Mitaka 系列发布说明

12.0.0-20

安全问题

  • 所有 qemu-img info 调用现在都在资源限制下运行,这些限制将运行该命令的进程的 CPU 时间和地址空间使用量分别限制为 2 秒和 1 GB。 这解决了 bug https://bugs.launchpad.net/glance/+bug/1449062。 目前“qemu-img”的使用仅限于 Glance 任务,这些任务默认情况下(自 Mitaka 版本发布以来)仅对管理员用户可用。 我们继续建议仅将任务暴露给受信任的用户

12.0.0

新特性

  • 实现了使用 ‘in’ 操作符在值之间按属性 idnamestatus、`container_format`、disk_format 过滤镜像的能力。 遵循现有过滤器的模式,新的过滤器被指定为查询参数,使用要过滤的字段作为键,并将过滤标准作为参数中的值。 过滤基于完全符合模板的原则,例如 ‘name = in:deb’ 不匹配 ‘debian’。 更改仅适用于 API v2 镜像实体列表。 使用 ‘in’ 操作符进行名称的验收标准示例?name=in:name1,name2,name3。 这些过滤器是使用符合 OpenStack API 工作组最新指南的语法添加的。

  • 实现了在镜像上传后,在注册表中更新镜像状态时使用 trusts 进行重新认证。 当长时间运行的镜像上传需要很多时间(超过 token 过期时间)时,glance 使用 trusts 来接收新的 token 并更新注册表中的镜像状态。 它允许用户上传大尺寸的镜像,而无需增加 token 的过期时间。

升级说明

  • 先前与 OS::Nova::Instance 关联的元数据定义已更改为与 OS::Nova::Server 关联,以便与 Heat 和 Searchlight 对齐。 您可以使用 glance-manage db load_metadefs [path] [merge] [prefer_new] 或 glance-manage db upgrade 44 来升级它们。

  • 任务 API 正在被弃用,并且已设置为仅限管理员使用。 如果 Glance 的部署者希望将此 API 作为公共 API,则需要更改 policy.json 文件,并从每个 task 相关字段中删除 role:admin

弃用说明

  • 在 glance-api.conf 的 [DEFAULT] 配置部分中,use_user_token、admin_user、admin_password、admin_tenant_name、auth_url、auth_strategy 和 auth_region 选项已被弃用,将在 O 版本中删除。 请参阅 https://wiki.openstack.org/wiki/OSSN/OSSN-0060

  • 添加任务 API 允许用户异步上传镜像,并让部署者对上传过程有更多的控制。 不幸的是,此 API 的工作方式与预期不符。 因此,任务 API 已进入弃用期,并且旨在由新的导入 API 取代。 此更改使任务 API 默认情况下仅对管理员可用,以防止意外将其作为公共 API 部署。

  • OSprofiler 支持需要在各种 OpenStack 服务之间传递跟踪信息。 此信息由 HMAC 密钥之一签名,我们历史上在 glance-api-paste.ini 和 glance-registry-paste.ini 文件中定义了这些密钥(以及启用的选项,实际上在相应的配置文件中重复了)。 OSprofiler 0.3.1 及更高版本支持通过配置文件传递此信息,因此建议修改 *-paste.ini 中的 [filter:osprofiler] 部分,使其看起来像 paste.filter_factor = osprofiler.web:WsgiMiddleware.factory,并在 glance-*.conf 文件中设置 hmac_keys 选项。

安全问题

  • 修复 bug 1525915;通过删除镜像的最后一个位置(或将位置替换为空列表),普通用户可能会将镜像从 active 转换为 queued。 这允许用户重新上传数据到镜像,破坏 Glance 镜像数据不可变性的承诺。 从现在开始,最后一个位置不能被删除,并且位置不能被替换为空列表。

错误修复

  • 先前与 OS::Nova::Instance 关联的元数据定义已更改为与 OS::Nova::Server 关联,以便与 Heat 和 Searchlight 对齐。