Catatan Rilis Seri Queens

17.1.11

Fitur baru

• Daftar filter yang diaktifkan untuk penjadwal Cinder, scheduler_default_filters pada cinder.conf, sebelumnya hanya dapat didefinisikan melalui entri di cinder_cinder_conf_overonfes. Anda sekarang memiliki opsi untuk mendefinisikan variabel daftar, cinder_scheduler_default_filters, yang menentukan filter yang diaktifkan. Ini berguna jika Anda ingin menonaktifkan salah satu filter yang diaktifkan secara default (pada saat penulisan, ini adalah AvailabilityZoneFilter,` CapacityFilter`, dan CapabilitiesFilter), atau jika sebaliknya Anda ingin menambahkan filter yang biasanya tidak diaktifkan, seperti DifferentBackendFilter atau` InstanceLocalityFilter`.

  Misalnya, untuk mengaktifkan InstanceLocalityFilter di samping filter penjadwal yang diaktifkan secara normal, gunakan variabel berikut ini.

  cinder_scheduler_default_filters:
    - AvailabilityZoneFilter
    - CapacityFilter
    - CapabilitiesFilter
    - InstanceLocalityFilter
  

17.1.9

Masalah Dikenal

• Jumlah inotify watch instances yang tersedia terbatas pada seluruh sistem melalui pengaturan sysctl. Dimungkinkan untuk proses tertentu, seperti pypi-server, atau elasticsearch dari ops repo untuk mengkonsumsi sejumlah besar inotify watch. Jika lebar sistem maksimum tercapai maka proses apa pun pada host atau dalam kontainer apa pun pada host tidak akan dapat membuat inotify watch baru. Systemd menggunakan inotify watch, dan jika tidak ada yang tersedia, ia tidak dapat memulai kembali layanan. Proses yang menyinkronkan konten server repo antara infra nodes juga bergantung pada inotify watch. Jika server repo gagal menyinkronkan, atau layanan gagal untuk me-restart ketika diharapkan periksa batas inotify watch yang didefinisikan dalam nilai sysctl fs.inotify.max_user_watches. Patch telah bergabung untuk meningkatkan batas ini, tetapi untuk lingkungan yang ada atau yang belum ditingkatkan ke point release yang cukup baru mungkin harus menerapkan batas yang ditingkatkan secara manual.

17.1.8

Fitur baru

• Sekarang dimungkinkan untuk mengubah opsi server NTP dalam kroni menggunakan security_ntp_server_options.

• Chrony mendapat opsi konfigurasi baru untuk menyinkronkan jam sistem kembali ke RTC menggunakan variabel security_ntp_sync_rtc. Dinonaktifkan secara default.

Catatan Depresiasi

• Perubahan nama variabel berikut telah diterapkan untuk lebih mencerminkan tujuan mereka.

  • lxc_host_machine_quota_disabled -> lxc_host_btrfs_quota_disabled

  • lxc_host_machine_qgroup_space_limit -> lxc_host_btrfs_qgroup_space_limit

  • lxc_host_machine_qgroup_compression_limit -> lxc_host_btrfs_qgroup_compression_limit

Perbaikan Bug

• Saat menggunakan kontainer LXC dengan back-end copy-on-write, eksekusi role lxc_hosts akan gagal karena variabel yang tidak ditentukan dengan awalan (prefix) nspawn_host_. Masalah ini sekarang telah diperbaiki.

17.1.7

Catatan Upgrade

• Selama upgrade menggunakan skrip run-upgrade, agen neutron sekarang akan secara otomatis dimigrasikan dari kontainer neutron_agents ke network_hosts. Kontainer neutron_agents akan dihapus karena tidak perlu lagi. Setiap lingkungan yang sebelumnya upgraded ke Queens dapat menggunakan playbook yang sama untuk menangani migrasi, atau memeriksa playbook untuk menentukan bagaimana melakukannya dengan tangan jika diinginkan.

Perbaikan Bug

• Dengan rilis CentOS 7.6, deployment menjadi rusak dan menjadi sangat lambat ketika kami me-restart dbus untuk menangkap beberapa perubahan PolicyKit. Namun, perubahan itu tidak pernah digunakan secara penuh sehingga terjadi tanpa alasan. Kami tidak lagi melakukan modifikasi pada konfigurasi systemd-machined dan/atau PolicyKit untuk menjaga kompatibilitas hulu.

17.1.6

Fitur baru

• Anda sekarang dapat mengatur model CPU Libvirt dan flag fitur dari entri yang sesuai di bawah variabel pustaka nova_virt_types (biasanya kvm). nova_cpu_model adalah nilai string yang mengatur model CPU; nilai ini diabaikan jika Anda mengatur nova_cpu_mode selain custom. nova_cpu_model_extra_flags adalah daftar yang memungkinkan Anda menentukan flag fitur CPU tambahan yang biasanya tidak dilewati dengan host-model, atau model CPU custom pilihan Anda.

Catatan Upgrade

• Jika konfigurasi Anda sebelumnya mengatur variabel libvirt / cpu_model dan/atau libvirt/cpu_model_extra_flags`` dalam kamus nova_nova_conf_overrides, Anda harus mempertimbangkan untuk memindahkannya ke nova_cpu_model dan nova_cpu_model_model_model_model_teks_paket_model_flags dalam entri yang sesuai (biasanya kvm) dalam kamus nova_virt_types.

17.1.5

Fitur baru

• Role ini sekarang secara opsional memungkinkan node komputasi Anda punya kemampuan virtualisasi tersarang modul kernel KVM, dengan mengatur nova_nested_virt_enabled menjadi true. Bergantung pada distribusi dan versi libvirt Anda, Anda mungkin perlu mengatur variabel tambahan untuk virtualisasi bersarang (nested) yang diaktifkan sepenuhnya. Untuk detailnya, silakan lihat https://docs.openstack.org/nova/latest/admin/configuration/hypervisor-kvm.html#nested-guest-support.

17.1.4

Fitur baru

• Horizon, sejak awal OSA, telah dikerahkan dengan akses HTTPS diaktifkan, dan tidak memiliki cara untuk mematikannya. Beberapa kasus penggunaan mungkin ingin diakses melalui HTTP, jadi patch ini memungkinkan yang berikut ini.

  • Dengarkan melalui HTTPS pada load balancer, tetapi melalui HTTP pada host horizon dan minta load balancer meneruskan header yang benar. Ini akan melakukan ini secara default di build terintegrasi karena adanya penyeimbang beban, sehingga perilaku saat ini dipertahankan.

  • Aktifkan HTTPS di horison host tanpa penyeimbang beban. Ini adalah perilaku default peran yang cocok dengan yang selalu ada.

  • Nonaktifkan HTTPS seluruhnya dengan mengatur haproxy_ssl: no (yang juga akan menonaktifkan https di haproxy. Pengaturan ini diwarisi (inherited) oleh variabel horizon_enable_ssl yang baru secara default. Ini adalah opsi baru.

17.1.1

Fitur baru

• Peran os_horizon sekarang mendukung distribusi tema kustom pengguna. Penyebar dapat menggunakan kunci baru theme_src_archive dari kamus horizon_custom_themes untuk memberikan jalur absolut ke tema yang diarsipkan. Hanya arsip .tar.gz, .tgz, .zip, .tar.bz, .tar.bz2, .tbz, .tbz2 yang didukung. Struktur di dalam arsip harus sebagai tema standar, tanpa folder utama.

• Octavia membuat vms, grup keamanan, dan hal lain dalam proyeknya. Dalam kebanyakan kasus, kuota default tidak cukup besar. Ini akan menyesuaikannya dengan nilai wajar (dapat dikonfigurasi).

Masalah keamanan

• Hindari menetapkan kuota terlalu tinggi untuk cloud Anda karena hal ini dapat berdampak pada kinerja servcies lain dan menyebabkan potensi serangan Denial-of-Service jika kuota Loadbalancer tidak disetel dengan benar atau RBAC tidak diatur dengan benar.

Perbaikan Bug

• Memperbaiki bug https://bugs.launchpad.net/openstack-ansible/+bug/1778098 ketika playbook gagal, jika horizon_custom_themes ditentukan, dan direktori untuk tema tidak disediakan

17.1.0

Fitur baru

• Sekarang dimungkinkan untuk menentukan daftar tes untuk tempest ke daftar hitam ketika mengeksekusi menggunakan variabel daftar tempest_test_blacklist.

17.0.8

Catatan Depresiasi

• Proxy reverse server repo untuk pypi kini telah dihapus, hanya menyisakan pypiserver untuk melayani paket yang sudah ada di server repo. Upaya untuk membalikkan proxy hulu proksi ternyata sangat tidak stabil dengan meningkatnya kerumitan bagi deployer yang menggunakan proxy atau pemasangan offline. Dengan ini, variabel repo_nginx_pypi_upstream dan repo_nginx_proxy_cache_path juga telah dihapus.

17.0.7

Perbaikan Bug

• Persyaratan yang menentukan apakah file sso_callback_template.html dikerahkan untuk penyebaran federasi telah diperbaiki.

17.0.6

Fitur baru

• Opsi rabbitmq_erlang_version_spec telah ditambahkan yang memungkinkan deployer untuk mengatur versi erlang yang digunakan pada instalasi yang diberikan.

Masalah Dikenal

• Dengan rilis CentOS 7.5, semua rilis pike rusak karena ketidakcocokan dalam versi antara pustaka libvirt-python yang ditentukan oleh komunitas OpenStack, dan versi yang disediakan di CentOS 7.5. Karena itu OSA tidak dapat membangun pustaka python yang sesuai untuk libvirt. Satu-satunya jalan lain (recourse) untuk ini adalah melakukan upgrade lingkungan ke rilis ratu terbaru.

Catatan Depresiasi

• Penggunaan role apt_package_pinning sebagai ketergantungan meta telah dihapus dari role rabbitmq_server. Sementara role pinning paket masih digunakan, sekarang hanya akan dieksekusi ketika file tugas apt dieksekusi.

• Variabel nova_compute_pip_packages tidak lagi digunakan dan telah dihapus.

Perbaikan Bug

• Untuk mencegah masalah lebih lanjut dengan ketidakcocokan libvirt dan versi python-libvirt, node komputasi berbasis KVM sekarang akan menggunakan paket distribusi python library untuk libvirt. Ini harus menyelesaikan masalah yang terlihat dengan pike build di CentOS 7.5.

17.0.5

Fitur baru

• Octavia membutuhkan sertifikat SSL untuk komunikasi dengan amphora. Ini menambahkan pembuatan otomatis sertifikat yang ditandatangani sendiri untuk tujuan ini. Ini menggunakan otoritas sertifikat yang berbeda untuk amphora dan control plane sehingga menjamin keamanan maksimum.

Masalah Dikenal

• Semua rilis OSA lebih awal dari 17.0.5, 16.0.4, dan 15.1.22 akan gagal membangun rally venv karena rilis python library cmd2-0.9.0 baru. Deployer didorong untuk memperbarui ke rilis OSA terbaru yang menyematkan (pin) ke versi yang sesuai yang kompatibel dengan python2.

• Baru-baru ini repositori git spice-html5 sepenuhnya dipindahkan dari https://github.com/SPICE/spice-html5 ke https://gitlab.freedesktop.org/spice/spice-html5. Ini menghasilkan kegagalan pada tahap git klon dari repo-build.yml playbook untuk rilis ratu OSA lebih awal dari 17.0.5. Untuk memperbaiki masalah ini, para deployer dapat upgrade ke rilis terbaru, atau dapat menerapkan override berikut di user_variables.yml.

  nova_spicehtml5_git_repo: https://gitlab.freedesktop.org/spice/spice-html5.git
  

Catatan Upgrade

• Pencarian paket distribusi dan output data telah dihapus dari pencarian py_pkgs sehingga penggunaan repo-build dari py_pkgs telah mengurangi output dan pencarian khusus untuk paket python saja.

Masalah keamanan

• Direkomendasikan bahwa pembuatan sertifikat selalu ditinjau oleh para profesional keamanan karena algoritma dan panjang kunci dianggap perubahan yang aman sepanjang waktu.

Perbaikan Bug

• Rilis CentOS yang lebih baru menghadirkan versi libnss yang tergantung pada keberadaan /dev/random and /dev/urandom dalam sistem operasi untuk menjalankannya. Ini menyebabkan masalah selama proses persiapan cache yang berjalan di dalam chroot yang tidak mengandung ini, mengakibatkan kesalahan dengan pesan berikut:

  error: Failed to initialize NSS library

  Ini telah diselesaikan dengan memperkenalkan /dev/random dan /dev/urandom di dalam lingkungan chroot-ed.

17.0.4

Masalah Dikenal

• Dalam eksekusi peran lxc_hosts, kami menggunakan image yang dihasilkan setiap hari oleh images.linuxcontainers.org. Perubahan terbaru dalam cara image itu dihasilkan telah mengakibatkan perubahan ke default /etc/resolve.conf di image default itu. Karena itu, ketika menjalankan persiapan cache gagal. Untuk rilis ratu sebelum 17.0.4 solusi untuk melewati kesalahan adalah dengan menambahkan berikut ke file /etc/openstack_deploy/user_variables.yml.

  lxc_cache_prep_pre_commands: "rm -f /etc/resolv.conf || true"
  lxc_cache_prep_post_commands: "ln -s ../run/resolvconf/resolv.conf /etc/resolv.conf -f"
  

17.0.3

Fitur baru

• Ketika venvwithindex=True and ignorerequirements=True keduanya ditentukan dalam tempest_git_install_fragments (seperti sebelumnya default), ini mengakibatkan tempest diinstal dari PyPI tanpa kendala yang diterapkan. Ini bisa mengakibatkan versi tempest yang dipasang di integrated build berbeda dari versi yang diinstal di independent role test. Ke depan, kami menghapus tempest_git_* overrides di playbooks/defaults/repo_packages/openstack_testing.yml sehingga integrated build menginstal tempest dari PyPI, tetapi dengan batasan yang sesuai diterapkan.

• Ini mengkonsolidasikan tugas image amphora dalam file umum dan menambahkan cara untuk mengunduh image amphora dari penyimpanan artefak melalui http(s). Dengan tim Octavia yang menyediakan image uji, pengujian tersebut dimodifikasi untuk tidak membuat image lagi tetapi mengunduhnya.

Masalah keamanan

• Biasanya dianggap praktik buruk untuk menurunkan image acak dari Internet, terutama image uji yang disediakan oleh tim Octavia yang berpotensi mencakup paket sistem operasi yang tidak ditambal (unpatched) - jadi untuk setiap penyebaran produksi sesuaikan url unduhan ke penyimpanan artefak yang dikendalikan organisasi Anda. Sistem juga tidak mengautentikasi image (misal dengan md5) sehingga hanya boleh digunakan pada jaringan yang dikontrol organisasi Anda.

Catatan lain

• Variabel internal python_ceph_package telah diubah namanya menjadi python_ceph_packages dan sekarang menjadi daftar bukan lagi string. Jika Anda menggunakan gnocchi dengan ceph dan menggunakan variabel internal ini dalam override ceph_extra_components Anda, update ke python_ceph_packages.

17.0.2

Fitur baru

• Menambahkan dukungan untuk dasbor horizon octavia-ui. Dasbor akan diaktifkan secara otomatis jika ada host octavia yang ditentukan. Jika Neutron LBaaSv2 dan Octavia diaktifkan, dua panel Load Balancer akan terlihat di Horizon.

• Menambahkan kemampuan untuk mengonfigurasikan data vendor untuk Nova agar dapat mendorong berbagai hal melalui layanan metadata atau drive konfigurasi.

• Enable networking-bgpvpn ml2 neutron driver to make OpenDaylight SDN Controller to support BGPVPN for external network connectivity. You can set the neutron_plugin_type to ml2.opendaylight and neutron_plugin_base to odl-router_v2 and bgpvpn to enable BGPVPN on the OpenDaylight.

• Variabel default nova_default_schedule_zone sebelumnya ditetapkan secara default ke nova. Default ini telah dihapus untuk memungkinkan default diatur oleh kode nova sebagai gantinya. Deployer yang ingin mempertahankan zona ketersediaan default nova sekarang harus menetapkan variabel sebagai override user_variables.yml atau group_vars.

Catatan Upgrade

• Saat upgrading dari pike ke queen ada perubahan berikut untuk pengaturan container/service.

  • Semua layanan kontainer cinder dikonsolidasikan ke dalam cinder_api_container tunggal. cinder_scheduler_container yang sebelumnya diterapkan dapat dihapus.

  • Kontainer heat_api baru dibuat dengan semua layanan heat berjalan di dalamnya. heat_apis_container dan ``heat_engine_container` yang sebelumnya dijalankan dapat dihapus.

  • Layanan konduktor ironic telah dikonsolidasikan ke dalam ironic_api_container. ironic_conductor_container yang sebelumnya diterapkan dapat dihapus.

  • Semua layanan nova dikonsolidasikan ke dalam nova_api_container dan sisa kontainer nova dapat dihapus.

  • Semua layanan trove telah dikonsolidasikan ke dalam trove_api_container. trove_conductor_container dan sebelumnya diimplementasikan trove_taskmanager_container dapat dihapus.

  Playbook telah ditambahkan untuk memfasilitasi proses ini melalui otomatisasi. Silakan lihat bab Major upgrades idalam Operations Guide.

17.0.1

Catatan Upgrade

• Pengguna harus membersihkan paket 'ntp' dari host mereka jika mungkin diaktifkan. ceph-ansible sebelumnya dikonfigurasikan untuk menginstal ntp secara default yang bertentangan dengan layanan kroni role ansible-hardening OSA.

Perbaikan Bug

• ceph-ansible tidak lagi dikonfigurasikan untuk menginstal ntp secara default, yang menciptakan konflik dengan role ansible-hardening OSA yang digunakan untuk mengimplementasikan ntp menggunakan 'chrony'.

17.0.0

Fitur baru

• Variabel baru telah ditambahkan untuk memungkinkan deployer untuk mengontrol restart kontainer dari common-tasks/os-lxc-container-setup.yml. Opsi baru ini adalah lxc_container_allow_restarts dan memiliki standar true. Jika seorang deployer ingin menonaktifkan fungsi restart otomatis, mereka dapat mengatur nilai ini menjadi false dan restart kontainer otomatis akan dinonaktifkan. Ini adalah pelengkap dari opsi yang sama yang sudah ada dalam peran lxc_container_create. Opsi ini berguna untuk menghindari restart galera atau rabbitmq yang tidak terkoordinasi jika konfigurasi kontainer LXC berubah dengan cara yang membutuhkan restart.

• OpenStack-Ansible sekarang mendukung distribusi openSUSE Leap 42.X terutama menargetkan rilis 42.3 terbaru.

• Rilis stabil Ceph yang digunakan oleh openstack-ansible dan integrasi ceph-ansible telah diubah ke yang terbaru Ceph LTS Luminous release.

• Cluster galera sekarang mendukung pemeriksaan kesehatan cluster melalui HTTP menggunakan port 9200. Pemeriksaan cluster baru memastikan node sehat dengan menjalankan kueri sederhana terhadap status sinkronisasi wsrep menggunakan pengguna pemantauan. Perubahan ini akan menyediakan untuk pemeriksaan gugus yang lebih kuat yang memastikan kami memiliki galera yang paling toleran terhadap kesalahan.

• Instalasi OSA tipikal akan menempatkan antrian neutron dan octavia pada vhost yang berbeda sehingga mencegah event streamer bekerja. Sementara octavia mengalir ke antriannya sendiri, konsumen di sisi neutron mendengarkan antrian neutron. Dengan peningkatan octavia baru-baru ini, antrian terpisah untuk event streamer dapat dikonfigurasi. Patch ini akan mengatur event streamer untuk mengirim ke antrian neutron menggunakan kredensial neutron. Sehingga menjangkau konsumen di sisi neutron-lbaas dan memungkinkan untuk streaming.

• Membuat dan memvalidasi checksum untuk semua file yang diinstal oleh paket sekarang dinonaktifkan secara default. Pemeriksaan menyebabkan keterlambatan dalam menjalankan playbook dan dapat mengkonsumsi sejumlah besar sumber daya CPU and I/O. Deployer dapat mengaktifkan kembali pemeriksaan dengan mengatur security_check_package_checksums ke yes.

• Deployer lingkungan CentOS 7 dapat menggunakan variabel openstack_hosts_enable_yum_fastestmirror untuk mengaktifkan atau menonaktifkan plugin fastestmirror yum. Pengaturan default yes memastikan bahwa fastestmirror diaktifkan.

• Grup hypervisor baru telah ditambahkan yang memungkinkan deployer untuk lebih mendefinisikan beban kerja komputasi mereka. Sementara grup "compute_hosts" generik masih akan bekerja definisi eksplisit untuk host komputasi sekarang dapat didefinisikan menggunakan grup ironic-compute_hosts, kvm-compute_hosts, lxd-compute_hosts, qemu-compute_hosts, dan powervm-compute_hosts yang sesuai.

• Opsi telah ditambahkan yang memungkinkan pengguna untuk menentukan penggunaan user_group LBaaSv2. Opsi baru adalah neutron_lbaasv2_user_group dan diatur dalam nilai spesifik OS secara default.

• Jumlah maksimum waktu untuk menunggu hingga gagal secara paksa dalam proses persiapan cache LXC sekarang dapat dikonfigurasi menggunakan variabel lxc_cache_prep_timeout. Nilai ditentukan dalam detik, dengan default adalah 20 menit.

• Variabel baru telah ditambahkan yang memungkinkan deployer untuk mengatur teknologi kontainer yang akan digunakan OSA saat menjalankan penyebaran dalam kontainer. Variabel baru ini adalah container_tech yang memiliki nilai default "lxc".

• Jembatan lxcbr0 sekarang memungkinkan NetworkManager untuk mengontrolnya, yang memungkinkan jaringan untuk memulai dalam urutan yang benar ketika sistem melakukan booting. Selain itu, NetworkManager-wait-online.service diaktifkan untuk memastikan bahwa semua layanan yang membutuhkan jaringan berfungsi, seperti keepalived, hanya akan dimulai ketika konfigurasi jaringan selesai. Perubahan ini hanya diterapkan jika penyebar secara aktif menggunakan NetworkManager di lingkungan mereka.

• Agen konektivitas Neutron sekarang akan digunakan pada baremetal dalam "network_hosts" yang didefinisikan dalam openstack_user_config.yml.

• Galera healthcheck telah ditingkatkan, dan bergantung pada layanan xinetd. Secara default, layanan tidak dapat diakses (difilter dengan arahan no_access). Anda dapat mengganti arahan dengan mengatur nilai xinetd yang valid ke galera_monitoring_allowed_source.

• Layanan HAProxy yang menggunakan node backend yang tidak ada dalam inventaris yang dimungkinkan sekarang dapat ditentukan secara manual dengan mengatur haproxy_backend_nodes ke daftar pengaturan name dan ip_addr.

• Buka dataplane vSwitch dengan dukungan NSH telah diterapkan. Fitur ini dapat diaktifkan dengan mengatur `` ovs_nsh_support: /etc/openstack_deploy/user_variables.yml.

• Variabel baru, tempest_roles, telah ditambahkan ke peran os_tempest yang memungkinkan pengguna untuk menentukan peran keystone selama pengujian prahara.

• Pengaturan security_sshd_permit_root_login sekarang dapat diatur untuk mengubah pengaturan PermitRootLogin di /etc/ssh/sshd_config ke salah satu opsi yang memungkinkan. Setel security_sshd_permit_root_login menjadi salah satu dari without-password, prohibit-password, forced-commands-only, yes atau no.

• Jurnal systemd persisten sekarang diaktifkan. Hal ini memungkinkan pengerahkan untuk menyimpan jurnal systemd yang lebih lama pada disk untuk ditinjau. Persyaratan ruang disk sangat rendah karena jurnal disimpan dalam format biner. Lokasi default untuk jurnal persisten ada di /var/log/journal.

  Deployer dapat menyisih dari perubahan ini dengan mengatur openstack_host_keep_journals ke no.

• Paket tambahan paket percona yang digunakan oleh ppc64le sekarang diunduh oleh host deployment Ansible secara default, sebagai lawan dari host target. Setelah diunduh, paket didorong ke host target. Perilaku ini dapat disesuaikan dengan mengatur galera_server_extra_package_downloader ke target-host. Paket tersebut diunduh ke jalur yang ditetapkan galera_server_extra_package_path.

• Server repo sekarang mengimplementasikan nginx sebagai proxy terbalik untuk paket python yang bersumber dari pypi. Kueri awal adalah untuk penyebaran pypiserver lokal untuk melayani setiap paket yang dibuat secara lokal, tetapi jika paket tidak tersedia secara lokal, ia akan mencoba lagi kueri terhadap mirror pypi hulu yang diatur dalam variabel repo_nginx_pypi_upstream (default ke pypi) dan cache response.

• Deployer dapat mengatur interval penyegaran untuk halaman statistik haproxy dengan mengatur variabel haproxy_stats_refresh_interval. Nilai defaultnya adalah 60, yang menyebabkan haproxy me-refresh halaman statistik setiap 60 detik.

• Struktur data tempest_images untuk peran os_tempest sekarang mengharapkan nilai untuk setiap image untuk menyertakan name (opsional) dan format (format disk). Juga, variabel opsional checksum dapat digunakan untuk mengatur checksum yang diharapkan untuk file dalam format <algorithm>:<checksum>.

• Lokasi default untuk unduhan image dalam peran os_tempest yang ditetapkan oleh variabel tempest_image_dir sekarang telah diubah menjadi /opt/cache/files untuk mencocokkan lokasi default di nodepool. Ini meningkatkan keandalan pengujian CI di OpenStack CI karena akan menemukan file sudah di-cache di sana.

• Variabel baru telah diperkenalkan ke peran os_tempest bernama tempest_image_downloader. Ketika diatur ke deployment-host (yang merupakan default), ia menggunakan host penyebaran untuk menangani unduhan image yang akan digunakan untuk pengujian prahara. Image tersebut kemudian diunggah ke host target untuk diunggah ke Glance.

• Tugas dalam role ansible-hardening sekarang didasarkan pada Version 1, Release 3 of the Red Hat Enteprise Linux Security Technical Implementation Guide.

• The sysctl parameter kernel.randomize_va_space sekarang diatur ke 2 secara default. Ini cocok dengan standar distribusi Linux paling modern dan memastikan bahwa Address Space Layout Randomization (ASLR) diaktifkan.

• Modul kernel Datagram Congestion Control Protocol (DCCP) sekarang dinonaktifkan secara default, tetapi reboot diperlukan untuk membuat perubahan efektif.

• Opsi untuk menonaktifkan sistem kuota machinectl telah diubah. Variabel lxc_host_machine_quota_disabled adalah Boolean dengan default ** false **. Ketika opsi ini disetel ke ** true **, opsi ini akan menonaktifkan sistem kuota machinectl.

• Opsi lxc_host_machine_qgroup_space_limit dan lxc_host_machine_qgroup_compression_limit telah ditambahkan yang memungkinkan seorang deployer untuk menetapkan batas qgroup sesuai keinginan mereka. Nilai default untuk opsi ini adalah "none" yang efektif unlimited. Opsi ini menerima nilai ukuran nominal apa pun yang diikuti oleh jenis huruf tunggal, misalnya 64G. Opsi ini hanya efektif ketika opsi lxc_host_machine_quota_disabled disetel ke false.

• Aktifkan dukungan Kernel Shared Memory dengan mengatur nova_compute_ksm_enabled ke True.

• Saat menggunakan Glance dan NFS, NFS mount point sekarang akan dikelola menggunakan file unit mount systemd. Perubahan ini memastikan deployment glance tidak berpotensi mengubah sistem yang berdampak pada /etc/fstab dan memodernisasi cara kami deploy glance saat menggunakan penyimpanan bersama.

• Variabel baru telah ditambahkan ke peran glance yang memungkinkan seorang penggelar untuk mengatur UID dan GID dari pengguna glance. Opsi baru adalah, glance_system_user_uid dan glance_system_group_uid. Opsi ini berguna saat menggunakan glance dengan penyimpanan bersama sebagai back-end untuk images dan hanya akan mengatur UID dan GID pengguna glance saat ditentukan.

• Mencari file world-writable sekarang dinonaktifkan secara default. Pencarian menyebabkan keterlambatan dalam menjalankan playbook dan dapat mengkonsumsi sejumlah besar sumber daya CPU dan I/O. Deployer dapat mengaktifkan kembali pencarian dengan mengatur security_find_world_writable_dirs ke yes.

Masalah Dikenal

• Backend penyimpanan Ceph diketahui belum bekerja pada openSUSE Leap 42.X. Ini karena tidak adanya dukungan openSUSE di playbook Ceph Ansible hulu.

Catatan Upgrade

• Integrasi ceph-ansible telah diperbarui untuk mendukung tag seri ceph-ansible v3.0. Seri v3.0 baru membawa refactoring yang signifikan dari peran dan var ceph-ansible, sehingga sangat disarankan untuk berkonsultasi dengan bagian hulu ceph-ansible documentation untuk melakukan migrasi vars yang diperlukan sebelum Anda memutakhirkan.

• Peran umum yang dimungkinkan tidak lagi diberi nama dengan galaxy-style '.' (misal ceph.ceph-common sekarang dikloning sebagai ceph-common), karena perubahan dalam cara ketergantungan meta hulu ditangani dalam peran ceph. Peran tersebut akan dikloning sesuai dengan penamaan yang baru, dan playbook pemutakhiran ceph-galaxy-removal.yml telah ditambahkan untuk membersihkan peran yang dinamai galaksi basi (stale galaxy-named role).

• Rilis stabil Ceph yang digunakan oleh openstack-ansible dan integrasi ceph-ansible telah diubah ke yang terbaru Ceph LTS Luminous release.

• Konfigurasi KSM diubah menjadi dinonaktifkan secara default di Ubuntu. Jika Anda terlalu berkomitmen pada RAM pada hypervisor Anda, sebaiknya atur nova_compute_ksm_enabled menjadi True.

• Glance v1 API sekarang dinonaktifkan secara default karena API dijadwalkan akan dihapus di Queens.

• Layanan glance registry sekarang dinonaktifkan secara default karena tidak diperlukan untuk API v2 dan dijadwalkan untuk dihapus di masa depan. Layanan ini dapat diaktifkan dengan mengatur glance_enable_v2_registry ke True.

• Ketika upgrading tidak ada yang bisa digunakan deployer must segera untuk menjalankan layanan agen neutron di host dalam grup network_hosts. Cukup menjalankan playbook akan deploy server neutron pada mesin baremetal dan akan meninggalkan semua kontainer agen yang ada sendirian.

• Direkomendasikan bagi para deployer untuk membersihkan neutron_agents container(s) setelah upgrade selesai dan cluster telah diverifikasi sebagai stabil. Ini dapat dilakukan dengan hanya menonaktifkan agen neutron yang berjalan di *neutron_agent container(s), re-balancing layanan agen menargetkan agen baremetal baru, menghapus container, dan akhirnya menghapus container (s) dari persediaan.

• Kuota default berbenturan dengan sumber daya berikut: jaringan (dari 10 hingga 100), subnet (dari 10 hingga 100), port (dari 50 hingga 500) untuk mencocokkan default hulu.

• Perkakas (tooling) apa pun yang menggunakan API Designate v1 perlu dikerjakan ulang untuk menggunakan API v2

• Jika Anda mengganti openstack_host_specific_kernel_modules Anda, harap hapus pencocokan grupnya, dan pindahkan override itu langsung ke grup yang sesuai.

  Contoh, untuk override seperti:

  - name: "ebtables"
    pattern: "CONFIG_BRIDGE_NF_EBTABLES"
    group: "network_hosts"
  

  Anda dapat membuat file untuk grup network_host, di dalam folder grup vars /etc/openstack_deploy/group_vars/network_hosts, dengan konten:

  - name: "ebtables"
    pattern: "CONFIG_BRIDGE_NF_EBTABLES"
  

• Setiap pengguna yang berasal dari Pike atau di bawahnya di Ubuntu harus memodifikasi user_external_repos_list -nya, mengalihkan repositori arsip cloud ubuntu dari state: present ke state: absent. Mulai sekarang, UCA akan ditentukan dengan nama file uca. Jika deployer ingin menggunakan mirrornya, ia masih bisa mengganti variabel uca_repo untuk menunjuk ke mirrornya. Sebagai alternatif, deployer dapat sepenuhnya menentukan repo mana yang akan ditambahkan dan dihapus, mengabaikan standar kami, dengan mengesampingkan openstack_hosts_package_repos.

Catatan Depresiasi

• Variabel galera_percona_xtrabackup_repo_url yang digunakan pada distribusi Ubuntu untuk memilih repositori upstream Percona telah dihapus dan repositori upstream default selalu digunakan mulai sekarang.

• Variabel keystone_memcached_servers dan keystone_cache_backend_argument telah tidak digunakan lagi mendukung keystone_cache_servers, daftar server untuk tujuan caching.

• Dalam deployment OSA sebelum Queens, jika repo_git_cache_dir disetel ke folder yang ada pada repo container host maka folder itu akan disinkronkan ke repo container bind mount daripada menyinkronkan isinya ke repo container. Fungsi ini sudah usang di Queens dan akan dihapus di Rocky. Kemampuan untuk menggunakan cache git masih ada, tetapi konten folder akan disinkronkan dari host penyebaran ke repo container. Jika Anda telah menggunakan fungsionalitas symlink sebelumnya, silakan pindahkan konten ke folder standar dan hapus symlink.

• Ceilometer API tidak lagi tersedia dalam rilis OpenStack Queens, patch ini menghapus semua referensi untuk konfigurasi terkait API karena mereka tidak lagi diperlukan.

• Variabel galera_client_opensuse_mirror_obs_url telah dihapus karena repositori OBS tidak lagi digunakan untuk menginstal paket MariaDB.

• Variabel glance_enable_v1_registry telah dihapus. Saat menggunakan glance v1 API layanan registri diperlukan, sehingga memiliki variabel untuk menonaktifkannya tidak masuk akal. Layanan sekarang diaktifkan/dinonaktifkan untuk API v1 menggunakan variabel glance_enable_v1_api.

• Database nova_placement yang diimplementasikan dalam rilis ocata dari OpenStack-Ansible tidak pernah benar digunakan untuk apa pun karena kembali pada kode hulu. Database harus kosong dan dapat dihapus. Dengan ini, variabel berikut juga tidak lagi memiliki fungsi dan telah dihapus.

  • nova_placement_galera_user

  • nova_placement_galera_database

  • nova_placement_db_max_overflow

  • nova_placement_db_max_pool_size

  • nova_placement_db_pool_timeout

• Variabel berikut telah dihapus karena tidak lagi melayani tujuan apa pun.

  • galera_package_arch

  • percona_package_download_validate_certs

  • percona_package_url

  • percona_package_fallback_url

  • percona_package_sha256

  • percona_package_path

  • qpress_package_download_validate_certs

  • qpress_package_url

  • qpress_package_fallback_url

  • qpress_package_sha256

  • qpress_package_path

  Fungsi yang sebelumnya menggunakan variabel-variabel ini telah ditransisikan untuk menggunakan struktur data yang lebih sederhana.

• Variabel berikut telah dihapus dari peran os_tempest untuk menyederhanakannya. Mereka telah diganti melalui penggunaan struktur data tempest_images yang sekarang memiliki variabel setara per image. - cirros_version - tempest_img_url - tempest_image_file - tempest_img_disk_format - tempest_img_name - tempest_images.sha256 (replaced by checksum)

Critical Issue (masalah kritis)

• Integrasi ceph-ansible telah diperbarui untuk mendukung tag seri ceph-ansible v3.0. Seri v3.0 baru membawa refactoring yang signifikan dari peran dan var ceph-ansible, sehingga sangat disarankan untuk berkonsultasi dengan bagian hulu ceph-ansible documentation untuk melakukan migrasi vars yang diperlukan sebelum Anda memutakhirkan.

• Designate V1 API telah dihapus, dan tidak dapat diaktifkan.

Masalah keamanan

• PermitRootLogin di sshd_config berubah dari 'yes' menjadi 'prohibit-password' di kontainer. Secara default tidak ada password yang diatur dalam kontainer tetapi kunci ssh pub dari deployment host disuntikkan dalam node target authorized_keys.

• Header berikut ditambahkan sebagai nilai default tambahan (dan statis). X-Content-Type-Options nosniff, X-XSS-Protection "1; mode=block", dan Content-Security-Policy "default-src 'self' https: wss:;". Selain itu, tajuk X-Frame-Options DENY telah ditambahkan, default ke DENY. Anda dapat mengganti header melalui variabel keystone_x_frame_options.

• Karena kami menggunakan kredensial neutron untuk mengakses queue, orang yang sadar akan keamanan mungkin ingin mengatur pengguna tambahan octavia pada queue neutron terbatas (restricted) pada topik posting octavia

Perbaikan Bug

• Ketika variabel glance_enable_v2_registry diatur ke True pengaturan data_api yang sesuai sekarang diatur dengan benar. Sebelumnya itu tidak disetel dan oleh karena itu layanan API tidak diinformasikan dengan benar bahwa registri beroperasi.

• Peran os_tempest sedang mengunduh image dua kali - sekali secara acak, dan satu kali untuk digunakan untuk pengujian. Ini telah dikonsolidasikan ke dalam satu unduhan ke lokasi yang konsisten.

• Kebijakan SELinux untuk neutron pada CentOS 7 sekarang disediakan untuk memperbaiki SELinux AVC yang terjadi ketika agen neutron berusaha memulai daemon seperti haproxy dan dnsmasq.

Catatan lain

• Dukungan openSUSE Leap 42.X masih berjalan dan belum sepenuhnya diuji selain cakupan dasar dalam OpenStack CI dan pengujian manual individu. Meskipun perbaikan backporting pada rilis Pike akan dilakukan berdasarkan upaya terbaik, disarankan untuk menggunakan branch master saat bekerja pada host openSUSE.

• Deployment CentOS memerlukan repositori COPR khusus untuk paket LXC modern. Repositori COPR tidak dicerminkan pada saat ini dan ini menyebabkan tes gate gagal dan deployment produksi.

  Role sekarang menyinkronkan paket LXC turun dari COPR ke setiap host dan membangun repositori paket LXC lokal di /opt/thm-lxc2.0. Ini sangat mengurangi jumlah paket yang harus diunduh dari server COPR selama penerapan, yang akan mengurangi kegagalan sampai paket dapat di-host dengan sumber yang lebih andal.

  Selain itu, ini harus mempercepat playbook berjalan karena yum dapat memeriksa repositori yang di-host secara lokal daripada repositori jarak jauh dengan ketersediaan dan tantangan kinerja.

• Menambahkan dukungan untuk menentukan GID dan UID untuk pengguna sistem cinder dengan mendefinisikan cinder_system_user_uid dan cinder_system_group_gid. Pengaturan ini opsional.

• Variabel nova_scheduler_use_baremetal_filters dan nova_metadata_host telah dihapus, sesuai dengan perubahan nova hulu. Pustaka nova_virt_types tidak lagi membutuhkan kunci nova_scheduler_use_baremetal_filters dan juga nova_firewall_driver.

• Opsi playbook max_fail_percentage telah digunakan dengan playbook default sejak rilis pertama playbook kembali di Icehouse. Sementara maksudnya adalah untuk memungkinkan penyebaran skala besar untuk berhasil dalam kasus di mana satu node gagal karena masalah sementara, opsi ini telah menghasilkan lebih banyak masalah yang dipecahkan. Jika terjadi kegagalan yang bersifat sementara tetapi berada di bawah persentase kegagalan yang ditetapkan, playbook akan melaporkan keberhasilan, yang dapat menyebabkan kegagalan diam (silent failure) tergantung di mana kegagalan itu terjadi. Jika seorang deployer menemukan diri mereka dalam situasi ini masalahnya kemudian diperparah karena alat akan melaporkan tidak ada masalah yang diketahui. Untuk memastikan bahwa deployer memiliki pengalaman penerapan terbaik dan informasi paling akurat telah dilakukan perubahan untuk menghapus opsi max_fail_percentage dari semua playbook default. Penghapusan opsi ini memiliki efek samping yang mengharuskan penyebaran untuk melewati host tertentu jika seseorang harus dihilangkan dari run, tetapi memiliki manfaat menghilangkan kegagalan diam, sulit dilacak, kegagalan. Untuk melewati host yang gagal untuk menjalankan playbook tertentu gunakan --limit '!$HOSTNAME' CLI switch untuk menjalankan tertentu. Setelah masalah terselesaikan untuk host yang gagal jalankan kembali playbook tertentu tanpa opsi --limit untuk memastikan semuanya tersinkronisasi.

• Opsi use_neutron ditandai untuk dihapus di sahara.

• Plugin vars override_folder.py telah dihapus. Dengan pindah ke Ansible 2.4 ["https://review.openstack.org/#/c/522778"] plugin ini tidak lagi diperlukan. Fungsionalitas yang disediakan plugin ini telah diganti dengan plugin inventory native Ansible.