Zed 系列发布说明

15.6.0-9

错误修复

  • 修复了一个错误,当启用 Nova 中的 TPM 支持时,由于缺少 swtpm 和 swtpm-tools deb 包,导致 ‘nova-compute’ 容器无法启动。 LP#2062572

  • 像 Keystone 这样的 Apache 服务现在以正确的 Unicode 区域设置启动。 在 Ubuntu 上启用 LDAP 驱动程序和 DEBUG 时,Apache 下的 Keystone 会出现 UnicodeEncodeError。 LP#2076453

  • 修复了一个错误,即 rsync RPM 包缺失在 swift-base 容器中。 有关详细信息,请参阅 bug 2062072

15.4.0

错误修复

  • Nova API 容器扩展启动脚本已更新,仅同步本地 Nova cell。 这解决了 Nova 数据库密码更改时会发生错误的问题。 有关详细信息,请参阅 此错误报告

15.3.0

错误修复

  • 修复了 kolla-toolbox 无法离线构建的问题。 LP#2020761

  • 将缺失的 grafana-opensearch-datasource 插件添加到 docker 镜像中的插件列表中。

  • 修复了容器重启条件,使其能够容忍缺失的可选源文件和/或目标文件。有关详细信息,请参阅以下 错误报告

15.1.0

错误修复

  • 修复了一个问题,即 kolla_ensure_openvswitch_configured 脚本在 openvswitch-db-server 镜像中会忽略在配置桥接和端口时遇到的错误。 LP#1999778

15.0.0

序言

  • Zed 中已移除对二进制镜像的支持。要求用户迁移到基于源代码的镜像。

  • 现在支持 Rocky Linux 9 作为基础容器镜像。

新特性

  • Alertmanager 版本已更新至 0.24.0。

  • 为 Nova 添加了 TPM 模拟支持(通过“swtpm”)。

  • 添加了 OpenSearch 和 OpenSearch Dashboards 镜像。

  • 将 OpenStack Prometheus 导出器更新至 版本 1.6.0

  • 添加了 prometheus-ovn-exporter 镜像。

  • 现在可以使用 `--quiet` 参数启用静默模式,并将其与 `--logs-dir` 选项结合使用。控制台输出将保持静默,而构建输出将存储在单独的日志文件中。

  • 添加了一个 --repos-yaml 参数,允许用户提供包含外部软件包仓库定义的自定义文件。对于在具有一组内部镜像的离线环境中构建的用户来说非常有用。

升级说明

  • 如果使用来自 git 仓库的 kolla 构建镜像,则将 kolla_version 标签更改为 git sha-1 哈希值。

  • 为了修复 CVE-2022-38060,已移除 kolla 构建容器中 KOLLA_CONFIG 和 KOLLA_CONFIG_FILE 环境变量的支持。现在,将仅使用 /var/lib/kolla/config_files/config.json 的单个受信任路径来加载容器配置。我们认为这是一个合理的权衡,因为这些环境变量未被任何已知的下游用户使用,并且潜在的用户可以轻松适应,因为这不会限制功能本身,只是限制了配置的来源。

  • Prometheus 服务已更新至以下版本

    • blackbox_exporter -> 0.22.0

    • elasticsearch_exporter -> 1.5.0

    • haproxy_exporter -> 0.13.0

    • memcached_exporter_version -> 0.10.0

    • mysqld_exporter -> 0.14.0

    • node_exporter -> 1.4.0

    • prometheus -> 2.38.0

    • prometheus_cadvisor -> 0.45.0

    • prometheus_libvirt_exporter -> 2.3.2

    • prometheus_msteams -> 1.5.1

    • prometheus_mtail -> v3.0.0-rc50

  • 默认基础分发版已从 CentOS Stream 更改为 Rocky Linux。

  • 移除了 monascakafkastormzookeeper 的镜像,因为在 Zed 版本中 Kolla-Ansible 中已停止对它们的支持。Prometheus + Grafana + Fluentd + OpenSearch 仍然是 Kolla 中的主要监控、日志记录和告警堆栈。

  • elasticsearchkibanalogstash 镜像已被移除。Zed 版本带来了对 opensearchopensearch-dashboards 的支持,但没有 logstash 的等效替代品。

  • 已停止对 Python 3.6 和 3.7 的支持。现在支持的 Python 最低版本是 Python 3.8。

  • 已移除 qdrouterd 镜像。

  • 现在 etcd 是从发布到 github 的上游二进制文件安装的,而不是通过操作系统包管理器。这使所有分发版上的 etcd 版本保持一致,以确保兼容性。

  • Kolla Build 不再将基础(分发版)名称前缀添加到镜像名称中。相反,用户可以通过 image_name_prefix 设置选择他们想要的任何前缀。

  • 更新的 OpenStack Prometheus 导出器默认使用最新的 Nova API 微版本,从而导致现有指标发生变化。要保持现有行为,请将 prometheus_openstack_exporter_compute_api_version 设置为 2.1

  • RabbitMQ 版本已更新至 3.10(以及 Erlang 更新至 25)。

  • Debian 和 Ubuntu 镜像现在使用来自 cloudsmith 的 rabbitmq 和来自 Team RabbitMQ PPA 的 erlang,以便镜像仍然可以构建并使用正确的版本。

  • kolla-toolbox 容器中的 Ansible 已升级至 2.13 版本。

弃用说明

  • hacluster-pcs 镜像已被弃用,将在 Antelope 版本中移除。

  • install_type 参数的使用现已弃用。我们不再支持其他值,除了 source,因此已移除参数处理。请更新您的脚本,因为它将在 Antelope 周期中移除。

安全问题

  • 修复了一个与 rootwrap/privsep 相关的潜在安全问题。潜在的易受攻击的服务先前可能允许写入其 rootwrap/privsep 配置,从而允许通过 rootwrap/privsep 运行更多命令,从而获得 root 权限。要成功攻击,该服务还必须允许通过 rootwrap/privsep 运行任意命令。到目前为止,尚未报告此类漏洞,因此此修复只是为了加强容器镜像,以防止将来出现此类问题。 LP#1874298

  • 修复了 CVE-2022-38060,一个 sudo 权限提升漏洞。 LP#1985784

错误修复

  • apt-get update 命令默认情况下不会在错误的源仓库上失败,它会显示警告“W: Some index files failed to download. They have been ignored, or old ones used instead.”并继续工作。这导致一些容器(例如 rabbitmq、kolla-toolbox)成功构建,但使其不一致,因为官方 Ubuntu 仓库包含具有相同名称的软件包。现在我们使用 apt-get -eany update 命令来在这些情况下停止构建并显示错误。

  • 修复了 CentOS 构建的 Skydive 启动时的 SEGV。Skydive 0.28.0 之前的版本在较新的 libc 版本上会崩溃。这尤其影响 CentOS 8。 LP#1940862

  • 修复了一个构建使用 typegit 的源的镜像的问题,当使用包含 CVE-2022-24765 (2.35.2 或更高版本) 修复的 git 时。默认情况下,这包括 gnocchi-base 镜像,但可能包括使用非默认配置的其他镜像。 LP#837710

  • 修复了 Debian 和 Ubuntu 镜像,使其使用来自 cloudsmith 的 rabbitmq 和来自 Team RabbitMQ PPA 的 erlang,以便镜像仍然可以构建并使用正确的版本。

  • 修复了通过 Kolla Ansible 部署 Swift 时由于修复 CVE-2022-38060 引起的问题。kolla-toolbox 容器现在有自己的 sudoers secure_path 配置,允许必要的二进制文件执行。

其他说明

  • 在 curlrc 中添加了“--retry 5”,以提高镜像构建期间 curl 下载的可靠性。