此 Red Hat OpenStack Platform 发行版本基于 OpenStack "Queens" 发行版本。其中包括特定于 Red Hat OpenStack Platform 的附加功能、已知问题和已解决的问题。

本文仅包含与 Red Hat OpenStack Platform 相关的变更。OpenStack "Queens"发行版本本身的发行说明可在以下位置找到 ：https://releases.openstack.org/queens/index.html。

Red Hat OpenStack Platform 使用了其他红帽产品的组件。有关这些组件支持的具体信息，请参见以下链接：

https://access.redhat.com/site/support/policy/updates/openstack/platform/

要评估 Red Hat OpenStack Platform，请访问：

http://www.redhat.com/openstack/。

Red Hat OpenStack Platform 只支持 Red Hat Enterprise Linux 7 的最新版本。

Red Hat OpenStack Platform 仪表板(horizon)是一个基于 Web 的界面，用于管理 OpenStack 资源和服务。此版本的控制面板支持下列网页浏览器的最新稳定版本：

如需 Red Hat OpenStack Platform 的部署限制清单，请参见 Red Hat OpenStack Platform 部署限制。

有关在 Red Hat OpenStack Platform 环境中维护 MariaDB 数据库容量的推荐做法，请参见 Red Hat Enterprise Linux OpenStack Platform 数据库容量管理。

如需 Red Hat OpenStack Platform 中经认证的驱动程序和插件的列表，请参见 Red Hat OpenStack Platform 组件、插件和驱动程序支持。

如需 Red Hat OpenStack Platform 中经认证的客户机操作系统的列表，请参见 Red Hat OpenStack Platform 和 Red Hat Enterprise Virtualization 中的经认证的客户机操作系统。

如需可通过裸机置备(ironic)在 Red Hat OpenStack Platform 中裸机节点上安装的受支持客户机操作系统的列表，请参阅可通过 裸机置备(ironic) 部署的受支持操作系统。

Red Hat OpenStack Platform 仅支持与 libvirt 驱动程序一起使用（使用 KVM 作为 Compute 节点上的虚拟机监控程序）。

从 Red Hat OpenStack Platform 7 (Kilo)发行版本起，Ironic 被全面支持。Ironic 允许您使用通用技术（如 PXE 引导和 IPMI）置备裸机机器，从而覆盖广泛的硬件，同时支持可插拔式驱动程序，实现特定供应商的附加功能。

红帽不支持其他计算虚拟化驱动程序，如已淘汰的 VMware "direct-to-ESX" hypervisor 和非 KVM libvirt 管理程序。

本节介绍了部署 Red Hat OpenStack Platform 13 所需的存储库设置。

您可以通过内容交付网络(CDN)安装 Red Hat OpenStack Platform 13。要做到这一点，将 subscription-manager 配置为使用正确的软件仓库。

运行以下命令启用 CDN 存储库：

#subscription-manager repos --enable=[reponame]

运行以下命令以禁用 CDN 存储库：

#subscription-manager repos --disable=[reponame]

禁用的软件仓库

下表概述了必须禁用的存储库以确保 Red Hat OpenStack Platform 13 正常工作。

可用资源包括：

Red Hat OpenStack Platform 不支持以下功能：

如果您需要任何这些功能的支持，请联系红帽客户体验与互动团队，获取例外的支持。

本节概述 director 的主要新功能。

本节概述 Red Hat OpenStack Platform 中容器化的主要新功能。

本节概述裸机 (ironic) 服务的主要新功能。

本节概述 Ceph 存储的主要新功能。

本节概述计算（Compute）服务的主要新功能。

本节概述高可用性的主要新功能。

本节概述指标和监控组件的主要新功能和更改。

本节概述网络功能虚拟化 (NFV) 的主要新功能。

本节概述 OpenDaylight 服务的主要新功能。

本节概述网络服务的主要新功能。

本节概述安全组件的主要新功能。

本节概述存储组件的主要新功能。

本节概述了 Red Hat OpenStack Platform 13 中技术预览的功能。

本发行注记重点概述部署此 Red Hat OpenStack Platform 发行版本时需要考虑的信息，如技术预览项、推荐做法、已知问题和淘汰的功能等。

# ip netns exec qrouter...
RTNETLINK answers: Invalid argument

# docker exec neutron_l3_agent ip netns exec qrouter...

OS::TripleO::Services::NeutronDhcpAgent: docker/services/neutron-dhcp.yaml

parameter_defaults:
  CephConfigOverrides:
    mon_max_pg_per_osd: 300

parameter_defaults:
  SnmpdIpSubnet: 192.168.24.0/24

IPv4:
  # iptables -A INPUT -p tcp -m multiport --dports 9876 -m state --state NEW -m comment --comment "100 octavia_api_haproxy ipv4" -j ACCEPT
  # iptables -A INPUT -p tcp -m multiport --dports 13876 -m state --state NEW -m comment --comment "100 octavia_api_haproxy_ssl ipv4" -j ACCEPT
  # iptables -A INPUT -p tcp -m multiport --dports 9876,13876 -m state --state NEW -m comment --comment "120 octavia_api ipv4" -j ACCEPT

IPv6:
  # ip6tables -A INPUT -p tcp -m multiport --dports 9876 -m state --state NEW -m comment --comment "100 octavia_api_haproxy ipv6" -j ACCEPT
  # ip6tables -A INPUT -p tcp -m multiport --dports 13876 -m state --state NEW -m comment --comment "100 octavia_api_haproxy_ssl ipv6" -j ACCEPT
  # ip6tables -A INPUT -p tcp -m multiport --dports 9876,13876 -m state --state NEW -m comment --comment "120 octavia_api ipv6" -j ACCEPT

  # docker restart haproxy-bundle-docker-0

本发行注记重点概述部署此 Red Hat OpenStack Platform 发行版本时需要考虑的信息，如技术预览项、推荐做法、已知问题和淘汰的功能等。

IPv4:
  # iptables -A INPUT -p tcp -m multiport --dports 9876 -m state --state NEW -m comment --comment "100 octavia_api_haproxy ipv4" -j ACCEPT
  # iptables -A INPUT -p tcp -m multiport --dports 13876 -m state --state NEW -m comment --comment "100 octavia_api_haproxy_ssl ipv4" -j ACCEPT
  # iptables -A INPUT -p tcp -m multiport --dports 9876,13876 -m state --state NEW -m comment --comment "120 octavia_api ipv4" -j ACCEPT

IPv6:
  # ip6tables -A INPUT -p tcp -m multiport --dports 9876 -m state --state NEW -m comment --comment "100 octavia_api_haproxy ipv6" -j ACCEPT
  # ip6tables -A INPUT -p tcp -m multiport --dports 13876 -m state --state NEW -m comment --comment "100 octavia_api_haproxy_ssl ipv6" -j ACCEPT
  # ip6tables -A INPUT -p tcp -m multiport --dports 9876,13876 -m state --state NEW -m comment --comment "120 octavia_api ipv6" -j ACCEPT

  # docker restart haproxy-bundle-docker-0

本发行注记重点概述部署此 Red Hat OpenStack Platform 发行版本时需要考虑的信息，如技术预览项、推荐做法、已知问题和淘汰的功能等。

本发行注记重点概述部署此 Red Hat OpenStack Platform 发行版本时需要考虑的信息，如技术预览项、推荐做法、已知问题和淘汰的功能等。

# ip netns exec qrouter...
RTNETLINK answers: Invalid argument

# docker exec neutron_l3_agent ip netns exec qrouter...

本发行注记重点概述部署此 Red Hat OpenStack Platform 发行版本时需要考虑的信息，如技术预览项、推荐做法、已知问题和淘汰的功能等。

pcs resource restart ovn-dbs-bundle

本发行注记重点概述部署此 Red Hat OpenStack Platform 发行版本时需要考虑的信息，如技术预览项、推荐做法、已知问题和淘汰的功能等。

本发行注记重点概述部署此 Red Hat OpenStack Platform 发行版本时需要考虑的信息，如技术预览项、推荐做法、已知问题和淘汰的功能等。

本发行注记重点概述部署此 Red Hat OpenStack Platform 发行版本时需要考虑的信息，如技术预览项、推荐做法、已知问题和淘汰的功能等。

本发行注记重点概述部署此 Red Hat OpenStack Platform 发行版本时需要考虑的信息，如技术预览项、推荐做法、已知问题和淘汰的功能等。

本发行注记重点概述部署此 Red Hat OpenStack Platform 发行版本时需要考虑的信息，如技术预览项、推荐做法、已知问题和淘汰的功能等。

本发行注记重点概述部署此 Red Hat OpenStack Platform 发行版本时需要考虑的信息，如技术预览项、推荐做法、已知问题和淘汰的功能等。

本发行注记重点概述部署此 Red Hat OpenStack Platform 发行版本时需要考虑的信息，如技术预览项、推荐做法、已知问题和淘汰的功能等。

本发行注记重点概述部署此 Red Hat OpenStack Platform 发行版本时需要考虑的信息，如技术预览项、推荐做法、已知问题和淘汰的功能等。

本发行注记重点概述部署此 Red Hat OpenStack Platform 发行版本时需要考虑的信息，如技术预览项、推荐做法、已知问题和淘汰的功能等。

本发行注记重点概述部署此 Red Hat OpenStack Platform 发行版本时需要考虑的信息，如技术预览项、推荐做法、已知问题和淘汰的功能等。

本发行注记重点概述部署此 Red Hat OpenStack Platform 发行版本时需要考虑的信息，如技术预览项、推荐做法、已知问题和淘汰的功能等。

本发行注记重点概述部署此 Red Hat OpenStack Platform 发行版本时需要考虑的信息，如技术预览项、推荐做法、已知问题和淘汰的功能等。

本节中所包括的错误已在 RHEA-2018:2086 公告中解决。有关此公告的详情请点击以下链接 ：https://access.redhat.com/errata/RHEA-2018:2086。

ceph-ansible

ceph-ansible 实用程序并不总是从创建该文件的同一节点中删除 ceph-create-keys 容器。

因此，部署可能会失败，并显示消息 "Error response from daemon: No such container: ceph-create-keys"。 这会影响任何 ceph-ansible 运行（包括全新的部署），其中包括：* 多个计算备注或 * 自定义角色作为 ceph 客户端，后者也托管了使用 ceph 的服务。

gnocchi

openstack-gnocchi 软件包已重命名为 gnocchi。由于上游项目范围的变化，openstack- 前缀已被删除。Gnocchi 已从 OpenStack umbrella 中移出，并作为独立项目维护。

OpenDaylight

当将浮动 IP 关联到实例时，连接到外部 IP 会失败，然后取消关联浮动 IP。当租户 VLAN 网络时，会出现这种情况：* 在非NAPT 交换机上生成的虚拟机与浮动 IP 关联，并*浮动 IP 被删除。这会导致在 NAPT 交换机的 FIB 表中缺少流（大致）。

由于缺少 FIB 表条目，虚拟机将丢失与公共网络的连接。

将浮动 IP 与虚拟机关联可恢复与公共网络的连接。只要浮动 IP 与虚拟机关联，就可以连接到互联网。但是，您将丢失来自外部网络的公共 IP/浮动 IP。

openstack-cinder

在以前的版本中，由于滚动升级，cinder 服务必须在执行离线升级时重启两次。

可以使用新的可选参数 - 称为 "--bump-versions"-- 跳过双系统重启--添加到 cinder-manage db sync 命令中。

Block Storage 服务(cinder)使用同步锁定来防止卷镜像缓存中出现重复条目。锁定范围太大，并导致同时创建镜像的卷与锁定竞争，即使没有启用镜像缓存。

这些同时从镜像创建卷的请求会被序列化且不并行运行。

因此，同步锁定已被更新，以最小化锁定范围，并且仅在启用卷镜像缓存时才生效。

现在，当禁用卷镜像缓存时，从镜像中同时创建卷的请求会并行运行。当卷镜像缓存被启用时，最小化锁定以确保在缓存中只创建一个条目。

openstack-manila

共享文件系统服务(manila)现在为 NetApp ONTAP cDOT 驱动程序提供 IPv6 访问规则支持，它可让您将 manila 与 IPv6 环境搭配使用。

因此，共享文件系统服务现在支持通过 IPv6 网络导出由 NetApp ONTAP 后端支持的共享。对导出的共享的访问由 IPv6 客户端地址控制。

共享文件系统服务(manila)支持通过 NFSv4 协议挂载 Ceph 文件系统(CephFS)支持的共享文件系统。在 Controller 节点上运行的 NFS-Ganesha 服务器用于将 CephFS 导出到具有高可用性(HA)的租户。租户彼此隔离，只能通过提供的 NFS 网关接口访问 CephFS。此新功能完全集成到 director 中，为共享文件系统服务启用 CephFS 后端部署和配置。

openstack-neutron

当向路由器添加或删除接口时，在 DHCP 代理上启用了隔离的元数据，则不会更新该网络的元数据代理。

因此，如果实例位于未连接到路由器的网络中，实例将无法获取元数据。

在添加或删除路由器接口时，您需要更新元数据代理。然后，当网络被隔离时，实例将从 DHCP 命名空间中获取元数据。

openstack-selinux

在以前的版本中，virtlogd 服务在客户机虚拟机启动时记录冗余 AVC 拒绝错误。在这个版本中，virtlogd 服务不再尝试发送对 systemd 的关闭禁止调用，这可以防止上面描述的错误发生。

openstack-swift

Object Store 服务(swift)现在可以与 Barbican 集成，以透明地加密和解密您的存储(at-rest)对象。at-rest 加密与 in-transit 加密不同，它引用了在存储于磁盘上的对象。

Swift 对象以明文形式存储在磁盘上。如果问题早已达到生命期，这些磁盘可能会造成安全风险。加密对象可以缓解这些风险。

Swift 以透明方式执行这些加密任务，在上传到 swift 时自动加密对象，然后在提供给用户时自动解密。这个加密和解密使用相同的(ymmetric)密钥进行，密钥保存在 Barbican 中。

openstack-tripleo-common

Octavia 不会扩展到实际工作负载，因为为"服务"项目默认配置的配额限制在 overcloud 中创建的 Octavia 负载均衡器的数量。

要缓解这个问题，请以 overcloud admin 用户身份将所需的配额设置为无限或一些足够大的值。例如，在 undercloud 上运行以下命令：

# source ~/overcloudrc
# openstack quota set --cores -1 --ram -1 --ports -1 --instances -1 --secgroups -1 service

tripleo.plan_management.v1.update_roles 工作流不会将 overcloud 计划名称(swift 容器名称)或 zaqar 队列名称传递给它触发的子工作流。这会导致在使用 overcloud 计划名称以外的默认计划名称('overcloud')时发生错误。在这个版本中，可以正确地传递这些参数并恢复正确的行为。

如果容器设置为自动重启，则 'docker kill' 命令不会退出。如果用户尝试运行 'docker kill <container>'，它可能会无限期挂起。在这种情况下，CTRL+C 将停止该命令。

要避免这个问题，请使用 'docker stop'（而不是 'docker kill'）来停止容器化服务。

原因："openstack overcloud node configure"命令仅将映像 ID 用于 "deploy-kernel" 和 "deploy-ramdisk" 参数。现在，在修复后会接受镜像 ID。

openstack-tripleo-heat-templates

此功能增强添加了对从 director 部署启用了 RT 的计算节点以及"常规"计算节点的支持。

glance-direct 方法在 HA 配置中使用时需要一个共享暂存区域。如果不存在通用暂存区域，则使用"glance-direct"方法上传在 HA 环境中可能会失败。传入到控制器节点的请求分布在可用的控制器节点上。个控制器处理第一步，另一个控制器都使用控制器将镜像写入不同的暂存区域来处理第二个请求。第二个控制器无法访问控制器处理第一步所使用的相同暂存区域。

Glance 支持多种镜像导入方法，包括 'glance-direct' 方法。此方法使用三步方法：创建镜像记录，将镜像上传到暂存区域，然后将镜像从暂存区域传输到存储后端，以便镜像变为可用。在 HA 设置（即，有 3 个控制器节点）中，glance-direct 方法需要一个在控制器节点上使用共享文件系统的通用暂存区域。

现在，可以配置已启用的 Glance 导入方法列表。默认配置不会启用 'glance-direct' 方法（默认为启用web-download）。为了避免在 HA 环境中将映像可靠地导入到 Glance，请不要启用"glance-direct"方法。

openvswitch systemd 脚本会在主机中停止时删除 /run/openvswitch 文件夹。ovn-controller 容器内的 /run/openvswitch 路径变为过时的目录。当服务再次启动时，它会重新创建 文件夹。为了让 ovn-controller 再次访问此文件夹，必须重新挂载 文件夹或 ovn-controller 容器重启。

添加了一个新的 CinderRbdExtraPools Heat 参数，它指定用于 Cinder 的 RBD 后端的 Ceph 池列表。为列表中的每个池创建一个额外的 Cinder RBD 后端驱动程序。除了与 CinderRbdPoolName 关联的标准 RBD 后端驱动程序之外。新参数是可选的，默认为空列表。所有池都与单个 Ceph 集群关联。

Redis 在启用了 TLS 的 HA 部署中无法正确复制跨节点间的数据。Redis 后续节点将不包含领导节点中的任何数据。建议为 Redis 部署禁用 TLS。

此功能增强添加了对将指标数据发送到 Gnocchi DB 实例的支持。

为 collectd 可组合服务添加了以下新参数。如果 CollectdGnocchiAuthMode 设置为 'simple'，则 CollectdGnocchiProtocol, CollectdGnocchiServer, CollectdGnocchiPort 和 CollectdGnocchiUser 被考虑进行配置。

如果 CollectdGnocchiAuthMode 设置为 'keystone'，则将 CollectdGnocchiKeystone* 参数考虑进行配置。

下面是添加的参数的详细描述：

OVN 元数据服务不在基于 DVR 的环境中部署。因此，实例无法获取实例名称、公钥等元数据。

此补丁启用了上述服务，以便任何引导的实例都可以获取元数据。

Cinder 后端服务的 Heat 模板触发 Puppet 在 overcloud 主机上部署 cinder-volume 服务，无论该服务是否要部署到容器中。这会导致 cinder-volume 服务部署两次： 在容器中以及主机上的。

因此，当操作由主机上运行的恶意 cinder-volume 服务处理时，OpenStack 卷操作（如创建和附加卷）偶尔会失败。

因此，Cinder 后端 heat 模板已被更新，无法部署 cinder-volume 服务的第二个实例。

在 collectd 日志和 "ConnectionError: ('Connection aborted.', CannotSendRequest （)）中，用作 Gnocchi 后端的任何错误，在 gnocchi-metricd.conf 中生成 503 错误。要缓解这个问题，请提高 CollectdDefaultPollingInterval 参数的值，或者提高 Swift 集群性能。

manila-share 服务无法初始化，因为对 ceph-ansible 的复杂 ceph-keys 处理的更改会在 /etc/ceph/ceph.client.manila.keyring 文件中生成不正确的内容。

要允许 manila-share 服务初始化：1）使 /usr/share/openstack/tripleo-heat-templates 的副本用于 overcloud 部署。

2）编辑 …​/tripleo-heat-templates/docker/services/ceph-ansible/ceph-base.yaml 文件，将第 295 行中的所有 triple 反斜杠更改为单反斜杠。before: mon_cap: 'allow r, allow command \\\"auth del\\\", allow command \\\"auth caps\\\", allow command \\\"auth get\\\", allow command \\\"auth get-or-create\\\"' After: mon_cap: 'allow r, allow command \"auth del\", allow command \"auth caps\", allow command \"auth caps\", allow command \"auth\"auth

3）部署 overcloud，替换 tripleo-heat-templates 的副本的副本，其中验证 /usr/share/openstack-tripleo-heat 模板发生在原始 overcloud-deploy 命令中。

ceph 键 /etc/ceph/ceph.client.manila.keyring 文件会具有适当的内容，manila-share 服务将正确初始化。

为 HA 配置 cinder-volume 服务时，cinder 的 DEFAULT/host 配置被设置为 "hostgroup"。其他 Cinder 服务(cinder-api, cinder-scheduler, cinder-backup)将"hostgroup"用于其配置，无论哪个 overcloud 节点正在运行该服务。来自这些服务的日志消息看起来像是来自同一"主机组"主机，这很难知道哪个节点生成消息。

当为 HA 部署时，cinder-volume 的 backend_host 被设置为 "hostgroup"，而不是将 DEFAULT/host 设置为该值。这样可确保每个节点的 DEFAULT/host 值是唯一的。

因此，来自 cinder-api、cinder-scheduler 和 cinder-backup 的日志消息与生成消息的节点正确关联。

升级到新版本后，块存储服务(cinder)一直使用之前版本的旧 RPC 版本。因此，所有 Cinder API 请求都要求最新的 RPC 版本失败。

当升级到新版本时，所有 cinder RPC 版本都会更新以匹配最新版本。

python-cryptography

自 2.1 版本 2.1 起，python-cryptography 检查证书中使用的 CNS Names 是否符合 IDN 标准。如果找到的名称没有遵循此规范，加密将无法在使用 OpenStack 命令行界面或 OpenStack 服务日志中发现证书和不同错误。

安装 python-cryptography 构建后，来自 RDO 的初始导入会失败，因为它缺少了 Obsoletes。这个软件包的 RHEL 7 构建正确，并具有正确的条目。

在这个版本中，为 python-cryptography 添加了 Obsoletes。

python-ironic-tests-tempest

在 OSP 版本 13 升级后，在升级前安装 tempest 插件(-tests) rpm。初始升级打包没有包括弃用旧 rpm 所需的 epoch 命令。OSP 13 中未包括 sub-rpm，新插件 rpm 中的 Obsoletes 没有正确使用 rpm。

要解决这个问题，请更正过时的或手动卸载旧的 -rpm，并手动安装替换插件 python2-*-tests-tempest。

python-networking-ovn

为帮助维护 neutron 和 OVN 数据库之间的一致性，在后端内部进行配置更改并验证。每个配置更改都会被分配一个修订版本号，调度任务会验证对数据库进行的所有创建、更新和删除操作。

此发行版本引进了对 networking-ovn 中的内部 DNS 解析的支持。虽然存在两个已知的限制，但 bz#1581332 可防止通过内部 dns 解析内部 fqdn 请求。

请注意，在 GA 版本中 tripleo 默认不配置扩展。如需临时解决方案，请参阅 bz#1577592。

当创建子网时，没有添加 DHCP 选项，这样的子网上的实例将无法获取 DHCP。

相反，使用 Metadata/DHCP 端口来实现这一目的，以便实例能够获取 IP 地址。您必须启用元数据服务。现在，没有外部网关的子网上的实例可以通过 DHCP 通过 OVN 元数据/DHCP 端口获取其 IP 地址。

当前 L3 HA 调度程序没有考虑节点的优先级。因此，所有网关都由同一节点托管，且负载不会分布到候选节点。

在这个版本中，通过一种算法在调度网关路由器时选择最小载入的节点。网关端口现在被调度到至少载入网络节点，并在它们间平均分布负载。

当子端口重新分配给另一个虚拟机监控程序上的不同中继时，它不会更新其绑定信息，子端口也不会过渡到 ACTIVE。

在这个版本中，当子端口从中继中删除时清除绑定信息。现在，当子端口重新分配给位于不同虚拟机监控程序上的另一个中继端口时，子端口过渡到 ACTIVE。

python-os-brick

使用 iSCSI 发现时，节点启动配置从"automatic"重置为"默认"，这会导致重新启动时不会启动该服务。这个问题已通过在每次发现后恢复所有启动值来修复。

python-zaqar-tests-tempest

因为 tempest 插件集合在 Queens 周期中从 openstack-*-tests rpm 子软件包中提取，所以升级会遇到依赖项问题。但是，并非所有打包组合都有正确的 Provides 和 Obsolet。OSP 13 没有 -tests (unittest sub-rpms)。

当试图通过之前版本安装 -tests 进行升级时，会导致因为依赖项问题而失败。

为纠正此问题，他们从中提取的 -tests rpm 的旧版本 Obsoletes 已重新添加。

本节中所包括的错误已在 RHSA-2018:2214 公告中解决。有关此公告的详情请点击以下链接 ：https://access.redhat.com/errata/RHSA-2018:2214.html。

openstack-tripleo-common

Ansible playbook 的日志现在包括提供部署、更新和升级期间操作时间的信息。

openstack-tripleo-heat-templates

在以前的版本中，overcloud 更新会因为 OpenDaylight 中的过时的缓存而失败。在这个版本中，OpenDaylight 会停止，在升级到新版本前会删除过时的缓存。级别 1 更新用于 OpenDaylight 部署。当前不支持 2 级更新。

在现有 overcloud 部署上启用 Octavia 作为成功报告，但 Octavia API 端点无法访问，因为 Controller 节点上的防火墙规则配置错误。

临时解决方案：

在所有控制器节点上，添加防火墙规则，并确保在 DROP 规则之前插入它们：

IPv4:
  # iptables -A INPUT -p tcp -m multiport --dports 9876 -m state --state NEW -m comment --comment "100 octavia_api_haproxy ipv4" -j ACCEPT
  # iptables -A INPUT -p tcp -m multiport --dports 13876 -m state --state NEW -m comment --comment "100 octavia_api_haproxy_ssl ipv4" -j ACCEPT
  # iptables -A INPUT -p tcp -m multiport --dports 9876,13876 -m state --state NEW -m comment --comment "120 octavia_api ipv4" -j ACCEPT

IPv6:
  # ip6tables -A INPUT -p tcp -m multiport --dports 9876 -m state --state NEW -m comment --comment "100 octavia_api_haproxy ipv6" -j ACCEPT
  # ip6tables -A INPUT -p tcp -m multiport --dports 13876 -m state --state NEW -m comment --comment "100 octavia_api_haproxy_ssl ipv6" -j ACCEPT
  # ip6tables -A INPUT -p tcp -m multiport --dports 9876,13876 -m state --state NEW -m comment --comment "120 octavia_api ipv6" -j ACCEPT

重启 HAProxy：

  # docker restart haproxy-bundle-docker-0

OpenDaylight 日志记录可能缺少以前的日志。这是 OpenDaylight journald 日志记录的一个已知问题（使用 "docker logs opendaylght_api" 命令）。当前的一个临时解决方案是将 OpenDaylight 日志记录切换为 "file" 机制，该机制会将容器内的 /opt/opendaylight/data/logs/karaf.log 记录到 /opt/opendaylight/data/logs/karaf.log。为此，请配置以下 heat 参数：OpenDaylightLogMechanism: 'file'。

针对现有 overcloud 重新运行 overcloud deploy 命令无法触发任何 pacemaker 管理的资源的重启。例如，在向 haproxy 添加新服务时，haproxy 不会重启，从而导致新配置的服务不可用，直到手动重启 haproxy pacemaker 资源。

在这个版本中，会检测到任何 pacemaker 资源的配置更改，pacemaker 资源会自动重启。然后反映在 overcloud 中，pacemaker 受管资源的配置中的所有更改都会反映出。

在次要更新工作流中的服务部署任务被运行两次，从而导致了 playbook 列表中的多余条目。在这个版本中，删除了混杂的 playbook 条目，并直接将主机准备任务包含在更新的 playbook 中。次要版本更新中的操作按所需顺序运行一次。

在以前的版本中，用于在预置备服务器上部署 overcloud 的 heat 模板中没有 UpgradeInitCommonCommand 参数。'openstack overcloud upgrade prepare' 命令不会执行所有必要的操作，这会导致在某些环境中升级过程中出现问题。

在这个版本中，将 UpgradeInitCommonCommand 添加到用于预置备服务器的模板，允许 'openstack overcloud upgrade prepare' 命令执行必要的操作。

为增强安全性，默认的 OpenDaylightPassword "admin" 现在由一个随机生成的 16 位数字替代。您可以通过在 heat 模板中指定密码来覆盖随机生成的密码：

$ cat odl_password.yaml
parameter_defaults:
  OpenDaylightPassword: admin

然后，将文件传递给 overcloud 部署命令：

openstack overcloud deploy <other env files> -e odl_password.yaml

puppet-opendaylight

在以前的版本中，Karaf shell ( OpenDaylight 的管理 shell)不绑定到端口 8101 上的特定 IP，从而导致 Karaf shell 侦听面向公共的外部网络。这会造成安全漏洞，因为外部网络可用于访问端口上的 OpenDaylight。

在这个版本中，在部署期间将 Karaf shell 绑定到内部 API 网络 IP，这使得 Karaf shell 只能在专用内部 API 网络上访问。

本节中所包括的错误已在 RHBA-2018:2215 公告中解决。有关此公告的详情请点击以下链接 ：https://access.redhat.com/errata/RHBA-2018:2215.html。

OpenDaylight

当实例没有浮动 IP 地址访问另一个路由器上的浮动 IP 时，多个子网的 nova 实例之间的第 3 层连接可能会失败。当 nova 实例分散到多个计算节点时，会出现这种情况。这个问题还没有适当的临时解决方案。

在部署过程中，一个或多个 OpenDaylight 实例可能会因为功能加载错误而无法正确启动。这可能会导致部署或功能失败。

当部署通过时，三个 OpenDaylight 实例必须只有两个可以正常工作，才能成功进行部署。第三个 OpenDaylight 实例可能会错误地启动。使用 docker ps 命令检查每个容器的健康状况。如果不健康，请使用 docker restart opendaylight_api 重启容器。

当部署失败时，唯一的选项是重启部署。对于基于 TLS 的部署，所有 OpenDaylight 实例都必须正确引导或部署将失败。

在 NAT 设置过程中，创建FibEntry 中缺少的参数会生成 Null Pointer Exception (NPE)。这个错误可能会导致路由表中缺少 FIB 条目，从而导致 NAT 或路由失败。在这个版本中，在 RPC 调用中添加了正确的参数。OpenDaylight 日志中不再看到 NPE，且 NAT 和路由功能可以正常工作。

当在没有 VLAN 网络中任何端口的节点上选择了 NAPT 开关时，则不需要的所有流。对于网络没有浮动 IP 地址的所有虚拟机，外部连接会失败。在这个版本中，为作为路由器一部分的 VLAN 的 NAPT 切换中添加了一个伪端口，以创建 VLAN 空间。外部连接适用于没有浮动 IP 地址的虚拟机。

一个竞争条件会导致 Open vSwitch 没有连接到 Opendaylight openflowplugin。目前，针对此产品的 13.z 版本实施了一个修复程序。

当路由器网关被清除后，不会删除与学习 IP 地址相关的 3 层流。学到的 IP 地址包括 PNF 和外部网关 IP 地址。这会造成过时的流，但无法正常工作问题。外部网关和 IP 地址不会频繁更改。删除外部网络时，会删除过时的流。

openstack-neutron

为 neutron OVS 代理添加了一个名为 bridge_mac_table_size 的新配置选项。这个值设置为由 openvswitch-neutron-agent 管理的每个网桥上的 "other_config:mac-table-size" 选项。值控制可以在网桥上学习的最大 MAC 地址数。这个新选项的默认值为 50,000，大多数系统应该足够。OVS 将强制在合理范围之外的值(10 到 1000,000)

python-networking-odl

Neutron 可能会出现错误声明，用于 Neutron 路由器创建配额超过。存在一个已知问题：由于 networking-odl 错误，在 Neutron DB 中使用单一创建请求来创建多个路由器资源。造成此问题的解决方法是，使用 OpenStack Neutron CLI 删除重复的路由器，然后再次创建路由器，从而产生单个实例。

python-networking-ovn

当 OVSDB 服务器切换到其他控制器节点时，来自 neutron-server/metadata-agent 的重新连接不会发生，因为它们没有检测到这个条件。

因此，引导虚拟机可能无法作为 metadata-agent 置备新的元数据命名空间，集群不会如预期执行。

可能的解决方法是，在将新控制器提升为 OVN 数据库的 master 后，重启所有计算节点中的 ovn_metadata_agent 容器。另外，将 plugin.ini 上的 ovsdb_probe_interval 增加到 600000 毫秒。

如果没有为子网设置 'dns_nameservers' 字段，附加到子网的虚拟机具有空的 /etc/resolv.conf。在这个版本中，neutron-server 从其运行的主机的 /etc/resolv.conf 获取 DNS 解析器，并将其用作租户虚拟机的默认 dns_nameservers。

本节中所包括的错误已在 RHBA-2018:2573 公告中解决。有关此公告的详情请点击以下链接 ：https://access.redhat.com/errata/RHBA-2018:2573

openstack-kuryr-kubernetes

控制器不支持 Nodeport 服务，用户不应该创建它们。尽管，Nodeport 服务在某些配置中存在，其存在，其存在会导致控制器崩溃。为了防止这种崩溃，控制器现在会忽略 Nodeport 服务。

openstack-manila

在这个版本中，增加了对使用 Manila IPv6 导出位置和带有 Dell-EMC Unity 和 VNX 后端的访问规则的支持。

openstack-manila-ui

manila-ui 插件的配置文件不会被复制。因此，manila 面板不会在仪表板上显示。现在，提供了将 manila-ui 复制到所需位置的所有配置文件的说明。用户启用仪表板时可见 manila 面板。

openvswitch

OVN 端口的创建时间会随着端口的创建而增长。现在，无论云中的端口数量如何，创建时间都会保持恒定状态。

python-eventlet

python-eventlet UDP 地址处理中存在一个问题，在某些情况下会导致一些 IPv6 地址被错误地处理。因此，当通过 UDP 接收 DNS 响应时，python-eventlet 会忽略这个响应，并在几秒内都严重影响性能。这个问题现已解决。

由于事件造成的错误，没有配置任何名称服务器的系统（或无法配置命名服务者）的系统，且仅在主机文件上依赖主机文件进行名称解析在引导实例时达到延迟。这是因为即使只指定了 IPv4 主机，也会尝试解析 IPv6 条目。在这个版本中，如果主机文件中至少有其中一个条目，eventlet 会立即返回，而不试图使用网络解析。

python-oslo-policy

在以前的版本中，每次在 neutron 中进行策略检查时，策略文件会被重新载入并重新评估。对于非管理员用户，对策略文件的重新评估会大大减慢 API 操作速度。在这个版本中，策略文件的状态会被保存，因此仅当规则有变化时，文件才会重新加载。非管理员用户的 Neutron API 操作很快得到解决。

python-proliantutils

由于在 HP Gen10 服务器上创建多个 Sushy 对象的问题，因此 HPE Gen10 服务器没有在使用 id /redfish/v1/Systems/1 访问系统时提供一致的响应。Sushy 对象创建时使用基于会话的身份验证（这是 Sushy 中的默认身份验证方法）。这可解决电源请求问题。

当 ironic-dbsync 实用程序试图加载 ironic 驱动程序以及导入 proliantutils.ilo 客户端模块的驱动时，proliantutils 库会尝试载入所有 pysnmp MIBs。如果 ironic-dbsync 进程驻留在一个不可读取的 CWD 中，则当试图在 CWD 中搜索 MIBs 时，pysnmp 会失败。这会导致在部署的 ironic-dbsync.log 中出现以下出错信息： 无法加载经典驱动程序 fake_drac： MIB file pysnmp_mibs/CPQIDA-MIB.pyc access error: [Errno 13] Permission denied: 'pysnmp_mibs': MibLoadError: MIB file pysnmp_mibs/CPQIDA-MIB.pyc access error: [Errno 13] Permission denied: 'pysnmp_mibs' An update to proliantutils 可确保 pysnmp 没有加载模块导入的所有 MIBs。这可避免发生在应用程序明确请求前尝试 MIB 搜索的情况。

rhosp-release

当删除旧的镜像软件包时，post 脚本有时有时会错误地更新镜像软件包的符号链接。脚本程序已更新，以调用可用于修复符号链接的脚本。

本节中所包括的错误已在 RHBA-2018:2574 公告中解决。有关此公告的详情请点击以下链接 ：https://access.redhat.com/errata/RHBA-2018:2574

instack-undercloud

当 overcloud 处于 Failed 状态时，Red Hat OpenStack undercloud 升级会失败。当尝试迁移 overcloud 堆栈以便在升级过程的 post-configuration 步骤中使用聚合架构时，它会失败并带有 cryptic 错误。现在，它会失败，且不允许 undercloud 升级继续进行。用户在 undercloud 升级开始时收到错误。用户必须确保 overcloud 处于 *_COMPLETE 状态，然后才能进行 undercloud 升级。

在以前的版本中，当参数 local_mtu 设置为 1900 且在 undercloud.conf 中指定时，undercloud 安装会失败。如果 local_mtu 的值大于 1500，undercloud 安装会失败。将 global_physnet_mtu 设置为 local_mtu。当 local_mtu 的值大于 1500 时，undercloud 安装成功。

有时，在安装过程中启用了 SSL 的 undercloud 失败，并显示以下错误： ERROR: epmd 错误。发生故障的原因是，Keepalived 在 rabbitmq 之后由 keepalived 配置与主机名匹配的 VIP。确保在 rabbitmq 之前配置 keepalived。这可防止 undercloud 安装失败。

openstack-tripleo

为 DPDK 和 SR-IOV 环境重新测试和更新了从 RHOSP 10 升级到带有 NFV 的 RHOSP 13 的步骤。

openstack-tripleo-common

'openstack undercloud backup' 命令没有捕获扩展属性。这会导致 undercloud Swift 存储对象的元数据丢失，从而使它们无法使用。在这个版本中，在创建备份存档时添加了 '--xattrs' 标志。undercloud Swift 存储对象现在在备份过程中保留其扩展属性。

当 undercloud 从 instackenv.json 文件中导入裸机节点且配置了 UCS 驱动程序时，ironic 节点只在 pm_service_profile （或 ucs_service_profile）字段超过 ironic 配置中。这会导致只有一个这样的 ironic 节点在 ironic 配置中结束。对 openstack-tripleo-common 的更新可确保只有 pm_service_profile （或 ucs_service_profile）字段的 ironic 节点仍然被视为不同。所有仅在 pm_service_profile 或 ucs_service_profile 字段中不同的 ironic 节点都可以导入 ironic。

在部署 overcloud 之前，可以自动为集群创建 stonith 资源。在开始部署前，运行以下命令：openstack overcloud generate fencing --ipmi-lanplus --output /home/stack/fencing.yaml /home/stack/instackenv.json

然后，将 '-e /home/stack/fencing.yaml' 传递给 deploy 命令的参数列表。这会自动为集群创建所需的 stonith 资源。

Derived 参数工作流现在支持使用 SchedulerHints 来识别 overcloud 节点。在以前的版本中，工作流无法使用 SchedulerHints 来识别与对应的 TripleO overcloud 角色关联的 overcloud 节点。这会导致 overcloud 部署失败。SchedulerHints 支持会阻止这些失败。

OpenDaylight 的 docker 状况检查确保了在 OpenDaylight 中仅 REST 接口和 neutron NB 组件处于健康状态。状况检查不包括所有载入的 OpenDaylight 组件，因此并不准确。使用带有 docker healthcheck 的 diagstatus URI 检查所有载入的 OpenDaylight 组件。OpenDaylight Docker 容器健康状态现在更为准确。

openstack-tripleo-heat-templates

manila-share 服务容器无法从控制器主机 bind-mount PKI 信任存储。因此，使用 SSL 无法加密来自 manila-share 服务到存储后端的连接。将 PKI 信任存储从控制器主机绑定挂载到 manila-share 服务容器中。现在，可以使用 SSL 加密来自 manila-share 服务到存储后端的连接。

libvirtd live-migration 端口范围的更改可防止实时迁移失败。在以前的版本中，libvirtd live-migration 使用端口 49152 到 49215，如 qemu.conf 文件中指定。在 Linux 上，这个范围是临时端口范围 32768 到 61000 的子集。临时范围内的任何端口也可供任何其他服务使用。因此，实时迁移失败并显示错误：实时迁移失败：内部错误：无法找到范围 'migration'(49152-49215)未使用的端口。新的 libvirtd live-migration 范围 61152-61215 不在临时范围内。相关的故障不再发生。

在以前的版本中，当从 overcloud 节点中删除 ceph-osd 软件包时，不会删除对应的 Ceph 产品密钥。因此，subscription-manager 会错误地报告 ceph-osd 软件包仍然已安装。处理 ceph-osd 软件包移除的脚本现在也会移除对应的 Ceph 产品密钥。删除 ceph-osd 软件包和产品密钥的脚本仅在 overcloud 更新过程中执行。因此，subscription-manager 列表 不再报告安装了 Ceph OSD。

容器现在是默认的部署方法。仍有一种在 environments/baremetal-services.yaml 中部署 baremetal 服务的方法，但预计最终会消失。

引用环境/服务 docker 的资源 registry 的环境文件必须改为环境/服务路径。如果您需要保留任何已部署的裸机服务，请更新对环境/服务裸机的引用，而不是原始的放置环境/服务。

在以前的版本中，缺少为 Sahara 支持 Fast Forward Upgrade 路径的代码。因此，在从 10 升级到 13 后，不需要的所有更改都应用到 Sahara 服务。在这个版本中，这个问题已解决，在 Fast Forward Upgrade 后 Sahara 服务可以正常工作。

README 已添加到 /var/log/opendaylight 中，表示正确的 OpenDaylight 日志路径。

在 CephFS-NFS 驱动程序部署中，由 CephFS 支持的 NFS-Ganesha 服务器，执行由 libcephfs 客户端执行的 dentry、node 和 属性缓存。NFS-Ganesha 服务器的冗余缓存会导致内存占用量过大。它还会影响缓存一致性。关闭 NFS-Ganesha 服务器的索引节点、目录项和属性缓存。这可减少 NFS-Ganesha 服务器的内存占用量。缓存一致性问题会较小。

tripleo 的 capabilities-map.yaml 会在不正确的文件位置引用 Cinder 的 Netapp 后端。UI 使用 capabilities 映射，且无法访问 Cinder 的 Netapp 配置文件。capabilities-map.yaml 已被更新，用于指定 Cinder 的 Netapp 配置的正确位置。Cinder Netapp 后端功能的 UI 的属性选项卡可以正常工作。

Dell-EMC 存储系统(VNX、单元和 VMAX)的 Manila 配置清单带有不正确的配置选项。因此，使用 Dell Storage 系统的 overcloud 部署 manila-share 服务会失败。现在，Dell-EMC 存储系统的 Manila 配置清单(VNX、单元和 VMAX)已被修复。使用 Dell 存储系统的 manila-share 服务的 overcloud 部署成功完成。

如果在 undercloud 上手动启用 Telemetry，则 hardware.* 指标不起作用，因为每个节点上的防火墙错误配置也无法正常工作。作为临时解决方案，您需要为 undercloud 部署添加额外的模板，使用 control plane 网络手动设置 snmpd 子网，如下所示： parameter_defaults: SnmpdIpSubnet: 192.168.24.0/24

在非常罕见的发生时，从容器中出现以下错误日志失败： standard_init_linux.go:178: exec user 进程会导致 "text file busy"。为避免争用并避免部署失败，请不要同时尝试多次写入 docker-puppet.sh 文件。

当将参数 KernelDisableIPv6 设置为 true 来禁用 ipv6 时，部署会失败并显示 rabbitmq 错误，因为 Erlang Port Mapper Daemon 需要至少环回接口支持 IPv6 来正确初始化。要确保在禁用 ipv6 时部署成功，请不要在回环接口上禁用 IPv6。

Docker 使用 journald 后端根据大小滚动日志。这会导致删除一些旧的 OpenDaylight 日志。这个问题已通过移至文件而不是控制台（日志大小）和滚动（滚动）由 OpenDaylight 进行管理，从而解决了这个问题。因此，旧的日志会比以前较长的时间会被保留。

如果您将非标准端口用于 RabbitMQ 实例进行监控，则 sensu-client 容器会报告不健康的状态，因为不会反映容器健康检查中的端口值。端口值现在显示在容器健康检查中。

修正了清除已删除的数据库记录的默认年龄，以便从 Cinder 数据库清除已删除的记录。在以前的版本中，Cinder 的清除 cron 作业的 CinderCronDbPurgeAge 值使用错误，并且删除的记录在到达所需的默认年龄时不会从 Cinder 的 DB 中清除。

OSP 13 中的 TripleO Heat 模板中的 single-nic-vlans 网络模板包含 Ceph 节点的错误网桥名称。如果先前部署中使用了 single-nic-vlans 模板，在 Ceph 节点上，升级到 OSP 13 会失败。网桥名称 br-storage 现在用于 single-nic-vlans 模板的 Ceph 节点上，它与上一版本的网桥名称匹配。现在，在使用 single-nic-vlans 模板的环境上升级到 OSP 13 现已在 Ceph 节点上成功。

在以前的版本中，*NetName 参数（如 InternalApiNetName）更改了默认网络的名称。这不再被支持。要更改默认网络的名称，请使用自定义的可组合网络文件(network_data.yaml)，并使用 '-n' 选项将其包含在您的 'openstack overcloud deploy' 命令中。在这个文件中，将 "name_lower" 字段设置为您要更改的网络的自定义 net 名称。有关更多信息，请参阅高级 Overcloud 自定义指南中的"使用 Composable Networks"。另外，您需要为 ServiceNetMap 表添加本地参数到 network_environment.yaml，并将旧网络名称的所有默认值覆盖到新的自定义名称。您可以在 /usr/share/openstack-tripleo-heat-templates/network/service_net_map.j2.yaml 中找到默认值。在以后的 OSP-13 版本中将不需要修改 ServiceNetMap。

yaml-nic-config-2-script.py required interactive user input.对于自动化目的，无法以非互动的方式调用该脚本。现在，添加了一个 --yes 选项。yaml-nic-config-2-script.py 现在可以使用 --yes 选项调用，用户也不会要求提供交互式输入。

在以前的版本中，在环境文件中 fixed-ips-v6.yaml 的 Redis VIP 端口的设置中包括 tripleo-heat-templates 的一些版本。如果在 network-isolation-v6.yaml 后，如果部署命令行中包含 fixed-ips-v6.yaml 文件，则 Redis 服务被放置在 Control Plane 网络中，而不是正确的 IPv6 网络。在这个版本中，文件 environments/fixed-ips-v6.yaml 包含对 network/ports/vip_v6.yaml 的正确引用，而不是 network/ports/vip.yaml。fixedips-v6.yaml 环境文件包含正确的资源 registry 条目，无论包含的环境文件的顺序如何，都将使用 IPv6 地址创建 Redis VIP。

当 Cinder 服务从主机上运行迁移到在容器中运行时，tripleo 的 BlockStorage 角色不会被更新。在 BlockStorage 主机上部署的 cinder-volume 服务。BlockStorage 角色已更新，以在容器中部署 cinder-volume 服务。cinder-volume 服务在容器中正确运行。

具有 Manila 配置更改的 overcloud 更新无法将这些更改部署到容器化 Manila 共享服务。在这个版本中，更改部署会成功。

使用 /var/lib/nova/instances 的共享存储（如 nfs），重启任何计算节点上的 nova_compute 会导致实例虚拟磁盘和 console.log 实例更改。因此，实例将无法访问其虚拟磁盘和停止工作。改进了修改 /var/lib/nova/instances 中的实例文件所有权的脚本。现在，在重启 nova 计算时，无法访问实例文件。

用于部署 Cinder 的 Netapp 后端的 TripleO 环境文件已过时，其中包含了不正确的数据。这会导致 overcloud 部署失败。Cinder Netapp 环境文件已更新，现在正确。现在，您可以使用 Cinder Netapp 后端部署 overcloud。

在以前的版本中，libvirtd live-migration 使用端口 49152 到 49215，如 qemu.conf 文件中指定。在 Linux 上，这个范围是临时端口范围 32768 到 61000 的子集。临时范围内的任何端口也可供任何其他服务使用。因此，实时迁移失败并显示错误：实时迁移失败：内部错误：无法找到范围 'migration'(49152-49215)未使用的端口。新的 libvirtd live-migration 范围为 61152 到 61215。不在临时范围内。

在以前的版本中，如果 nic 配置模板包含空行，后跟以逗号开头的行，则 yaml-nic-config-2-script.py 不会重置下行的开始列。脚本转换的 nic 配置模板无效，并导致部署失败。在这个版本中，当检测到空白行时，脚本可以正确地设置列的值。带有空白行的脚本（后面带有逗号的行）将正确转换。

puppet-nova

Nova 的 libvirt 驱动程序现在允许在配置 CPU 模型时指定粒度 CPU 功能标志。其中一个好处是，在应用程序"Meltdown" CVE 修复后，在具有特定基于 Intel 的虚拟 CPU 型号运行的客户机中，性能降级存在的一个好处。通过将 CPU 功能标记("Process-Context ID")公开给 客户机 CPU 来降低此客户机 性能影响，假设 PCID 标志可在物理硬件本身中可用。这个更改删除了只有 'PCID' 作为唯一 CPU 功能标记的限制，并允许添加和删除多个 CPU 标记，从而对其他用例进行修改。如需更多信息，请参阅 nova.conf 中的 [libvirt]/cpu_model_extra_flags 的文档。

puppet-opendaylight

OpenDaylight 定期轮询 OpenFlow (OF)统计数据。这些统计数据当前没有被使用。这会影响 OpenDaylight 性能。您可以禁用 OF 统计的轮询来提高 OpenDaylight 性能。

puppet-tripleo

实例 HA 部署因为竞争条件而失败，生成错误：error: unable to get cib。竞争结果是 Pacemaker 集群完全启动前在计算节点上设置的 pacemaker 属性结果，因此会失败并显示 'unable to get cib' 错误。在这个版本中，在使用 IHA 时，部署不会出现任何错误。

在以前的版本中，如果您在堆栈名称中使用大写字母，部署会失败。在这个版本中，确保了带有大写字母的堆栈名称会导致部署成功。特别是，容器中的 bootstrap_host 脚本现在可将字符串转换为小写，而 pacemaker 属性也是如此。

添加了容器化 logrotate 服务的压缩选项，以压缩轮转的日志。delaycompress 选项可确保第一次轮转日志文件保持未压缩。

在以前的版本中，为 Cinder 的 Netapp 后端配置空字符串值会导致 Cinder 驱动程序无效的配置，从而导致 Cinder 的 Netapp 后端驱动程序在初始化过程中失败。在这个版本中，弃用的 Netapp 参数的空字符串值转换为有效的 Netapp 驱动程序配置。因此，Cinder 的 Netapp 后端驱动程序可以成功初始化。

在以前的版本中，Cinder Netapp 后端忽略了 CinderNetappNfsMountOptions TripleO Heat 参数，该参数阻止通过 TripleO Heat 参数配置 Netapp NFS 挂载选项。负责处理 Cinder 的 Netapp 配置的代码不再忽略 CinderNetappNfsMountOptions 参数。CinderNetappNfsMountOptions 参数可以正确地配置 Cinder 的 Netapp NFS 挂载选项。

在版本升级过程中，Cinder 的数据库备份现在仅在 bootstrap 节点上执行。这可防止在所有 Controller 节点上执行数据库同步和升级失败。

本节中所包括的错误已在 RHBA-2018:3587 公告中解决。有关此公告的详情请点击以下链接 ：https://access.redhat.com/errata/RHBA-2018:3587

instack-undercloud

有些硬件在收到 IPMI bootdev 命令时以意外方式更改引导设备排序。这可能会阻止节点引导正确的 NIC，或阻止 PXE 引导时启动。此发行版本为 "ipmi" 驱动程序引入了一个新的 "noop" 管理界面。在使用时，不会发出 bootdev 命令，而是使用当前的引导顺序。节点必须配置为尝试从正确的 NIC 进行 PXE 引导，然后回退到本地硬盘驱动器。这个更改可确保预先配置的引导顺序与新的管理界面保持一致。

在以前的版本中，undercloud hieradata 覆盖可用于使用类似 overcloud 的 <service>::config 选项来调优某些服务配置。但是，所有部署的 OpenStack 服务都不提供此功能。在这个版本中，任何目前不可用的配置值都可以通过 <service>::config hieradata 进行更新。

openstack-tripleo-common

从 Red Hat OpenStack Platform 12 升级到 13 时，将删除 ceph-osd 软件包。软件包移除会停止正在运行的 OSD，尽管它们在容器中运行，不应也不需要 软件包。此发行版本删除了在升级期间删除软件包的 playbook，而且 Ceph OSD 不会在升级过程中意外停止。

当 OpenStack 更新和/或升级时，director 将最新的 amphora 镜像上传到 glance。最新的 amphora 镜像确保 amphora 实例使用最新的通用程序错误和安全修复运行，而不仅适用于 Octavia 代理修复，也用于操作系统修复。

在这个版本中，使用最新的 amphora 镜像创建新并重新创建实例。之前的 amphora 镜像将保留在 glance 中，并重命名为将时间戳包含在后缀中。

openstack-tripleo-heat-templates

连接到 publicURL Keystone 端点的实例 HA 脚本之一。现在默认移到 internalURL 端点。另外，Operator 可以通过 nova.conf 中的 '[placement]/valid_interfaces' 配置入口点来覆盖它。

在以前的版本中，缺少在线数据迁移的触发器。在升级到 OSP 13 后，overcloud 中的 nova、cinder 和 ironic 的在线数据迁移不会自动运行，这强制手动临时解决方案。此发行版本为在线数据迁移添加触发器逻辑。在升级到 OSP 13 时，openstack overcloud 升级聚合 命令过程中触发在线数据迁移。

在之前的版本中，您可以通过 nova::compute::libvirt::rx_queue_size/nova::compute::libvirt::libvirt_size 设置 RX/TX 队列大小。但是，没有专用的 TripleO heat 模板参数。在这个版本中，可在角色基础中设置 RX/TX 队列大小，如下所示：

parameter_defaults: ComputeParameters: NovaLibvirtRxQueueSize: 1024 NovaLibvirtTxQueueSize: 1024

结果是使用新参数设置的 rx_queue_size/tx_queue_size。

要将 MTU 设置为 OSPD 的一部分，这个版本会将 neutron::plugins::ml2::physical_network_mtus 添加为 heat 模板中的 NeutronML2PhysicalNetworkMtus，以在 ml2 插件中启用 MTU。Neutron::plugins::ml2::physical_network_mtus 根据 TripleO heat 模板中的值来设置。

在以前的版本中，检查 Docker 守护进程是否需要重启的条件太严格。因此，每当 Docker 配置发生变化或更新 Docker RPM 时，Docker 守护进程和所有容器都会重启。在这个版本中，条件会被放宽，以防止不必要的容器重启。将"实时恢复"功能用于配置更改，以确保 Docker 守护进程和所有容器在 Docker RPM 更新时重新启动，但不会在 Docker 配置更改时重启。

在重新部署期间，可以无须重启多个容器，即使没有任何配置更改。这是因为在配置文件的 md5 计算中包含太多不需要的文件。在这个版本中，重新部署不会触发错误的容器重启。

TripleO CinderNetappBackendName 参数无法正确覆盖 cinder 的 Netapp 后端的默认值。因此，与 cinder 的 Netapp 后端关联的名称不能被覆盖。在这个版本中，CinderNetappBackendName 参数可以正确地覆盖默认的后端名称。

puppet-cinder

一些配置设置已从 cinder 中删除，但对应的参数不会从负责设置 cinder 的配置设置的 TripleO Puppet 模块中删除。因此，无效的 cinder 配置设置被添加到 cinder.conf 中。在这个版本中，Puppet 模块已被更新，以防止将过时的设置添加到 cinder.conf 中。

puppet-tripleo

在系统关闭过程中发生 rhel-plugin-push.service 和 Docker 服务之间的故障交互，这会导致控制器长时间重启。在这个版本中，为这两个服务强制进行正确的关闭排序。现在重启控制器需要较少的时间。

在部署期间，OVS 交换机可能配置了不正确的 OpenFlow 控制器端口(6640，而不是 6653，用于三个控制器的两个)。这会导致部署失败，或者稍后部署的功能失败，其中将不正确的流编程成交换机。此发行版本会正确地为每个 OVS 交换机将所有 OpenFlow 控制器端口设置为 6653。所有 OVS 交换机都具有正确的 OpenFlow 控制器配置，它由三个 URI 组成，每个 OpenDaylight 使用端口 6653。

当从集群中移除单个 OpenDaylight 实例时，这会将实例移到隔离状态，这意味着不再对传入请求执行。HA 代理仍然对隔离的 OpenDaylight 实例进行负载均衡，这可能会导致 OpenStack 网络命令失败或无法正常工作。HA Proxy 现在将隔离的 OpenDaylight 实例检测到为不健康状态。HA Proxy 不会将请求转发到隔离的 OpenDaylight。

python-os-brick

在某些情况下，负责扫描 FibreChannel HBA 主机的 os-brick 代码可能会返回无效的值。无效的值将导致 cinder 和 nova 等服务失败。在这个版本中，FibreChannel HBA 扫描代码总是返回一个有效值。在扫描 FibreChannel HBA 主机时，Cinder 和 nova 不再崩溃。

在多路径连接中，设备在断开连接时单独清除所有路径。在某些情况下，单个设备中的故障会错误地防止断开连接。在这个版本中，单个路径不再刷新，因为多路径已经确保在远程设备上写入缓冲的数据。现在，只有在实际丢失数据时，断开连接才会失败。

在有些情况下，multipathd 显示状态 不会因为应该返回错误代码，因此我们现在会检查 stdout 作为这个问题的一个临时解决方案，以便正确检测到 multipathd 处于错误状态。

在之前的发行版本中，当一个 iSCSI 路径在迁移启动期间的一个缩小时，卷迁移会失败（带有 VolumePathNotRemoved 错误）。此发行版本解决了这个问题，方法是扩展超时时间以验证卷删除。

iSCSI 设备检测根据重新扫描时间检查是否存在设备。在扫描间可用的设备未探测到。在这个版本中，搜索和重新扫描是独立的操作，它会以不同的节奏进行操作，每秒钟的检查会发生。

python-tripleoclient

在之前的版本中，如果您通过 deploy 命令行的 '-p' 选项（如 mysql、horizon、pcsd 等）在重新部署期间将重置为部署命令行的 '-p' 选项（如 mysql、horizon、pcsd 等）的定制计划。这会导致重新部署失败。在这个版本中，自定义计划不会触发设置新密码。

本节中所包括的错误已在 RHBA-2019:0068 公告中解决。有关此公告的详情请点击以下链接 ：https://access.redhat.com/errata/RHBA-2019:0068

openstack-tripleo-common

在以前的版本中，当您从 undercloud 更新节点时，capabilities 字段值并不总是转换为字符串值类型。在这个版本中，在节点更新过程中，'capabilities 字段总是转换为字符串值类型。

openstack-tripleo-heat-templates

此功能增强添加了 NeutronOVSTunnelCsum 参数，它可让您在 heat 模板中配置 neutron::agents::ml2::ovs::tunnel_csum。此参数设置或删除 OVS 代理中传输 IP 数据包的 GRE/VXLAN 隧道上的隧道标头校验和。

在替换 Controller 过程中不会重新创建 OpenDaylight (ODL)配置文件，这会导致更新失败。在这个版本中，从主机卸载 /opt/opendaylight/data，这会导致在重新部署过程中重新创建配置文件。

在以前的版本中，OpenStack Platform Director 没有为块存储(Cinder)配置身份验证来访问使用 Nova 特权 API 的卷。这会导致对那些卷（如迁移使用卷）的操作失败。

此程序错误修复添加了使用 Nova 身份验证数据配置 Cinder 的功能，这允许您使用这些凭证对使用特权 API 的卷执行操作。

在升级到使用 Ironic 的容器化部署过程中，TFTP 服务器没有正确关闭，这会导致升级失败。在这个版本中，可以修正 TFTP 服务器的关闭过程，因此服务器现在可以侦听端口，升级可以成功完成。

在以前的版本中，来自 ODL 的 Open vSwitch 的不活跃探测器对于大型部署不足，这会导致 ODL L2 代理在不活跃时间过后显示为离线。

此程序错误修复提高了默认的不活跃探测计时器持续时间，并添加了使用 OpenDaylightInactivityProbe heat 参数在 Director 中配置计时器的功能。默认值为 180 秒。

RabbitMQ 容器的 Pacemaker 日志文件的位置没有设置为正确的位置，这会导致在 /var/log/secure 中创建不必要的日志文件。在这个版本中，在 RabbitMQ 容器开始时添加了 /var/log/btmp 路径挂载，这可让 Pacemaker 在正确的位置创建日志。

此功能增加了配置 Cinder Dell EMC StorageCenter 驱动程序的功能，以将多路径用于 volume-to-image 和 image-to-volume 传输。该功能包括一个新的参数 CinderDellScMultipathXfer，默认值为 True。启用多路径转让可以减少卷和镜像之间的数据传输总时间。

此功能添加一个新参数 NovaLibvirtVolumeUseMultipath (boolean)，这会在 Compute 节点的 nova.conf 文件中设置多路径配置参数 libvirt/volume_use_multipath。可以为每个 Compute 角色设置此参数。默认值为 False。

此功能添加了参数 NovaSchedulerWorkers，它允许您为各个调度程序节点配置多个 nova-schedule worker。默认值为 1。

在以前的版本中，与 LVM 卷组关联的回环设备不会在重启 Controller 节点后始终重启。这可以防止 iSCSI Cinder 后端使用的 LVM 卷组在重启后保留，并阻止创建新卷。

在这个版本中，在重新引导 Controller 节点后，回环设备会被恢复，且 LVM 卷组可以被节点访问。

在这个版本中，在 Erlang 虚拟机中添加了 RabbitAdditionalErlArgs 参数，它允许您为虚拟机定义自定义参数。默认参数为 +sbwt none，如果没有额外的操作，则指示 Erlang 线程处于睡眠状态。如需更多信息，请参阅 Erlang 文档 ：http://erlang.org/doc/man/erl.html#+sbwt

openstack-tripleo-heat-templates-compat

在以前的版本中，从 OpenStack 12 模板部署时，OpenStack 13 Director 没有设置正确的 Ceph 版本。这会导致 overcloud 部署失败。

此程序错误修复将 Ceph 版本设置为 Jewel，并允许从 OpenStack 12 模板正确部署。

puppet-opendaylight

此功能添加了对在 IPv6 地址上部署 OpenDaylight (ODL)的支持。

本节中所包括的错误已在 RHBA-2019:0448 公告中解决。有关此公告的详情请点击以下链接 ：https://access.redhat.com/errata/RHBA-2019:0448

openstack-tripleo-common

这个程序错误是由 dmidecode 3.1 或更高版本返回的 dmidecode 3.1 或更高版本（小写）的更新版本造成的。因此，在此版本前，部署有每个节点 ceph-ansible 自定义的系统可能会破坏 UUID 大小写不匹配并导致部署失败。在这个版本中，更新了 openstack-tripleo-common 软件包，以接受大写或小写的 UUID。在 dmidecode 输出强制小写使代码不区分大小写。

openstack-tripleo-heat-templates

在以前的版本中，Octavia Health Manager 不会因为防火墙丢弃数据包而从 amphorae 接收心跳信息。因此，Octavia 可组合角色部署上的负载均衡器的 operating_status 不会改为 ONLINE。

在这个版本中，Octavia 可组合角色部署的负载均衡器可以成功更改为 ONLINE 操作状态。

在这个版本中，您可以使用以下参数为后端成员和 frontend 客户端设置默认的 Octavia 超时：

所有这些参数的值都以毫秒为单位。

在以前的版本中，主机上不可见容器化 OpenStack 服务的 iSCSI 连接。因此，主机必须在关闭过程中关闭所有 iSCSI 连接。当主机终止这些 iSCSI 连接并且主机无法终止 hOpenStack 连接时，关闭序列挂起，因为主机上没有看到连接信息。

在这个版本中，在主机上可以看到创建 iSCSI 连接的容器化服务连接信息，关闭序列不再挂起。

在这个版本中，OpenDaylight 次要更新包含在 Red Hat OpenStack Platform 次要更新工作流中。

在这个版本中，使用 OpenDaylight 作为后端的 Red Hat OpenStack Platform 环境中的 Compute 节点可以成功扩展。

在以前的版本中，重新部署后 ODL 配置文件缺失。

在这个版本中，/opt/opendaylight/data 不再挂载到主机上。因此，ODL 配置文件会在重新部署过程中生成。

在以前的版本中，rabbitmq pacemaker 捆绑包会在正常操作过程中被过度记录。

在这个版本中，rabbitmq 捆绑包不再过于日志。特别是，rabbitmq 捆绑包不会记录一个有害的错误 失败以连接到系统总线： No such file or directory。

openstack-tripleo-image-elements

在这个版本中，您可以在 UEFI 模式中引导整个安全强化的镜像。

puppet-opendaylight

在以前的版本中，OpenDaylight 打包使用默认的 OpenDaylight log_pattern 值，并包含 PaxOsgi 附加程序。这些默认值并非始终适合每个部署，因此最好配置自定义值。

在这个版本中，puppet-opendaylight 有两个额外的配置变量：

1） log_pattern: 使用此变量配置您希望用于 OpenDaylight 日志记录器 log4j2 的日志模式。

2） enable_paxosgi_appender ：使用此布尔标记启用或禁用 PaxOsgi 附加程序。

Puppet-opendaylight 还修改 OpenDaylight 默认值。使用 puppet-opendaylight 的部署具有新的默认值：

puppet-tripleo

在以前的版本中，当使用 BlockStorage 角色部署 Overcloud 时，部署可能会失败，并在属于 BlockStorage 角色的节点上设置 pacemaker 属性。

在这个版本中，pacemaker 管理的 cinder-volume 资源仅在 pacemaker 管理的节点上启动。因此，使用 BlockStorage 角色的 Overcloud 部署可以成功。

本节中所包括的错误已在 RHBA-2021:2385 公告中解决。有关此公告的详情请点击以下链接 ：https://access.redhat.com/errata/RHBA-2021:2385

openstack-cinder component

在此次更新之前，当块存储服务(cinder) API 响应丢失时，NetApp SolidFire 后端创建了未使用的重复卷。

在这个版本中，对 SolidFire 驱动程序的补丁首先检查卷名称是否已存在，然后再尝试创建它。补丁还会在检测到读取超时后立即检查卷创建，并防止 API 调用无效。(BZ#1914590)

在此次更新之前，当使用块存储服务(cinder)从 HP3Par 存储后端服务器的快照中创建大量实例（可引导卷）时，会发生超时。HP 变量(convert_to_base)设置为 true，这会导致 HP3Par 创建原始卷的厚卷。这是一个不必要的操作，不需要的操作。

在这个版本中，较新的 HP 驱动程序(4.0.11)已向后移植到 RHOSP 13 中，其中包含新的 spec：

hpe3par:convert_to_base=True | False

cinder type-key <volume-type-name-or-ID> set hpe3par:convert_to_base=False | True

$ cinder type-key myVolType set hpe3par:convert_to_base=False
$ cinder create --name v1 --volume-type myVolType 10
$ cinder snapshot-create --name s1 v1
$ cinder snapshot-list
$ cinder create --snapshot-id <snap_id> --volume-type myVolType --name v2 10

在此次更新之前，块存储服务(cinder)的 NetApp SolidFire 后端的 API 调用可能会失败，并显示 xNotPrimary 错误。当当 SolidFire 自动移动连接以重新平衡集群工作负载时，会出现此类错误。

在这个版本中，SolidFire driver patch 把 xNotPrimary 例外添加到可以重试的例外列表中。(BZ#1888417)

在此次更新之前，用户在某些环境中遇到超时，大在卷过大时。这些多字节卷通常遇到涉及 SolidFire 集群的网络性能或升级问题。

在这个版本中，在 SolidFire 驱动程序中添加了两个超时设置，允许用户为其环境设置适当的超时。(BZ#1888469)

openstack-tripleo-heat-templates

此功能增强允许您覆盖部署 overcloud 时角色的编排服务(heat)参数 ServiceNetMap。

在使用 TLS-everywhere 处使用 TLS-everywhere 的 spine-leaf (edge)部署时，当用于在角色上映射网络时，hiera interpolation 存在问题。覆盖每个角色的 ServiceNetMap 解决了在某些 TLS-everywhere 部署过程中看到的问题，提供更简单的接口，并替换了更复杂的 hiera interpolation 的需求。(BZ#1875508)

块存储备份服务有时会需要访问主机上运行该服务的容器中无法使用的文件。此功能增强添加了 CinderBackupOptVolumes 参数，您可以使用它来为块存储备份服务指定额外的容器卷挂载。(BZ#1924727)

puppet-tripleo

在此次更新之前，Service Telemetry Framework (STF)客户端无法连接到 STF 服务器，因为最新版本的 Red Hat AMQ Interconnect 不允许没有 CA 证书的 TLS 连接。

在这个版本中，通过提供新的编排服务(heat)参数, MetricsQdrSSLProfiles 来解决这个问题。

要获取 Red Hat OpenShift TLS 证书，请输入以下命令：

$ oc get secrets
$ oc get secret/default-interconnect-selfsigned -o jsonpath='{.data.ca\.crt}' | base64 -d

将 MetricsQdrSSLProfile 参数与 Red Hat OpenShift TLS 证书的内容添加到自定义环境文件：

MetricsQdrSSLProfiles:
    -   name: sslProfile
        caCertFileContent: |
           -----BEGIN CERTIFICATE-----
           ...
           TOpbgNlPcz0sIoNK3Be0jUcYHVMPKGMR2kk=
           -----END CERTIFICATE-----

然后，使用 openstack overcloud deploy 命令重新部署 overcloud。(BZ#1934440)

python-os-brick

在此次更新之前，当计算服务(nova)对块存储服务(cinder)发出 终止连接 调用时，单一和多路径设备不会被清除，因此数据丢失风险，因为这些设备处于 保留 状态。

造成此问题的原因是，os-brick disconnect_volume 代码假定 use_multipath 参数的值与原始 connect_volume 调用中使用的连接器的值相同。

在这个版本中，块存储服务会改变其执行断开连接的方式。现在，当附加到实例的卷的 Compute 服务中的多路径配置改变时，os-brick 代码可以正确地清除和分离卷。(BZ#1943181)