4.9. RHBA-2022:8795 - Red Hat OpenStack Platform 16.1.9 程序错误修复和安全更新

本节中所包括的错误已在 RHBA-2022:8795 公告中解决。如需更多信息,请参阅链接: https://access.redhat.com/errata/RHBA-2022:8795.html

对 openstack-cinder 组件的更改:

  • 在此次更新之前,当 Compute 服务(nova)请求块存储服务(cinder)来分离卷并且有删除卷的外部请求时,会发生竞争条件。竞争条件会导致卷无法分离,卷被删除,计算服务无法删除不存在的卷。在这个版本中,竞争条件已解决。(BZ#1977322)
  • 在此次更新之前,如果您为当前存在的备份 ID 导入备份记录,导入操作将正确失败,但现有备份记录会错误地删除。在这个版本中,在这种情况下不会删除现有的备份记录。(BZ#1802263)
  • 在此次更新之前,当关联的卷移动时,NetApp ONTAP Block Storage (cinder)驱动程序 QoS 策略组会被删除。在这个版本中,QoS 策略组永久与代表卷的 LUN 或文件关联。(BZ#1951485)

  • 在此次更新之前,do_sync_check 操作可能会导致从卷中删除非临时快照不正确,因为 do_sync_check 操作过程中没有检查非临时快照删除。在这个版本中,有一个检查来确定快照是否必须被删除。do_sync_check 操作不执行不必要的非临时快照删除。

    在此次更新之前,在检查存储组是父存储组的子时,条件中有一个不匹配的情况。 在修改存储组时,错误表示父存储组已包含子存储组。在这个版本中,条件中使用的模式不区分大小写,您可以成功修改存储组。(BZ#2129310)

对 openstack-ironic 组件的更改:

  • 在此次更新之前,如果在使用会话身份验证时,使用 Redfish 硬件类型在 ironic-conductor 服务和远程基板管理控制器(BMC)之间出现重复的连接问题,则连接的间歇性丢失可能会因为内存中凭证过期而重试身份验证。如果发生这种冲突,则会丢失总体连接,因为内部会话缓存内置于 openstack-ironic-conductor 服务中。在这个版本中,当将这个错误添加到 Python DMTF Redfish 库、sushy 和 openstack-ironic 服务时,支持检测和重新协商。在重启 openstack-ironic-conductor 服务前,与会话凭证重新进行身份验证的连接失败不再会导致完全丢失与 BMC 的通信。(BZ#2027544)

对 openstack-manila 组件的更改:

  • 在此次更新之前,共享文件系统服务(manila)用来在 NetApp ONTAP All Flash Fabric-Attached (AFF)存储系统上置备存储的 API 会导致精简置备。API 不会强制实施空间保证,即使通过共享文件系统服务共享类型请求也是如此。在这个版本中,驱动程序为 NetApp ONTAP 9 API 设置适当的参数,以用于 AFF 存储和传统的 FAS 存储系统。API 通过共享文件系统服务共享类型强制对 NetApp ONTAP 存储进行空间保证。(BZ#1968228)

对 openstack-nova 组件的更改:

  • 目前,当实时迁移具有与目标主机 CPU 不兼容的实例时,存在一个已知问题。

    临时解决方案:在每个受影响的 Compute 节点的 nova.conf 文件中添加以下配置,以跳过目标主机上的 CPU 比较: 

    [workarounds]
skip_cpu_compare_on_dest = True

    (BZ#2076884)

  • 在此次更新之前,目标主机上 libvirt 驱动程序的块设备映射更新在实时迁移过程中不会被保留。使用特定的存储后端或配置,例如,在使用 n[workarounds]/rbd_volume_local_attach=True 配置选项时,卷附加的某些操作(例如分离)在实时迁移无法正常工作后。在这个版本中,您可以正确保留目标主机上 libvirt 驱动程序所完成的任何块设备映射更新。实时迁移后,对受影响的卷(如分离)的操作会成功。(BZ#2089382)

对 openstack-octavia 组件的更改:

  • 在此次更新之前,在 active-standby 模式中无法访问 UDP-only 负载均衡器的虚拟 IP (VIP)地址。在这个版本中,这个问题已被解决。(BZ#2078377)
  • 在此次更新之前,对于任何类型的数据包在 Amphora 虚拟机中启用 Conntrack,但只有用户数据报协议(UDP)和流控制传输协议(SCTP)才需要它。在这个版本中,对传输控制协议(TCP)流禁用 Conntrack,当用户生成大量填充 Conntrack 表的连接时,防止一些性能问题。(BZ#2123225)
  • 在此次更新之前,在 Load Balancer 配置更改过程中,ERROR 操作状态的成员可能会被简单更新为 ONLINE。在这个版本中,这个问题已被解决。(BZ#1996756)
  • 在此次更新之前,当出现错误时,负载均衡器的置备状态会被设置为 ERROR 太早,在执行这些资源的任务前,使负载均衡器无法处理。在这个版本中,这个问题已被解决。(BZ#2040697)
  • 在此次更新之前,SELinux 问题会在负载均衡服务(octavia) amphora 驱动程序中使用 ICMP 监控时触发错误。在这个版本中,SELinux 问题已被修复。(BZ#2096387)

对 openstack-tripleo-common 组件的更改:

  • RHSA-2022:6969 引入了清理 undercloud 中 /var/lib/mistral 目录中的文件的过程,但在启用负载均衡服务(octavia)或 Red Hat Ceph Storage 时,清理过程会持续失败,因为这些服务创建了额外的目录,清理过程无法正确删除。如果启用了负载平衡服务或 Ceph Storage,则一些部署操作(如扩展)会持续失败。在这个版本中,Mistral 不再执行清理。如果要强制实施 /var/lib/mistral 目录中文件的权限,用户必须手动删除文件。因为权限错误,部署操作不再会失败。(BZ#2138184)

对 puppet-rsyslog 组件的更改:

  • 在这个版本中,Rsyslog 环境配置支持一组 Elasticsearch 目标。在以前的版本中,您只能指定一个目标。现在,您可以将多个 Elasticsearch 目标指定为要发送日志的端点列表。(BZ#1945334)

对 python-dogpile-cache 组件的更改:

  • 在此次更新之前,对 dead_retry 和 socket_timeout 的 dogpile.cache 支持没有为 memcached 后端实施。oslo.cache 机制使用 dead_retry 和 socket_timeout 的值填充参数字典,但 dogpile.cache 忽略了值,因此使用 30s 作为 dead_retry 的默认值,3s 作为 socket_timeout 的默认值。当使用 dogpile.cache.memcached 作为 Identity 服务(keystone)上的缓存后端,然后关闭其中一个 memcached 实例时,memcache 服务器对象将其 deaduntil 值设置为 30 秒。当一个请求发送到配置了两个 memcached 服务器的 API 服务器时,其中一个不可路由,它大约需要 15 秒才能尝试它所创建的每个线程中的每个服务器,每次遇到了三秒的套接字超时限制时,它大约需要 15 秒时间。用户发出另一个请求时,达到 deaduntil 值,并重复整个周期。在这个版本中,dogpile.cache 使用由 oslo.cache 传递的 dead_retry 和 socket_timeout 参数。(BZ#2100879)

对 python-networking-ovn 组件的更改:

  • RHOSP 16.1.9 中的这个更新修正了一个程序错误,这会导致 Networking 服务(neutron)在升级到 RHOSP 16.1.8 后无法启动,并在升级到 RHOSP 16.1.8 后导致 OVN 数据库不稳定。

    不是升级到 RHOSP 16.1.8,而是直接更新至 RHOSP 16.1.9。(BZ#2125824)

  • 在这个版本中,您可以将带有 iptables_hybrid 防火墙驱动程序的 ML2/OVS 部署迁移到 ML2/OVN。(BZ#2022040)
  • 当在带有虚拟 IP (VIP)和成员的租户网络中创建负载均衡器时,租户网络连接到连接到提供商网络的路由器,Open Virtual Network (OVN)负载均衡器与 OVN 逻辑路由器相关联。如果将 'router' 选项用于 nat-addresses,ovn-controller 会在提供商网络上为该 VIP 发送 GARP 数据包。由于 OpenStack 中没有防止不同的租户创建具有相同无类别域间路由(CIDR)编号的子网,并且具有相同 VIP 的负载均衡器,因此可能有多个 ovn-controllers 为同一 IP 在提供商网络上生成 GARP 数据包,各自具有属于每个租户的逻辑路由器端口的 MAC。此设置可能是物理网络基础架构的问题。在这个版本中,在路由器网关端口的 OVN[1] 中添加了一个新的选项(exclude-lb-vips-from-garp)。此标志可确保没有为负载均衡器 VIP 发送 GARP 数据包。(BZ#2064709)
  • 在此次更新之前,可以添加没有声明他们所属的子网的成员,但它们应该与虚拟 IP (VIP)端口位于同一个子网中。如果成员的子网与 VIP 子网不同,则会创建成员但错误配置,因为没有与它们的连接。在这个版本中,只有在成员的 IP 属于 VIP 子网的无类别域间路由(CIDR)号时,才会接受没有子网的成员,因为与用于获取没有它的成员的子网相关子网。如果 IP 不属于 VIP 子网 CIDR,则没有子网的成员创建将被拒绝。(BZ#2122925)

对 python-octaviaclient 组件的更改:

  • 在此次更新之前,当用户有超过 1,000 个负载均衡器时,python-octaviaclient 不会显示负载均衡器的完整列表。在这个版本中,OpenStack 负载均衡服务(Octavia)会显示所有负载均衡器。(BZ39) 6088)对 Bugzilla 的 python-openstackclient 组件的更改:

对 tripleo-ansible 组件的更改:

  • 在此次更新之前,负载均衡服务(octavia)会在部署或更新过程中多次重启。在这个版本中,服务只有在需要时才重启,从而导致 control plane 潜在的中断。(BZ#2057604)
  • 在此次更新之前,在负载均衡管理网络中配置了不存在的网关地址。这会导致负载均衡管理网络上的地址解析协议(ARP)请求。(BZ#1961162)
  • 在这个版本中,负载均衡服务(octavia)管理网络的 port_security 参数现已启用。(BZ#1982268)