Xena 系列发布说明¶
24.6.0¶
其他说明¶
Erlang 将更新到版本 25.0.4,RabbitMQ 将升级到版本 3.9.28。 这也将统一 Debian Bullseye 的 RabbitMQ/Erlang 版本。
24.5.1¶
安全问题¶
此版本包含 Cinder、Nova 和 Glance 的 SHA 补丁,涵盖 OSSA-2023-002 漏洞 (CVE-2022-47951)。
24.5.0¶
新特性¶
添加了一个新的参数 octavia_provider_network_mtu,默认将 MTU 设置为 1500。 这对于允许巨型帧同时将管理网络设置为标准以太网 MTU 的部署非常重要。 MTU 可以在初始 octavia 部署期间或使用 openstack network set –mtu 命令行随时更改。
升级说明¶
添加了一个新的参数 octavia_provider_network_mtu,默认将 MTU 设置为 1500。 这对于允许巨型帧同时将管理网络设置为标准以太网 MTU 的部署非常重要。 MTU 可以在初始 octavia 部署期间或使用 openstack network set –mtu 命令行随时更改。
其他说明¶
默认 RabbitMQ 版本已升级到
3.9.21,erlang 版本升级到24.3.*
24.4.3¶
错误修复¶
MariaDB 版本默认升级到 10.6.9,修复了 mariaback 增量备份磁盘空间消耗问题 - 增量备份包含不需要的 binlog。
其他说明¶
默认 Erlang for RabbitMQ 版本已升级到
24.1.7
24.4.0¶
新特性¶
现在可以使用变量
neutron_vpnaas_custom_config定义具有自定义配置文件 Neutron VPN 即服务 (VPNaaS)。 部署者应在 ‘user_variables.yml’ 中定义neutron_vpnaas_custom_config。 示例neutron_vpnaas_custom_config: - src: "/etc/openstack_deploy/strongswan/strongswan.conf.template" dest: "{{ neutron_conf_dir }}/strongswan.conf.template" - src: "/etc/openstack_deploy/strongswan/strongswan.d" dest: "/etc/strongswan.d" - src: "/etc/openstack_deploy/{{ neutron_vpnaas_distro_packages }}/ipsec.conf.template" dest: "{{ neutron_conf_dir }}/ipsec.conf.template" - src: "/etc/openstack_deploy/{{ neutron_vpnaas_distro_packages }}/ipsec.secret.template" dest: "{{ neutron_conf_dir }}/ipsec.secret.template"
我们还应该在 ‘user_variables.yml’ 中定义
neutron_l3_agent_ini_overrides,以告知l3_agent使用新的配置文件。 示例neutron_l3_agent_ini_overrides: ipsec: enable_detailed_logging: True strongswan: strongswan_config_template : "{{ neutron_conf_dir }}/strongswan.conf.template" openswan: ipsec_config_template: "{{ neutron_conf_dir }}/ipsec.conf.template"
实现了变量
rally_openstack_git_repo和rally_openstack_git_install_branch,允许覆盖 rally-openstack 包的安装源以及控制包的安装版本。
升级说明¶
Erlang 版本已从
24.1-1更改为24.1.3-1。 根据部署时间,这可能是不同的次要版本。 这意味着您的 erlang 版本可能会被升级或降级。 在任何情况下,这都不应导致与 RabbitMQ 不兼容。
如果您在部署中定义了
haproxy_tuning_params,请确保在升级之前所有键都是有效的 haproxy 选项。 例如,不要使用chksize: 16384,而应使用tune.chksize: 16384。 否则将生成无效的配置,并且 haproxy 将无法启动。 不提供此更改的升级脚本,也不提供向后兼容性。
安全问题¶
MariaDB 已默认更新到版本 10.6.8。 这涵盖了以下 CVE
错误修复¶
通过调整将安装的版本,修复了 CentOS 8 Stream 中从 Cloudsmith 存储库安装 Erlang 的问题。
Erlang 版本现在在 Ubuntu/Debian 和 CentOS 8 Stream 之间同步。
默认情况下,我们增加了
tune.maxrewrite,否则在使用 CSP 标头时,其大小可能会超过允许的缓冲区。 部署者也可以根据需要覆盖此值。
其他说明¶
对可以传递到
haproxy_tuning_params的参数的限制已解除。 这意味着任何调整参数都可以以键/值格式传递。
rabbitmq 和 erlang 包的默认源已切换到 cloudsmith.io
24.3.0¶
新特性¶
实现了新的变量
galera_tmp_dir和galera_ignore_db_dirs,用于控制 tmp 目录的路径以及在列出数据库时应忽略哪些目录。
升级说明¶
如果您的数据库名为
#tmp,则应更改galera_tmp_dir路径并调整galera_ignore_db_dirs或重命名数据库。
错误修复¶
修复了 Horizon 界面中图像上传时出现的内容安全策略错误。
修复了 playbook 运行时提供标签时的 facts 收集问题。
24.2.0¶
新特性¶
引入了新的变量
cinder_volume_usage_audit_send_actions_enabled,允许部署者禁用 cinder-volume-usage-audit 服务单元中的 send actions 选项。 为了获得尽可能小的占用空间,默认值为 true,以不更改现有部署中 cinder-volume-usage-audit 的行为。
添加了变量
rabbitmq_manage_hosts_entries,用于控制 rabbitmq_server 角色是否会尝试调整 /etc/hosts 文件
错误修复¶
修复了可能影响使用 oslo.messaging RabbitMQ 心跳机制的服务的文件描述符泄漏。
修复了可能影响使用 oslo.messaging RabbitMQ 心跳机制的服务的文件描述符泄漏。
修复了可能影响使用 oslo.messaging RabbitMQ 心跳机制的服务的文件描述符泄漏。
当 OSA 已经管理 hosts 文件时,rabbitmq 角色不会在 /etc/hosts 文件中重复记录。
24.0.1¶
已知问题¶
在 Xena 版本中,默认启用 VNC 的 TLS,对于现有部署,这将阻止对现有虚拟机的控制台访问,因为此配置更改不适用于现有虚拟机。 在配置更改后创建的虚拟机不受影响。
虚拟机将正常运行,但您无法通过控制台访问它们。 有三种可能的解决方案可以为现有虚拟机启用控制台访问;禁用 VNC 的 TLS,重新启动虚拟机或实时迁移虚拟机。
可以通过在
/etc/openstack_deploy/user_variables.yml文件中将nova_qemu_vnc_tls变量设置为0来禁用 VNC 的 TLS。
24.0.0¶
新特性¶
启用从 noVNC 代理到计算节点的 VeNCrypt 身份验证方案。 使用 HTTPS 时,TLS 加密仅适用于租户用户和代理服务器之间的数据。 为了提供从 noVNC 代理到计算节点的保护,有必要为 VNC 启用 VeNCrypt 身份验证方案。
需要预先存在的 PKI(公钥基础设施)设置。
最初,为了帮助从未加密 VNC 到 VeNCrypt 的过渡,计算节点身份验证方案允许使用变量 nova_vencrypt_auth_scheme 同时使用加密和未加密会话,这将在未来的版本中删除。
已添加 UEFI 启动支持。 要从 Legacy BIOS 模式迁移,请为支持 UEFI 的裸机节点定义 boot_mode:uefi 作为功能。 此外,需要创建或修改相应的 flavor,以包含 boot_mode:uefi 作为功能,以便将调度安排到 UEFI 节点。
Ceph-ansible 已切换到版本 6.0,默认使用 Ceph Pacific。
实现了新的变量
connection_recycle_time,负责 SQLAlchemy 的连接回收
Galera 角色现在利用 PKI 角色来创建和分发证书和证书颁发机构。 这引入了许多控制 CA 和证书生成细节的新变量。 如果提供用户 SSL 证书,则将使用它们而不是生成的证书。
引入了以下新变量
galera_ssl_verify
galera_pki_dir
galera_pki_create_ca
galera_pki_regen_ca
galera_pki_certificates
galera_pki_regen_cert
galera_pki_authorities
galera_pki_install_ca
galera_pki_keys_path
galera_pki_certs_path
galera_pki_intermediate_cert_name
galera_pki_intermediate_cert_path
galera_pki_install_certificates
MariaDB 现在默认使用 TLS 加密。 证书将由内部 CA 使用 PKI 角色颁发和签名。 部署者可以通过在他们的 user_variables.yml 中设置
galera_use_ssl: false来禁用加密 MariaDB 连接。 客户端证书仍然可以提供,并且它们也将使用 PKI 角色分发。
添加了变量 horizon_policy_overrides,允许自定义 horizon 特定的策略。 由于我们不想携带和维护 horizon 策略与 OSA,它们是从 horizon 主机检索并就地调整的,这意味着如果您只是删除覆盖,它们将不会回滚。 horizon_policy_overrides 也有非标准格式,因为它是一个嵌套字典,其中第一级键表示需要覆盖策略的服务,其值为正常的策略覆盖格式。
已实现 networking-baremetal 机制驱动程序和代理。 ironic-neutron-agent 是一个 neutron 代理,它填充主机到物理网络映射,用于 neutron 中的裸机节点。 Neutron 使用此信息来计算分段到主机映射信息。 可以通过将
ml2.baremetal添加到neutron_plugin_types列表中的/etc/openstack_deploy/user_variables.yml中来启用此功能。
已更新
provider_networks库,以支持可以自动添加到 DPDK 基于部署期间设置的 OVS 提供程序桥接的绑定成员接口的定义。 此功能当前仅限于基于 DPDK 的部署。 要激活此功能,请将network_bond_interfaces键添加到openstack_user_config.yml中相应的提供程序网络定义中。 有关更多信息,请参阅最新的 Open vSwitch 与 DPDK 部署指南。
添加了变量
systemd_run_dir和systemd_lock_dir,允许控制将由 systemd 服务使用的目录的运行和锁定路径。 变量不应包含服务名称,因为默认情况下会在提供的路径的末尾添加它。 这些变量也可以定义在systemd_services内部,这将优先于默认行为。
systemd 服务的默认运行路径已更改为
/run,锁定路径更改为/run/lock。
Nova 现在默认使用“QEMU 原生 TLS”功能进行实时迁移,而不是弃用的 SSH 方法。 需要预先存在的 PKI(公钥基础设施)设置。
QEMU 原生 TLS 要求所有计算主机接受端口 16514 和端口范围 49152 到 49261 上的 TCP 连接。
更多信息可以在这里找到:https://docs.openstack.org/nova/2025.2/admin/secure-live-migration-with-qemu-native-tls.html
已知问题¶
有一个 已知问题 与升级到 Ceph Pacific 版本 16.2.7 之前。 请确保在执行 Ceph 升级之前已发布 16.2.7 或更高版本。 否则,在您的 user_variables.yml 中覆盖
ceph_stable_release: octopus
升级说明¶
我们更改了与数据库连接池相关的变量的默认值。 对于某些服务(例如 nova),默认池大小将大大降低,我们还将默认 connection_recycle_time 降低到 10 分钟。 这不应引起任何问题,但我们建议仔细检查这些值,尤其是对于大型环境。
弃用说明¶
为了保持一致性,
octavia_db_pool_size已被弃用,转而使用octavia_db_max_pool_size,后者采用其他存储库中使用的标准化格式。octavia_db_pool_size支持将在 Yoga 版本中删除。
为了保持一致性,
neutron_db_pool_size已被弃用,转而使用neutron_db_max_pool_size,后者采用其他存储库中使用的标准化格式。 但是,它将在 Yoga 版本中得到支持。
为了保持一致性,以下变量已被弃用,转而使用其他存储库中使用的标准化格式的新变量。
keystone_database_pool_timeout->keystone_db_pool_timeoutkeystone_database_max_pool_size->keystone_db_max_pool_sizekeystone_database_idle_timeout->keystone_db_connection_recycle_time但是,它们将在下一个 Yoga 版本中得到支持。
keystone_database_min_pool_size已被弃用,因为它在 oslo.db 中已弃用
与 OVN 相关的 HAProxy 配置已被弃用,并已替换为内置的集群功能。 OVN 相关的端点将在 Z 版本中完全删除。
变量
systemd_lock_path已删除,现在无效。 为了自定义锁定目录路径,请使用systemd_lock_dir。 请记住,对于systemd_lock_dir,您不需要提供完整的路径,就像使用systemd_lock_path一样,因为服务名称会自动添加到路径的末尾。
随着上游 Panko 项目的退役,os_panko 角色已被弃用。Panko 服务 API 端点将在升级期间移除。如果您希望保留 Panko API 的工作状态,您应该覆盖 haproxy_panko_api_service。
以下变量已被 PKI 变量移除,不再生效:
galera_ssl_self_signed_regen
galera_ssl_self_signed_subject
galera_ssl_ca_self_signed_subject
我们移除了 Keystone 的多 Web 服务器支持,仅保留了 Apache,因为 nginx 缺少联合设置所需的特性。 此次更改导致以下变量被弃用且不再生效:
keystone_web_server
keystone_centos_nginx_mirror
keystone_centos_nginx_key
keystone_nginx_access_log_format_combined
keystone_nginx_access_log_format_extras
keystone_nginx_ports
keystone_nginx_extra_conf
在升级期间,Nginx Web 服务器将被移除并替换为 Apache。
变量
nova_enabled_vgpu_types已被弃用,并被nova_enabled_mdev_types替换。
安全问题¶
以下安全标头已添加到 haproxy Horizon 服务:strict-transport-security,x-content-type-options,referrer-policy 和 content-security-policy。在部署 strict-transport-security 标头时应小心,因为此标头实现了首次使用安全机制,这意味着浏览器首次访问页面后,将强制使用 HTTPS,直到最大年龄时间到期。目前,指示您愿意将您的站点包含在浏览器内置的 HSTS 预加载列表中的 strict-transport-security preload 令牌已被排除。可以通过设置 haproxy_security_headers: [] 来禁用标头,并且可以通过设置 haproxy_horizon_csp 来覆盖 Horizon 的 CSP(内容安全策略),以支持联合登录等功能。未来可以将扩展到所有 haproxy 服务,但由于标头仅由浏览器使用,因此除了 Keystone 和控制台服务之外,扩展到其他服务可能收益有限。
错误修复¶
修复了
haproxy_frontend_raw键命名在文档和 service 模板之间不一致的问题。 之前,模板生成期望的是haproxy_raw而不是haproxy_frontend_raw。
对于将 Keystone 作为基于 OIDC 的服务提供商的部署者,OIDCScope 设置的拼写已得到修复。请使用
keystone_sp.trusted_idp_list.0.oidc_scope代替keystone_sp.trusted_idp_list.0.idc_scope。
此版本解决了在从一个操作系统升级到另一个操作系统时,wheels 可能会构建失败的问题。 建议在尝试操作系统升级之前升级到此版本。
其他说明¶
为
galera_wait_timeout设置了一个新的默认值,该值继承自全局openstack_db_connection_recycle_time。
为数据库连接池变量设置了新的默认值,这些值继承自全局变量。
