第2章 最も重要な新機能
本項では、Red Hat OpenStack Platform の今回のリリースにおける最も重要な新機能の概要を説明します。
2.1. Red Hat OpenStack Platform Director
本項では、director の最も重要な新機能について説明します。
- Fast Forward Upgrade
- director は、Red Hat OpenStack Platform 10 から Red Hat OpenStack Platform 13 までの複数のバージョンをアップグレードする専用の Fast Forward Upgrade パスを提供しています。この機能は、ロングライフバージョン とされている特定の OpenStack のバージョンの使用を継続し、次のロングライフバージョンが提供された際にアップグレードする機会を提供することを目的としています。詳しい手順は、OpenStack Platform 13 リリースの Fast Forward Upgrades ガイドに記載しています。
- L3 ルーティング対応のリーフ/スパイン型のネットワーク
- director には、プロビジョニングとイントロスペクションのために複数のネットワークを定義する機能が搭載されています。この機能は、コンポーザブルネットワークと併せて使用し、ユーザーがオーバークラウド向けの完全な L3 ルーティング対応のリーフ/スパイン型アーキテクチャーをプロビジョニングおよび設定できるようにします。『Spine Leaf Networking』 ガイドを参照してください。
- Red Hat Virtualization のドライバー
- director の OpenStack Bare Metal (ironic) サービスには、Red Hat Virtualization 環境内の仮想ノードを管理するためのドライバーが含まれています。これにより、director は Red Hat Virtualization 内にデプロイされたコントラーノードを使用するオーバークラウドをプロビジョニングおよびサポートすることができます。
2.2. コンテナー
本項では、Red Hat OpenStack Platform のコンテナー化の最も重要な新機能の概要を説明します。
- 完全にコンテナー化されたサービス
- 本リリースでは、Red Hat OpenStack Platform の全サービスをコンテナーとして提供しています。これには、以前のバージョンではコンテナー化されていなかった OpenStack Networking (neutron)、OpenStack Block Storage (cinder)、OpenStack Shared File Systems (manila) のサービスが含まれます。オーバークラウドは、完全にコンテナー化されたサービスを使用するようになりました。
2.3. Bare Metal サービス
本項では、Bare Metal (ironic) サービスの最も重要な新機能について説明します。
2.4. Ceph Storage
本項には、Ceph Storage の最も重要な新機能について説明します。
- Red Hat Ceph Storage 3.0 のサポート
- 本リリースでは、Red Hat OpenStack でサポートされるデフォルトの Ceph バージョンは、Red Hat Ceph Storage 3.0 (luminous) です。director ではこのバージョンがデフォルトでデプロイされます。Ceph では、バージョン 2.x から 3 へのローリングアップグレードがサポートされるようになりました。director を使用して Ceph クラスターをデプロイしていた場合には、OpenStack を新しいリリースにアップグレードすると、Red Hat Ceph Storage も 3.0 にアップグレードされます。
- Ceph Metadata Server と RADOS Gateway ノードのスケールアウト
- Red Hat Ceph Storage 3.0 では、Ceph File System (CephFS) を適切に設定すると、複数のメタデーターサーバー (MDS) にまたがったメタデータロードのスケーリングがサポートされるようになりました。設定が完了すると、Ceph クラスター内で利用可能な追加の専用 MDS サーバーは、この追加の負荷を処理するように自動的に割り当てられます。また、新しい専用の Ceph RADOS Gateway (RGW) ノードを追加して、RGW を必要に応じてスケールアップすることができます。
- NFS を使用する Manila CephFS ストレージ
- Shared File System サービス (manila) は、NFSv4 プロトコルを使用した、Ceph File System (CephFS) によってバッキングされる共有ファイルシステムのマウントをサポートしています。コントローラーノード上で稼働する NFS-Ganesha サーバーを使用して、高可用性 (HA) を使用するテナントに CephFS をエクスポートします。テナントは相互に分離され、提供されるNFS ゲートウェイインターフェースを介してのみ CephFS にアクセスすることができます。director には、この新機能は完全に統合されているので、CephFS バックエンドのデプロイとShared File System サービスの設定が可能です。
- Cinder Ceph の複数のプールのサポートの強化
-
Block Storage (cinder) RADOS Block Device (RBD) バックエンドは、director のテンプレートパラメーター
CinderRbdExtraPoolsを使用して、同じ Ceph クラスター内の異なるプールにマッピングすることが可能です。このパラメーターに関連付けられた各 Ceph プールには、CinderRbdPoolNameパラメーターに関連付けられた標準の RBD バックエンドに加えて、新規 Block Storage RBD バックエンドが作成されます。 - ceph-ansible を使用した RBD mirror デーモン
- Ceph rbd-mirror デーモンは、リモートクラスターからイメージの更新をプルして、ローカルクラスター内のイメージに適用します。RBD mirror は、Red Hat Ceph Storage 3.0 (luminous) では ceph-ansible を使用するコンテナーとしてデプロイされます。イメージに関連する OpenStack のメタデータは、rbd-mirror によってはコピーされません。
2.5. Compute
本項では、Compute サービスの最も重要な新機能について説明します。
- リアルタイム KVM の統合
リアルタイム KVM (RT-KVM) と Compute サービスの統合が完全にサポートされるようになりました。RT-KVM には、以下のような利点があります。
- システムコールと中断のレイテンシーは決定論的で平均が低い
- ゲストインスタンスでの Precision Time Protocol (PTP) のサポートにより、クロック同期が正確 (本リリースではコミュニティーサポート)
2.6. 高可用性
本項では、高可用性の最も重要な新機能について説明します。
- director におけるインスタンス HA の統合
- director でインスタンスの HA をデプロイできるようになりました。これにより、手動のステップを使用せずにインスタンスの HA のインストールを設定することができます。
director におけるインスタンスの HA の統合は、バージョン 13 以降でのみ利用可能です。以前のバージョンから 13 にアップグレードするには、インスタンスの HA を予め無効にしておく必要があります。
2.7. メトリックとモニタリング
本項では、メトリックおよびモニタリングのコンポーネントの最も重要な新機能および変更点について説明します。
collectd5.8 の統合collectd5.8 バージョンには、以下の追加プラグインが含まれています。-
ovs-stats: OVS で接続されたブリッジとインターフェースの統計を収集するプラグイン -
ovs-events: Open vSwitch (OVS) で接続されているインターフェースのリンクステータスをモニタリングして、値をcollectdにディスパッチし、OVS データベースでリンク状態が変更した場合には常に通知を送信するプラグイン -
hugepages: プラットフォーム上の未使用および使用済みのヒュージページを数、バイト、パーセンテージでモニタリングするhugepagesプラグイン -
intel-rdt: Cache Monitoring Technology (CMT) や Memory Bandwidth Monitoring (MBM) などの Intel Resource Director Technology (Intel® RDT) のモニタリング機能によって提供される情報を収集するintel_rdtプラグイン。この機能により、Last Level Cache (LLC) の占有率、ローカルメモリー帯域幅の使用率、リモートメモリー帯域幅の使用率、Instructions Per Clock (IPC) などの共有リソースの使用状況に関する情報を提供します。 -
libvirtプラグイン拡張機能:libvirtプラグインが拡張され、プラットフォーム上の CMT、MBM、CPU ピニング、使用状況、状態のメトリックをサポートするようになりました。
-
collectdおよびgnocchiの統合collectd-gnocchiプラグインは、gnocchi にメトリックを送信します。デフォルトでは、collectdという名前のリソースタイプと、モニタリング対象の各ホスト用の新規リソースを作成します。各ホストには、以下の命名規則に従って動的に作成されるメトリック一覧があります。
plugin-plugin_instance/type-type_instance-value_number
メトリックが適切に作成されるようにするには、アーカイブポリシールールが適合することを確認してください。
- 複数の RabbitMQ サーバーを使用する
sensuのサポート -
今回のリリースでは、Red Hat OpenStack Platform は、複数の RabbitMQ サーバーを使用する
sensuをサポートするようになりました。サポートを有効にするには、config.yamlファイルでMonitoringRabbitClusterパラメーターを使用する必要があります。 - Intel Resource Director Technology/Memory Bandwidth Monitoring のサポート
- Memory Bandwidth Monitoring (MBM) は、Intel® Resource Director Technology (RDT) の不可欠な要素です。スケジューリングに関する意思決定を向上させ、SLA を満たすために、メモリーの使用量および空き容量が全ノードから収集されて OpenStack に提供されます。
2.8. ネットワーク機能仮想化
本項では、ネットワーク機能仮想化 (NFV) の最も重要な新機能について説明します。
- NFV ワークロード向けのリアルタイム KVM Compute ロール
- RT-KVM Compute ノードロールが追加されて、リアルタイム KVM (RT-KVM) Compute ノードが NFV ワークロードをサポートするようになりました。この新しいロールは、リアルタイム機能を備えた Compute ノードのサブセットを公開し、レイテンシーの要件が厳しいゲストをサポートします。
2.9. OpenDaylight
本項では、OpenDaylight サービスの最も重要な新機能について説明します。
- OpenDaylight の統合
OpenDaylight は、柔軟性の高いモジュール型のオープンな SDN プラットフォームで、今回の Red Hat OpenStack Platform リリースでは完全にサポートされるようになりました。現在の Red Hat のオファリングは、OpenDaylight SDN コントローラーを OpenStack のネットワークバックエンドとして有効化するために設計されている、選択された OpenDaylight コンポーネントを慎重に組み合わせています。このソリューションで使用されている OpenDaylight の主要なプロジェクトは NetVirt で、OpenStack neutron API をサポートしています。
詳しい情報は、『Red Hat OpenDaylight Product Guide』と『Red Hat OpenDaylight Installation and Configuration Guide』を参照してください。
2.10. OpenStack Networking
本項では、Networking サービスの最も重要な新機能について説明します。
- Octavia LBaaS
- Octavia が完全にサポートされるようになりました。Octavia はロードバランシング機能を提供する OpenStack の公式プロジェクトで、現行の HAProxy ベースの実装を置き換えることを目的としています。Octavia は LBaaS v2 API を実装しますが、追加の機能も提供します。Octavia には、amphora (Compute の仮想マシンとして実装される) を使用して、ロードバランシング機能を提供するリファレンスロードバランシングドライバーが含まれています。
- Open Virtual Network (OVN)
-
OVN が完全にサポートされるようになりました。OVN とは、Open vSwitch ベースのネットワーク仮想化ソリューションで、インスタンスにネットワークサービスを提供します。OVN は
neutronAPI を完全にサポートします。
2.11. セキュリティー
本項では、セキュリティーコンポーネントの最も重要な新機能について説明します。
- Barbican
- OpenStack Key Manager (barbican) は Red Hat OpenStack Platform のシークレットマネージャーです。barbican API とコマンドラインを使用して、OpenStack サービスの使用する証明書、キー、パスワードを一元管理することができます。
- Barbican: 暗号化ボリュームのサポート
- barbican を使用して Block Storage (cinder) の暗号化キーを管理することができます。この設定は、 LUKS を使用して、インスタンスに接続されているディスク (ブートディスクを含む) を暗号化します。キー管理の機能は、ユーザーに透過的に行われます。
- Barbican: glance イメージの署名
- Image Service (glance) を設定して、アップロードしたイメージが改ざんされていないことを検証することができます。イメージは、barbican に保管されているキーで最初に署名され、毎回そのイメージを使用する前に検証されます。
- Policy Decision Points (PDP) との統合
- Policy Decision Points (PDP) に依存してリソースのアクセス制御を行う場合には、Identity Service (keystone) は、認証の確認を行うための外部の PDP とプロジェクトを統合できます。外部の PDP はアクセス要求を評価して、既定のポリシーに基づいてアクセスを許可または拒否することができます。
- インフラストラクチャーおよび仮想化の強化
- AIDE Intrusion Detection がテクノロジープレビューとして利用できるようになりました。director の AIDE サービスにより、オペレーターは侵入検出のルールセットの設定と、オーバークラウド上での AIDE のインストールと設定を一元的に行うことができます。
2.12. ストレージ
本項では、ストレージコンポーネントの最も重要な新機能について説明します。
- Block Storage: コンテナー化された Block Storage サービスのデプロイ
- 本リリースでは、コンテナー化された Block Storage サービス (cinder) のデプロイメントはデフォルトになりました。外部のインストールに依存するこれらのサービスのバックエンドを使用する場合には、デプロイメント用にベンダー固有のコンテナーを取得する必要があります。
- Block Storage: マルチバックエンドアベイラビリティーゾーン
-
Block Storage サービス (cinder) では、設定ファイルのバックエンドセクションの
backend_availability_zoneという新しいドライバーの設定オプションを使用して、バックエンドのアベイラビリティーゾーンを定義できるようになりました。以前のバージョンでは、cinder ボリュームで定義されたバックエンドは、同じストレージアベイラビリティーゾーンの一部である必要がありました。 - Block Storage: OpenStack Key Manager のサポート
- Block Storage サービス (cinder) は OpenStack Key Manager (barbican) を使用して、ボリュームの暗号化に使用する暗号化キーを保管するようになりました。この機能は、director で OpenStack Key Manager を設定することによって有効化されます。Identity Service (keystone) で admin または creater ロールが割り当てられているユーザーは、新しいキーを OpenStack Key Manager に追加できます。
- Block Storage: RBD ドライバーの暗号化サポート
- RBD ドライバーは、LUKS を使用した Block Storage サービス (cinder) ボリュームの暗号化をサポートするようになりました。この機能は、Block Storage サービスおよび Compute サービスを使用する RBD 上のボリュームを暗号化する機能を提供し、data-at-rest をセキュリティー保護します。OpenStack Key Manager (barbican) は RBD ドライバーの暗号化を使用する必要があります。RBD ドライバーの暗号化は、Block Storage サービスでのみサポートされています。
- Image サービス: イメージの署名と検証のサポート
- Image Service (glance) は、OpenStack Key Manager (barbican) を使用してブート可能なイメージの署名および署名検証の機能を提供するようになりました。イメージの署名は、イメージを保管する前に検証されるようになりました。元のイメージを Image サービスにアップロードする前には、暗号化の署名を追加する必要があります。この署名は、イメージのブート時の検証に使用されます。OpenStack Key Manager は署名するキーのキー管理のサポートを提供します。
- Object Storage: at-rest encryption と OpenStack Key Manager のサポート
- Object Storage (swift) サービスは、OpenStack Key Manager (barbican) に保管される 256 ビットのキーで、AES の CTR モードを使用する暗号化形式でオブジェクトを保管できるようになりました。director を使用して Object Storage の暗号化を有効化した後には、システムは、クラスター内の全オブジェクトを暗号化するのに使用する単一のキーを作成します。これにより、Object Storage クラスター内のオブジェクトを保護し、セキュリティーコンプライアンスを維持するためのオプションが提供されます。
- Shared File System: コンテナー化 された Shared File System サービスのデプロイメント
- 本リリースでは、Shared File System サービス (manila) のコンテナー化されたデプロイメントがデフォルトになりました。外部のインストールに依存関係のあるこれらのサービスにバックエンドを使用する場合には、デプロイメントにベンダー固有のコンテナーを取得する必要があります。
- Shared File System: NetApp ONTAP cDOT ドライバーでの IPv6 アクセスルールのサポート
- Shared File System サービス (manila) は、IPv6 ネットワーク上の NetApp ONTAP バックエンドでバッキングされている共有のエクスポートをサポートするようになりました。エクスポートされた共有へのアクセスは、IPv6 クライアントのアドレスによって制御されます。
2.13. テクノロジープレビュー
本項では、Red Hat OpenStack Platform 13 のテクノロジープレビュー機能について説明します。
テクノロジープレビューと記した機能のサポート範囲についての詳しい情報は、「テクノロジプレビュー機能のサポート範囲」を参照してください。
2.13.1. 新規テクノロジープレビュー
以下の新機能はテクノロジープレビューとして提供されます。
- Ansible ベースの設定 (config download)
- director は、オーバークラウドのプランに基づいて、Ansible Playbook のセットを生成できます。これより、オーバークラウドの設定方法は、OpenStack Orchestration (heat) から Ansible ベースの方法に変更されます。アップグレードなど、OpenStack Platform 13 でサポートされている一部の機能は、この機能をプロセスの一部として使用します。ただし、このようなサポート対象の領域外の使用は実稼働環境では推奨されません。この機能は、テクノロジープレビューとしてのみ提供しています。
- OVS ハードウェアオフロード
- Open vSwitch (OVS) のハードウェアオフロードにより、負荷の高いプロセスが SmartNic 搭載のハードウェアに移行されるので、OVS が加速化されます。これにより、OVS の処理が SmartNIC にオフロードされるので、ホストのリソースが節約されます。
2.13.2. 以前にリリースされたテクノロジープレビュー
以下の機能は引き続きテクノロジープレビューとして提供されています。
- Benchmarking サービス
Rally は、マルチノードの OpenStack デプロイメント、クラウドの検証、ベンチマーキング、およびプロファイリングを自動化/統合するためのベンチマーキングツールです。SLA、パフォーマンス、および安定性を継続的に向上させる OpenStack CI/CD システム向けの基本ツールとして使用することができます。Rally は、以下のコアコンポーネントで構成されます。
- サーバープロバイダー: 異なる仮想化テクノロジー (LXS、Virsh など) およびクラウドサプライヤーと対話するための統合インターフェースを提供します。ssh アクセスを介して、1 つの L3 ネットワーク内で対話を行います。
- デプロイエンジン: サーバープロバイダーから取得したサーバーを使用して、ベンチマーキングの手順が実行される前に OpenStack ディストリビューションをデプロイします。
- 検証: デプロイしたクラウドに対して特定のテストセットを実行して正しく機能するかどうかを確認し、結果を収集してから人間が判読可能な形式で提示します。
- ベンチマークエンジン: パラメーター化されたベンチマークシナリオの書き込みを許可し、クラウドに対して実行します。
- Benchmarking サービス: 新しいプラグインタイプの導入
- テストシナリオをイテレーションとして実行し、実行されたアクションのタイムスタンプ (およびその他の情報) を Rally のレポートで提供することができます。
- Benchmarking サービス: 新しいシナリオ
- nova、cinder、magnum、ceilometer、manila、neutron 向けの Benchmarking シナリオが追加されました。
- Benchmarking サービス: 検証コンポーネントのリファクタリング
- Tempest の起動には、Rally Verify が使用されます。これは、新規モデル (検証機能の種別、検証機能、および検証結果) に対応するためにリファクターされました。
- セル
-
OpenStack Compute には、コンピュートリソースを分割するために
nova-cellsパッケージにより提供されるセルの概念が採用されています。Cells v1 は Cells v2 に置き換えられました。Red Hat OpenStack Platform はデフォルトでは「単一セル」でデプロイし、現時点では複数セルのデプロイメントはサポートしていません。 - DNS-as-a-Service (DNSaaS)
- Designate としても知られる DNS-as-a-Service (DNSaaS) にはドメインとレコードの管理のための REST API が実装されており、マルチテナントに対応しています。また DNSaaS は OpenStack Identity サービス (keystone) と統合して認証を行います。さらに DNSaaS には Compute (nova) および OpenStack Networking (neutron) の通知と統合するフレームワークが実装されており、DNS レコードの自動生成が可能です。DNSaaS には Bind9 バックエンドとの統合が実装されています。
- Firewall-as-a-Service (FWaaS)
- Firewall-as-a-Service プラグインは、OpenStack Networking (neutron) に境界ファイアウォール管理機能を提供します。FWaaS は iptables を使用して、ファイアウォールポリシーをプロジェクト内の全仮想ルーターに適用し、1 プロジェクトあたりで 1 つのファイアウォールポリシーと論理ファイアウォールインスタンスをサポートします。FWaaS は、OpenStack Networking (neutron) ルーターでトラフィックをフィルタリングすることによって境界で稼働します。インスタンスレベルで稼働するセキュリティーグループとは、この点が異なります。
- Google Cloud Storage バックアップドライバー (Block Storage)
- Block Storage (cinder) サービスで、ボリュームのバックアップの保管に Google Cloud Storage を使用するように設定できるようになりました。この機能は、多額な費用のかかるセカンダリークラウドを単に災害復旧の目的で維持管理する方法の代わりとなるオプションを提供します。
- ベアメタルノード向けのリンクアグリゲーション
今回のリリースでは、ベアメタルノードのリンクアグリゲーションが導入されました。リンクアグリゲーションにより、ベアメタルノードの NIC に対してボンディングを設定して、フェイルオーバーとロードバランシングをサポートすることができます。この機能には、専用の neutron プラグインから設定可能な特定のハードウェアスイッチベンダーのサポートが必要です。お使いのハードウェアベンターのスイッチが適切な neutron プラグインをサポートしていることを確認してください。
または、スイッチを手動で事前に設定して、ベアメタルノード用にボンディングを設定することも可能です。ノードが一方のボンディングインターフェースでブートできるようにするには、そのスイッチが LACP と LACP フォールバックの両方をサポートする必要があります (ボンディングが形成されていない場合には、ボンディングのリンクが個別のリンクにフォールバックする)。そうでない場合には、ノードに別のプロビジョニングおよびクリーニングネットワークも必要となります。
- Red Hat OpenStack Platform for POWER
- 事前にプロビジョニングされたオーバークラウドのコンピュートノードを IBM POWER8 little endian ハードウェアにデプロイできるようになりました。
- Red Hat SSO
- 今回のリリースには、keycloak-httpd-client-install パッケージのバージョンが 1 つ含まれています。このパッケージは、Apache mod_auth_mellon SAML Service Provider を Keycloak SAML IdP のクライアントとして設定するのに役立つコマンドラインツールを提供します。
Where did the comment section go?
Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.