第 2 章 主要新功能

本节介绍了这个 Red Hat OpenStack Platform 发行版本中包括的主要新功能。

2.1. Red Hat OpenStack Platform Director

本节概述了 director 的主要新功能。

快进升级
director 通过提供了跨多个版本的快进升级方法,尤其是从 Red Hat OpenStack Platform 10 升级至 Red Hat OpenStack Platform 13。这是为了让用户能够继续使用某个被视为长生命版本的 OpenStack 版本,并在下一个长生命版本发布时进行升级。相关完整说明可在 Fast Forward Upgrades 指南中找到
L3 路由骨干/分支网络
director 能为置备和内省功能定义多个网络。如将这一功能与可组合网络搭配使用,用户便可为 overcloud 置备和配置完整的 L3 路由骨干/分支架构。相关完整说明可在 Spine Leaf Networking 指南中找到
Red Hat Virtualization 驱动
Director OpenStack Bare Metal (ironic) 服务包含用于管理 Red Hat Virtualization 环境中的虚拟节点的驱动。这个驱动允许 Director 使用 Red Hat Virtualization 中部署的 Controller 节点来置备和支持 overcloud。有关新的虚拟化功能的更多信息,请参阅 Virtualize your OpenStack control plane with Red Hat Virtualization and Red Hat OpenStack Platform 13

2.2. 容器

本节概述了 Red Hat OpenStack Platform 中用于实现容器化的主要新功能。

完全容器化服务
本发行版本会以容器的形式来提供所有的 Red Hat OpenStack Platform 服务,包括上一版本中未容器化的服务:OpenStack Networking (neutron)、OpenStack Block Storage (cinder) 和 OpenStack Shared File Systems (manila)。overcloud 现会使用完全容器化的服务。

2.3. Bare Metal 服务

本节概述了 Bare Metal (ironic) 服务的主要新功能。

2.4. Ceph 存储

本节概述了 Ceph 存储的主要新功能。

Red Hat Ceph Storage 3.0 支持
对于本发行版本,Red Hat Ceph Storage 3.0 (luminous) 是 Red Hat OpenStack 默认支持的 Ceph 版本,也是 director 默认部署的版本。Ceph 现支持从版本 2.x 滚动升级至版本 3。如果您的 Ceph 集群是使用 director 来部署的,那么当您升级到这个新的 OpenStack 发行版本时,Red Hat Ceph Storage 也会随之升级到 3.0。
横向扩展 Ceph 元数据服务器和 RADOS 网关节点
Red Hat Ceph Storage 3.0 新增了一项支持功能,可通过适当配置 Ceph 文件系统 (CephFS),在多个元数据服务器 (MDS) 间扩展元数据负载。完成相关配置后,Ceph 集群中可供使用的额外专用 MDS 服务器会自动分配,以处理这类额外负载。此外,还可添加新的专用 Ceph RADOS 网关 (RGW) 节点,以便 RGW 按需进行纵向扩展。
使用 NFS 的 Manila CephFS 存储
Shared File System 服务 (manila) 支持使用 NFSv4 协议挂载由 Ceph 文件系统 (CephFS) 提供支持的共享文件系统。在 Controller 节点上运行的 NFS-Ganesha 服务器用于将 CephFS 导出至高可用性 (HA) 租户。租户间相互隔离,他们或许只能通过提供的 NFS 网关接口来访问 CephFS。这个新功能已完全整合到 director 中,因而可针对 Shared File System 服务进行 CephFS 后端部署和配置。
增强对于多个 Cinder Ceph 池的支持
Block Storage (cinder) RADOS 块设备 (RBD) 后端可以使用 director 模板参数 CinderRbdExtraPools 映射至同一 Ceph 集群中的不同池。系统会为与这个参数关联的每一个 Ceph 池都创建一个新的 Block Storage RBD 后端,与 CinderRbdPoolName 参数关联的标准 RBD 后端除外。
使用 ceph-ansible 的 RBD 镜像 Director
Ceph rbd-mirror 守护进程会从远程集群调用镜像更新,并将这些更新应用于本地集群中的镜像。RBD 镜像会使用 ceph-ansible 和 Red Hat Ceph Storage 3.0 (luminous) 以容器的形式进行部署。rbd-mirror 不会复制与该镜像相关的 OpenStack 元数据。

2.5. Compute

本节概述了 Compute 服务的主要新功能。

实时 KVM 集成

现可为实时 KVM (RT-KVM) 与 Compute 服务之间的集成提供全面支持。RT-KVM 的优点包括:

  • 系统调用和中断的平均延迟较为确定且较低。
  • 客户机实例支持精确时间协议 (PTP),可以准确地同步时钟(适用于本发行版本的社区级支持)。

2.6. 高可用性

本节概述了高可用性的主要新功能。

适用于 Instance HA 的 director 集成功能
现在,您可以使用 director 来部署 Instance HA。您无需进行额外的手动配置,即可为 Instance HA 进行安装和升级配置。
注意

只有版本 13 和更高版本才会提供适用于 Instance HA 的 director 集成功能。要从早前的版本升级到版本 13(包括快进升级),您必须先手动禁用 Instance HA。

2.7. 指标和监控

本节概述了与指标和监控组件相关的主要新功能和变更。

collectd 5.8 集成

collectd 5.8 版包含以下额外插件:

  • ovs-stats - 该插件会收集 OVS 所连网桥和接口的统计信息。
  • ovs-events - 该插件会监控 Open vSwitch (OVS) 所连接口的链路状态,向 collectd 分发值,并在 OVS 数据库中的链路状态发生变化时发出通知。
  • hugepages - hugepages 插件可按编号、字节或百分比在平台上监控可用和已用的巨页。
  • intel-rdt - intel_rdt 插件会收集由 Intel 资源调配技术 (Intel® RDT) 的监控功能(如缓存监控技术 (CMT)、内存带宽监控 (MBM))提供的信息。这些功能会提供有关共享资源使用情况的信息,如上一级缓存占用情况、本地内存带宽使用情况、远程内存带宽使用情况以及每个时钟的相关说明。
  • libvirt 插件扩展 - 对 libvirt 插件进行扩展,是为了支持平台上的“CMT”、“MBM”、“CPU 固定”、“利用率”和“状态”指标。
collectdgnocchi 集成

collectd-gnocchi 插件会将指标发送至 gnocchi。默认情况下,该插件会创建一个名为 collectd 的资源类型,并为受监控的每一个主机创建一个新资源。

每个主机都有一个列表,其中列有按照以下命名规范动态创建的各项指标: 

plugin-plugin_instance/type-type_instance-value_number

为了正确地创建指标,请确保归档策略规则与之匹配。

支持包含多个 RabbitMQ 服务器的 sensu
在本发行版本中,Red Hat OpenStack Platform 支持包含多个 RabbitMQ 服务器的 sensu。为此,您需要在 config.yaml 文件中使用 MonitoringRabbitCluster 参数。
支持 Intel 资源调配技术/内存带宽监控
“内存带宽监控”(MBM) 是 Intel® 资源调配技术 (RDT) 中的一个集成功能。它会收集所有节点中的内存使用和可用性信息,然后将这些信息提供给 OpenStack,以便其做出更加明智的调度决策并满足 SLA 要求。

2.8. 网络功能虚拟化

本节概述了网络功能虚拟化 (NFV) 的主要新功能。

适用于 NFV 工作负载的实时 KVM Compute 角色
实时 KVM (RT-KVM) Compute 节点现可支持 NFV 工作负载,并新增了“RT-KVM Compute 节点”这一角色。这个新角色可以开放一部分具备实时功能的 Compute 节点,以支持具有严格延迟要求的客户机。

2.9. OpenDaylight

本节概述了 OpenDaylight 服务的主要新功能。

OpenDaylight 集成

OpenDaylight 是一个灵活的模块化开放 SDN 平台,本 Red Hat OpenStack Platform 发行版本现可为其提供全面支持。红帽发布的这个最新版本中整合了经过精心挑选的 OpenDaylight 组件,这些组件旨在启用 OpenDaylight SDN 控制器作为 OpenStack 的网络后端。该解决方案中所用的关键 OpenDaylight 项目为 NetVirt,可以支持 OpenStack neutron API。

如需更多相关信息,请参阅 Red Hat OpenDaylight Product GuideRed Hat OpenDaylight Installation and Configuration Guide

2.10. OpenStack Networking

本节介绍了 Networking 服务的主要新功能。

Octavia LBaaS
Octavia 现已受到全面支持。Octavia 是一个可以实现负载均衡的官方 OpenStack 项目,旨在用来替代当前基于 HAProxy 的实现。Octavia 不但能实现 LBaaS v2 API,还能提供其他功能。Octavia 包含引用负载均衡驱动器,后者可借助 amphora(以 Compute VM 的形式实现)达到负载均衡。
开放虚拟网络 (OVN)
OVN 现已受到全面支持。OVN 是一种基于 Open vSwitch 的网络虚拟化解决方案,用于为实例提供网络服务。OVN 可为 neutron API 提供全面支持。

2.11. 安全性

本节概述了与于安全性组件相关的主要新功能。

Barbican
OpenStack Key Manager (barbican) 是 Red Hat OpenStack Platform 的口令管理器。您可以利用 barbican API 和命令行集中管理 OpenStack 服务所使用的证书、密钥和密码。
Barbican - 支持已加密的卷
您可以使用 barbican 来管理 Block Storage (cinder) 加密密钥。该配置会使用 LUKS 来加密实例所关联的磁盘,包括引导磁盘。密钥的管理对于用户是完全透明的。
Barbican - glance 镜像签名
您可以配置 Image 服务 (glance),以验证上传的镜像是否有被篡改。镜像会先用存储在 barbican 中的密钥签名,然后再在每次使用前接受验证。
与策略决策点 (PDP) 集成
对于依靠策略决策点 (PDP) 来控制资源访问权限的客户,Identity 服务 (keystone) 现可将项目与外部 PDP 集成,以进行授权检查。外部 PDP 不但可以评估访问请求,还可根据已确立的策略允许或拒绝访问。
基础架构和虚拟化强化
“AIDE 入侵检测”现在是一个“技术预览”功能。director 的 AIDE 服务允许操作者集中设置其入侵检测规则集,然后在 overcloud 上安装和设置 AIDE。

2.12. 存储

本节概述了适用于存储组件的主要新功能。

Block Storage - Block Storage 服务的容器化部署
现在,本发行版本会默认针对 Block Storage 服务 (cinder) 进行容器化部署。如果您为这些服务所选择使用的后端需要依赖外部安装,则必须获取针对相关供应商的容器以完成部署。
Block Storage - 多后端可用域
现在,Block Storage 服务 (cinder) 允许使用新的驱动配置选项 backend_availability_zone 在配置文件的后端部分中定义后端可用域。在先前的版本中,cinder-volume 中配置的后端必须属于同一存储可用域。
Block Storage - OpenStack Key Manager 支持
Block Storage 服务 (cinder) 现可使用 OpenStack Key Manager (barbican) 来存储卷加密密钥。该功能可通过在 director 中配置 OpenStack Key Manager 来启用。用户可以通过 Identity 服务 (keystone) 使用“admin”或“creator"角色在 OpenStack Key Manager 中添加新密钥。
Block Storage - RBD 驱动器加密支持
RBD 驱动器现会使用 LUKS 来执行 Block Storage 服务 (cinder) 卷加密操作。该功能可以使用 Block Storage 服务和 Compute 服务来加密 RBD 上的各个卷,以确保静态数据的安全性。RBD 驱动器加密操作需要使用 OpenStack Key Manager (barbican) 才能完成,并且只能针对 Block Storage 服务执行这一操作。
Image 服务 - Image 签名和验证支持
Image 服务 (glance) 现可使用 OpenStack Key Manager (barbican) 为可引导镜像签名并进行签名验证。现在,在存储镜像之前,会先验证镜像签名。您必须要为原始镜像添加加密签名,然后才能将其上传到 Image 服务。在完成引导后,系统会使用这个签名来验证镜像。OpenStack Key Manager 可为签名密钥提供密钥管理支持。
Object Storage - 静态加密和 OpenStack Key Manager 支持
Object Storage (swift) 服务现可在 CTR 模式下使用存储在 OpenStack Key Manager (barbican) 中的 256 位密钥,按照 AES 以加密形式存储对象。在使用 director 为 Object Storage 启用加密功能后,系统会创建单个密钥,以用于加密集群中的所有对象。这样不但可以保护对象,还能维持 Object Storage 集群的安全合规性。
Shared File System - Shared File System 服务的容器化部署
现在,本发行版本会默认针对 Shared File System 服务 (manila) 进行容器化部署。如果您为这些服务所选择使用的后端需要依赖外部安装,则必须获取针对相关供应商的容器以完成部署。
Shared File System - 利用 NetApp ONTAP cDOT 驱动器支持 IPv6 访问规则
现在,Shared File System 服务 (manila) 支持通过 IPv6 网络导出由 NetApp ONTAP 后端支持的共享内容。对于已导出共享内容的访问,则会通过 IPv6 客户端的地址来加以控制。

2.13. 技术预览

本节概述了作为技术预览包括在 Red Hat OpenStack Platform 13 中的功能。

注意

如需了解被标记为技术预览的功能的支持范围,请参阅 Technology Preview Features Support Scope

2.13.1. 新的技术预览

以下新功能以技术预览的形式出现:

基于 Ansible 的配置 (config download)
director 现可基于 overcloud 计划生成一组 Ansible playbook。这将 overcloud 的配置方法从 OpenStack Orchestration (heat) 变成了基于 Ansible 的方法。部分受支持的 OpenStack Platform 13 功能(如升级)将会使用这个功能。但是,我们不建议,对于生产环境,在不受支持的功能中使用这一功能。这一功能当前只是一个技术预览功能。
OVS 硬件分流
Open vSwitch (OVS) 硬件分流功能会利用 SmartNIC 将繁重的处理转移到硬件上,以加快 OVS 的速度。这样便可通过将 OVS 处理分流到 SmartNIC 上来减少被占用的主机资源。

2.13.2. 过去发布的技术预览

以下功能仍然以技术预览的形式出现:

Benchmarking 服务

Rally 是一个基准测试工具,它会自动执行并统一多节点 OpenStack 部署、云验证、基准测试和分析操作。它可以作为 OpenStack CI/CD 系统的一个基本工具来持续提高它的 SLA、性能和稳定性。这个工具包括以下核心组件:

  • Server Provider - 为不同的虚拟化技术(LXS、Virsh 等)以及云服务商提供了一个统一的交互接口。它会利用 ssh 访问权限通过 L3 网络来提供这样的接口。
  • Deploy Engine - 在实施任何基准测试规程之前,请先使用服务器供应商提供的服务器来部署 OpenStack 发行版。
  • Verification - 对部署的云环境进行一组测试来检查它是否工作正常,收集结果并以用户可读的形式展现
  • Benchmark Engine - 允许您编写参数化基准测试方案,并针对云环境加以运行。
Benchmarking 服务 - 引入新的插件类型:hook
允许作为迭代运行的测试方案,并在 Rally 报告中提供与已执行操作相关的时间戳(及其他信息)。
Benchmarking 服务 - 新方案
为 nova、cinder、magnum、ceilometer、manila 和 newton 添加了基准测试方案。
Benchmarking 服务 - 验证组件代码重构
Rally Verify 用于启动 Tempest。它已经过代码重构,以包含新的模型:验证器类型、验证器和验证结果。
Cells
OpenStack Compute 包含了 Cells 概念,它由 nova-cells 软件包提供,用于划分计算资源。在本发行版本中,Cells v1 已被 Cells v2 取代。Red Hat OpenStack Platform 将 "cell of one" 部署为默认配置,但目前不支持多单元部署。
DNS-as-a-Service (DNSaaS)
DNS-as-a-Service (DNSaaS) 包含一个用于进行域和记录管理的 REST API,支持多租户,并可与 OpenStack Identity 服务 (keystone) 集成以进行认证。DNSaaS 还包含一个用于与 Compute (nova) 和 OpenStack Networking (neutron) 通知进行集成的框架,因而可以自动生成 DNS 记录。此外,DNSaaS 还集成了 Bind9 后端。
Firewall-as-a-Service (FWaaS)
Firewall-as-a-Service 插件为 OpenStack Networking (neutron) 添加了边界防火墙管理功能。FWaaS 使用 iptables 在一个项目的所有虚拟路由上应用防火墙策略,并支持在每个项目中使用一个防火墙策略和逻辑防火墙实例。FWaaS 在网络边界进行操作,对 OpenStack Networking (neutron) 路由器进行过滤。这一点和安全组有所不同,安全组在实例层面进行操作。
Google 云存储备份驱动器 (Block Storage)
Block Storage 服务 (cinder) 现可配置为使用 Google 云存储来存储卷备份。有了这个功能,用户便无需再花费大量费用来维护一个仅用于灾难恢复的备用云。
裸机节点链路聚合

本发行版本引入了裸机节点链路聚合功能。通过链路聚合,您可以在裸机节点 NIC 上配置绑定,以支持故障转移和负载平衡。此功能要求能够从专门的 neutron 插件配置具体的硬件交换机供应商支持。请验证您的硬件供应商交换机支持正确的 neutron 插件。

此外,您可以手动预先配置交换机,为这些裸机节点设置绑定。要使节点从某一个绑定接口引导,交换机需要支持 LACP 和 LACP 回退(如果未形成绑定,则绑定链路回退到各个链路)。否则,节点还需要单独的置备和清理网络。

Red Hat OpenStack Platform for POWER
现在可在 IBM POWER8 little endian 硬件上部署预配备的 overcloud Compute 节点。
Red Hat SSO
本发行版本包括了 keycloak-httpd-client-install 软件包的一个版本。这个软件包包括了一个命令行工具,使用这个工具可以帮助配置 Apache mod_auth_mellon SAML Service Provider 作为 Keycloak SAML IdP 的一个客户端。