ネットワーク

`priority`結合プロパティが含まれる`nmstate`

結合ポートの優先度は、nmstateフレームワーク構成ファイルのports-configセクションのpriorityプロパティを使用して設定できます。たとえば、YAMLファイルの内容は次のようになります:

---
interfaces:
- name: bond99
  type: bond
  state: up
  link-aggregation:
    mode: active-backup
    ports-config:
    - name: eth2
      priority: 15

結合されたインタフェース内のアクティブ・ポートが停止すると、Oracle Linuxカーネルは、すべてのバックアップ・ポートのプールから、priorityプロパティ内の数値が最も大きい次のアクティブ・ポートを再選択します。

priorityプロパティは、結合インタフェースの次のモードに関連しています:

active-backup
balance-tlb
balance-alb

VLANインタフェースで使用可能な`nmstate`属性

nmstateフレームワークが更新され、新しいVLAN構成属性が導入されました:

registration-protocol: VLAN登録プロトコル。値は次のように設定できます:
- gvrp (GARP VLAN登録プロトコル)
- mvrp (複数のVLAN登録プロトコル)
- none
reorder-headers: 出力パケット・ヘッダーの順序を変更するかどうかを制御するブール属性。
loose-binding: プライマリ・デバイスの動作状態へのインタフェースのルース・バインディングを制御するブール属性。

構成エントリは次のようになります:

---
interfaces:
  - name: eth1.101
    type: vlan
    state: up
    vlan:
      base-iface: eth1
      id: 101
      registration-protocol: mvrp
      loose-binding: true
      reorder-headers: true

`nmstate`によるMACsecインタフェースの構成が可能

nmstateフレームワークが、開放型システム間相互接続(OSI)モデルのレイヤー2での通信を保護するようにMACsecインタフェースを構成できるように更新され、後でレイヤー7で個々のサービスを暗号化する必要がなくなります。

`nmstate`によるIPSecインタフェースの構成が可能

nmstateフレームワークが更新され、基礎となるLibreswanユーティリティを使用してIPSec VPNインタフェースを構成できるようになりました。Libreswan VPNネットワーク・レイアウトの選択、およびトンネル(デフォルト)またはトランスポート構成モードの認証タイプを構成できます。詳細は、https://nmstate.io/features/ipsec.htmlを参照してください。

ネットワーク変更を元に戻す`nmstate` YAMLファイル

ネットワーク構成を変更するには、新しいネットワーク構成設定を使用してYAMLネットワーク構成ファイルを作成します。この構成ファイルを適用する前に、Nmstateを使用して、新しい構成と現在の構成の違いを識別する復帰ファイルを作成できます。新しい構成ファイルで問題が発生した場合に備えて、この復帰ファイルを適用できます。

設定を前の設定に戻すには、次を実行します:

新しいネットワーク構成でYAMLファイルを作成します。たとえば、new_network_config.ymlです。
new_network_config.ymlの意図した設定と現在の状態の違いを含む、復帰構成ファイルを作成します。たとえば、次のようなコマンドを実行します。
```
nmstatectl gr new_network_config.yml revert.yml
```
new_network_config.ymlから構成を適用します。
前の状態に戻す場合は、revert.ymlファイルを適用します。

Nmstate APIを使用して復帰構成を作成する場合は、NetworkState::generate_revert(current)コールを使用して復帰を実行することもできます。

`netfilter`更新

Oracle Linux 9でのバージョン5.14.0-405へのRHCKに対する更新により、Oracle Linuxカーネルのnetfilterコンポーネントに対する複数の更新が使用可能になりました。この更新により、nftablesサブシステムがトンネル・パケットの様々な内部ヘッダー・フィールドと一致し、ネットワーク・トラフィックをより詳細に効果的に制御できるようになります。

`firewalld`による`iptables`構成の処理の更新

firewalldサービスが更新され、次の両方の条件が満たされた場合、iptables構成から既存のルールがすべて削除されなくなりました:

firewalldがnftablesバックエンドを使用している。
--directオプションを指定してファイアウォール・ルールが作成されていない。

ファイアウォール・ルール・フラッシュなどの不要な操作を避けて、パフォーマンスを向上させます。iptables構成を使用する他のソフトウェアとの統合も改善されます。

`nft`による`nftables`ルールを含む状態のリセット

nft resetは、nftablesルールを含む状態をリセットします。たとえば、カウンタおよび割当て制限ステートメントの値をリセットできます。

`client-identifier`の送信を無効にするオプションが含まれるNetworkManager

ipv4.dhcp-client-id接続プロパティをnoneに設定して、クライアントがクライアント識別子を送信しないようにする必要があるDHCPサーバー構成のクライアント識別子の送信を無効にできるようになりました。このオプションの設定は、通常はお薦めしません。このオプションが構成されていない場合は、NetworkManager.confからグローバルに構成されたデフォルトが使用されます。NetworkManager.confにclient-identifierの構成が見つからない場合、クライアント識別子の値は、使用中のDHCPクライアントによって異なります。

`ss`ユーティリティでのTCPバインド非アクティブ・ソケットの可視性の向上

ソケット・サービスssユーティリティは、TCPバインドの非アクティブなソケットのカーネル・ダンプをサポートするようになりました。TCPバインドの非アクティブなソケットは、IPアドレスとポート番号にアタッチされますが、TCPポートでは接続もリスニングもされません。

TCPバインドの非アクティブのソケットを含むすべてのソケットをダンプするには、次のコマンドを使用します:

ss --all

バインドされた非アクティブなソケットのみをダンプするには、次のコマンドを使用します:

ss --bound-inactive

バージョン1.8.10に更新された`iptables`

iptablesがバージョン1.8.10に更新され、いくつかのアップストリーム・バグ修正および機能拡張が含まれています。

バージョン1.0.9に更新された`nftables`

nftablesはバージョン1.0.9に更新され、いくつかのアップストリーム・バグ修正および機能拡張が含まれています。

バージョン1.3に更新された`firewalld`

firewalldはバージョン1.3に更新され、いくつかのアップストリーム・バグ修正および機能拡張が含まれています。

priority結合プロパティが含まれるnmstate

VLANインタフェースで使用可能なnmstate属性

nmstateによるMACsecインタフェースの構成が可能

nmstateによるIPSecインタフェースの構成が可能

ネットワーク変更を元に戻すnmstate YAMLファイル

netfilter更新

firewalldによるiptables構成の処理の更新

nftによるnftablesルールを含む状態のリセット

client-identifierの送信を無効にするオプションが含まれるNetworkManager

ssユーティリティでのTCPバインド非アクティブ・ソケットの可視性の向上

バージョン1.8.10に更新されたiptables

バージョン1.0.9に更新されたnftables

バージョン1.3に更新されたfirewalld