第3章 リリースの情報

今回の機能拡張により「admin」ユーザーは管理コンソールを使用してインスタンスに割り当てられている Floating IP の一覧を確認できるようになりました。この一覧はデプロイメント内の全プロジェクトを対象とします。
以前のリリースでは、この情報はコマンドラインでのみ取得可能でした。

今回の機能拡張により、仮想デバイスロールのタグ付けがサポートされるようになりました。この機能は、インスタンスのオペレーティングシステムに、そのインスタンスを実行している仮想デバイスについての追加情報が必要な場合があるために追加されました。たとえば、複数のネットワークインターフェースのあるインスタンスでは、適切にプロビジョニングするために、ゲストのオペレーティングシステムの用途を区別する必要があります
今回の更新で、仮想デバイスロールのタグ付けにより、ユーザーはインスタンスの作成時に、仮想デバイスにタグを付けられるようになりました。これらのタグは、メタデータ API を使用して、コンフィグドライブ (有効化されている場合) を介して (他のデバイスメタデータとともに) インスタンスに提示されます。詳しい情報は、『Red Hat OpenStack Platform 10 ネットワークガイド』の「Use Tagging for Virtual Device Identification」の章を参照してください: https://access.redhat.com/documentation/en/red-hat-openstack-platform/

今回の更新により、オーバークラウドのコントローラーノード上の iptables ファイアウォールが有効化されてセキュリティーが強化されました。その結果、必要なポートが開放され、オーバークラウドは以前のとおりに機能し続けます。

director を使用して Ceph RBD を Block Storage バックアップターゲットとして設定できるようになりました。これにより、ボリュームを Ceph ターゲットにバックアップするように設定してオーバークラウドをデプロイすることができます。デフォルトでは、ボリュームのバックアップは「backups」という名前の Ceph プールに保管されます。

バックアップの設定は、以下の環境ファイル (アンダークラウド上) で設定されます。

/usr/share/openstack-tripleo-heat-templates/environments/cinder-backup.yaml

今回のリリースでは、リセラーのユースケースのセキュリティー強化のために 2 要素認証が必要となりました。

本リリースでは、高可用性アーキテクチャーは簡素化されたため、サービスの再起動が必要な際のプロセスの侵襲性が低くなりました。スケーリングの操作中には、必要なサービスのみが再起動されます。以前のリリースでは、スケーリング操作でクラスター全体の再起動が必要でした。

今回の更新には、OSP director を使用してデプロイされたオーバークラウドのバージョンを特定するためのリリースファイルが含まれるようになりました。この情報により、インストール済みのバージョンが明確にわかるので、デバッグに役立ちます。overcloud-full イメージには新規パッケージ (rhosp-release) が含まれています。旧バージョンからアップグレードする場合にもこの RPM がインストールされます。リリースファイルは、OSP 10 以降の全バージョンに含まれます。これは Red Hat OpenStack Platform director ベースのインストールにのみ適用されますが、rhosp-release パッケージを手動でインストールしても同じ結果を得ることができます。

RBD バックエンドドライバー (Ceph Storage) を OpenStack Compute (nova) の一時ディスクにすると、以下の 2 つの追加設定を libvirt に適用します。

hw_disk_discard : unmap
disk_cachemodes : network=writeback

これにより、Ceph プール上の未使用ブロックを再利用し、ネットワークの書き込みをキャッシュすることができるので、RBD ドライバーを使用する OpenStack Compute 一時ディスクのパフォーマンスが向上します。

http://docs.ceph.com/docs/master/rbd/rbd-openstack/ も参照してください。

今回の機能拡張により、「heat-manage」が「heat-manage reset_stack_status」サブコマンドをサポートするようになりました。このサブコマンドは、「heat-engine」がデータベースと通信できないために、進行中のスタックがそのままで停止してしまう状況に対応するために追加されました。この問題が発生した場合には、管理者がステータスをリセットして、スタックが再度更新できるようにする方法が必要でした。
この機能が拡張された結果、管理者は「heat-manage reset_stack_status」コマンドで進行中の状態で停止したスタックをリセットすることができるようになりました。

「openstack baremetal」ユーティリティーにより、ブート設定中に特定のイメージを指定できるようになりました。具体的には、「--deploy-kernel」および「--deploy-ramdisk」のオプションを使用してカーネルまたは ramdisk イメージをそれぞれ指定できます。

今回の更新により、オーバークラウドのデプロイ時に追加の環境ファイルを使用してオーバークラウド内の Object Storage サービス (swift) を無効にすることができます。この環境ファイルには、以下の内容を記載する必要があります。

resource_registry:
  OS::TripleO::Services::SwiftProxy: OS::Heat::None
  OS::TripleO::Services::SwiftStorage: OS::Heat::None
  OS::TripleO::Services::SwiftRingBuilder: OS::Heat::None

その結果、Object Storage サービスはオーバークラウドで実行されなくなり、オーバークラウドの Identity サービス内の Object Storage サービスのエンドポイントはなくなります。

「ceph-osd」インスタンスを SELinux ポリシーで制限できるようになりました。OSP 10 では、新規デプロイでは、Ceph Storage ノード上で SELinux が「enforcing」モードで設定されるようになりました。

通常、OpenStack における OVS+DPDK の設定は、オーバークラウドのデプロイ後に手動で実行されます。これは、多数のコンピュートノードが対象となる場合にはオペレーターにとって非常に困難で、退屈な作業となる可能性がありました。今回の更新により OVS+DPDK のインストールは tripleo で自動化されました。以前は手動で行われていた DPDK のハードウェア機能の特定は、イントロスペクション中に自動化されました。また、ハードウェアの検出により、Heat テンプレートの設定に必要な情報がオペレーターに提供されるようになりました。現在、DPDK 対応のハードウェアを搭載しているコンピュートノードと、DPDK 対応のハードウェアを搭載していないコンピュートノードを共存させることはできません。
「ironic」Python エージェントは以下のハードウェア情報を検出して swift のブロブに保管します。
* ヒュージページサポートの CPU フラグ: pse が存在する場合には 2 MB のヒュージページがサポートされ、pdpe1gb が存在する場合には 1 GB のヒュージページがサポートされます。
* IOMMU の CPU フラグ: VT-d/svm が存在する場合には IOMMU がサポートされます。ただし、BIOS で IOMMU サポートが有効化されていることが条件です。
* 互換性のある NIC: DPDK にホワイトリストされている NIC の一覧 (http://dpdk.org/doc/nics に記載) と対照します。

上記の機能のいずれも搭載されていないノードは、DPDK を使用するコンピュートの役割には使用できません。

* オペレーターは、コンピュートノードで DPDK を有効にするためのプロビジョニングを使用することができます。
* コンピュート対応で DPDK NIC が搭載されていると確認されたノード向けのオーバークラウドイメージには、OVS の代わりに OVS+DPDK パッケージが使用されます。また、「dpdk」および「driverctl」のパッケージも含まれます。
* DPDK 対応の NIC のデバイス名は、T-H-T から取得されます。DPDK NIC の PCI アドレスは、デバイス名から識別される必要があります。これは、PCI のプロービング中に DPDK NIC をホワイトリストするのに必要です。
* ヒュージページは DPDK を使用するコンピュートノードで有効にする必要があります。
* DPDK Poll Mode Driver (PMD) に確保される CPU コアが一般のカーネルバランシングに使用されてアルゴリズムの処理とスケジューリングを中断しないようにするために、CPU を分離する必要があります。
* DPDK を有効にした NIC を使用する各コンピュートノードでは、puppet によってホワイトリストされた NIC の DPDK_OPTIONS、CPU マスク、および DPDK PMD のメモリーチャネル数が設定されます。DPDK_OPTIONS は /etc/sysconfig/openvswitch で設定する必要があります。

「Os-net-config」は以下のステップを実行します。
* 指定したインターフェースの pci アドレスを特定することにより、そのインターフェースを dpdk ドライバー (デフォルトは vfio-pci ドライバー) に関連付けます。ドライバーを永続的にバインディングするために driverctl が使用されます。
* ovs_user_bridge と ovs_dpdk_port のタイプを理解して、ifcfg スクリプトを適切に設定してください。
* 「タイプ」ovs_user_bridge は OVS タイプ OVSUserBridge と解釈され、これに基づいて OVS がデータパスタイプを「netdev」に設定します。
* 「タイプ」 ovs_dpdk_port は OVS タイプ OVSDPDKPort と解釈され、これに基づいて OVS がインターフェースタイプを「dpdk」としてポートをブリッジに追加します。
* ovs_dpdk_bond を理解して ifcfg スクリプトを適切に設定します。

DPDK を有効にした NIC を使用する各コンピュートノードで puppet により以下のステップが実行されます。
* /etc/neutron/plugins/ml2/openvswitch_agent.ini [OVS] datapath_type=netdev vhostuser_socket_dir=/var/run/openvswitch での OVS+DPDK の有効化
* qemu により所有される /var/run/openvswitch での vhostuser ポートの設定

各コントローラーノードで puppet により以下のステップが実行されます。
* nova.conf で NUMATopologyFilter を scheduler_default_filters に追加します。

その結果、上記の機能拡張されたプラットフォームの認識の自動化が完了し、QA テストで検証されます。

以前、Red Hat Enterprise Linux OpenStack Platform 7 では、各ロールで使用可能なネットワークが固定されていたため、任意のロール上で任意のネットワークを使用するカスタムネットワークトポロジーは利用できませんでした。
今回の更新により、Red Hat OpenStack Platform 8 以降のバージョンでは、任意のネットワークを任意のロールに割り当てることができるようになりました。
その結果、カスタムネットワークトポロジーが可能となりましたが、各ロールのポートはカスタマイズする必要があります。openstack-tripleo-heat-templates の「environments/network-isolation.yaml」ファイルを確認して、カスタム環境ファイルまたは「network-environment.yaml」で各ロールのポートを有効にする方法を参照してください。

今回の更新で複数のテーマ設定がサポートされるようになりました。これは、ユーザーがフロントエンドを使用してテーマを動的に変更できるようにするために追加されました。一部のユースケースには、明るいテーマと暗いテーマを切り替える機能や、アクセシビリティー上の理由から高コントラストを有効にする機能などが含まれます。
その結果、ユーザーは実行時にテーマを選択することができます。

Red Hat OpenStack Platform director は OpenStack Block Storage (cinder) v3 API エンドポイントを OpenStack Identity (keystone) に作成して、より新しい Cinder API バージョンをサポートするようになりました。

今回の機能拡張により、ドメインスコープのトークンを Dashboard (horizon) のログインに使用することができるようになりました。
この機能は、ドメインスコープのトークンを必要とする、よりリッチなロールセットを使用する場合に keystone v3 の認証管理を完全にサポートするために追加されました。django_openstack_auth はこのタイプのセッション用トークンの取得と維持をサポートする必要があります。
その結果、horizon ではドメインスコープのトークンを Red Hat OpenStack Platform 9 より利用できるようになりました。

今回の機能拡張により、「sahara-image-element」上のメインスクリプトが更新され、サポートされているプラグインのイメージだけを作成できるようになりました。たとえば、以下のコマンドを実行して、Red Hat Enterprise Linux 7 を使用する CDH 5.7 イメージを作成することができます。
----
>> ./diskimage-create/diskimage-create.sh -p cloudera -v 5.7

Usage: diskimage-create.sh
         [-p cloudera|mapr|ambari]
         [-v 5.5|5.7|2.3|2.4]
         [-r 5.1.0]
----

AODH は MYSQLをデフォルトのデータベースバックエンドとして使用するようになりました。以前のリリースでは、Ceilometer から AODH の移行を容易にする目的で、AODH は MongoDB をデフォルトのバックエンドとして使用していました。

今回の更新で、オーバークラウドのイメージに Red Hat Cloud Storage 2.0 バージョンがインストールされるようになりました。

OpenDaylight はテナントで設定可能なセキュリティーグループをサポートするようになり、セキュリティーグループルールに照合されたトラフィックのみが許可されるようになりました。現在は IPv4 トラフィックのみが照合/フィルタリング可能で、IPv6 には対応していません。
デフォルトでは、各テナントに「default」という名前のセキュリティーグループが使用されます。このセキュリティーグループには、デフォルトのルールがあり、default セキュリティーグループと関連付けられたインスタンス間の相互通信のみが許可されます。その結果、default グループからの送信トラフィックと default グループ内の相互通信のみが許可され、default グループ外からの受信トラフィックはデフォルトでドロップされます。

今回の機能拡張により、Red Hat OpenStack Platform director で Open vSwitch (OVS) ファイアウォールドライバーを設定するための新しいパラメーター「NeutronOVSFirewallDriver」が追加されました。
このパラメーターは、neutron OVS エージェントがセキュリティーグループを実装するための新たなメカニズムである「openvswitch」ファイアウォールをサポートしているために追加されました。「NeutronOVSFirewallDriver」によりユーザーは使用する実装を直接制御することができます。
「hybrid」: neutron が以前の iptables/ハイブリッドベースの実装を使用するように設定します。
「openvswitch」: 新たなフローベースの実装を有効にします。 
新しい Open vSwitch (OVS) ファイアウォールドライバーにより、パフォーマンスが向上し、プロジェクトネットワークへの接続に使用するインターフェースとブリッジの数が削減されます。その結果、ユーザーは新たなセキュリティーグループの実装をより簡単に評価することができるようになりました。

director を使用して Ceph RadosGW をオブジェクトストレージのゲートウェイとしてデプロイできるようになりました。そのためには、オーバークラウドのデプロイメントに /usr/share/openstack-tripleo-heat-templates/environmens/ceph-radosgw.yaml を追加します。この Heat テンプレートを使用する場合には、デフォルトの Object Storage サービス (swift) はデプロイされません。

今回の更新で、UI を使用してノードを追加できるようになりました。

OpenStack Data Processing サービスは、HDP (Ambari) プラグインのバージョン 2.4 をサポートするようになりました。

https://bugs.launchpad.net/tripleo/+bug/1630247 に記載されているように、アップストリームの Newton TripleO では Sahara サービスがデフォルトで無効化されましたが、Red Hat OpenStack Platform 9 から Red Hat OpenStack Platform 10 へのアップグレード手順では、Sahara サービスはデフォルトで有効化/維持されます。アップグレード後に Sahara は不要であるとオペレーターが判断した場合には、コントローラーのアップグレードとコンバージステップのコマンドで「-e 'major-upgrade-remove-sahara.yaml'」の環境ファイルを指定する必要があります。この環境ファイルは、特にコンバージのステップで末尾に指定する必要がありますが、混乱を避けるために両方のステップで末尾に指定することができます。このオプションを指定すると、Sahara サービスはメジャーアップグレード後に再起動しなくなります。
この方法により、Sahara サービスは OSP9 から OSP10 へのアップグレード中に適切に処理されます。また現在も、必要な場合には、オペレーターは Sahara を明示的に無効にすることが可能です。

今回の更新により、追加の環境ファイルを使用してオーバークラウドをデプロイすることによって、Object Storage サービス (swift) に追加の RAW ディスクを設定できるようになりました。以下に例を示します。

  parameter_defaults:
    ExtraConfig:
      SwiftRawDisks:
        sdb:
          byte_size: 2048
          mnt_base_dir: /src/sdb
        sdc:
          byte_size: 2048

その結果、Object Storage サービスはローカルノードの「root」ファイルシステムのみに限定されなくなりました。

ハードウェアのプロビジョニング段階に汎用ノードをデプロイできるようになりました。これらのノードは、汎用オペレーティングシステム (Red Hat Enterprise Linux) を使用してデプロイされ、ユーザーはそれらのノードに直接、追加のサービスをデプロイすることができます。

ironic-python-agent イメージが含まれているパッケージには、依存関係として rhosp-director-images RPM が必要でしたが、Red Hat OpenStack Platform director を利用しなくても OpenStack Bare Metal Provisioning サービス (ironic) の一般的な用途に ironic-python-agent を使用することが可能です。今回の更新で依存関係が変更され、以下のようになりました。

- rhosp-director-images RPM は rhosp-director-images-ipa RPM を必要とする。
- rhosp-director-images-ipa RPM は rhosp-director-images RPM を必要としない。

ユーザーは ironic-python-agent イメージを単独でインストールすることができるようになりました。

今回の更新により、IPMItool ドライバー向けに socat ベースのシリアルコンソールが追加されました。これは、ユーザーが仮想ノードのコンソールにアクセスするのと同じ方法でベアメタルノードのシリアルコンソールにアクセスする必要がある場合があるために追加されました。その結果、新しいドライバー「pxe_ipmitool_socat」が追加され、「socat」ユーティリティーを使用したシリアルコンソールがサポートされるようになりました。

OpenStack Data Processing サービスは、HDP (Ambari) プラグインのバージョン 2.3 をサポートするようになりました。

今回のリリースは、コンポーザブルロールを特徴としており、TripleO はコンポーザブルな方法でデプロイ可能となりました。これにより、各ノードで実行する必要のあるサービスをユーザーが選択することができるので、複雑なユースケースをサポートできます。

director では、OSP コントローラーノードとコロケーションされている RADOS Gateway (RGW) サービスに対する HAproxy ロードバランシングと SSL 終了を設定できるようになりました。

今回のリリースでは、OpenDaylight コントローラープラットフォーム自体におけるクラスタリングはサポートされませんが、neutron API サービスに対する HA が提供されます。

今回の更新で、IP トラフィックは QoS ポリシーにアタッチされた DSCP マーキングルールによって管理できるようになりました。このポリシーは、ネットワークとポートに適用されます。
これは、特にリアルタイムの情報やクリティカルな制御データを処理する場合に、トラフィックソースによって、ネットワークレベルで必要とされる優先順位のレベルが異なる場合があるために追加されました。その結果、特定のポートとネットワークからのトラフィックは DSCP フラグでマークすることができるようになりました。本リリースでは、Open vSwitch のみがサポートされている点に注意してください。

Telemetry サービス (ceilometer) はデフォルトのメーターディスパッチャーバックエンドに Gnocchi を使用するようになりました。Gnocchi はよりスケーラブルで、Telemetry サービスの今後の方向性に沿っています。

今回の機能拡張により、RabbitMQ に Queue Master 分散の新たな HA 機能が導入されました。そのストラテジーの 1 つは「min-masters」で、最小数のマスターをホストするノードを選択します。
この機能は、コントローラーの 1 つが利用できなくなる可能性があり、その場合にはキューの宣言中に利用可能なコントローラーに Queue Master が配置されるために追加されました。利用不可だったコントローラーが再度利用可能になると、新たに宣言されたキューのマスターは、キューマスターの数が明らかに低いコントローラーを優先するようには配置されなかったため、分散が不均衡となって、複数のフェイルオーバーが発生した場合にコントローラーにかかる負荷が大幅に高くなる可能性がありました。
そのため、今回の機能拡張でコントローラーのフェイルオーバーの発生後には、キューがコントローラー全体に広げられるようになりました。

今回の更新で、オーバークラウドからモニタリングインフラストラクチャーへの接続を有効にする新機能により、オーバークラウドノードに可用性管理エージェント (sensu-client) がデプロイされるようになりました。 

モニタリングエージェントのデプロイメントを有効にするには、「/usr/share/openstack/tripleo-heat-templates/environments/monitoring-environment.yaml」という環境ファイルを使用して、以下のパラメーターをその YAML 設定ファイルに指定します。

MonitoringRabbitHost: モニタリングを目的とする RabbitMQ インスタンスを実行するホスト
MonitoringRabbitPort: モニタリングを目的とする RabbitMQ インスタンスが実行されるポート
MonitoringRabbitUserName: RabbitMQ インスタンスに接続するためのユーザー名
MonitoringRabbitPassword: RabbitMQ インスタンスに接続するためのパスワード
MonitoringRabbitVhost: モニタリング目的で使用される RabbitMQ vhost

ノード固有の hiera を使用して、同じブロックデバイスリストを持たない Ceph Storage ノードをデプロイすることができるようになりました。その結果、オーバクラウドデプロイメントの Heat テンプレート内でノード固有の hiera エントリーを使用して、類似していない OSD サーバーをデプロイすることができます。

今回の機能拡張により、OpenStack Bare Metal Provisioning サービス (ironic) をオーバークラウドにデプロイしてベアメタルインスタンスのデプロイメントをサポートできるようになりました。この機能はオーバークラウドにベアメタルインスタンスをデプロイする必要がある場合があるために追加されました。
その結果、Red Hat OpenStack Platform director はオプションで Bare Metal Provisioning サービスをデプロイしてオーバークラウドでベアメタルインスタンスをプロビジョニングできるようになりました。

今回の更新で、「リアルタイム」の機能が追加され、仮想 CPU で最悪の場合のスケジューラーのレイテンシーに対する保証が強化されました。この更新は、CPU 実行のレイテンシーに関するワークロードを実行する必要があり、リアルタイムの KVM ゲストの設定によって提供される保証を必要とするテナントを補助します。

Telemetry API (ceilometer-api) はイベントレットの代わりに apache-wsgi を使用するようになりました。本リリースにアップグレードする際には、ceilometer-api が適切に移行されます。

今回の変更によりデプロイメントごとのパフォーマンスとスケーリングの調整における柔軟性が向上し、SSL の使用が簡単になりました。

今回の機能拡張により、仮想デバイスロールのタグ付けがサポートされるようになりました。この機能は、インスタンスのオペレーティングシステムに、そのインスタンスを実行している仮想デバイスについての追加情報が必要な場合があるために追加されました。たとえば、複数のネットワークインターフェースのあるインスタンスでは、適切にプロビジョニングするために、ゲストのオペレーティングシステムの用途を区別する必要があります
今回の更新で、仮想デバイスロールのタグ付けにより、ユーザーはインスタンスの作成時に、仮想デバイスにタグを付けられるようになりました。これらのタグは、メタデータ API を使用して、コンフィグドライブ (有効化されている場合) を介して (他のデバイスメタデータとともに) インスタンスに提示されます。詳しい情報は、『Red Hat OpenStack Platform 10 ネットワークガイド』の「Use Tagging for Virtual Device Identification」の章を参照してください: https://access.redhat.com/documentation/en/red-hat-openstack-platform/