4.16. Red Hat Enterprise Linux 系统角色

路由规则可根据其名称查找路由表

有了这个更新,rhel-system-roles.network RHEL 系统角色支持在定义路由规则时按名称查找路由表。此功能为复杂网络配置提供快速导航,其中您需要对不同的网络段有不同的路由规则。

Bugzilla:2131293

network 系统角色支持设置 DNS 优先级值

此增强向 RHEL network 系统角色添加 dns_priority 参数。您可以将此参数设为 -21474836482147483647 的值。默认值为 0。较低的值具有较高的优先级。请注意,负值会导致系统角色排除带有更大数字优先级值的其他配置。因此,如果至少有一个负优先级值,系统角色只使用具有最低优先级值的连接配置文件中的 DNS 服务器。

因此,您可以使用 network 系统角色在不同的连接配置文件中定义 DNS 服务器的顺序。

Bugzilla:2133858

vpn RHEL 系统角色的新 IPsec 自定义参数

因为某些网络设备需要 IPsec 自定义才能正常工作,所以以下参数必须添加到 vpn RHEL 系统角色中:

重要

不要在没有较深理解的情况下更改以下参数。大多数场景不需要自定义。

此外,出于安全原因,使用 Ansible Vault 加密 shared_key_content 参数的值。

  • 隧道参数:

    • shared_key_content
    • ike
    • esp
    • ikelifetime
    • salifetime
    • retransmit_timeout
    • dpddelay
    • dpdtimeout
    • dpdaction
    • leftupdown
  • 每个主机参数:

    • leftid
    • rightid

因此,您可以使用 vpn 角色配置到大量网络设备的 IPsec 连接。

Bugzilla:2119102

selinux RHEL 系统角色现在支持 local 参数

这个 selinux RHEL 系统角色的更新引进了对 local 参数的支持。通过使用此参数,您只能删除本地策略修改,并保留内置的 SELinux 策略。

Bugzilla:2128843

ha_cluster 系统角色现在支持对 firewallselinux 的自动执行,以及 certificate 系统角色

ha_cluster RHEL 系统角色现在支持以下功能:

使用 firewallselinux 系统角色管理端口访问
要将集群的端口配置为运行 firewalldselinux 服务,您可以将新的角色变量 ha_cluster_manage_firewallha_cluster_manage_selinux 设为 true。这会将集群配置为使用 firewallselinux 系统角色,在 ha_cluster 系统角色中自动化并执行这些操作。如果将这些变量设为默认值 false,则不会执行角色。有了这个版本,防火墙不再会被默认配置,因为它仅在 ha_cluster_manage_firewall 设为 true 时进行配置。
使用 certificate 系统角色创建一个 pcsd 私钥和证书对
ha_cluster 系统角色现在支持 ha_cluster_pcsd_certificates 角色变量。设置此变量,将其值传递给 certificate 系统角色的 certificate_requests 变量。这提供了为 pcsd 创建私钥和证书对的替代方法。

Bugzilla:2130010

postfix RHEL 系统角色现在可以使用 firewallselinux RHEL 系统角色来管理端口访问

有了这个增强,您可以使用新角色变量 postfix_manage_firewallpostfix_manage_selinux 自动管理端口访问:

  • 如果它们设为 true,则每个角色都可用来管理端口访问。
  • 如果它们设为 false (默认),则角色不参与。

Bugzilla:2130329

vpn RHEL 系统角色现在可以使用 firewallselinux 角色来管理端口访问

有了这个增强,您可以通过 firewallselinux 角色在 vpn RHEL 系统角色中自动管理端口访问。如果将新角色变量 vpn_manage_firewallvpn_manage_selinux 设为 true,则角色将管理端口访问。

Bugzilla:2130344

logging RHEL 系统角色现在支持端口访问和证书的生成

有了这个增强,您可以使用 logging 角色来管理端口访问,并使用新角色变量生成证书。如果将新角色变量 logging_manage_firewalllogging_manage_selinux 设为 true,则角色将管理端口访问。用于生成证书的新角色变量是 logging_certificates。类型和用法与 certificate 角色 certificate_requests 相同。现在,您可以使用 logging 角色直接自动化执行这些操作。

Bugzilla:2130357

metrics RHEL 系统角色现在可以使用 firewall 角色和 selinux 角色管理端口访问

有了这个增强,您可以控制对端口的访问。如果将新角色变量 metrics_manage_firewallmetrics_manage_firewall 设为 true,则角色将管理端口访问。现在,您可以使用 metrics 角色直接自动化并执行这些操作。

Bugzilla:2133528

nbde_server RHEL 系统角色现在可以使用 firewallselinux 角色管理端口访问

有了这个增强,您可以使用 firewallselinux 角色管理端口访问。如果将新角色变量 nbde_server_manage_firewallnbde_server_manage_selinux 设为 true,则角色将管理端口访问。现在,您可以使用 nbde_server 角色直接自动化这些操作。

Bugzilla:2133930

initscripts 网络供应商支持默认网关的路由指标配置

有了这个更新,您可以使用 rhel-system-roles.network RHEL 系统角色中的 initscripts 网络供应商来配置默认网关的路由指标。

此类配置的原因可能是:

  • 在不同路径中分发流量负载
  • 指定主路由和备份路由
  • 利用路由策略通过特定路径将流量发送到特定的目的地

Bugzilla:2134202

cockpit RHEL 系统角色与 firewallselinuxcertificate 角色集成

此功能增强使您能够将 cockpit 角色与 firewall 角色和 selinux 角色集成,来管理端口访问和 certificate 角色集成来生成证书。

要控制端口访问,请使用新的 cockpit_manage_firewallcockpit_manage_selinux 变量。默认情况下,这两个变量都默认设为 false,并且不会被执行。将它们设为 true,以允许 firewallselinux 角色管理 RHEL web 控制台服务端口访问。然后,操作将在 cockpit 角色内执行。

请注意,您负责管理防火墙和 SELinux 的端口访问。

要生成证书,请使用新的 cockpit_certificates 变量。变量默认设为 false,并且不会被执行。您可以与在 certificate 角色中使用 certificate_request 变量的相同方式使用此变量。然后 cockpit 角色将使用 certificate 角色来管理 RHEL web 控制台证书。

Bugzilla:2137663

直接与活动目录集成的新的 RHEL 系统角色

新的 rhel-system-roles.ad_integration RHEL 系统角色已添加到 rhel-system-roles 软件包中。因此,现在管理员可以自动将 RHEL 系统直接与活动目录域集成。

Bugzilla:2140795

新的 Red Hat Insights 和订阅管理的 Ansible 角色

rhel-system-roles 软件包现在包含远程主机配置(rhc)系统角色。此角色使管理员能够轻松地将 RHEL 系统注册到 Red Hat Subscription Management (RHSM)和 Satellite 服务器。默认情况下,当使用 rhc 系统角色注册系统时,系统会连接到 Red Hat Insights。有了新的 rhc 系统角色,管理员现在可以在受管节点上自动执行以下任务:

  • 配置到 Red Hat Insights 的连接,包括系统的自动更新、补救和标签。
  • 启用和禁用存储库。
  • 配置用于连接的代理。
  • 设置系统的发行版本。

有关如何自动化这些任务的更多信息,请参阅 使用 RHC 系统角色注册系统

Bugzilla:2141330

添加了对克隆的 MAC 地址的支持

克隆的 MAC 地址是设备 WAN 端口的 MAC 地址,它与机器的 MAC 地址相同。有了这个更新,用户可以使用 MAC 地址或策略(如 randompreserve)指定绑定或网桥接口,以获取绑定或网桥接口的默认 MAC 地址。

Bugzilla:2143768

Microsoft SQL Server Ansible 角色支持异步高可用性副本

在以前的版本中,Microsoft SQL Server Ansible 角色只支持主、同步和见证高可用性副本。现在,您可以将 mssql_ha_replica_type 变量设为 asynchronous,以使用新的或现有副本的异步副本类型对其进行配置。

Bugzilla:2151282

Microsoft SQL Server Ansible 角色支持 read-scale 集群类型

在以前的版本中,Microsoft SQL Ansible 角色只支持外部集群类型。现在,您可以使用新的变量 mssql_ha_ag_cluster_type 配置角色。默认值为 external,使用它来配置具有 Pacemaker 的集群。要配置没有 Pacemaker 的集群,请对该变量使用值 none

Bugzilla:2151283

Microsoft SQL Server Ansible 角色可以生成 TLS 证书

在以前的版本中,您需要在配置 Microsoft SQL Ansible 角色前,手动在节点上生成 TLS 证书和私钥。有了这个更新,Microsoft SQL Server Ansible 角色可以使用 redhat.rhel_system_roles.certificate 角色来实现这一目的。现在,您可以使用 certificate 角色的 certificate_requests 变量格式设置 mssql_tls_certificates 变量,以便在节点上生成 TLS 证书和私钥。

Bugzilla:2151284

Microsoft SQL Server Ansible 角色支持配置 SQL Server 版本 2022

在以前的版本中,Microsoft SQL Ansible 角色只支持配置 SQL Server 版本 2017 和版本 2019。这个更新为您提供对 Microsoft SQL Ansible 角色的 SQL Server 版本 2022 的支持。现在,您可以将 mssql_version 值设为 2022 ,以配置新的 SQL Server 2022 或将 SQL Server 从版本 2019 升级到版本 2022。请注意,不提供从 SQL Server 版本 2017 到版本 2022 的升级。

Bugzilla:2153428

Microsoft SQL Server Ansible 角色支持活动目录身份验证的配置

有了这个更新,Microsoft SQL Ansible 角色支持 SQL Server 的活动目录身份验证的配置。现在,您可以使用 mssql_ad_ 前缀设置变量来配置活动目录身份验证。

Bugzilla:2163709

journald RHEL 系统角色现在可用

journald 服务收集日志数据并将其存储在集中式数据库中。有了这个增强,您可以使用 journald 系统角色变量来自动化 systemd 日志的配置,并使用 Red Hat Ansible Automation Platform 配置持久性日志。

Bugzilla:2165175

ha_cluster 系统角色现在支持仲裁设备配置

仲裁设备充当集群的第三方仲裁设备。对于偶数节点的集群,建议使用仲裁设备。对于双节点集群,使用仲裁设备可以更好地决定在脑裂情况下保留哪些节点。现在,您可以使用 ha_cluster 系统角色、集群的 qdevice 和仲裁节点的 qnetd 配置仲裁设备。

Bugzilla:2140804