第3章 リリースの情報

今回の更新で、Dashboard にユーザーの詳細情報のページが新たに追加され、アクションログのユーザー ID をクリックするとそのユーザーの詳細情報のページを開くことができるようになりました。

今回の更新で、Dashboard にユーザーの詳細情報のページが新たに追加され、アクションログのユーザー ID をクリックするとそのユーザーの詳細情報のページを開くことができるようになりました。

Time Series Database as a Service (gnocchi) および Aodh API のエンドポイントは、REST API 上で「/healthcheck」HTTP エンドポイントを公開するようになりました。このエンドポイントを要求すると、サービスのステータスを確認することが可能で、これには認証は必要ありません。

director で自動フェンシング設定を使用して、より簡単に高可用性のデプロイメントとアップグレードを実行できるようになりました。この新機能を活用するには、「overcloud generate fencing」コマンドを使用してください。

管理者はボリュームの譲渡操作時にユーザー認証情報を記録する必要がありますが、それを手動で行うのは煩わしい作業です。

今回の更新により、認証情報をダウンロードするための新たなボタンがボリュームの譲渡の画面に追加され、情報を簡単に保存できるようになりました。これにより、管理者はボタンをクリックして、情報をダウンロードして CSV ファイルを自分のローカルマシンに保存することができます。

今回の機能拡張で、サーバーによって停止中と検出された LBaaS エージェントのロードバランサーを自動的に再スケジュールする機能が追加されました。以前は、ロードバランサーをスケジュールして、複数の LBaaS エージェントで実行することができましたが、ハイパーバイザーが停止した場合には、そのノードに対してスケジュールされていたロードバランサーは、操作を停止していました。
今回の更新では、これらのロードバランサーは別のエージェントに自動的に再スケジュールされるようになりました。この機能は、デフォルトで無効になっており、「allow_automatic_lbaas_agent_failover」を使用して管理されます。

今回の機能拡張により、「HaproxyNSDriver」クラス (v2) に「ProcessMonitor」クラスが実装されました。このクラスは、必要に応じて「external_process」モジュールを活用して HAProxy プロセスを監視/再起動します。LBaaS エージェント (v2) は「external_process」関連のオプションを読み込み、HAProxy が予期せず停止した場合には、設定済みのアクションを実行します。

今回の更新により、バージョン 5.1.0 MapR プラグインがサポートされるようになりました。

ディスクはさまざまな状態にある可能性があります。このため、director はディスクを Ceph OSD にしようとして失敗する場合があります。以前のリリースでは、ユーザーが first-boot スクリプトを実行してディスクを消去し、Ceph に必要とされる GPT ラベルを設定することが可能でした。今回のリリースでは、Ironic の新たなデフォルト設定により、ノードが利用可能な状態に設定されるとディスクが消去され、また puppet-ceph の変更により、GPT ラベルが付いていないディスクには、そのラベルが付けられるようになりました。

今回の更新により、CephFS ネイティブドライバーは OpenStack File Share Service (manila) のコアインフラストラクチャーと共に機能が拡張されました。CephFS ネイティブドライバーは読み取り専用のファイル共有をサポートするようになりました。また、「access_list」には含まれていないバックエンドルールを削除することにより、リカバリーモードが向上されました。

nova-api ワーカーにおけるメモリーの肥大化問題を防ぐために、simple-tenant-usage API 拡張機能にページネーションロジックが追加されました。

今回の機能拡張では、パブリックのファイル共有の作成を Dashboard で無効にできるようになりました。
作成処理中にファイル共有をパブリックにマークするチェックボックスを表示しないように Dashboard を設定することができます。デフォルトのオプションでは、このボックスにチェックマークはなしでプライベートのファイル共有が作成されます。

今回の機能拡張により、「glance-manage db purge」は、1 日未満の行を削除できるようになりました。この機能は、オペレーターがこの操作を定期的に実行する必要があるため追加されました。
その結果、「age_in_days」のオプションを「0」に設定することができるようになりました。

今回のリリースでは、CephFS のデプロイに必要な puppet モジュールが提供されるようになりました。これにより、director で、CephFS バックエンドを使用する OpenStack Shared File Systems サービス (openstack-manila) をデプロイすることができます。

今回の機能拡張により、Time Series Database as a Service (gnocchi) をアンダークラウドで使用できるようになりました。Gnocchi は OpenStack Telemetry 用のメトリックバックエンドを提供します。デフォルトで「enable_telemetry」フラグが「true」に設定され、有効化されています。「undercloud.conf」で「enable_telemetry=false」に設定すると、全 Telemetry サービスを無効にすることができます。

今回のリリースでは、多数のインスタンスがあるシステムに対して使用状況の統計を要求してリソースが大量に消費されるのを回避するために、ページネーションのサポートが追加されました。nova API simple-tenant-usage エンドポイントの v2.40 マイクロバージョンでは、新しいオプションのクエリーパラメーター「limit」と「marker」がページネーションに使用されます。「marker」オプションは開始点を設定し、「limit」オプションは開始点よりも後に表示されるレコード数を設定します。「limit」が設定されていない場合には、nova は設定可能な「max_limit」 (デフォルト値は 1000) を使用します。古いマイクロバージョンはこれらの新しいクエリーパラメーターを受け入れませんが、max_limit の適用を開始するので、結果が切り捨てられる場合があります。DoS ライクな使用状況の統計要求を回避して、応答が切り捨てられないようにするには、新しいマイクロバージョンを使用することを検討してください。

今回の更新で、パブリックおよび内部のネットワークに異なるドメイン名を使用できるようになりました。ネットワークごとにドメイン名を設定するには、以下の Heat テンプレートパラメーターを使用します。

* CloudName: そのクラウドの DNS 名。例:
      'ci-overcloud.tripleo.org'
* CloudNameInternal: そのクラウドの内部 API エンドポイントの DNS 名。例:
      'ci-overcloud.internalapi.tripleo.org'
* CloudNameStorage: そのクラウドのストレージエンドポイントの DNS 名。例:
      'ci-overcloud.storage.tripleo.org'
* CloudNameStorageManagement: そのクラウドのストレージ管理エンドポイントの DNS 名。例:
      'ci-overcloud.storagemgmt.tripleo.org'
* CloudNameCtlplane: そのクラウドのコントロールプレーンエンドポイントの DNS 名。例:
      'ci-overcloud.management.tripleo.org'

今回の更新で、ユーザーインターフェースが一部国際化され、日本語と簡体字中国語で利用できるようになりました。 現段階ではインターフェース自体のみが国際化されている点に注意してください。TripleO Heat テンプレート、検証、通知用に他のサービスから提供されるパラメーター、テンプレート、環境の文字列はまだ国際化されていません。

最近実装された director の機能拡張には、ネットワークインターフェース設定用テンプレートを変更する必要があります。NIC 設定テンプレートは「os-net-config utility」を呼び出すスクリプトを使用してオーバークラウドノード上のネットワークを設定します。NIC 設定テンプレートには 3 つの大きな変更点があります。

* 「OsNetConfigImpl」リソースが「OS::Heat::StructuredConfig」リソースタイプから 「OS::Heat::SoftwareConfig」に変わりました。また、このリソースは「network_config」プロパティーをテキストの Blob として保管し、 「str_replace」(文字列置き換え) の関数を使用してその Blob を「run-os-net-config.sh」スクリプトに渡します。以下に例を示します。

----
resources:
  OsNetConfigImpl:
    type: OS::Heat::SoftwareConfig
    properties:
      group: script
      config:
        str_replace:
          template:
            get_file: ../../scripts/run-os-net-config.sh
          params:
            $network_config:
              network_config:
----

* {get_input: <input>} コンストラクターはデフォルトの外部ブリッジとインターフェースを定義していましたが、現在はその代わりに 2 つの特別な文字列の値で外部ブリッジとインターフェースが定義されるようになりました。この値は、それぞれ「bridge_name」と「interface_name」です。「{get_input: bridge_name}」または 「{get_input: interface_name}」を使用する代わりに「bridge_name」または 「interface_name」を使用します。以下に例を示します。

----
              - type: ovs_bridge
                name: {get_input: bridge_name}
----
これは、以下のように変更されます。
----
              - type: ovs_bridge
                name: bridge_name
----

* 「network_config」には中かっこを使用しないようになりました。その代わりに {get_param: <param>} コンストラクトは定義する値の下のサブレベルに移動します。以下に例を示します。
----
                dns_servers: {get_param: DnsServers}
----
これは、以下のように変更されます。
----
                dns_servers:
                  get_param: DnsServers
----

詳しくは、『Advanced Overcloud Customizations』ガイドの「Network Isolation」の章を参照してください。

今回の更新により、Wake-On-LAN および AMT ドライバーが Ironic から削除されました。これらのドライバーはサードパーティーの CI を提供していない、または提供する予定がないのが理由です。これらのドライバーは、ironic-staging-drivers リポジトリーにあるサポート対象外の Ironic ドライバーコレクションでまだ提供されています。Ironic のインストールがこれらをベースとするいずれかのドライバーを使用する場合には、ironic-staging-drivers をインストールし、以下の一覧に従って、影響を受けるノードでドライバーを変更する必要があります。

agent_amt -> pxe_amt_agent
pxe_amt -> pxe_amt_iscsi
agent_wol -> pxe_wol_agent
pxe_wol -> pxe_wol_iscsi

DPDK を有効にしたインスタンスの起動に関する SELinux ポリシーは完全ではないため、SELinux が enforcing モードの場合には DPDK を使用するインスタンスの起動は失敗して、openvswitch および svirt に関する AVC 拒否が /var/log/audit/audit.log* に表示されます。

回避策として、 以下のリンク先のセクション 4.4.1.2 に記載されているように、DPDK を使用する各コンピュートノードで SELinux を permissive に設定します。

https://access.redhat.com/documentation/ja-jp/red_hat_enterprise_linux/7/html/selinux_users_and_administrators_guide/sect-security-enhanced_linux-working_with_selinux-changing_selinux_modes

これにより、DPDK を有効化した仮想マシンを起動することができます。これは回避策で、この問題を詳しく調査している間の一時的な対策となる見込みです。

問題の詳細:
OSP10 (OvS2.5) では、以下の問題があります。
1) tuned は誤った CPU セットで設定されています。想定されている設定は NeutronDpdkCoreList + NovaVcpuPinSet ですが、HostCpusList として設定されています。
2) post-config では、DPDK_OPTIONS の -l は 0 として設定され、NeutronDpdkdCoreList は pmd-cpu-mask として設定されます。

更新後に必要な手動の修正
1) tuned の設定ファイルに CPU の一覧が分離されるように NeutronDpdkCoreList + NovaVcpuPinSet で追加します。

TUNED_CORES="<list of CPUs"
sed -i 's/^isolated_cores=.*/isolated_cores=$TUNED_CORES/' $tuned_conf_path
tuned-adm profile cpu-partitioning

2) 更新後に lcore マスクは 0 に設定されます。first-boot スクリプトの get_mask コードで CPU マスクを取得します。
LCORE_MASK="<mask value output of get_mask"
ovs-vsctl --no-wait set Open_vSwitch . other-config:dpdk-lcore-mask=$LCORE_MASK

セキュリティー上の理由により、オーバークラウドではデフォルトで SSH キーベースのアクセスのみが許可されています。virt-customize ツールを使用すると、オーバークラウドのディスクイメージで root パスワードを設定することができます。このツールは、Red Hat Enterprise Linux Extras チャンネルで提供しています。ツールをインストールし、オーバークラウドのイメージをダウンロードした後には、以下のコマンドを実行して root パスワードを変更します。

$ virt-customize -a overcloud-full.qcow2 --root-password password:<my_root_password>

この操作は、「openstack overcloud image upload」コマンドで glance にイメージをアップロードする前に実行してください。

番号付きの NIC の抽象化 (nic1、nic2 など) に数えられるのは、スイッチポートへの有効な接続がある NIC のみです。回避策として、director には各ノードから全インターフェース上の最初のコントローラーを ping するスクリプトが含まれています。デプロイメント時に接続されていないリンクがあるノードの場合には検出されるので、修正することが可能です。もうひとつの可能な回避策としては、各ホストに NIC 番号から物理 NIC へのマッピングが記載されたマッピングファイルを使用する方法です。1 つまたは複数のオーバークラウドノードで　リンクが停止しているため正しく設定を行わない場合には、検出されるようになり、オーバークラウドは再度デプロイすることが可能です。

1 つのノードで複数のネットワークインターフェースがプロビジョニングネットワークに接続されると、検出が失敗します。プロビジョニングネットワークには、1 つのインターフェースしか接続することはできません。このインターフェースはボンディングには使用できません。

フェンシングデバイスとホストデバイスの名前が同じ場合には、Pacemaker は連続的にクラッシュします。この問題を回避するには、「fence-」のプレフィックスをフェンシングデバイスに追加してください。名前をこのように設定した場合には、クラスターはエラーなしで機能します。

ノードのデプロイ中に「openstack stack delete」コマンドを入力すると、デプロイ中の状態のままとなって削除できなくなる可能性があります。そのような状態になると、その領域は削除されていないノードによってブロックされるので、新規ノードをデプロイすることができなくなります。このような状況を回避するには、全ノードが完全にデプロイされるまで待ってから「openstack stack delete」コマンドを入力してください。また、「nova delete <node>」コマンドでノードを手動で削除することができます。

「openstack overcloud stack update」コマンドの起動には時間かかります。このコマンドが機能していることが分かるまでに数分かかる場合があります。これは正常な動作です。

neutron-openvswitch-agent でセキュリティーグループのトランク機能を実装するには、openvswitch のファイアウォールドライバーが必要です。このドライバーには現在 BZ# 1444368 のバグがあり、同じコンピュートノード上にある異なるネットワークセグメントで同じ MAC アドレスのポートが 2 つある場合には、受信トラフィックが間違って照合されます。

このため、サブポートが親ポートと同じ MAC アドレスの場合には、受信トラフィックは一方のポートには正しく照合されません。

トラフィックを正しく処理するための回避策として、親ポートとサブポートでポートセキュリティーを無効にします。

たとえば、UUID 12345 のポートのポートセキュリティーを無効にするには、そのポートに関連付けられたセキュリティーグループを削除する必要があります。
 openstack port set --no-security-group --disable-port-security 12345

そのポートにはセキュリティーグループのルールは一切適用されず、トラフィックのフィルタリングおよび ip/mac/arp スプーフィングに対する保護は適用されない点に注意してください。

Puppet と MongoDB サービスの間で競合状態が発生する場合があります。その結果、MongoDB データベースを実行しているノードのスケールアウトは失敗し、オーバークラウドスタックは更新されません。同じデプロイメントコマンドを再度実行すると、MongoDB ノードは正常にスケールアウトされます。

現在、Red Hat OpenStack Platform director 10 で SRIOV を有効にしている場合には、compute.yaml file で NIC ID (例: nic1、nic2、nic3 など) を使用するとオーバークラウドデプロイメントが失敗します。

デプロイメントが正常に完了するようにするには、回避策として、NIC ID の代わりに NIC の名前 (例: ens1f0、ens1f1、ens2f0 など) を使用する必要があります。

OVS のアップグレードやネットワークサービスの再起動などの特定の状況では、OVS ブリッジが解除され、再構築されていました。そのような状態になると、既存のネットワークフローが中断され、ネットワークトラフィックはフローが再構築されるまで転送を停止していました。複雑なデプロイメントの場合には、多少時間がかかる可能性がありました。

ダウンタイムが発生しないようにするには、コントロールプレーンのネットワークを OVS ブリッジ上に配置すべきではありません。その代わりに、コントロールプレーン (プロビジョニング)、内部 API、およびストレージ管理のネットワークは、ブリッジ上にはない専用のインターフェースまたは VLAN インターフェースに配置すべきです。たとえば、1 つのインターフェースまたはボンディングにはコントロールプレーンの VLAN を割り当てる一方で、もう 1 つのインターフェースまたはボンディングはテナントネットワークデータ用の OVS ブリッジ上に配置することができます。

コントロールプレーンのインターフェースが OVS ブリッジ上にない限りは、ネットワークのダウンタイムはテナントデータプレーンに限定されることになります。

CLI と UI では、パラメーター、環境、およびテンプレートの処理が若干異なります。
そのため、UI で自動生成されたパスワードは、テンプレートからは変更できません。カスタムのパスワードを使用するには、デプロイメント全体の設定のパラメーターとして UI で手動で設定するか、ロールカードで編集する必要があります。
別の方法としては、「$ openstack overcloud plan create <my_plan> --disable-password-generation」のコマンドを CLI に入力してパスワードの自動生成なしでプランを作成することができます。パスワードはテンプレートを使用して明示的に指定するか、UI で手動で設定する必要があります。

「openstack overcloud deploy」コマンドを実行すると、デフォルトの「overcloud」プランが置き換えられます。ユーザーがオーバークラウドを CLI で作成し、それを削除してから新しいオーバークラウドを Web UI で作成する場合には、Web UI は CLI デプロイメントからの「overcloud」プランを使用します。このため、Web UI により、以前のオーバークラウドデプロイメントから不要なパラメーターが追加されてしまいます。この問題は、以下の方法で回避します。

1. オーバークラウドの新規作成時には、「user-environment.yaml」環境ファイルが無効であることを確認します。
2. プランの新しいバージョンを (「/usr/share/openstack-tripleo-heat-template」から) アップロードします。

director では、イントロスペクションを実行する前にノードが管理されている状態である必要があります。新規登録されたノードは、director の Web UI で「manageable」に設定されますが、ユーザーがイントロスペクションを後日に実行する必要がある場合にノードを「manageable」に切り替えるためのオプションは現在のところありません。回避策としては、「openstack baremetal node manage」コマンドでノードを「manageable」状態に戻す方法があります。

無効なキャッシュファイルが原因で、os-collect-config が「ValueError: No JSON object could be decoded」のエラーを報告して、サービスの起動が失敗する場合があります。「/var/lib/os-collect-config/」にあるキャッシュファイルは、有効な json ファイルである必要があります。サイズが 0 の場合や、無効な json が含まれている場合には、その無効なファイルを「/var/lib/os-collect-config」から削除しないと、os-collect-config は起動しなくなる可能性があります。

Red Hat OpenStack Platform のバージョン 9 から 10 にアップグレードしたお客様は、Red Hat OpenStack Platform 11 へのアップグレードは、この既知の問題が修正される予定の最初の非同期リリースまでお待ちください。最初の非同期リリースは通常、一般出荷版リリースの数日以内に提供されます。

高可用性の IPv6 デプロイメントでは、アップグレード中に RabbitMQ に使用される仮想 IP コントローラーホスト間で移動する場合があります。IPv6 IP の作成のバグが原因で、それらのアドレスは RabbitMQ 接続のソースアドレスとして使用されます。その結果、RabbitMQ はクラッシュしてクラスターを自動的に回復することはできません。

通常の状態に戻すには、対象のコントローラーホスト上の RabbitMQ と、RabbitMQ に依存する、自動的に再接続されないサービスを再起動してください。

Red Hat OpenStack Platform のバージョン 9 から 10 にアップグレードしたお客様は、Red Hat OpenStack Platform 11 へのアップグレードは、この既知の問題が修正される予定の最初の非同期リリースまでお待ちください。最初の非同期リリースは通常、一般出荷版リリースの数日以内に提供されます。

Red Hat OpenStack Platform director が TripleO を使用して libvirtd ベースのライブマイグレーションを有効にする機能に、設計上の不備による問題が見つかりました。TripleO はセキュアなライブマイグレーションをサポートしていないため、director によって libvirtd デプロイメントをロックダウンする追加のステップが実行されませんでした。libvirtd はデフォルトで (director により) デプロイされ、認証または暗号化なしで 0.0.0.0 (全インターフェース) 上でリッスンします。127.0.0.1、その他のループバックインターフェースアドレス、また場合によっては管理インターフェースの外部に公開されている可能性のあるアドレスを含む、任意のコンピュートホストの IP アドレスに TCP 接続ができる人は誰でも、この機能を使用して libvirtd インスタンスに対する virsh セッションを開いて仮想マシンインスタンスを制御したり、場合によってはホストを乗っ取ったりすることも可能でした。

他に不備がなければ、テナントネットワークまたは外部ネットワークからアクセスできないはずである点に注意してください。

Red Hat OpenStack Platform 10 から Red Hat OpenStack Platform 11 にアップグレードする場合には、最初にこの問題を解決するための適切な更新を適用する必要があります。

Red Hat OpenStack Platform 11 には、一般出荷の時点でこの更新が同梱されており、追加の更新は必要ありません。

この問題に関する詳しい情報と、それに対応する解決方法は、 https://access.redhat.com/solutions/3022771 を参照してください。

OpenStack Platform 10 でスタンドアロンの Keystone ノードを使用する場合には、「openstack-gnocchi-statsd」が正常に起動しません。これは、「gnocchi」と「keystone」サービスが同じステップでアクティブ化されることが原因で、そのために競合状態が発生します。「gnocchi」は認証に失敗しますが、再試行しません。この問題は BZ#1447422 で対処されました。

スタンドアロンの Keystone ロールを使用している場合には、「openstack-gnocchi-statsd」サービスが起動に失敗すると OpenStack Platform 11 のアップグレードの事前チェックが失敗するので、OpenStack Platform 10 から 11 へのアップグレードも失敗することになります。回避策として、アップグレードのステップを開始する前にオーバークラウド上で「openstack-gnocchi-statsd」サービスを再起動する方法があります。これにより、サービスが正しく有効化され、アップグレードが成功します。これは、スタンドアロンの Keystone ノードを使用している OpenStack Platform 10 にのみが対象で、他のアップグレードシナリオには影響はありません。

Red Hat Ceph Storage を Block Storage (cinder) ボリュームとバックアップの両方のバックエンドとして使用する場合には、増分バックアップを試みると、代わりに完全なバックアップが実行され、警告は表示されません。

「python-requests」を使用する OpenStack のコマンドラインクライアントは、現在、IP アドレスが SAN フィールドに記載されている証明書は検証できません。

image_path パラメーターは使用されなくなりました。今回の更新で、このパラメーターはアンダークラウドの設定ファイルから削除されました。

VPNaaS 機能は Red Hat OpenStack Platform 11 では非推奨となり、Red Hat OpenStack Platform 12 では削除される予定です。

Red Hat OpenStack Platform 11 では、Neutron の Linux Bridge ML2 ドライバーおよびエージェントは非推奨となり、Red Hat OpenStack Platform 12 では削除される予定です。OpenStack Platform director によってデフォルトでデプロイされるのは、Open vSwitch (OVS) のプラグインです。一般的な用途の場合には、Red Hat はこのプラグインを推奨しています。

Red Hat OpenStack Platform 11 では Ceilometer API サービスが非推奨になり、Gnocchi、Aodh、および Panko API に置き換えられます。Ceilometer API の代わりに、サービス API に移行することをお勧めします。Red Hat OpenStack Platform 11 では、Ceilometer API はデフォルトでインストール/設定されます。今後のリリースでは、この API はデフォルトで無効となり、必要に応じてのみ有効にできるオプションが提供されることになります。

本リリースの時点で、Glance API V1 はサポートされなくなり利用できなくなりました。