4.4. RHEA-2020:4284: Red Hat OpenStack Platform 16.1.2 の一般提供アドバイザリー

Red Hat OpenStack Platform Load-balancing サービス (octavia) インスタンス (amphora) の keepalived インスタンスが、異常な状態で終了して UDP トラフィックを中断する可能性があります。この問題の原因は、UDP ヘルスモニターのタイムアウト値が短すぎることです。

回避策: 新しいタイムアウト値として 2 秒を超える値を指定します (例: $ openstack loadbalancer healthmonitor set --timeout 3 <heath_monitor_id>)。

詳細は、コマンドラインインターフェイスの参考ドキュメントで loadbalancer healthmonitor を検索してください。(BZ#1837316)

既知の問題が原因で、Ceph OSD の Filestore から Bluestore への移行に失敗します。RHCS3 と共に OSP13 をデプロイする際に osd_objectstore パラメーターを明示的に設定しない場合、一切 OSD を変換せずに移行が終了し、OSD がすでに Bluestore を使用しているという誤った報告がなされます。この既知の問題に関する詳細は、Bug 1875777 を参照してください。

回避策として、以下の手順を実施してください。

アンダークラウドのタイムアウト値 (秒):

parameter_defaults:
  TokenExpiration: 86400
  ZaqarWsTimeout: 86400

オーバークラウドデプロイのタイムアウト値 (分):

$ openstack overcloud deploy --timeout 1440

これでタイムアウト値が設定されました。(BZ#1792500)

現在、Red Hat OpenStack Platform が tripleo-ipa を使用して TLS-e を設定してデプロイされている場合、コンピュートノードをスケールダウンしたり削除したりすることはできません。これは、従来ローカルホストとしてアンダークラウドに委譲されていたクリーンアップロールが、mistral コンテナーから呼び出されるようになったためです。

詳細は、In an environment with TLSe setup with tripleo-ipa, Compute node replacement procedure fails to remove compute node を参照してください。(BZ#1866562)

今回の更新により、分散コンピュートノード (DCN) の Compute サービスが glance サービスにアクセスできない原因となっていたバグが修正されました。

以前のリリースでは、内部 Transport Layer Security (TLS) を使用してデプロイした場合でも、分散コンピュートノードは IP アドレスを指定する glance エンドポイントの URI で設定されていました。TLS では完全修飾ドメイン名 (FQDN) を指定するエンドポイントの URI が必要なため、Compute サービスは glance サービスにアクセスできませんでした。

内部 TLS を使用してデプロイした場合、DCN サービスは FQDN を指定する glance エンドポイントの URI で設定され、DCN の Compute サービスが glance サービスにアクセスできるようになりました。(BZ#1873329)

今回の更新により、分散コンピュートノード (DCN) 上で暗号化されたボリュームおよびイメージがサポートされるようになりました。

DCN ノードは、中央のコントロールプレーンで実行されている Key Manager サービス (barbican) にアクセスできるようになりました。

以下に例を示します。

$ openstack overcloud roles generate DistributedComputeHCI DistributedComputeHCIScaleOut -o ~/dcn0/roles_data.yaml

ロールデータファイルへの適切なパスを使用します。(BZ#1852851)

今回の更新以前は、RHOSP 13 から RHOSP16.1 への Fast Forward Upgrade (FFU) 時に leapp アップグレードが正常に実行されるためには、Red Hat Enterprise Linux のアップグレードが生じているノードの ssh 設定ファイル (/etc/ssh/sshd_config) に PermitRootLogin フィールドが定義されている必要がありました。

今回の更新により、Orchestration サービス (heat) では PermitRootLogin フィールドで /etc/ssh/sshd_config を変更する必要がなくなりました。(BZ#1855751)

ML2/OVN ルーターへの UDP ジャンボフレームの送信は、まだ利用することのできないカーネルリリースに依存します。

外部ネットワークの最大伝送単位を超える UDP ジャンボフレームを受信した場合、ML2/OVN ルーターは ICMP の fragmentation needed パケットを送信元の仮想マシンに返すことができます。これにより、送信元アプリケーションはペイロードをより小さなパケットに分割することができます。パケットサイズを判断するためには、South-North パスの MTU 限度を検出できる必要があります。

South-North パスの MTU 検出には kernel-4.18.0-193.20.1.el8_2 が必要です。これは、今後のリリースで利用可能になる予定です。カーネルバージョンの可用性を把握するには、Bug 1860169 を参照してください。(BZ#1547074)

今回の更新で、lsscsi を使用して [H:C:T:L] 値を取得するように get_device_info が変更され、これにより 255 を超える論理ユニット番号 (LUN) およびホスト論理ユニット (HLU) の ID 値に対応できるようになりました。

以前のリリースでは、get_device_info は sg_scan を使用してこれらの値を取得し、最大で 255 という制限がありました。

get_device_info を使用して、2 つのデバイス種別を取得することができます。

今回の更新で、VxFlex ボリューム切断の試みが失敗する原因となっていた非互換性が解消されました。

昨今の VxFlex cinder ボリュームの認証方法に関する変更は、既存のボリューム接続への後方互換性を持ちませんでした。認証方法の変更前に VxFlex ボリュームを接続した場合、ボリューム切断の試みが失敗していました。

これで、切断に失敗しなくなりました。(BZ#1869346)

アンダークラウドおよびオーバークラウドノードで Compute スタックが更新されるたびに、アンダークラウドの /etc/hosts のエントリーが複製されます。これは、コントローラーとコンピュートノードが複数のスタックに分割されるスプリットスタックのデプロイメントで発生します。

この問題のその他の事象は以下のとおりです。

今回の更新で、特定のケースでスタック更新の速度が向上しています。

以前のリリースでは、Ansible --limit オプションが ceph-ansible に渡されていない場合、スタック更新のパフォーマンスが低下していました。--limit 引数が使用されていても、ceph-ansible はスタックの更新時にノード上でべき等性を持つ更新を行う場合がありました。

director は Ansible --limit オプションをインターセプトし、それを ceph-ansible 実行可能ファイルに渡すようになりました。openstack overclouddeploy で始まるコマンドに渡された --limit オプションは、ceph-ansible 実行可能ファイルに渡され、スタックの更新に必要な時間を短縮します。