像,请使用 false
  • continue_if_pull_fails :如果拉取镜像失败,它不会被视为一个致命错误,并使用角色继续执行。默认值为 false。如果您有一些其他机制来确保正确的镜像在系统上存在,请使用 true

Jira:RHEL-858[1]

重置 firewall RHEL 系统角色配置现在需要最少的停机时间

在以前的版本中,当使用 previous: replaced 变量重置 firewall 角色配置时,firewalld 服务会重启。重启会增加停机时间并延长打开连接的时间,在此期间,firewalld 不会阻止来自活跃连接的流量。有了这个增强,firewalld 服务通过重新加载而不是重启来完成配置重置。重新加载最小化了停机时间,并减少了绕过防火墙规则的机会。因此,使用 previous: replaced 变量重置 firewall 角色配置现在需要最少的停机时间。

Bugzilla:2224648