Catatan Rilis Seri Mitaka

13.3.13

Masalah Dikenal

13.3.9

Fitur baru

  • Menambahkan var haproxy_extra_services baru yang akan memungkinkan penambahan endpoint haproxy tambahan.

  • Distribusi kunci publik SSH nova telah dibuat jauh lebih cepat terutama ketika digunakan terhadap kluster yang sangat besar. Untuk mendukung kluster yang lebih besar, peran telah berpindah dari modul "authorized_key" dan sekarang membuat skrip untuk memasukkan kunci yang mungkin hilang dari file kunci yang diotorisasi. Script disimpan pada semua node komputasi nova dan dapat ditemukan d i``/usr/local/bin/openstack-nova-key.sh``. Jika pernah ada kebutuhan untuk memasukkan kembali kunci atau memperbaiki masalah pada node komputasi yang diberikan, skrip dapat dieksekusi kapan saja tanpa secara langsung menjalankan playbook atau peran ansible.

Catatan Depresiasi

  • Pindah haproxy_service_configs var ke haproxy_default_service_configs sehingga haproxy_service_configs dapat dimodifikasi dan ditambahkan ke tanpa mengesampingkan seluruh dict layanan default.

13.3.8

Perbaikan Bug

  • SSLv3 sekarang dinonaktifkan di konfigurasi daemon haproxy secara default.

13.3.7

Fitur baru

  • Kontainer LXC sekarang akan menghasilkan alamat mac tetap pada semua antarmuka jaringan ketika opsi lxc_container_fixed_mac diatur ke **true **. Fitur ini diterapkan untuk menyelesaikan masalah dengan alamat mac dinamis dalam kontainer yang umumnya dialami pada skala dengan layanan intensif jaringan.

Perbaikan Bug

  • Kontainer LXC sekarang akan memiliki kemampuan untuk menggunakan alamat mac tetap pada semua antarmuka jaringan ketika opsi lxc_container_fixed_mac diatur true. Perubahan ini akan membantu dalam menyelesaikan masalah lama di mana layanan intensif jaringan, seperti neutron dan rabbitmq, dapat memasuki keadaan bingung untuk jangka waktu yang lama dan membutuhkan restart bergulir atau reset sistem internal untuk pulih.

13.3.6

Catatan Upgrade

  • Ketika bermigrasi dari Liberty ke Mitaka, neutron tidak secara otomatis mengatur atau memigrasi pengaturan jaringan MTU. Neutron tidak memiliki migrasi untuk mengatur MTU dengan benar di jaringan yang ada sehingga kami telah membuat playbook migrasi OSA MTU untuk mengatasi masalah ini. Playbook akan mengatur MTU pada jaringan yang dibuat sebelum upgrade dengan mengulangi (iterating) nilai yang diketahui dari user_variables dan fakta. Jika ada nama jaringan yang diketahui dijumpai, MTU akan ditetapkan ke nilai yang diketahui. Jika tidak ada MTU dan tidak ada global override, playbook akan kembali menggunakan 1500 untuk jaringan vlan/flat dan 1450 untuk jaringan vxlan.

13.3.5

Fitur baru

  • Peran os_nova sekarang dapat menggunakan file /etc/libvirt/qemu.conf kustom dengan mendefinisikan qemu_conf_dict.

  • Peran openstack-ansible-galera_server sekarang akan mencegah penyebaran mengubah variabel galera_cluster_name pada kluster yang sudah memiliki nilai yang ditetapkan dalam kluster galera yang sedang berjalan. Anda dapat mengatur variabel galera_force_change_cluster_name baru menjadi True untuk memaksa variabel galera_cluster_name diubah. Kami menyarankan pengaturan ini dengan menjalankan playbook galera-install.yml dengan -e galera_force_change_cluster_name = True, untuk menghindari mengubah variabel galera_cluster_name secara tidak sengaja. Gunakan dengan hati-hati, mengubah nilai galera_cluster_name dapat menyebabkan kluster Anda gagal, karena node tidak akan bergabung jika dimulai ulang secara berurutan.

  • Proses pembuatan kontainer LXC sekarang memiliki penundaan yang dapat dikonfigurasi untuk tugas yang menunggu kontainer untuk memulai. Variabel lxc_container_ssh_delay dapat diatur untuk mengubah penundaan default lima detik.

Masalah Dikenal

  • Tidak mungkin untuk menimpa kredensial klien ceph untuk nova dan cinder dengan ansible 1.9.4.

    Lihat bug 1605302 untuk lebih jelasnya.

Catatan Upgrade

  • Override baru disediakan untuk memungkinkan penyesuaian yang lebih baik di sekitar penyimpanan file log dan pembatasan tingkat untuk soket UDP/TCP. rsyslog_server_logrotation_window secara default menjadi 14 hari rsyslog_server_ratelimit_interval menjadi 0 detik, rsyslog_server_ratelimit_burst default ke 10000

  • Rsyslog.conf sekarang menggunakan pengaturan konfigurasi style v7+

Perbaikan Bug

  • Variabel pip_install_options sekarang dihormati selama pembuatan repo. Variabel ini memungkinkan deployer untuk menentukan sertifikat CA tepercaya dengan mengatur variabel ke "--cert /etc/ssl/certs/ca-certificates.crt"

  • Play repo_build sekarang dengan benar mengevaluasi variabel lingkungan yang dikonfigurasi di /etc/environment. Ini memungkinkan deployment di lingkungan dengan proksi http.

13.3.4

Fitur baru

  • AIDE dikonfigurasikan untuk melewati seluruh direktori /var ketika melakukan inisialisasi database dan ketika melakukan pemeriksaan. Ini mengurangi I/O disk dan memungkinkan pekerjaan ini untuk menyelesaikan lebih cepat.

    Ini juga memungkinkan inisialisasi menjadi proses pemblokiran dan Ansible akan menunggu inisialisasi selesai sebelum menjalankan tugas berikutnya.

  • Meskipun STIG membutuhkan paket Mars untuk dicatat, pencatatan log sekarang dinonaktifkan secara default. Log dapat dengan cepat mengisi server syslog atau membuat konsol fisik tidak dapat digunakan.

    Deployer yang membutuhkan logging ini diaktifkan perlu mengatur variabel Ansible berikut:

    security_sysctl_enable_martian_logging: yes

Catatan Upgrade

  • Semua audit discretionary access control (DAC) sekarang dinonaktifkan secara default. Ini mengurangi jumlah log yang dihasilkan selama penerapan dan upgrade kecil. Variabel berikut sekarang disetel ke no:

    security_audit_DAC_chmod: no
security_audit_DAC_chown: no
security_audit_DAC_lchown: no
security_audit_DAC_fchmod: no
security_audit_DAC_fchmodat: no
security_audit_DAC_fchown: no
security_audit_DAC_fchownat: no
security_audit_DAC_fremovexattr: no
security_audit_DAC_lremovexattr: no
security_audit_DAC_fsetxattr: no
security_audit_DAC_lsetxattr: no
security_audit_DAC_setxattr: no

Perbaikan Bug

  • Direktori /run dikecualikan dari pemeriksaan AIDE karena file dan direktori hanya ada sementara dan sering berubah ketika layanan mulai dan berhenti.

  • Inisialisasi AIDE sekarang selalu dijalankan pada playbook berikutnya yang berjalan ketika initialize_aide diatur ke yes. Inisialisasi akan dilewati jika AIDE tidak diinstal atau jika database AIDE sudah ada.

    Lihat bug 1616281 untuk lebih jelasnya.

  • Aturan auditd untuk audit V-38568 (mount filesystem) salah diberi label dalam log auditd dengan kunci export-V-38568. Mereka sekarang dicatat dengan benar dengan kunci filesystem_mount-V-38568.

13.3.3

Fitur baru

  • Variabel horizon_keystone_admin_roles ditambahkan untuk mendukung daftar OPENSTACK_KEYSTONE_ADMIN_ROLES dalam file horizon_local_settings.py.

  • Kemampuan untuk mendukung domain pengguna masuk dan domain proyek masuk telah ditambahkan ke modul keystone.

    # Example usage
- keystone:
    command: ensure_user
    endpoint: "{{ keystone_admin_endpoint }}"
    login_user: admin
    login_password: admin
    login_project_name: admin
    login_user_domain_name: custom
    login_project_domain_name: custom
    user_name: demo
    password: demo
    project_name: demo
    domain_name: custom

  • Panel LBaaS v2 di Horizon akan secara otomatis diaktifkan ketika LBaaS v2 dimasukan dalam neutron_plugin_base.

  • Deployer sekarang dapat mengkonfigurasi tempest jaringan publik dan pribadi dengan mengatur variabel berikut, 'tempest_private_net_provider_type' ke vxlan atau vlan dan 'tempest_public_net_provider_type' ke flat atau vlan. Bergantung pada apa yang digunakan setel variabel ini, mereka mungkin juga perlu memperbarui variabel lain yang sesuai, ini terutama melibatkan 'tempest_public_net_physical_type' dan 'tempest_public_net_seg_id'. Silakan merujuk ke http://docs.openstack.org/mitaka/networking-guide/intro-basic-networking.html untuk informasi jaringan neutron lainnya.

Catatan Upgrade

  • Perbaikan untuk pemasangan bind yang rusak di kontainer galera (lihat bug 1609862 <https://launchpad.net/bugs/1609862> untuk detailnya) akan diterapkan pada file konfigurasi kontainer LXC, tetapi memulai kembali (restart) setiap kontainer galera diperlukan untuk memberlakukan perubahan.

    Deployer dapat menggunakan fungsionalitas rolling restart yang disediakan dalam playbook upgrade dalam file main OpenStack-Ansible repository.

    Penyebar juga dapat mematikan dan menyalakan container galera one at a time secara manual jika metode itu lebih disukai.

    Ini juga akan menyebabkan log kesalahan lama di /var/log/mysql_logs dalam kontainer menjadi tidak tersedia karena bind mount baru dipasang di atas direktori log yang ada di dalam kontainer. Jika log ini penting untuk disimpan oleh seorang deployer, deployer harus:

    1. Matikan satu kontainer Galera

    2. Salin log dari sistem file wadah ke /openstack/log/{{ inventory_hostname }} pada sistem file host

    3. Nyalakan kontainer Galera

    4. Ulangi untuk kontainer Galera lainnya

Perbaikan Bug

  • Mount mengikat untuk log pada kontainer galera ditemukan rusak di bug 1609862 <https://launchpad.net/bugs/1609862> dan telah diperbaiki.

    NOTE:* Perbaikan ini sebagian diterapkan untuk penerapan OpenStack-Ansible yang ada. Lihat bagian upgrade dari catatan rilis untuk pekerjaan yang diperlukan untuk menerapkan perbaikan sepenuhnya.

  • Kemampuan untuk mendukung domain pengguna masuk dan domain proyek masuk telah ditambahkan ke modul keystone. Ini teratasi (resolves) https://bugs.launchpad.net/openstack-ansible/+bug/1574000

    # Example usage
- keystone:
    command: ensure_user
    endpoint: "{{ keystone_admin_endpoint }}"
    login_user: admin
    login_password: admin
    login_project_name: admin
    login_user_domain_name: custom
    login_project_domain_name: custom
    user_name: demo
    password: demo
    project_name: demo
    domain_name: custom

13.3.2

Fitur baru

  • Variabel baru telah ditambahkan untuk memungkinkan seorang deployer untuk mengontrol restart kontainer melalui handler. Opsi baru ini adalah lxc_container_allow_restarts dan memiliki standar true. Jika seorang deployer ingin menonaktifkan fungsi restart otomatis mereka dapat menetapkan nilai ini menjadi false dan restart kontainer otomatis yang tidak mutlak diperlukan akan dinonaktifkan.

Catatan Upgrade

  • Instalasi paket LXC dan persiapan cache sekarang akan terjadi secara default hanya pada host yang benar-benar akan mengimplementasikan kontainer.

  • Selama upgrade, kontainer dan restart layanan untuk klaster mariadb/galera dipicu beberapa kali dan menyebabkan kluster menjadi tidak stabil dan sering tidak dapat dipulihkan. Situasi ini telah sangat ditingkatkan, dan kami sekarang memiliki kontrol ketat sehingga me-restart kontainer galera hanya perlu terjadi sekali, dan dilakukan dengan cara yang terkendali, dapat diprediksi, dan dapat diulang ((repeatable way).

Perbaikan Bug

  • Instalasi paket LXC dan persiapan cache sekarang akan terjadi secara default hanya pada host yang benar-benar akan mengimplementasikan kontainer.

  • Flag --compact telah dihapus dari opsi xtrabackup. Ini telah terbukti menyebabkan crash dalam beberapa situasi SST

13.3.1

Fitur baru

  • Plugin pencarian py_pkgs sekarang memiliki pemesanan ketat untuk file persyaratan yang ditemukan. File-file ini digunakan untuk menambahkan persyaratan tambahan untuk paket python yang ditemukan. Urutan ditentukan oleh konstanta, REQUIREMENTS_FILE_TYPES yang berisi entri berikut, 'test-requirements.txt', 'dev-requirements.txt', 'requirements.txt', 'global-requirements.txt', 'global-requirement-pins.txt'. Item dalam daftar ini disusun dari prioritas paling rendah hingga paling tinggi.

  • Peran os_horizon sekarang mendukung konfigurasi tema kustom. Penyebar dapat menggunakan variabel horizon_custom_themes dan horizon_default_theme yang baru untuk mengkonfigurasi dasbor dengan tema kustom dan default ke masing-masing tema spesifik.

  • Opsi file konfigurasi logrotate aplikasi sekarang dapat dikonfigurasi. rsyslog_client_log_rotate_options dapat digunakan untuk memberikan daftar arahan, dan rsyslog_client_log_rotate_scripts dapat digunakan untuk memberikan daftar scrip postrotate, prerotate, firstaction, atau lastaction.

  • Peran os_swift memiliki 3 variabel baru yang akan memungkinkan deployer mengubah batas hard, soft, dan fs.file-max. Batas hard dan soft sedang ditambahkan ke file limit.conf untuk pengguna sistem yang cepat. Pengaturan fs.file-max ditambahkan ke host penyimpanan melalui penyetelan kernel. Opsi baru adalah swift_hard_open_file_limits dengan default 10240 swift_soft_open_file_limits dengan default 4096 swift_max_file_limits dengan default 24 kali nilai swift_hard_open_file.

  • Peran repo_build sekarang menyediakan kemampuan untuk menimpa batasan atas yang diterapkan yang bersumber dari OpenStack dan dari file global-requirement-pins.txt. Variabel repo_build_upper_constraints_overrides dapat diisi dengan daftar batasan atas. Daftar ini akan didahulukan dalam proses kendala, dengan pengecualian pin yang diatur dalam SHA sumber git.

Masalah Dikenal

  • Untuk rilis OpenStack-Ansible Mitaka lebih awal dari 13.3.1 sumber apt container default yang digunakan adalah``http://mirror.rackspace.com/ubuntu``. Cermin ini tampaknya terkadang memiliki indeks paket rusak atau paket yang hilang. Sumber paket default karenanya telah diubah untuk menggunakan http://archive.ubuntu.com/ubuntu/ untuk paket dan http://security.ubuntu.com/ubuntu untuk paket keamanan.

Catatan Upgrade

  • Sumber apt container default telah diubah dari menggunakan http://mirror.rackspace.com/ubuntu menjadi http://archive.ubuntu.com/ubuntu/ untuk paket dan http://security.ubuntu.com/ubuntu untuk paket keamanan. Ini untuk menyelesaikan masalah dengan paket yang tidak tersedia selama proses instalasi karena pembaruan mirror tidak lengkap.

Critical Issue (masalah kritis)

  • Deployment Horizon rusak karena pengaturan nama host yang salah ditempatkan di konfigurasi ServerName apache. Ini menyebabkan kegagalan startup Horizon setiap kali debug dinonaktifkan.

13.3.0

Fitur baru

  • Opsi baru telah ditambahkan ke bootstrap-ansible.sh untuk mengatur mode pengambilan peran. Variabel lingkungan ANSIBLE_ROLE_FETCH_MODE mengatur bagaimana dependensi peran diselesaikan.

  • Horizon sekarang memiliki kemampuan untuk mengatur opsi konfigurasi acak menggunakan opsi global horizon_config_overrides dalam format YAML. Override mengikuti pola yang sama dengan yang ditemukan pada override layanan OpenStack lainnya. General documentation on overrides can be found here <http://docs.openstack.org/developer/openstack-ansible/install-guide/configure-openstack.html#overriding-openstack-configuration-defaults> _.

Catatan Upgrade

  • Menambahkan entri nova.conf baru, live_migration_uri. Entri ini akan secara default menjadi qemu-ssh:// uri, yang menggunakan kunci ssh yang telah didistribusikan antara semua host komputasi.

  • Tugas pembersihan ditambahkan untuk menghapus direktori /usr/share/novnc dan /usr/share/spice-html5, sebelum mengkloningnya di dalam nova vnc dan spice console playbooks. Ini diperlukan untuk menjamin bahwa modifikasi lokal tidak merusak operasi git clone, terutama selama upgrade.

Perbaikan Bug

  • Proses pengumpulan dan kompresi standar dalam role os_horizon sekarang terjadi setelah penyesuaian horizon diinstal, sehingga semua sumber daya statis akan dikumpulkan dan dikompresi.

  • Ketika upgrading dimungkinkan untuk proses lama "neutron-ns-metadata-proxy" untuk tetap berjalan di memori. Jika ini terjadi, versi proses lama dapat menyebabkan masalah yang tidak terduga di lingkungan produksi. Untuk memperbaikinya, tugas telah ditambahkan ke peran os_neutron yang akan menjalankan pencarian proses dan membunuh proses "neutron-ns-metadata-proxy" yang tidak menjalankan tag rilis saat ini. Setelah proses lama dihapus, agen metadata yang berjalan akan respawn semua yang dibutuhkan dalam waktu 60 detik.

Catatan lain

  • Skrip run-playbooks.sh telah di-refactored untuk menjalankan semua playbook menggunakan set tool inti (core tool) kami dan menjalankan order. Pekerjaan refactor memperbarui skrip kasus spesial lama ke alat yang hanya menjalankan playbook terintegrasi seperti yang telah dirancang.

13.2.0

Fitur baru

  • Dukungan Apache MPM yang dapat diubah telah ditambahkan ke peran os-keystone untuk memungkinkan penyetelan thread MPM. Nilai default mencerminkan pengaturan default Ubuntu saat ini:

    keystone_httpd_mpm_backend: event
keystone_httpd_mpm_start_servers: 2
keystone_httpd_mpm_min_spare_threads: 25
keystone_httpd_mpm_max_spare_threads: 75
keystone_httpd_mpm_thread_limit: 64
keystone_httpd_mpm_thread_child: 25
keystone_httpd_mpm_max_requests: 150
keystone_httpd_mpm_max_conn_child: 0

13.1.4

Fitur baru

  • Deployer sekarang dapat membuat blacklist ekstensi Nova tertentu dengan memberikan daftar ekstensi tersebut dalam variabel horizon_nova_extensions_blacklist, misalnya:

    horizon_nova_extensions_blacklist:
  - "SimpleTenantUsage"

  • Aturan audit yang ditambahkan oleh peran keamanan sekarang memiliki key field yang membuatnya lebih mudah untuk menghubungkan entri log audit dengan aturan audit yang menyebabkannya muncul.

  • Sebuah kondisional telah ditambahkan ke pengaturan _local_ip yang digunakan dalam neutron_local_ip yang menghilangkan persyaratan sulit untuk jaringan overlay yang akan diatur dalam penyebaran. Jika tidak ada jaringan overlay yang diatur dalam penyebaran, local_ip akan ditetapkan ke nilai "ansible_ssh_host".

  • Menambahkan horizon_apache_custom_log_format yang dapat disetel ke peran os-horizon untuk mengubah format CustomLog. Default adalah "combined".

  • Menambahkan keystone_apache_custom_log_format tunable untuk mengubah format CustomLog. Default adalah "combined".

Perbaikan Bug

  • Role sebelumnya tidak me-restart daemon audit setelah membuat file aturan baru. bug telah diperbaiki dan daemon audit akan dimulai kembali setelah ada perubahan peraturan audit.

  • Ketika peran keamanan dijalankan dalam mode pemeriksaan Ansible dan tag diberikan, variabel check_mode tidak diatur. Tugas apa pun yang bergantung pada variabel itu akan gagal. Bug ini diperbaiki bug is fixed <https://bugs.launchpad.net/openstack-ansible/+bug/1590086> _ dan variabel check_mode sekarang ditetapkan dengan benar pada setiap proses playbook.

  • Sebelumnya, var ansible_managed sedang digunakan untuk memasukkan header ke dalam swift.conf yang berisi informasi tanggal/waktu. Ini berarti bahwa swift.conf di seluruh node yang berbeda tidak memiliki MD5SUM yang sama, menyebabkan swift-recon --md5 rusak. Kami sekarang menyisipkan selembar teks statis sebagai gantinya untuk menyelesaikan masalah ini.

13.1.3

Catatan Upgrade

  • Variabel global baru telah dibuat bernama openstack_domain. Variabel ini memiliki nilai default "openstack.local".

Perbaikan Bug

  • Role keamanan sebelumnya mengatur izin pada semua file log audit di /var/log/audit ke 0400, tetapi ini mencegah daemon audit agar tidak menulis ke file log aktif. Ini akan mencegah auditd dari memulai atau memulai ulang dengan bersih.

    Tugas sekarang menghapus semua izin yang tidak diizinkan oleh STIG. File log apa pun yang memenuhi atau melampaui persyaratan STIG tidak akan diubah.

  • Direktori /var/lib/libvirt/qemu/save sekarang menjadi symlink ke {{ nova_system_home_folder }}/save untuk menyelesaikan masalah di mana lokasi default yang digunakan oleh perintah libvirt managed save dapat dihasilkan dengan partisi root pada compute nodes menjadi penuh ketika nova image-create dijalankan pada instance besar.

13.1.2

Fitur baru

  • Dasbor LBaaS v2 baru tersedia di Horizon. Deployer dapat mengaktifkan panel dengan mengatur variabel Ansible berikut:

    horizon_enable_neutron_lbaas: True

    Tugas dalam role os_horizon akan menentukan versi LBaaS mana yang digunakan (melalui neutron_plugin_base) dan mengaktifkan panel yang benar untuk LBaaS v1 atau v2.

  • Dukungan Horizon IPv6 sekarang dapat dikonfigurasi dengan variabel Ansible. Deployer dapat mengaktifkan dukungan IPv6 di Horizon dengan menetapkan variabel berikut:

    horizon_enable_ipv6: True

    Harap dicatat: Horizon masih akan menampilkan alamat IPv6 di berbagai panel dengan dukungan IPv6 dinonaktifkan. Namun, itu tidak akan mengizinkan manajemen langsung konfigurasi IPv6.

  • Peran openstack-ansible-memcached_server mencakup override baru, memcached_connections yang secara otomatis dihitung dari jumlah batas koneksi memcached ditambah 1k tambahan untuk mengkonfigurasi batas nofile OS. Tanpa konfigurasi batas nofile yang tepat, memcached akan macet untuk mendukung jumlah TCP/Memcache koneksi paralel yang lebih tinggi.

  • Izinkan opsi fallocate_reserve diatur (dalam byte) untuk Swift, untuk membantu mencegah pengisian disk dan mencegah situasi di mana Swift tidak dapat menghapus objek karena kurangnya ruang disk. Nilai fallocate_reserve ke diatur ke default 10GB.

  • Aktifkan modul rsync per drive server objek dengan mengatur pengaturan swift_rsync_module_per_drive ke True. Setel ini untuk mengkonfigurasi rsync dan cepat untuk menggunakan konfigurasi individual per drive. Ini diperlukan saat menonaktifkan rsyncs ke disk individual. Misalnya, dalam skenario disk penuh.

Catatan Upgrade

  • Seperti dijelaskan dalam Mitaka release notes Neutron sekarang menghitung dengan benar dan mengiklankan MTU ke instance. Konfigurasi DHCP default untuk mengiklankan MTU ke instance karenanya telah dihapus dari variabel neutron_dhcp_config.

  • Seperti dijelaskan dalam Mitaka release notes Neutron sekarang menghitung dengan benar dan mengiklankan MTU ke instance. Dengan demikian variabel neutron_network_device_mtu telah dihapus dan nilai-nilai hard-coded di templat untuk advertise_mtu, path_mtu, dan segment_mtu telah dihapus untuk memungkinkan default upstream untuk beroperasi sebagaimana dimaksud.

  • Endpoint admin nova baru akan didaftarkan dengan akhiran /v2.1/%(tenant_id)s. Endpoint admin nova dengan akhiran /v2/%(tenant_id)s dapat dihapus secara manual.

  • Nilai default swift_max_rsync_connections telah berubah dari 2 menjadi 4 agar sesuai dengan nilai yang terdokumentasi OpenStack swift.

Perbaikan Bug

  • Variabel dictionary-based di defaults/main.yml sekarang menjadi variabel individual. Variabel dictionary-based tidak dapat diubah seperti yang diperintahkan oleh dokumentasi. Sebaliknya itu diperlukan untuk menimpa seluruh dictionary. Deployer harus menggunakan nama variabel baru untuk mengaktifkan atau menonaktifkan perubahan konfigurasi keamanan yang diterapkan oleh peran keamanan. Untuk informasi lebih lanjut, lihat Launchpad Bug 1577944.

  • Pencatatan akses yang gagal sekarang dinonaktifkan secara default dan dapat diaktifkan dengan mengubah security_audit_failed_access menjadi yes. Daemon rsyslog memeriksa keberadaan file log secara teratur dan aturan audit ini dipicu sangat sering, yang menyebabkan log audit sangat besar.

  • Role keamanan sekarang menangani file ssh_config yang berisi stanzas Match. Marker ditambahkan ke file konfigurasi dan setiap item konfigurasi baru akan ditambahkan di bawah marker itu. Selain itu, file konfigurasi divalidasi untuk setiap perubahan ke file konfigurasi ssh.

  • The nova admin endpoint is now correctly registered as /v2.1/%(tenant_id)s sebagai ganti /v2/%(tenant_id)s.

  • Sistem file XFS dikecualikan dari mlocate crond job harian untuk menghemat disk IOPS untuk semburan (burst) IOPS besar karena pengindeksan file updatedb/mlocate.

13.1.1

Perbaikan Bug

  • Pemeriksaan untuk memvalidasi apakah kunci publik ssh yang sesuai tersedia untuk disalin ke dalam cache kontainer telah diperbaiki untuk memeriksa deployment host, bukan host LXC.

13.1.0

Masalah Dikenal

  • Paramiko versi 2.0 Python membutuhkan pustaka kriptografi Python. Paket sistem baru harus diinstal untuk perpustakaan ini. Untuk versi OpenStack-Ansible <12.0.12, <11.2.15, <13.0.2 paket sistem harus diinstal pada deployment host secara manual dengan menjalankan apt-get install -y build-essential libssl-dev libffi-dev.

13.0.1

Fitur baru

  • Kontainer LXC sekarang akan memiliki set hostname RFC1034/5 yang tepat selama tugas post build. Entri localhost untuk 127.0.1.1 akan dibuat dengan mengonversi semua "_" di inventory_hostname ke "-". Kontainer akan dibuat dengan domain default openstack.local. Nama domain ini dapat disesuaikan untuk memenuhi kebutuhan deployment Anda dengan mengatur opsi lxc_container_domain.

  • Kemampuan untuk mendukung MultiStrOps telah ditambahkan ke plugin aksi config_template. Perubahan ini memperbarui parser untuk menggunakan tipe set() untuk menentukan apakah nilai dalam kunci yang diberikan akan diberikan sebagai MultiStrOps. Jika override digunakan dalam file konfigurasi INI, tipe set didefinisikan menggunakan konstruksi yaml standar "?" sebagai penanda item.

    # Example Override Entries
Section:
  typical_list_things:
    - 1
    - 2
  multistrops_things:
    ? a
    ? b

    # Example Rendered Config:
[Section]
typical_list_things = 1,2
multistrops_things = a
multistrops_things = b

  • Ada konfigurasi default baru untuk keepalived, mendukung lebih dari 2 node.

  • Untuk menggunakan versi stabil keepalived terbaru, variabel keepalived_use_latest_stable harus disetel ke True

  • Apakah Neutron DHCP Agent, Metadata Agent atau LinuxBridge Agent harus diaktifkan sekarang ditentukan secara dinamis berdasarkan neutron_plugin_type dan neutron_ml2_mechanism_drivers yang ditetapkan. Ini bertujuan untuk menyederhanakan konfigurasi layanan Neutron dan meniadakan kebutuhan deployer untuk override seluruh variabel dict neutron_services untuk menonaktifkan layanan ini.

  • Neutron VPN as a Service (VPNaaS) kini dapat digunakan dan dikonfigurasi secara opsional. Silakan lihat OpenStack Networking Guide untuk perincian tentang apa layanan ini dan apa yang disediakannya. Lihat VPNaaS Install Guide untuk detail implementasi.

Masalah Dikenal

  • Di versi stabil terbaru dari keepalived ada masalah dengan perhitungan prioritas ketika seorang deployer memiliki lebih dari lima node keepalived. Masalahnya menyebabkan seluruh cluster yang disimpan tetap gagal bekerja. Untuk mengatasi masalah ini, disarankan bahwa deployer membatasi jumlah node yang disimpan tidak lebih dari lima atau bahwa prioritas untuk setiap node ditetapkan sebagai bagian dari konfigurasi (cf. haproxy_keepalived_vars_file variable).

Catatan Upgrade

  • Kontainer LXC sekarang akan memiliki set hostname RFC1034/5 yang tepat selama tugas post build. Entri localhost untuk 127.0.1.1 akan dibuat dengan mengonversi semua "_" di inventory_hostname ke "-". Kontainer akan dibuat dengan domain default openstack.local. Nama domain ini dapat disesuaikan untuk memenuhi kebutuhan deployment Anda dengan mengatur opsi lxc_container_domain.

  • Pengaturan wait_timeout MariaDB dikurangi menjadi 1 jam agar sesuai dengan batas waktu daur ulang kumpulan (pool) Alchemy SQL, untuk mencegah penumpukan (buildup) sesi basis data yang tidak perlu.

  • Ada konfigurasi default baru untuk keepalived. Saat menjalankan haproxy playbook, perubahan konfigurasi akan menyebabkan restart tetap hidup kecuali jika deployer telah menggunakan file konfigurasi kustom. Restart akan menyebabkan alamat IP virtual yang dikelola oleh keepalived secara singkat tidak dikonfigurasi, kemudian dikonfigurasi ulang.

  • Versi baru keepalived akan diinstal pada node haproxy jika variabel keepalived_use_latest_stable diatur ke True dan lebih dari satu node haproxy dikonfigurasi. Pembaruan (update) paket akan menyebabkan keepalived untuk memulai kembali dan oleh karena itu akan menyebabkan alamat IP virtual yang dikelola oleh keepalived secara singkat tidak terkonfigurasi, kemudian dikonfigurasi ulang.

  • Apakah Neutron DHCP Agent, Metadata Agent atau LinuxBridge Agent harus diaktifkan sekarang ditentukan secara dinamis berdasarkan neutron_plugin_type dan neutron_ml2_mechanism_drivers yang ditetapkan. Ini bertujuan untuk menyederhanakan konfigurasi layanan Neutron dan meniadakan kebutuhan deployer untuk override seluruh variabel dict neutron_services untuk menonaktifkan layanan ini.

  • Percona Xtrabackup telah dihapus dari peran klien Galera.

Catatan Depresiasi

  • Variabel `galera_client_package_*` dan `galera_client_apt_percona_xtrabackup_*` telah dihapus dari peran karena Xtrabackup tidak lagi digunakan.

Masalah keamanan

  • Entri sudoer telah ditambahkan ke repo_servers untuk memungkinkan pengguna nginx berhenti dan mulai nginx melalui skrip init. Ini diterapkan untuk memastikan bahwa proses sinkronisasi repo dapat mematikan nginx saat menyinkronkan data dari master ke slave.

  • Horizon menonaktifkan pelengkapan otomatis kata sandi di browser secara default, tetapi deployer sekarang dapat mengaktifkan pelengkapan otomatis dengan mengatur horizon_enable_password_autocomplete ke True.

Perbaikan Bug

  • Untuk memastikan bahwa data yang sesuai dikirimkan kepada pemohon dari server repo, server web repo_server slave diambil offline selama proses sinkronisasi. Ini memastikan bahwa data yang tepat selalu dikirimkan ke pemohon melalui load balancer.

13.0.0

Fitur baru

  • Ubuntu memiliki 4 'components' yang berbeda - main, universe, multiverse and restricted:

    • Utama: Perangkat lunak yang didukung secara resmi.

    • Restricted: Perangkat lunak yang didukung yang tidak tersedia di bawah lisensi sepenuhnya gratis.

    • Universe: Perangkat lunak yang dikelola komunitas, yaitu perangkat lunak yang tidak didukung secara resmi.

    • Multiverse: Perangkat lunak yang tidak gratis.

    Konfigurasi sumber apt default sekarang diatur untuk hanya menyertakan komponen main dan universe karena itu adalah satu-satunya komponen yang diperlukan untuk penyebaran fungsional. Jika deployer ingin memasukkan komponen lain, maka variabel lxc_container_template_apt_components dapat diatur dalam /etc/openstack_deploy/user_variables.yml dengan daftar lengkap komponen yang diinginkan.

  • Ceilometer sekarang menggunakan endpoint Keystone v3. Arahan 'identity_uri' telah dihapus karena tidak digunakan. 'region_name' telah ditambahkan. Arahan di bawah 'service_credentials' telah diperbarui untuk mendukung perpustakaan keystoneauth

  • Menambahkan fungsi di dynamic_inventory.py untuk meningkatkan identifikasi pengaturan yang salah di dalam file konfigurasi pengguna.

  • Deployer secara opsional dapat mengatur UID dan/atau GID untuk pengguna dan grup nova. Ini bermanfaat untuk lingkungan dengan penyimpanan bersama.

  • Variabel baru yang disebut lxc_container_cache_files telah diimplementasikan yang berisi daftar kamus yang menentukan file pada host penyebaran yang harus disalin ke dalam cache kontainer LXC dan atribut apa yang ditugaskan untuk file yang disalin.

  • Playbook haproxy-install.yml sekarang akan dijalankan sebagai bagian dari setup-infrastructure.yml.

  • Log untuk haproxy sekarang dapat ditemukan di /openstack/log/<haproxy host name>-haproxy/ pada host kontainer (jika haproxy berada dalam sebuah kontainer), atau /var/log/haproxy/ jika haproxy dipasang langsung pada host.

  • Deployment Horizon sekarang mendukung modul kustomisasi yang disediakan operator yang dapat dikonfigurasi menggunakan variabel horizon_customization_module. Silakan lihat the Horizon documentation <http://docs.openstack.org/developer/openstack-ansible/mitaka/install-guide/configure-horizon.html> _ untuk informasi lebih lanjut.

  • API v3 Keystone sekarang menjadi standar untuk semua layanan.

  • Verifikasi rantai sertifikat TLS selama pengunduhan image yang di-cache LXC sekarang dapat diubah menggunakan variabel konfigurasi 'lxc_cache_validate_certs'. Perilaku default adalah untuk memvalidasi rantai sertifikat.

  • Keystone sekarang dapat dikonfigurasi untuk beberapa LDAP atau Active Directory identity back-ends. Konfigurasi fitur ini didokumentasikan dalam bagian Konfigurasi Keystone <http://docs.openstack.org/developer/openstack-ansible/mitaka/install-guide/configure-keystone.html> _ dari Install Guide.

  • LBaaS v2 tersedia untuk deployment selain LBaaS v1. Kedua versi ini saling eksklusif dan tidak dapat berjalan pada saat bersamaan. Pemberi kerja perlu membuat kembali penyeimbang beban yang ada jika mereka beralih di antara versi LBaaS. Beralih ke LBaaS v2 akan menghentikan penyeimbang beban LBaaS v1 yang ada.

  • Neutron Firewall as a Service (FWaaS) sekarang dapat digunakan dan dikonfigurasi secara opsional. Silakan lihat FWaaS Configuration Reference untuk detail tentang layanan apa yang dimaksud dan apa yang disediakannya. Lihat FWaaS Install Guide untuk detail implementasi.

  • Deployer dapat mengatur zona ketersediaan default (AZ) untuk bangunan instance baru yang tidak menyediakan AZ. Nilai secara default adalah None, tetapi dapat diubah dengan variabel nova_default_schedule_zone.

  • Dua variabel baru (rabbitmq_async_threads dan` rabbitmq_process_limit`) telah ditambahkan ke peran openstack-ansible-rabbitmq_server. Variabel rabbitmq_async_threads membatasi jumlah asynchronous thread untuk file dan soket I/O. Variabel rabbitmq_process_limit membatasi jumlah keseluruhan proses yang didukung di dalam VM erlang.

  • The openstack-ansible-security role sekarang terintegrasi dengan OpenStack-Ansible. Lihat bagian Security Hardeninn <http://docs.openstack.org/developer/openstack-ansible/mitaka/install-guide/configure-initial.html#security-hardening> _ pada dokumentasi OpenStack-Ansible untuk perincian tentang cara menggunakan pengerasan keamanan host bersama dengan OpenStack-Ansible.

  • Layanan OpenStack telah diatur untuk berkomunikasi dengan RabbitMQ menggunakan SSL secara default. Fitur ini dapat dinonaktifkan dengan mengatur rabbit_use_ssl ke false di `` /etc/openstack_deploy/user_variables.yml. Perilaku default adalah menggunakan sertifikat yang ditandatangani sendiri untuk komunikasi. Ini dapat diubah dengan prosedur sebagaimana dimaksud dalam the SSL documentation.

  • Deployment yang dapat diulang sekarang lebih mudah karena file manifes untuk perangkat lunak OpenStack menggunakan konten yang tepat dari repositori hulu. Komit atau tag tertentu dapat dirujuk dalam manifes. Paket yaprt tidak lagi digunakan untuk membangun repo.

  • Pengembang dapat menentukan paket python tambahan untuk proses repo build dengan membuat file YAML di dalam /etc/openstack_deploy/. Lihat documentation on adding packages <http://docs.openstack.org/developer/openstack-ansible/developer-docs/extending.html#build-the-environment-with-additional-python-packages> _ untuk keterangan lebih lanjut.

Catatan Upgrade

  • Ubuntu memiliki 4 'components' yang berbeda - main, universe, multiverse and restricted:

    • Utama: Perangkat lunak yang didukung secara resmi.

    • Restricted: Perangkat lunak yang didukung yang tidak tersedia di bawah lisensi sepenuhnya gratis.

    • Universe: Perangkat lunak yang dikelola komunitas, yaitu perangkat lunak yang tidak didukung secara resmi.

    • Multiverse: Perangkat lunak yang tidak gratis.

    Konfigurasi sumber apt default sekarang diatur untuk hanya menyertakan komponen main dan universe karena itu adalah satu-satunya komponen yang diperlukan untuk penyebaran fungsional. Jika deployer ingin memasukkan komponen lain, maka variabel lxc_container_template_apt_components dapat diatur dalam /etc/openstack_deploy/user_variables.yml dengan daftar lengkap komponen yang diinginkan.

  • Override pip_get_pip_options telah dihapus dari group_vars, menghasilkan default kosong yang digunakan. Sebelumnya metode ini digunakan untuk mengunci sumber pemasangan pip dengan tepat, tetapi ini telah ditangani melalui peran pip_lock_down untuk beberapa siklus. Jika seorang deployer telah mengimplementasikan override dalam user_variables berdasarkan pada pengaturan group_vars sebelumnya maka pengaturan harus ditinjau. Override ini sekarang dapat digunakan untuk memenuhi situasi di mana pemasangan pip memerlukan opsi tambahan yang diatur untuk memungkinkan pemasangan melalui proxy, atau menonaktifkan validasi sertifikat.

  • Skrip dynamic_inventory.py sekarang mengambil argumen --config sebagai ganti argumen --file.

  • Deployer secara opsional dapat menghapus endpoint Keystone v2 dari database. Endpoint tersebut tidak akan dihapus oleh proses upgrade.

  • Distribusi file konfigurasi akses database .my.cnf yang berisi kredensial root sensitif kini telah dibatasi hanya didistribusikan ke kontainer dan host yang memerlukannya untuk tujuan pemecahan masalah. Disarankan bahwa file ini dihapus dari semua host dan kontainer. Satu-satunya kontainer yang harus memiliki file adalah kontainer Utility dan kontainer Galera. Ini dapat dilakukan dengan mengeksekusi direktori ansible 'all:!galera:!utility' -m shell -a 'rm -f /root/.my.cnf' from the /opt/openstack-ansible/ .

  • Tingkat pertama dari variabel kamus keystone_ldap sekarang berhubungan dengan nama Keystone Domain. Entri konfigurasi keystone_ldap yang ada dapat dikonversi dengan mengganti nama kunci ldap ke nama domain 'Default'. Note bahwa entri nama domain adalah peka huruf besar-kecil (case-sensitive).

  • Variabel keystone_ldap_identity_driver telah dihapus. Driver untuk back-end LDAP di Keystone sekarang hanya menggunakan nilai 'ldap'. Tidak ada opsi back-end lain untuk Keystone saat ini.

  • Agent dan penyeimbang beban LBaaS v1 yang ada tidak akan diubah oleh rilis OpenStack-Ansible yang baru.

  • Tugas migrasi database telah ditambahkan untuk plugin neutron FWaaS.

  • Notifikasi Neutron ke nova sekarang akan menggunakan internal API endpoint daripada public endpoint.

  • Play repo-clone-mirror.yml telah dihapus karena tidak lagi digunakan oleh proyek.

  • Database baru bernama nova_api telah dibuat. Database ini memiliki kredensial pengguna sendiri dan proses sinkronisasi db nova-manage. Untuk kata sandi basis data ada entri variabel baru di user_secrets.yml yang disebut nova_api_container_mysql_password.

  • Jumlah thread asynchronous erlang yang digunakan oleh RabbitMQ telah ditingkatkan dari default 32 menjadi 128 untuk mempercepat pemrosesan pesan.

  • Batas proses erlang maksimum untuk RabbitMQ telah ditetapkan ke 1048576 untuk mencegah penguncian mesin virtual yang disebabkan ketika batas ini telah tercapai.

  • File konfigurasi penyebaran openstack_environment.yml telah dihapus dan tidak lagi digunakan dalam proses pembuatan inventaris dinamis. File ini sebelumnya secara fungsional tidak relevan dengan proses pembuatan inventaris dalam rilis Liberty.

  • Folder plugins telah diubah namanya menjadi nama default yang digunakan dalam Ansible 2.x. Ini adalah bagian dari persiapan untuk kesiapan Ansible 2.x. Ganti nama secara khusus actions > action, callbacks > callback, filters > filter, lookups > lookup.

  • Sumber git untuk python2_lxc digunakan di masa lalu karena paket tidak tersedia di pypi. Sekarang paket has been published ketergantungan peran py_from_git telah dihapus dari playbook` lxc_hosts`, peran tersebut telah dihapus dari daftar peran yang diperlukan dan detail repo telah dihapus dari file repo_packages karena tidak ada detail ini yang diperlukan lagi.

  • Layanan OpenStack telah diatur untuk berkomunikasi dengan RabbitMQ menggunakan SSL secara default. Fitur ini dapat dinonaktifkan dengan mengatur rabbit_use_ssl ke false di `` /etc/openstack_deploy/user_variables.yml. Perilaku default adalah menggunakan sertifikat yang ditandatangani sendiri untuk komunikasi. Ini dapat diubah dengan prosedur sebagaimana dimaksud dalam the SSL documentation.

  • Peran os_swift dan os_swift_sync telah digabungkan ke dalam peran os_swift tunggal. Dua variabel (swift_do_setup dan swift_do_sync) telah diterapkan untuk melakukan tindakan menginstal dan menyinkronkan path kode. Playbook terpisah telah disesuaikan untuk menggunakan variabel ini untuk memastikan bahwa perilaku itu persis sama seperti sebelumnya.

  • Variabel neutron_plugin_base telah dimodifikasi untuk menggunakan nama yang ramah. Penyebar harus mengubah penyesuaian apa pun ke variabel ini untuk memastikan bahwa penyesuaian tersebut menggunakan nama pendek daripada full class path.

  • Tugas migrasi database telah ditambahkan untuk plugin neutron LBaaS.

  • Playbook repo-store-source.yml telah dihapus karena tidak lagi diperlukan.

  • Variabel neutron_service_names telah dihapus. Cara yang lebih efisien untuk menentukan daftar layanan Neutron untuk memulai kembali layanan telah diterapkan.

Catatan Depresiasi

  • Skrip dynamic_inventory.py sekarang mengambil argumen --config sebagai ganti argumen --file.

  • Nama path kelas (class path) lama yang digunakan dalam neutron_plugin_base telah ditinggalkan, lebih menyukai nama yang bersahabat. Dukungan untuk penggunaan plugin path kelas akan dihapus dalam siklus OpenStack Newton.

Masalah keamanan

  • Entri sudoers ditambahkan ke repo_servers untuk memungkinkan pengguna nginx berhenti dan memulai NGINX dari skrip init. Ini memastikan bahwa proses sinkronisasi repo dapat mematikan NGINX sambil menyinkronkan data dari master ke slave.

  • Distribusi file konfigurasi akses database .my.cnf yang berisi kredensial root sensitif kini telah dibatasi hanya didistribusikan ke kontainer dan host yang memerlukannya untuk tujuan pemecahan masalah.

  • Ketika diaktifkan, Neutron Firewall as a Service (FWaaS) memberikan proyek opsi untuk menerapkan keamanan perimeter (pemfilteran pada router), menambah pemfilteran pada antarmuka instance yang disediakan oleh 'Security Groups'.

  • Layanan OpenStack telah diatur untuk berkomunikasi dengan RabbitMQ menggunakan SSL secara default. Fitur ini dapat dinonaktifkan dengan mengatur rabbit_use_ssl ke false di `` /etc/openstack_deploy/user_variables.yml. Perilaku default adalah menggunakan sertifikat yang ditandatangani sendiri untuk komunikasi. Ini dapat diubah dengan prosedur sebagaimana dimaksud dalam the SSL documentation.

Perbaikan Bug

  • Kontainer mungkin gagal untuk mengambil paket dari server repo saat menghubungkan ke server repo slave yang belum selesai menyinkronkan. Untuk informasi lebih lanjut, lihat https://bugs.launchpad.net/openstack-ansible/+bug/1543146. Ini diatasi dengan menambahkan kait sebelum dan sesudah ke lsyncd untuk menyambung ke server repo slave dan menonaktifkan NGINX selama durasi sinkronisasi.

  • Penambahan dukungan konfigurasi LDAP multi-domain meninggalkan file konfigurasi untuk domain default yang menyebabkan masalah dengan Keystone. File ini akan secara otomatis dihapus jika deployer tidak menggunakan domain Default dengan back end LDAP. (Bug 1547542 <https://bugs.launchpad.net/openstack-ansible/+bug/1547542> _)

  • Paket python pip, setuptools dan wheel sekarang semuanya disematkan (pinned) pada basis per-tag. Pin diperbarui bersama dengan setiap update OpenStack Service. Ini dilakukan untuk memastikan pengalaman membangun yang konsisten dengan paket terbaru yang tersedia pada saat tag dirilis. Deployer dapat menimpa pin dengan menambahkan daftar pin yang diperlukan menggunakan variabel pip_packages di user_variables.yml.

Catatan lain

  • Notifikasi Neutron ke nova sekarang akan menggunakan internal API endpoint daripada public endpoint.