Ussuri 系列发布说明¶
10.4.0-34¶
新特性¶
添加了对 libvirt SASL 身份验证的支持。默认情况下已启用。 LP#1964013
升级说明¶
添加 libvirt SASL 身份验证需要在
passwords.yml中添加新的密码,即libvirt_sasl_password。可以使用现有的kolla-genpwd和kolla-mergepwd工具生成此密码。
添加 libvirt SASL 身份验证需要同时更新
nova_libvirt和nova_compute容器,使用包含必要的 Cyrus SASL 依赖项的新镜像,以及包含 SASL 凭据的配置。
安全问题¶
显式地从具有 Neutron L3 Agent 的主机的
/etc/sysctl.conf中删除net.ipv4.ip_forwardsysctl。如果没有其他来源提供此 sysctl,则在下次重新启动后它应恢复为默认值 0。这是对先前更改的后续操作,该更改停止设置 sysctl,但使现有系统保留原始值 1。希望更积极地更改值的部署者可以使用 Kolla Ansible 的 Yoga 版本将
neutron_l3_agent_host_ipv4_ip_forward设置为 0。此选项将在未来版本中删除。任何仍然依赖于先前值的部署都可以将neutron_l3_agent_host_ipv4_ip_forward设置为 1。 LP#1945453
Kolla Ansible 以前以非特权 root 用户身份运行 Ironic 的 tftpd。现在,它将显式地使用 nobody 用户。
修复了一个问题,即 libvirt 的默认配置未对通过内部 API 网络暴露的 TCP 上的 API 使用身份验证。这允许任何访问内部 API 网络的人员对 libvirt 进行读写访问。虽然内部 API 网络通常是可信的,但此网络上的其他服务通常至少需要身份验证。
默认情况下现在已为 libvirt 启用 SASL 身份验证。Kolla Ansible 自 Train 版本以来就支持 libvirt TLS,建议使用它来提供更高层次的安全性。 LP#1964013
添加了针对 Elasticsearch 中 Apache Log4j2 远程代码执行 (RCE) 漏洞 - CVE-2021-44228 的缓解措施。
错误修复¶
删除了
barbican.conf中max_allowed_secret_in_bytes的自定义值。Barbican 中的默认最大大小翻倍,以避免某些证书出现问题。 LP #1957795
通过在 crontab 中添加必要的“LANG=en_US.UTF-8”来修复损坏的 elasticsearch_curator 容器。 LP#1919328
修复了当
kolla_enable_tls_external为 true 时无法连接到 zun 控制台的问题。当kolla_enable_tls_external为 true 时,访问任何 zun 容器的控制台都会失败。此修复根据kolla_enable_tls_external的值在zun.conf中设置 wsproxybase_url的协议。 LP#1957117
修复了 bug #1987982。此错误导致在 keystone 升级后数据库 log_bin_trust_function_creators 变量未被重置为“OFF”。
添加了通过 kolla 配置 rabbitmq 集群接口的选项 LP#1900160 <https://bugs.launchpad.net/kolla-ansible/+bug/1900160>
修复了在使用 Jinja2 3.1.0 时出现的问题。
修复了配置选项,该选项设置了 Neutron 发送请求到 Placement 使用的端点类型。 LP#1960503
修复了 Node Exporter 的配置问题,导致主机的所有文件系统指标都相同。 LP#1961438
修复了一个问题,即任何 Nova 计算服务未能注册自身,将导致只有查询 nova API 的主机失败。现在,只有未能注册的主机会使 Kolla Ansible 运行失败。或者,要使单元中的所有主机在任何计算服务未能注册时都失败,请将
nova_compute_registration_fatal设置为true。 LP#1940119
prometheus openstack 导出器现在位于 haproxy 之后,在 prometheus 数据库中提供唯一的时序。同时,确保在任何给定时间间隔内只有一个导出器查询 openstack API。以前的行为是每个 openstack 导出器都在同一时间被抓取。这导致每个导出器同时查询 openstack API,引入了不必要的负载以及由于实例标签对每个导出器都是唯一的,导致 prometheus 数据库中的重复时序。
10.4.0¶
新特性¶
添加了新的选项 prometheus_openstack_exporter_timeout 以覆盖 openstack 导出器作业的默认 scrape_timeout。
添加了对 cloudkitty 使用 elasticsearch 存储后端的支持:该特性允许您将 cloudkitty 评分文档直接存储在您的 elasticsearch 集群中。
如果您已经有一个用于日志记录的 elasticsearch 集群,它将创建一个新的 cloudkitty 特定索引。这允许您使用 kibana、grafana 或任何其他界面浏览您的评分数据并创建适当的仪表板或构建适当的计费服务。
添加了对 cloudkitty 使用 prometheus 作为提取器/收集器的支持:该特性允许您使用 prometheus 指标作为您的评分来源。使用 prometheus 允许您直接从 kolla 提供的导出器(Openstack_exporter)或您自己的自定义导出器对任何 openstack 对象进行评分。
添加了配置参数
haproxy_nova_spicehtml5_proxy_tunnel_timeout以配置 spicehtml5proxy haproxy 服务的Tunnel TimeOut指令。
添加了一个新的变量
disable_firewall,默认值为true。如果设置为false,则主机防火墙在kolla-ansible bootstrap-servers期间将不会被禁用。
添加了两个新的变量
service_images_pull_retries和service_images_pull_delay,它们控制镜像拉取任务的行为。如果您的注册表不是 100% 可靠(通常由于负载),这些变量很有用。默认值设置为 3 次重试和 5 秒延迟,以确保更好的默认体验(这些实际上是启用任务重试时的 Ansible 默认值)。
添加了对通过
kolla_ansible_setup_filter和kolla_ansible_setup_gather_subset分别配置setup模块的filter和gather_subset参数的支持。这些可用于减少事实的数量,这会对 Ansible 的性能产生重大影响。
添加了新的变量
ironic_enable_keystone_integration。如果我们需要连接到现有的 keystone(而不是同时安装它),它有助于将 keystone 连接信息添加到ironic.conf中。
升级说明¶
更新了 Kolla Ansible 中所有对 Ansible facts 的引用,从使用单个 fact 变量到使用
ansible_facts字典中的项目。这允许用户禁用 Ansible 配置中的 fact 变量注入,这可能会提高一些性能。检查本地配置文件中引用的 facts,并在禁用 fact 变量注入之前更新为使用ansible_facts。
修改了
ceph_nova_user的默认值,从nova变为ceph_cinder_user的值,与ceph_nova_keyring的默认值一致。如果已经覆盖ceph_nova_keyring以使用 Nova 和 Cinder 之间的单独 keyring 的用户,还应覆盖ceph_nova_user以匹配 Nova keyring。 LP#1934145
修改了
rabbitmq_server_additional_erl_args的默认值,从空字符串变为+S 2:2 +sbwt none +sbwtdcpu none +sbwtdio none。
安全问题¶
修复了
net.ipv4.ip_forward不被 Kolla Ansible 在默认网络命名空间中启用。它在具有 Neutron L3 Agent 的主机上启用(因此在大多数具有 OVS 和/或 Linux Bridge 的常见设置中,但不是 OVN),并且除非用户有额外的 iptables 规则来避免这种情况,否则允许任何流量被接受进行转发(只要它是可路由的并且通过了其他检查)。建议现有设置的用户重新评估是否需要启用此 sysctl,如果不需要则禁用。Kolla Ansible 将不再尝试设置此 sysctl。Neutron L3 Agent 处理每个管理命名空间的转发启用。
错误修复¶
修复了 monasca-thresh 未能正确地将拓扑提交到 Storm。以前的容器在本地模式(在容器内)中运行拓扑,并且未使用 Storm 云。新的容器处理将拓扑提交到 Storm,并处理在配置更改时杀死和替换拓扑。因此,monasca-thresh 容器仅用于提交,并在完成后退出。拓扑的日志现在将在 storm worker-artifact 日志中可用。 LP#1808805
修复了一个问题,即容器中的配置可能会变得陈旧。这阻止了具有更新配置的容器重新启动,例如,如果使用了
kolla-ansible genconfig和kolla-ansible deploy-containers命令一起使用。 LP#1848775
修复了 elasticsearch fluentd 输出在未启用 elasticsearch 时被启用的问题。 LP#1927880
修复了在 CentOS 上自定义 Docker Yum 存储库 URL 时,
docker_yum_gpgkey变量未一致使用的错误。 LP#1934913
修复了一个问题,spice 控制台在一段时间后会冻结,请参阅 LP#1938549。
修复了在禁用 RabbitMQ 且使用 IPv6 时损坏的
kolla-toolbox容器。 LP#1939883
修复了
mariadb-clustercheck在没有 HAProxy 时不会运行的问题。 LP#1944114
不再创建 haproxy 和 swift 日志的目录,这些目录是不需要的。 LP#1945070
修复了 placement 角色中的一个错误,该错误阻止在使用了自定义策略文件时部署 placement 服务。 LP#1948835
修复了错误消息中缺少当前的 Ansible 版本。 LP#1948979
修复了 Cyborg 部署中的一个问题。 LP#1937911
修复了
neutron-server的config.json中存在的问题,当使用了 VMware 插件代理时。
修复了当
neutron_external_interface包含多个接口时,NeutronlinuxbridgeML2 代理出现的问题。 LP#1863935
修复了 Manila 配置中缺少
[glance]部分的问题,这阻止了一些驱动程序运行。
修复了 Nova 默认配置中 Ceph 的问题,RBD 用户设置为
nova,但仅复制了cinderkeyring。ceph_nova_user的默认值更改为ceph_cinder_user的值,与ceph_nova_keyring的默认值一致。 LP#1934145
修复了一个问题,即 RabbitMQ 消耗大量 CPU,尤其是在多核系统上。RabbitMQ 的默认调优假设 RabbitMQ 正在专用主机上运行,这与典型的 Kolla Ansible 容器设置相反。有关在您的环境中调优 RabbitMQ 的更多详细信息,请参阅:https://rabbitmq.cn/runtime.html#busy-waiting https://rabbitmq.cn/runtime.html#scheduling
其他说明¶
优化了镜像拉取,以避免循环遍历禁用的服务。
10.3.0¶
新特性¶
添加了
kolla_sysctl_conf_path变量,该变量允许自定义 Kolla Ansible 剧本将修改的sysctl.conf的路径。默认值为/etc/sysctl.conf,就像以前一样。
添加了一个新的标志
docker_disable_default_network,默认值为no。Docker 默认情况下为docker0使用172.17.0.0/16进行桥接网络,这可能会导致操作员网络的路由问题。将此标志设置为yes将禁用 Docker 的桥接网络。此功能将在 Wallaby 12.0.0 版本中默认启用。
添加了一个新的 haproxy 配置文件变量,
haproxy_host_ipv4_tcp_retries2,允许用户修改此内核选项。此选项设置在建立连接状态下 TCP 数据包重传的最大次数,之后放弃。默认内核值为 15,对应于大约 13 到 30 分钟的持续时间,具体取决于重传超时。可以使用此变量来缓解 VIP 故障转移时连接卡住的问题,有关详细信息,请参阅 bug 1917068。
添加了覆盖自动检测 fluentd_version 和 fluentd_binary 的能力。现在可以将它们定义为额外的变量。这消除了配置生成对配置 docker 的依赖。
添加了从 RabbitMQ 收集 Prometheus 指标的支持。默认情况下,当 Prometheus 和 RabbitMQ 启用时启用此功能,可以通过将
enable_prometheus_rabbitmq_exporter设置为false来禁用它。
允许使用
KOLLA_SKIP和KOLLA_UNSET值跳过和取消设置由 Kolla Ansible playbook 控制的 sysctl 变量。
错误修复¶
修复了启用 Zun 时
kolla-ansible bootstrap-servers的问题,其中 Zun 特定的 Docker 配置应用于所有节点。 LP#1914378
修复了启用 S3 Token Middleware 时 Swift 部署的问题。修复了 LP#1862765
修复了 OVN 中的 Northbound 和 Southbound 数据库套接字路径。
chronyd 在服务器重启时崩溃循环 (Debian) LP#1915528
修复了在 Debian/Ubuntu 上启动后配置 Docker 的问题,导致在禁用它们之前创建 iptables 规则。 LP#1923203
由于
Permission denied错误,sriov_agent.ini 未被复制的问题已修复。 LP#1923467
修复了由于缺少 six 而导致 docker python SDK 5.0.0 失败的问题 - 引入了约束以安装低于 5.x 的版本。 LP#1928915
修复了超过 2 个节点的 RabbitMQ 升级随机失败的问题。 LP#1930293。
修复了启用 TLS 时的 Swift 部署。添加了缺少的处理程序并更正了容器名称。 LP#1931097
修复了 keystone_auth 部分中缺失的 region_name。有关详细信息,请参阅 bug 1933025。
修复了当前基于 CentOS 8 的镜像中
iscsid失败的问题,因为 pid 文件被不必要地设置。 LP#1933033
修复了 Debian 主机引导程序未删除冲突软件包的问题。现在它的行为符合文档。
修复了一个问题,当使用错误的命令名称执行
kolla-ansible时,kolla-ansible会以零退出代码退出。 LP#1929397
修复了非 HA 部署中 Alertmanger 的潜在问题。在这种情况下,对等八卦协议现在被禁用,Alertmanger 不会尝试与不存在的其他实例形成集群。 LP#1926463
添加了一个新的标志,
docker_disable_ip_forward,默认值为no,可用于(设置为yes)禁用 docker 的ip-forward选项,该选项会使 docker 将net.ipv4.ip_forwardsysctl 设置为1。这是为了防止创建全转发主机。 LP#1931615
修复了在
kolla-ansible bootstrap-servers期间生成/etc/hosts时,一个或多个主机具有api_interface中带有破折号 (-) 的名称的问题。 LP#1927357
修复了 Barbican 日志记录的一些配置问题。 LP#1891343
修复了 Cinder 日志记录的一些配置问题。 LP#1916752
修复了 ovs-dpdk 服务的错误配置,这破坏了 kolla-ansible 的部署。有关更多详细信息,请参阅 bug 1908850。
修复了在升级期间未重新创建 keepalived 的问题,即使配置未更改。 LP#1928362
修复了启用 TLS 时的 Magnum 问题。 LP#781062
修复了通过
pip install --user安装时执行kolla-ansible的问题。 LP#1915527
修复了一个问题,即
masakari.conf为masakari-instancemonitor服务生成,但未被使用。
修复了一个问题,即
masakari-monitors.conf为masakari-api和masakari-engine服务生成,但未被使用。
使用一致的变量名来表示
masakari-instancemonitor的容器维度 -masakari_instancemonitor_dimensions。旧名称masakari_monitors_dimensions仍然受支持。
修复了在使用自定义服务身份验证项目部署 Octavia 时的问题。如果
octavia_service_auth_project设置为不存在的项目,Octavia 部署将失败。现在会创建该项目。 LP#1922100
修复了 LP#1892376,通过更新 Monasca Elasticsearch 模板中的已弃用语法来修复。
删除了
zookeeper.cfg中等号周围的空格,这些空格阻止了zkCleanup.sh脚本正确运行。
其他说明¶
由于 Cinder 上游,已删除对使用 ZFSSA 与 Cinder 的支持。ZFSSA 在 Train 中不受支持,并在 Ussuri 中删除。
10.2.0¶
新功能¶
添加了一个新的标志,
docker_disable_default_iptables_rules,默认值为no。Docker 默认情况下会操作 iptables 规则以提供网络隔离,这可能会导致问题,如果主机已经具有基于 iptables 的防火墙。一个常见的问题是 Docker 将filter中的FORWARD链的默认策略设置为DROP。将docker_disable_default_iptables_rules设置为yes将禁用 Docker 的 iptables 操作。此功能将在 Victoria 11.0.0 版本中默认启用。
通过在一个文件中生成所有 fluentd 配置来提高
common角色的性能。
通过在一个文件中生成所有 logrotate 配置来提高
common角色的性能。
已知问题¶
由于 Ussuri 中 Ceph (RBD) 的处理方式存在错误:生成的外部 Ceph 的配置中缺少
backend_host选项。症状是卷变得无法管理,直到采取额外的管理操作。这不会影响数据平面 - 正在运行的虚拟机不会受到影响。与此相关的问题是关于活动-活动
cinder-volume服务(单主机cinder-volume不受影响),它们不应该配置backend_host,而应该使用cluster和适当的协调。一些用户可能已经自定义了他们的配置以解决此问题。Kolla 团队正在研究为所有用户解决此问题的最佳方法。与此同时,请确保在升级到 Ussuri 之前,通过配置覆盖将
backend_host选项设置为其先前值(默认值为rbd:volumes)。有关更多详细信息,请参阅引用的错误。请注意,此问题会影响新部署和升级。 LP#1904062
升级说明¶
在部署使用 Logstash 6 的 Monasca 时,任何 Monasca 的自定义 Logstash 2 配置都需要更新才能与 Logstash 6 兼容。请参阅 文档。
baremetal角色现在使用 CentOS8包存储库来获取 Docker CE(之前为7)。
Prometheus OpenStack 导出器现在使用内部端点与 OpenStack 服务通信,以匹配 Kolla Ansible 部署的其他服务的配置。可以使用公共端点通过将
prometheus_openstack_exporter_endpoint_type变量设置为public来保留。
默认值
REST_API_REQUIRED_SETTINGS与 Horizon 同步。您可能需要查看 更新的配置 中公开的设置。
安全问题¶
由
kolla-ansible post-deploy生成的admin-openrc.sh文件先前以root:root所有权和644权限创建。这将允许具有相同目录访问权限的任何人读取该文件,包括管理员凭据。admin-openrc.sh的所有权现在设置为执行kolla-ansible的用户,并且文件被分配了600模式。可以通过运行kolla-ansible post-deploy来应用此更改。
错误修复¶
添加了对在代理后使用 bifrost-deploy 的支持。它使用现有的 container_proxy 变量。
修复了对 /dev/kvm 权限的处理,使其对主机级别操作更加健壮。 LP#1681461
现在允许 IPv6 完全路由拓扑(/128 寻址)(在适用情况下)。 LP#1848941
在部署 Elasticsearch 6 时,默认部署了 Logstash 2,该版本与 Elasticsearch 6 不兼容。现在默认部署 Logstash 6。
修复了启用 TLS 时的 Castellan(Barbican 客户端)。 LP#1886615
修复了
--configdir参数应用于默认passwords.yml位置的问题。 LP#1887180
fluentd现在将日志记录到/var/log/kolla/fluentd/fluentd.log而不是stdout。 LP#1888852
修复了 Masakari 角色缺少
deploy-containers操作的问题。 LP#1889611
修复了一个问题,即
keystone容器会陷入重启循环,并显示 fernet 密钥已过期。 LP#1895723
修复了
haproxy_single_service_split模板,使其适用于默认的mode(http)。 LP#1896591
修复了 Debian/Ubuntu 上错误的 fernet cron 文件路径,从
/var/spool/cron/crontabs/root/fernet-cron改为/var/spool/cron/crontabs/root。 LP#1898765
为 placement-api wsgi 配置添加 with_first_found,允许用户覆盖。 LP#1898766
当启用
neutron_ovn_distributed_fip时,OVN 将不再在计算节点上调度 SNAT 路由器。 LP#1901960
现在串行重启 RabbitMQ 服务,以避免脑裂。 LP#1904702
通过向 monasca log-metrics drop 配置添加 notice 和 note 日志级别来修复 LP#1906796
修复了 Swift 的停止操作。它将不再尝试再次启动
swift-object-updater容器。 LP#1906944
修复了在使用 Docker 20.10 时
kolla-ansible prechecks命令出现的问题。 LP#1907436
修复了当
mariadb容器未在一个或多个主机上存在时,kolla-ansible mariadb_recovery出现的问题。 LP#1907658
修复了使用 kolla_dev_mod 部署 freezer 失败的问题。 LP#1888242
修复了某些 CloudKitty 命令尝试使用 HTTP 连接到外部 TLS 端点的问题。 LP#1888544
修复了如果 Keystone Fernet 密钥轮换在 Keystone 容器启动之前发生,可能会导致权限被拒绝错误的问题。 LP#1899060
由
kolla-ansible post-deploy生成的admin-openrc.sh文件先前以root:root所有权和644权限创建。这将允许具有相同目录访问权限的任何人读取该文件,包括管理员凭据。admin-openrc.sh的所有权现在设置为执行kolla-ansible的用户,并且文件被分配了600模式。可以通过运行kolla-ansible post-deploy来应用此更改。
修复了删除已撤离的实例时,加密块设备出现的问题。 LP#1891462
修复了 Keystone Fernet 密钥轮换由于权限被拒绝错误而失败的问题,如果 Keystone 轮换发生在 Keystone 容器启动之前。 LP#1888512
修复了 Keystone 启动时 Fernet 密钥轮换未在配置的间隔内发生的问题。这可能是由于 Keystone 主机在计划的轮换时间处于关闭状态,或者由于 cron 作业之间的间隔不均匀所致。 LP#1895723
修复了 Debian/Ubuntu 系统上 Kibana 升级出现的问题。 LP#1901614
将 arp_responder 选项设置为 LinuxBridge 代理的默认值(‘False’),因为已知它会导致 l2_population 出现问题,以及其他问题,例如与 allowed-address-pairs 扩展不完全兼容。 LP#1892776
修复了 Neutron Linux bridge ML2 驱动程序中未应用防火墙驱动程序配置的问题。 LP#1889455
修复了 Masakari 和内部 TLS 中 CA 证书未复制到容器的问题,并且未配置 CA 文件路径。 依赖于 masakari bug 1873736 的修复。 LP#1888655
修复了 Grafana 实例争夺启动 Grafana DB 的问题。 参见 LP#1888681。
修复了 LP#1892210,其中从
neutron-server到 Memcached 的打开连接数会随着时间的推移而增长,直到达到memcached_connection_limit(默认值为 5000)设置的最大值,此时 Memcached 实例将停止工作。
Kafka 默认主题创建被使用创建 Kafka 主题时,在多节点集群中未创建冗余副本的问题。 LP#1888522。 这会影响使用 Kafka 的 Monasca,并且之前被 Monasca 使用的旧 Kafka 客户端所掩盖,而该客户端已在 Ussuri 中升级。 具有多节点 Kafka 集群的 Monasca 用户应查阅 Kafka 文档 以增加副本数。
修复了计算主机上未加载
br_netfilter内核模块的问题。 LP#1886796
Prometheus OpenStack 导出器现在使用内部端点与 OpenStack 服务通信,以匹配 Kolla Ansible 部署的其他服务的配置。
防止在未针对所有 Keystone 主机(例如,由于
--limit或--serial参数)时,向现有集群添加新的 Keystone 主机,以避免覆盖现有的 Fernet 密钥。 LP#1891364
减少 SQLAlchemy 连接池的使用,以提高控制器具有内部 VIP 发生故障时的服务可靠性。 LP#1896635
不再配置 Prometheus OpenStack 导出器使用
prometheusDocker 卷,因为从未需要过。
更新 Horizon
local_settings中REST_API_REQUIRED_SETTINGS的默认值,启用了一些功能,例如 选择实例的默认启动源。 LP#1891024
其他说明¶
添加 trove-guestagent.conf 用于 trove
10.1.0¶
新功能¶
添加了提供自定义 Elasticsearch 配置的能力。
升级说明¶
将
kibana_elasticsearch_ssl_verify的默认值从false更改为true。 LP#1885110
现在,只要启用 Apache Storm,Apache ZooKeeper 就会自动部署。
错误修复¶
修复了在使用 ip 地址而不是主机名在 Ansible 清单中时出现的问题。 OpenvSwitch 角色根据 inventory_hostname 设置 system-id,在 ip 地址的情况下,是第一个 ip 八位字节。 这种部署会导致多个 OVN 机箱具有重复的名称,例如“10”连接到 OVN 南向数据库 - 这会产生 Encap 数据库表中大量的创建/删除事件 - 导致 OVN/OVS/Neutron 进程的 CPU 使用率接近 100%。
修复了在启用
enable_manila_backend_generic为False时,Manila 部署启动openvswitch和neutron-openvswitch-agent容器的问题。 LP#1884939
修复了 Elasticsearch Curator cron 调度运行。 LP#1885732
修复了应用自定义 Nova 策略时 nova-conductor 的配置错误,导致
nova_conductor容器无法成功启动。 LP#1886170
修复了
gnocchi.conf中不正确的 Ceph 密钥文件配置,导致 Gnocchi 无法连接到 Ceph。 LP#1886711
与 Magnum、Cinder 和 Octavia 使用的服务的客户端保持一致,这些服务现在使用全局定义的 openstack_region_name。
修复了 etcd 服务的配置,使其协议与
internal_protocol参数的值无关。 etcd 服务不由 HAProxy 进行负载均衡,因此在internal_protocol配置为https时,没有代理层进行 TLS 终止。
修复了 LP#1885885,其中 Monasca Fluentd 输出插件中的默认块大小从 8MB 增加到 256MB 用于文件缓冲,这超过了 Monasca Log / Unified API 允许的限制。
添加了一个新的变量
fluentd_elasticsearch_cacert,其默认值为openstack_cacert。 如果设置,这将用于设置 Fluentd 与 Elasticsearch 通信时使用的 CA 证书包的路径。 LP#1885109
改进了
kolla-genpwd和kolla-mergepwd在输入文件格式不符合预期时错误报告。 LP#1880220。
修复了多区域部署中的 Magnum trust 操作。
如果显式启用 Apache Storm,则部署 Apache ZooKeeper。 只有在也启用 Monasca 时,ZooKeeper 才会部署,通常是隐式完成的。
10.0.0¶
序言¶
Kolla Ansible 10.0.0 版本是 Ussuri 周期中的第一个版本。 值得注意的变化包括
所有 playbook 和脚本现在使用 Python 3,并且已停止对 Python 2 的支持
CentOS 8 现在支持作为主机操作系统和容器镜像,并且已停止对 CentOS 7 的支持
已停止 Ceph 部署支持
简化了外部 Ceph 集成的配置
初步支持后端 API 服务的 TLS 加密,为 Barbican、Cinder、Glance、Heat、Horizon、Keystone、Nova 和 Placement 提供端到端 API 流量加密
支持部署 Open Virtual Network (OVN) 并将其与 Neutron 集成
新功能¶
添加了 Elasticsearch Curator 用于管理聚合的日志数据。
添加了配置变量
cron_logrotate_rotation_interval和cron_logrotate_rotation_count以设置 logrotate 轮换间隔和计数。
添加了一种自定义
prometheus.yml的机制。 请阅读 文档 以获取更多详细信息。
添加了对两个新的 Senlin 服务;
senlin-conductor和senlin-health-manager。 这两个服务对于从 Ussuri 版本开始的 Senlin 完全正常运行都是必需的。
添加了一种通过 prometheus 配置的
extras目录复制用户定义文件的机制。 这对于某些需要引用其他文件的 prometheus 配置自定义非常有用。 一个示例是设置 基于文件的服务发现。
添加了一个新的变量,
influxdb_datadir_volume。 这允许您控制 Docker 卷在 InfluxDB 中的创建位置。 一种性能调整是将它设置为高性能闪存驱动器上的路径。
添加了一个新的变量,
kafka_datadir_volume。 这允许您控制 Kafka 数据存储的位置。 通常,您希望将其设置为旋转磁盘或旋转磁盘阵列。
添加了一个新的容器
zun-cni-daemon用于 Zun 服务。 此容器是用于实现 Zun 的 CNI 插件的守护程序服务。
允许操作员使用自定义参数与 ceilometer-upgrade 命令一起使用。 当使用动态 pollster 子系统时,这非常有用;该子系统提供了创建和编辑 pollster 配置的灵活性,这会影响 Gnocchi 资源类型配置。 但是,Ceilometer 使用默认的和硬编码的资源类型配置;如果自定义了其中的一些默认资源类型,则在升级期间可能会遇到问题。 因此,解决它的唯一方法是使用
--skip-gnocchi-resource-types标志。
为
kolla-ansible prechecks添加了新的检查,以验证预期的 Ansible 组是否存在。
Kolla Ansible 检查现在本地 Ansible Python 环境是否一致,即使用的 Ansible 可以看到 Kolla Ansible。 LP#1856346
添加了对 CentOS 8 作为主机操作系统和基本容器镜像的支持。 这是从 Ussuri 版本开始支持的 CentOS 的唯一主要版本。 Train 版本支持 CentOS 7 和 8 主机,并提供迁移路线。
引入了用户可修改的变量,而不是用于外部 Ceph 功能的 Ceph 密钥文件的固定名称。
配置所有 openstack 服务使用全局定义的证书颁发机构文件来验证 HTTPS 连接。 全局 CA 文件由
openstack_cacert参数配置。
当
kolla_copy_ca_into_containers配置为yes时,/etc/kolla/certificates/ca中的证书颁发机构文件将被复制到服务容器中,以启用对这些 CA 证书的信任。 这对于所有自签名或由私有 CA 签名且未在服务镜像信任存储中存在的证书都是必需的。 否则,需要显式禁用 CA 验证,或者必须使用openstack_cacert参数在服务中配置 CA 证书的路径。
添加了一个
prune-images命令,用于在主机上清理 Docker 镜像。 请参阅 蓝图 以获取详细信息。
Fluentd 现在在 Monasca API 无法访问时将日志本地缓冲到文件。
添加了配置选项以启用从 HAProxy 到 Keystone、Glance、Heat、Placement、Horizon、Barbican 和 Cinder 服务的后端 TLS 加密。 与启用服务 API 端点 TLS 结合使用时,网络通信将从客户端通过 HAProxy 到后端服务进行端到端加密。
将 Ansible 的
uri模块的执行委托给使用kolla_toolbox的服务容器。这将能够自动验证已复制和提取到服务容器中的任何证书。这在证书是自签名或由本地(私有)CA 签名的情况下特别有用。
引入外部 Ceph 用户 ID 作为变量,以便在 OpenStack 服务配置中使用非标准 Ceph 身份验证 ID,而无需覆盖配置文件。
为
kolla-mergepwd添加了一个--clean参数。它允许清除密码文件中旧的(不再使用的)密钥。
通过
kolla-ansible certificates命令为内部和外部(公共)网络生成自签名证书。如果它们是相同的网络,则证书文件将相同。
可以使用自签名 TLS 证书来测试开发 OpenStack 环境中的 TLS。
kolla-ansible certificates命令将生成所需的自签名 TLS 证书。该命令已更新为首先创建一个自签名根证书颁发机构。然后,该命令生成面向内部和外部的证书并使用根 CA 对其进行签名。如果启用了后端 TLS,该命令将生成后端证书并使用根 CA 对其进行签名。
HAProxy - 添加在 {{ node_custom_config }}/haproxy/services.d/ 中定义自定义 HAProxy 服务的支持。
添加了对受支持的主机操作系统发行版的预检查。当前支持的发行版是 CentOS/RHEL 8、Debian Buster 和 Ubuntu Bionic。可以通过将
prechecks_enable_host_os_checks设置为false来禁用此检查。
添加了对 OVN 的部署及其与 Neutron 的集成的支持。这包括部署
OVN 数据库 (
ovn-sb-db和ovn-nb-db)南向和北向数据库连接器 (
ovn-northd)Hypervisor 组件
ovn-controller和neutron-ovn-metadata-agent
添加对 Ironic 的对象存储服务 (Swift) 的支持。
添加了对在 Kolla Ansible 中管理 Ceilometer 动态 pollster 配置的支持。此功能将默认在
{{ node_custom_config }}/ceilometer/pollster.d/中查找配置。如果那里有配置,它们将被复制到控制节点,以配置 Ceilometer 动态 pollster 子系统。
使用
clustercheck脚本启用 Galera 节点状态检查,该脚本由 HAProxy 用于定义节点的状态(启动/停止)。
引入了一个新的配置变量
mariadb_wsrep_extra_provider_options,允许用户设置额外的 WSREP 选项。
添加了对以 .json 和 .yaml 格式存储 Neutron 策略文件的支持。
添加了一个新的变量
openstack_tag,它用作 Docker 镜像标签的默认值,代替openstack_release。默认值为openstack_release,通过openstack_tag_suffix设置后缀。后缀为空,但在 CentOS 8 上设置为-centos8。这允许提供基于 CentOS 7 和 8 的镜像。
现在可以禁用 Prometheus 服务器,从而可以在不启用它的情况下部署导出器。当启用 Prometheus 时,部署 Prometheus 服务器的默认行为保持不变。
已知问题¶
即使将它们添加到操作系统的受信任 CA 文件夹并执行 update-ca-trust,Python Requests 库也不会信任自签名或由私有 CA 签名的 CA。对于依赖 Python Requests 库的服务,必须显式禁用服务中的 CA 验证,或者使用
openstack_cacert参数配置 CA 证书的路径。
升级说明¶
添加了对 Ansible 支持版本的最大检查。Kolla Ansible 现在需要至少 Ansible
2.8并支持最多2.9。有关详细信息,请参阅 蓝图。
避免使用
setup模块进行不必要的 fact 收集。这应该可以提高使用 fact 缓存和 Ansiblesmartfact 收集策略的环境的性能。有关详细信息,请参阅 蓝图。
CentOS 7 不再支持作为主机操作系统或基础容器镜像。CentOS 用户应迁移到 CentOS 8。Train 版本支持 CentOS 7 和 8 镜像,并提供迁移路径。
一些镜像受 CentOS 7 支持,但在 CentOS 8 中缺少合适的软件包,因此不再支持 CentOS。
已移除对 CentOS/RHEL 8 的 SCSI 目标守护程序 (
tgtd) 的支持。在 CentOS/RHEL 8 上,cinder_target_helper的默认值为lioadm,但在其他平台上仍为tgtadm。
对于 cinder (
cinder-volume和cinder-backup)、glance-api和manila密钥环行为已更改,Kolla Ansible 部署将不再使用通配符(ceph.*)复制这些密钥,而是使用新引入的变量。如果/etc/kolla/config中的密钥与引入变量的默认值不匹配,则您的环境在升级后可能会变得不可用。
迁移接口的默认值已从
network_interface移动到api_interface,在大多数情况下,它被视为内部和安全网络平面。
不再默认启用
gnocchi-statsd守护程序。如果您正在使用该守护程序,则需要将enable_gnocchi_statsd: "yes"设置为继续在部署中使用它。
Erlang 22.x 放弃了对 HiPE 的支持,因此已移除
rabbitmq_hipe_compile变量。
将
enable_haproxy_memcached的默认值更改为no。自 Rocky 版本以来,haproxy 尚未通过 memcached 访问。依赖于 haproxy 进行 memcached 的其他软件的用户可能希望将其改回yes。
已放弃对 Python 2.7 的支持。Kolla Ansible 的 Python 2.7 的最后一个版本是 OpenStack Train。Kolla Ansible 现在支持的 Python 的最低版本是 Python 3.6。
生成
cinder.conf模板的默认行为已更改。当使用外部 Ceph 功能时(即,将cinder_backend_ceph设置为true),将生成一个rbd-1部分。以前,仅当使用 Kolla Ansible 内部 Ceph 部署机制时才包含它。
当
nova_backend设置为"rbd"时,现在会生成nova-compute的nova.conf的rbd部分。以前,仅当enable_ceph为"yes"且nova_backend设置为"rbd"时才生成它。
将
kolla_logsDocker 卷安装到 Elasticsearch 容器中,以公开先前错误地写入容器文件系统的日志。用户可以迁移任何现有日志(如果他们愿意),并且应在应用此修复之前进行此操作。 LP#1859162
已将
kolla_external_fqdn_cacert的默认值从:“{{ node_config }}/certificates/haproxy-ca.crt”更改为:“{{ node_config }}/certificates/ca/haproxy.crt”并且已将
kolla_external_fqdn_cacert的默认值从:“{{ node_config }}/certificates/haproxy-ca-internal.crt”更改为:“{{ node_config }}/certificates/ca/haproxy-internal.crt”这些变量设置了
admin-openrc.sh中OS_CACERT环境变量的值。这是为了允许在kolla_copy_ca_into_containers为 true 时将这些证书复制到容器中。
已将
kolla_external_fqdn_cacert和kolla_internal_fqdn_cacert替换为kolla_admin_openrc_cacert,默认情况下未设置。OS_CACERT现在设置为生成的admin-openrc.sh文件中kolla_admin_openrc_cacert的值。
Glance 部署现在使用多存储支持。如果您的服务配置覆盖中包含
glance-api.conf中的default_stores,则应将其删除并使用default_backend(如果需要)。
已移除
enable_cadf_notifications变量。CADF 是 keystone 中的默认通知格式。要启用 keystone 通知,用户现在可以将keystone_default_notifications_topic_enabled设置为yes或通过enable_ceilometer启用 Ceilometer。
已移除对已弃用的
enable_xtrabackup变量的支持,该变量在 Train (9.0.0) 版本中已被enable_mariabackup取代。
已移除对 Ceph 部署的支持,此前它在 Stein 中已被弃用。请使用外部工具部署 Ceph 并通过以下方式将其与 Kolla Ansible 部署的 OpenStack 集成:外部 Ceph 指南。
octavia 用户不再在 admin 项目中具有 admin 角色。Octavia 不需要此角色,而是使用在 service 项目中具有 admin 角色的 octavia 用户。在升级期间,octavia 用户将从 admin 项目中删除。
对于现有部署,这可能会导致问题,因此添加了一个
octavia_service_auth_project变量,可以将其设置为admin以恢复到以前的行为。要将现有部署从使用
admin项目切换到service项目,至少需要创建所需的安全组在service项目中,并将octavia_amp_secgroup_list更新为该组的 ID。理想情况下,Amphora flavor 和网络也应在service项目中重新创建,尽管这似乎对操作没有必要,并且会影响现有的 Amphorae。有关详细信息,请参阅 bug 1873176。
已移除与 ONOS 集成相关的 Neutron 配置的支持。
已移除对 OpenDaylight 控制器部署的支持以及与 OpenDaylight 集成相关的 Neutron 配置的支持。
Neutron Linux bridge 和 Open vSwitch 代理配置已分别拆分为
linuxbridge_agent.ini和openvswitch_agent.ini。请将自定义服务配置从ml2_conf.ini移动到这些文件中。
已移除 Monasca Log API。所有日志现在都转到启用了 Monasca 时的统一 Monasca API。任何自定义 Fluentd 配置和清单文件都需要更新。任何 monasca_log_api 容器都将被自动删除。
弃用说明¶
已弃用对使用 Hyper-V 集成的部署的支持。在 Victoria 中,这些支持将从 Kolla Ansible 中移除。
这是由于缺乏兴趣和维护造成的。
弃用 MongoDB 部署的支持。在 Victoria 版本中,Kolla Ansible 将移除 MongoDB 部署的支持。请注意,由于上游的决策,CentOS 8 已经停止支持 MongoDB。
这会影响 Panko,因为它将不再能够自动部署 MongoDB 数据库。但是,默认的 SQL 后端将通过 MariaDB 得到支持,并且未来也将继续得到支持。
MongoDB 在 OpenStack 环境中失去了地位,原因是其采用具有争议的自定义 SSPL(服务器端公共许可证)进行重新授权,该许可证未通过 OSI(开源倡议)的验证。
neutron-fwaas 项目在 Neutron 阶段已被弃用,并且将在 Wallaby 周期中从该阶段移除。从 Ussuri 版本开始,Neutron 和 Horizon 角色中对 neutron-fwaas 的支持已被弃用,并且将在 Wallaby 周期中移除。
弃用 VMware 集成部署的支持。在 Victoria 版本中,Kolla Ansible 将移除这些支持。
这是由于缺乏兴趣和维护造成的。
弃用 XenAPI 集成部署的支持。在 Victoria 版本中,Kolla Ansible 将移除这些支持。
这是由于缺乏兴趣和维护,以及 Nova 上游的弃用决定(出于相同的原因)所致。
请参阅 openstack-discuss 的帖子。以及 Nova 通知。
congress项目不再维护。自 Victoria 版本以来,它已被 退役,并且其他 OpenStack 服务也未曾使用它。
通过
ml2_conf.ini自定义 Neutron Linux 桥接和 Open vSwitch 代理的配置已被弃用。这些代理的配置已被拆分为linuxbridge_agent.ini和openvswitch_agent.ini。在本版本(Ussuri)中,自定义服务配置ml2_conf.ini的覆盖仍然在使用,但在 Victoria 版本中该功能将被移除。
安全问题¶
修复了 RabbitMQ 密码泄露到 Ansible 日志的问题。 LP#1865840
错误修复¶
修复了 cyborg conductor 无法与 placement 通信的问题。请参阅 bug 1873717。
修复了 cyborg agent 无法启动 privsep 守护进程的问题。为 cyborg agent 添加了特权能力。请参阅 bug 1873715。
在
enable_barbican设置为true时,向octavia.conf添加必要的region_name。 LP#1867926
向
Debian/Ubuntu容器添加/etc/timezone。 LP#1821592
修复了 Nova 实时迁移未使用
migration_interface_address的问题,即使未使用 TLS。当将实例迁移到新添加的计算主机时,如果寻址依赖于/etc/hosts并且尚未在源计算主机上更新以包含新的计算主机,则实时迁移将失败。这不会影响基于 DNS 的名称解析。类似地,如果 DNS//etc/hosts中的地址与用户自定义的migration_interface_address不相同,Nova 实时迁移将失败。 LP#1729566
修复了使用新的 E*K 堆栈(6+)的 Kibana 部署。 LP#1799689
重构了 Keystone fernet 引导,该引导在多节点设置中容易失败。请参阅 bug 1846789 以获取详细信息。
修复 prometheus-openstack-exporter 以使用 CA 证书。
将 Manila cephfs share 驱动程序更改为
manila.share.drivers.cephfs.driver.CephFSDriver,因为旧驱动程序已被弃用。
外部 Ceph:还将 cinder 密钥环复制到 nova-compute。由于 Train nova-compute 需要 cinder 密钥,以防将 rbd 用户设置为 Cinder,因为卷/池检查已移动到使用 rbd python 库。修复了 LP#1859408
修复 qemu 加载 ceph.conf(权限错误)。 LP#1861513
移除 Neutron 服务中的 /run 绑定挂载,导致 dbus 主机级别错误,并为 neutron-dhcp-agent 和 neutron-l3-agent 添加 /run/netns。 LP#1861792
修复了 fluentd 部署中,即使从
node_custom_config目录中移除,旧的 fluentd 配置文件在容器重启后仍然存在的问题。 LP#1862211
使用更宽松的正则表达式移除 /etc/hosts 中的冒犯性 127.0.1.1 行。 LP#1862739
每个 Prometheus mysqld 导出器现在指向其本地 mysqld 实例(MariaDB),而不是 VIP 地址。 LP#1863041
Cinder Backup 现在可以访问内核模块以加载例如 iscsi_tcp 模块。 LP#1863094
通过要求解析的唯一性来加强 RabbitMQ 主机名地址解析的预检查,以避免后续问题。 LP#1863363
修复
neutron-metadata-agent连接到 Nova 元数据服务的协议。这可能会影响内部 TLS 设置。修复了 LP#1864615
修复了 haproxy 角色,以避免在单个 Ansible 运行中多次重启 haproxy 服务。 LP#1864810 LP#1875228
修复了在使用 IPv6 部署 Grafana 时的问题。 LP#1866141
修复了 IPv6 环境中的 elasticsearch 部署。 LP#1866727
修复了由于引用了错误的变量而导致 telegraf 无法监控 zookeeper 的问题。 LP#1867179
修复了在未启用任何 OpenStack 服务的情况下部署 fluentd 的问题。 LP#1867953
修复了 glance.conf 中缺失的 glance_ca_certificates_file 变量。 LP#1869133
在 heat 中添加了客户端 ca_cert 文件 LP#1869137
添加了缺失的
vitrage-persistor服务,Vitrage 部署需要该服务来存储数据。 LP#1869319
修复了
designate-worker不使用etcd作为其协调后端,因为 Designate 不支持它(通过 tooz 没有可用的组成员资格支持)。 LP#1872205
修复了 Octavia 在内部签名(例如自签名)证书 TLS 部署中的问题,方法是在正确的配置位置提供 CA 证书文件的路径。 LP#1872404
修复了在使用“拆分”HAProxy 服务模板时,Horizon 基于源 IP 的负载均衡的问题。
修复了在使用“拆分”配置模板样式时,HAProxy 在其配置文件中没有后端服务器的问题。
通过
openstack_service_workers变量管理 nova 调度器工作进程。 LP#1873753
修复了 Grafana 数据源更新。 LP#1881890
如果启用了容器化的 chrony,则从 docker 主机中移除 chrony 包和 AppArmor 配置文件。 LP#1882513
添加了在某些 VMware 相关任务上缺失的“become: true”。修复了
复制 VMware vCenter CA 文件和复制 nsx.ini中的问题。
修复了使用 kolla_dev_mod 部署 nova 失败的问题。
移除 Swift 环的元字段,从默认 rsync_module 模板中移除。默认情况下拥有它,未记录,可能导致在 Swift 文档声明该字段未被处理时出现意外行为。
修复了默认 CloudKitty 配置,其中包含在 Stein 中已弃用并在 Train 中移除的
gnocchi_collector和keystone_fetcher选项。有关详细信息,请参阅 bug 1876985。
当使用
etcd作为cinder_coordination_backend和/或designate_coordination_backend时,配置已更改为使用etcd3gw(也称为etcd3+http)tooz协调驱动程序,而不是etcd3,因为后者可用性和稳定性存在问题。etcd3无法很好地处理基于 eventlet 的服务,例如 cinder 和 designate 的服务。有关详细信息,请参阅 bug 1852086 和 1854932。另请参阅 引入 etcd3gw 的 tooz 变更。
添加了配置,以便在为 Designate 使用 Infoblox 后端时,在 pools.yaml 文件中设置 also_notifies。
向主节点推送 DNS NOTIFY 数据包不会导致 DNS 更新传播到群集中的其他节点。这意味着需要向每个节点发送 DNS NOTIFY 数据包,否则如果用户查询任何工作节点,可能会收到陈旧的 DNS 记录。有关详细信息,请参阅 bug 1855085
修复了 Docker 客户端超时问题,其中 Docker 报告“读取超时”。客户端超时可以通过
docker_client_timeout进行配置。默认超时已增加到 120 秒。有关详细信息,请参阅 bug。
修复了 CentOS 7 上的 IPv6 部署。RabbitMQ 和 MariaDB 的问题已得到解决。有关详细信息,请参阅以下 Launchpad bug 记录:bug 1848444、bug 1848452、bug 1856532 和 bug 1856725。
修复了 Cinder 升级中导致在线模式迁移失败的问题。 LP#1880753
修复 cyborg api 容器无法加载 api paste 文件的问题。有关详细信息,请参阅 bug 1874028。
修复 elasticsearch 在 fluentd 中的模式,当
kolla_enable_tls_internal为 true 时。
修复了
fernet_token_expiry即使设置为有效值,也会导致预检查失败的问题。请参阅 bug 1856021 以获取更多详细信息。
修复了在使用
--limit或--serial进行扩展时,HAProxy 预检查出现的问题。 LP#1868986。
修复了当某些 HAProxy 实例正在运行而另一些实例未运行时,HAProxy 监视 VIP 预检查出现的问题。请参阅 bug 1866617。
kolla_logsDocker 卷现在已挂载到 Elasticsearch 容器中,以公开先前错误地写入容器文件系统中的日志。 LP#1859162
修复了 MariaDB 在多节点场景中的问题,这些问题会影响部署、重新配置、升级和 Galera 集群调整大小。它们通常表现为各种地方的 WSREP 问题,并且可能导致需要恢复 Galera 集群。请注意,这些问题是由于 Kolla Ansible 运行期间处理 MariaDB 的方式造成的,除非 Kolla Ansible 稍后接触到 MariaDB,否则不会影响 Galera 集群的正常操作。建议希望使用 Kolla Ansible 对其 Galera 集群执行操作的用户进行更新。有关详细信息,请参阅以下 Launchpad bug 记录:bug 1857908 和 bug 1859145。
修复了使用
--limit部署新计算主机时的 Nova 问题。 LP#1869371。
调整 Octavia 以适应最新的双 CA 证书配置。以下文件应存在于
/etc/kolla/config/octavia/中client.cert-and-key.pemclient_ca.cert.pemserver_ca.cert.pemserver_ca.key.pem
有关生成这些文件的详细信息,请参阅 Octavia 文档。
修复了 RabbitMQ 的一个问题,在部署 Nova 后,
openstack用户的标签会被移除。这会导致用户无法访问 RabbitMQ 管理 UI。 LP#1875786
修复了一个问题,镜像拉取失败可能导致容器被移除且无法替换。详情请参阅 bug 1852572。
由于 Openstack 服务现在可以配置为使用启用了 TLS 的 REST 端点,因此应使用 {{ internal_protocol }} 和 {{ external_protocol }} 配置参数构造 URL。
使用
kolla_internal_fqdn而不是kolla_internal_vip_address构造服务 REST API URL。否则,当证书使用域名颁发时,SSL 验证将失败。
修复了
kolla-ansible stop命令的一个问题,该命令在尝试停止不存在的容器时可能会失败。 LP#1868596。
修复了 Swift 卷在内核 4.19 及更高版本上挂载失败的问题,原因是 XFS 挂载选项中移除了 nobarrier。详情请参阅 bug 1800132。
修复了 fluentd 解析 Aodh、Masakari、Qinling、Vitrage 和 Zun 的 WSGI 日志的问题。详情请参阅 bug 1720371。
修复了 Ubuntu/Debian 二进制部署中 gnocchi-api 脚本名称的问题。 LP#1861688
修复了 glance_api 以特权模式运行,并添加了缺失的挂载点,以便它可以将 iscsi cinder 后端用作其存储。 LP#1855695
从 Rocky 升级到 Stein 时,HAProxy 配置从使用单个配置更改为为每个服务组装一个文件。将 HAProxy 标签应用于整个 playbook 确保在指定 HAProxy 标签时为所有服务生成 HAProxy 配置。有关详细信息,请参阅 bug 1855094。
修复了
ironic_ipxe容器提供实例镜像的问题。详情请参阅 bug 1856194。
修复了在未设置
openstack_cacert时 Kibana 部署的问题。详情请参阅 bug 1864180。
修复了 Monasca 部署中引用了无效变量 (
monasca_log_dir) 的问题。详情请参阅 bug 1864181。
修复了一个问题,即主机配置任务 (
sysctl、加载内核模块) 可能会在kolla-ansible genconfig命令期间执行。详情请参阅 bug 1860161。
修复了 Placement 服务端口预检查的问题。详情请参阅 bug 1861189。
修复了禁用 Alertmanager 时 Prometheus 配置的模板问题。在启用了 Prometheus 且禁用了 Alertmanager 的部署中,由于变量
prometheus_alert_rules不包含键files,因此在模板化时 Prometheus 的配置将失败。 LP#1854540
移除了默认 InfluxDB 配置中的
[http]/max-row-limit = 10000设置,该设置导致 CloudKitty v1 API 在使用 InfluxDB 作为存储后端时仅返回 10000 个数据帧。详情请参阅 bug 1862358。
Skydive 的 API 和 Web UI 现在依赖于 Keystone 进行身份验证。只有在 skydive_admin_tenant_name 定义的 Keystone 项目中的用户才能进行身份验证。有关更多详细信息,请参阅 LP#1870903 <https://launchpad.net/bugs/1870903>。
修复了一个问题,在 Kibana、Elasticsearch 和 Monasca 部署期间发起的 Elasticsearch API 请求可能具有无效的主体。详情请参阅 bug 1864177。
masakari-monitor现在将使用内部 API 来访问 masakari-api。 LP#1858431
将 octavia 与 barbican 服务通信的 endpoint_type 从 public 更改为 internal。详情请参阅 bug 1875618。
