Xena 系列发布说明¶
23.1.0¶
错误修复¶
Bug #1979699:修复
glance-cache-prefetcher命令,以便在使用多存储功能时设置对后端存储的访问。
23.0.0¶
序言¶
Xena 版本包含 Glance 开发优先级的一些重要里程碑。
添加了使用 keystone limits 的统一配额支持
将 API 层中的策略执行移动到
为 metadef API 实现了安全的基于角色的访问控制 (RBAC) 项目范围
修复了有关多存储导入和预缓存镜像的一些重要错误
新特性¶
Glance 现在基于 Keystone 统一限制支持每个租户的配额,用于像镜像和暂存存储等资源。有关如何配置和使用这些配额的更多信息,请参阅 管理员指南的相关部分。
Glance 的 metadef API 默认策略现在支持 Secure RBAC 项目角色的成员和读者角色。像创建、删除和更新这样的管理操作仍然使用项目上的 admin 角色进行保护。未来的管理操作将更新为使用系统范围。
升级说明¶
Glance 用于数据库升级的数据库迁移引擎在 14.0.0 (Ocata) 版本中从 SQLAlchemy Migrate 更改为 Alembic。现在已移除对 SQLAlchemy Migrate 的支持。这意味着为了从 Ocata 之前的版本升级到 Xena 或更高版本,您必须先升级到 Wallaby 或更早版本。
安全问题¶
Glance 的 Xena 版本是重构如何将策略应用于 API 操作过程中的一个中间点。在 API 中应用策略执行的目标最终将增加操作员对哪些用户可以对哪些镜像执行哪些操作的灵活性,并为符合 Secure RBAC 和作用域令牌提供途径。在 Xena 中,一些策略比以前更灵活,允许更细粒度的职责分配,但并非所有事情都可行。如果未启用 enforce_secure_rbac,大多数事情仍然执行旧行为,即严格的管理员或所有者要求。
错误修复¶
cinder store 延迟迁移代码假定执行 GET 操作的用户有权修改镜像,才能执行更新。对于共享或公共镜像,如果用户不是所有者或管理员,则情况并非如此,如果需要但未完成迁移,则会导致用户收到 404 错误。现在,如果授权不足,我们会延迟迁移,允许所有者(或管理员)的第一个 GET 操作执行它。有关更多信息,请参阅 Bug 1932337。
Bug 1916052:无法在 glance-api 中创建信任错误
Bug 1934673:策略弃用错误地声称默认使用基于角色的策略
Bug 1922928:Image tasks API 排除正在进行的任务
Bug 1936665:metadef 资源类型不可用功能测试
Bug 1895173:捕获错误:表 ‘image_properties’ 上的 UPDATE 语句。预计更新 1 行;匹配到 0 行
Bug 1940090:castellan 库的选项缺失于 glance-api.conf 中
Bug 1885928:无法从社区镜像启动 VM
Bug 1939307:glance-uwsgi - 添加缺失的缓存预取周期性作业
Bug 1940733:[oslo_reports] 选项缺失于 oslo-confi-generator 生成的配置文件中
Bug 1939944:healthcheck 中间件的参数缺失于 glance-api.conf 中
