Ocata 系列发布说明¶
0.10.0-37¶
升级说明¶
添加了 ‘sync_provisioning_status’ 选项,以启用将负载均衡器的配置状态与 neutron-lbaas 数据库同步。启用此选项将为每个 amphora 在每个心跳间隔内排队一个额外的消息。
安全问题¶
正确地要求双向证书认证才能连接到 amphora agent API (CVE-2019-17134)。
修复了 Amphora 证书的调试级别日志记录,用于诸如“octavia-create-amp-for-lb-subflow-octavia-generate-serverpem”(由负载均衡器故障转移触发)和“octavia-create-amp-for-lb-subflow-octavia-update-cert-expiration”之类的流程。
错误修复¶
解决了在高负载期间,neutron-lbaas 和 octavia 之间的配置状态可能不同步的问题。
0.10.0¶
序言¶
支持 RH Linux 版本的 Amphora 镜像。
扩展了对 Keystone API v3 的支持。
支持在前端 Octavia API 上使用 Keystone token 认证。
新特性¶
Octavia 中的 Policy.json 强制执行。* 启用对特定用户角色和 project_id 的特定 API 命令的权限验证。
为 Octavia API 添加了配额支持。
diskimage-create 脚本支持不同的操作系统版本,例如 Ubuntu(默认选项)、CentOS、Fedora 和 RHEL。为了确保所有镜像都能正常运行,对多个元素进行了调整。
amphora-agent 现在能够区分不同的操作系统,并选择正确的操作方案来管理每个 Linux 版本的文件和网络。
添加了对使用 systemd 的 amphora 镜像的支持。
添加了对 Ubuntu Xenial amphora 镜像的支持。
Octavia 支持不同的 Keystone API,并根据 octavia.conf 文件中 “keystone_authtoken” 部分指定的配置选择认证机制。
设置 “auth_strategy = keystone” 后,所有发送到 Octavia API 的请求都将使用 Keystone 进行验证,以确认它们是由经过身份验证的人发送的。默认情况下,该选项是禁用的,因为 Neutron LBaaS v2 无法正确支持该功能。
为 TERMINATED_HTTPS 监听器添加了对 PKCS7 PEM 或 DER 编码的中间证书捆绑包的支持。
已知问题¶
要在 amphora 镜像中使用 CentOS、Fedora 或 RHEL,必须将 user_group 选项(位于 octavia.conf 文件的 [haproxy_amphora] 部分)设置为 “haproxy”。这将在未来的版本中自动完成。
升级说明¶
agent_server_network_dir 现在可以自动检测 Ubuntu、CentOS、Fedora 和 RHEL,如果未在配置文件中指定。
从配置文件部分删除了 “keystone_authtoken_v3”,所有参数都存储在配置文件的 “keystone_authtoken” 部分。
此功能添加了新的配置值 “auth_strategy”,默认设置为 “noauth”。
删除了 [controller_worker] 中的重复配置选项 ‘cert_generator’。操作员现在应该在 [certificates] 下设置它。
弃用说明¶
“use_upstart” 配置选项现在已弃用,因为 amphora agent 现在可以自动发现 amphora 镜像中使用的 init 系统。
错误修复¶
解决了使用加密 TLS 私钥的问题。
