4장. 기술 노트

이 섹션에 포함된 버그는 RHEA-2018:2086 권고에서 다룹니다. 이 권고에 대한 자세한 내용은 https://access.redhat.com/errata/RHEA-2018:2086 에서 확인할 수 있습니다.

ceph-ansible

ceph-ansible 유틸리티는 생성한 동일한 노드에서 ceph-create-keys 컨테이너를 항상 제거하지는 않습니다.

이로 인해 "Error response from daemon: No such container: ceph-create-keys라는 메시지와 함께 배포에 실패할 수 있습니다. 이는 새 배포를 포함하여 ceph-ansible 실행에 영향을 미칠 수 있습니다. * * 여러 컴퓨팅 노트 또는 * 사용자 지정 역할은 ceph를 사용하는 서비스를 호스팅하는 ceph 클라이언트로 변경될 수 있습니다.

gnocchi

openstack-gnocchi 패키지의 이름이 gnocchi로 변경되었습니다. 업스트림 프로젝트 범위 변경 때문에 openstack- 접두사가 제거되었습니다. Gnocchi는 OpenStack 우산에서 이동되었으며 독립 실행형 프로젝트로 유지됩니다.

openDaylight

유동 IP를 인스턴스에 연결할 때 외부 IP에 연결하면 유동 IP의 연결을 해제하지 못합니다. 이 상황은 NAPT가 아닌 스위치에서 생성된 VM이 유동 IP와 연결되고 * 유동 IP가 제거될 때 테넌트 VLAN 네트워크에서 발생합니다. 그 결과 NAPT 스위치의 FIB 테이블에 누락된 흐름(sporadically)이 발생합니다.

FIB 테이블 누락으로 인해 VM이 공용 네트워크에 대한 연결이 끊어집니다.

유동 IP를 VM에 연결하면 공용 네트워크에 대한 연결이 복원됩니다. 유동 IP가 VM과 연결되어 있으면 인터넷에 연결할 수 있습니다. 그러나 외부 네트워크에서 공용 IP/유동 IP가 손실됩니다.

openstack-cinder

이전 버전에서는 롤링 업그레이드 메커니즘으로 인해 오프라인 업그레이드를 수행할 때 cinder 서비스를 두 번 다시 시작해야 했습니다.

cinder-manage db sync 명령에 "--bump-versions"라는 새로운 선택적 매개 변수를 사용하여 이중 시스템 재시작을 건너뛸 수 있습니다.

Block Storage 서비스(cinder)는 동기화 잠금을 사용하여 볼륨 이미지 캐시의 중복 항목을 방지합니다. 잠금 범위가 너무 넓고 이미지 캐시가 활성화되지 않은 경우에도 이미지에서 볼륨을 생성하도록 동시 요청이 발생했습니다.

이미지에서 볼륨을 만드는 동시 요청은 직렬화되고 병렬로 실행되지 않습니다.

결과적으로 잠금 범위를 최소화하고 볼륨 이미지 캐시가 활성화된 경우에만 적용되는 영향을 최소화하기 위해 동기화 잠금이 업데이트되었습니다.

이제 볼륨 이미지 캐시가 비활성화될 때 이미지에서 볼륨을 동시에 생성하도록 요청합니다. 볼륨 이미지 캐시가 활성화되면 잠금이 최소화되어 캐시에 단일 항목만 생성됩니다.

openstack-manila

Shared File System 서비스(manila)는 이제 IPv6 환경에서 manila를 사용할 수 있는 NetApp ONTAP cDOT 드라이버에 대한 IPv6 액세스 규칙 지원을 제공합니다.

결과적으로 공유 파일 시스템 서비스는 이제 IPv6 네트워크를 통해 NetApp ONTAP 백엔드에서 지원하는 공유 내보내기를 지원합니다. 내보낸 공유에 대한 액세스는 IPv6 클라이언트 주소로 제어합니다.

Shared File System 서비스(manila)는 NFSv4 프로토콜을 통해 Ceph 파일 시스템(CephFS)에서 지원하는 공유 파일 시스템 마운트를 지원합니다. 컨트롤러 노드에서 작동하는 NFS-Ganesha 서버는 HA(고가용성)가 있는 테넌트에 CephFS를 내보내는 데 사용됩니다. 테넌트는 서로 격리되며 제공된 NFS 게이트웨이 인터페이스를 통해서만 CephFS에 액세스할 수 있습니다. 이 새로운 기능은 director에 완전히 통합되어 공유 파일 시스템 서비스의 CephFS 백엔드 배포 및 구성을 사용할 수 있습니다.

openstack-neutron

라우터에서 또는 라우터에 인터페이스를 추가 또는 제거하고 DHCP 에이전트에서 격리된 메타데이터가 활성화되면 해당 네트워크의 메타데이터 프록시가 업데이트되지 않습니다.

따라서 라우터에 연결되지 않은 네트워크에 있는 경우 인스턴스에서 메타데이터를 가져올 수 없습니다.

라우터 인터페이스가 추가 또는 제거될 때 메타데이터 프록시를 업데이트해야 합니다. 그런 다음 네트워크를 격리할 때 인스턴스를 DHCP 네임스페이스에서 메타데이터를 가져올 수 있습니다.

openstack-selinux

이전에는 게스트 가상 머신이 시작될 때 virtlogd 서비스가 중복 AVC 거부 오류를 기록했습니다. 이번 업데이트를 통해 virtlogd 서비스는 더 이상 systemd에 종료 억제 호출을 보내지 않아 설명된 오류가 발생하지 않습니다.

openstack-swift

이제 Object Store 서비스(swift)를 Barbican과 통합하여 저장된 오브젝트를 투명하게 암호화하고 암호 해독할 수 있습니다. 유휴 암호화는 전송 내 암호화와 다르며 디스크에 저장되는 동안 암호화되는 오브젝트를 나타냅니다.

Swift 오브젝트는 디스크에 일반 텍스트로 저장됩니다. 이러한 디스크는 수명 종료에 도달할 때 적절히 폐기되지 않은 경우 보안 위험을 초래할 수 있습니다. 오브젝트를 암호화하면 해당 위험이 완화됩니다.

Swift는 swift로 업로드할 때 자동으로 암호화되고 사용자에게 제공할 때 자동으로 암호 해독되는 오브젝트와 함께 이러한 암호화 작업을 투명하게 수행합니다. 이 암호화 및 암호 해독은 Barbican에 저장된 동일한 (symmetric) 키를 사용하여 수행됩니다.

openstack-tripleo-common

Octavia는 기본적으로 구성된 "서비스" 프로젝트에 대한 할당량을 오버클라우드에서 생성할 수 있는 Octavia 로드 밸런서 수를 제한하기 때문에 실제 워크로드로 확장되지 않습니다.

이 문제를 완화하려면 오버클라우드 관리자 권한으로 필요한 할당량을 무제한 또는 일부 충분히 큰 값으로 설정합니다. 예를 들어 언더클라우드에서 다음 명령을 실행합니다.

# source ~/overcloudrc
# openstack quota set --cores -1 --ram -1 --ports -1 --instances -1 --secgroups -1 service

tripleo.plan_management.v1.update_roles 워크플로는 오버클라우드 계획 이름(swift 컨테이너 이름) 또는 zaqar 대기열 이름을 트리거한 하위 작업으로 전달하지 않았습니다. 이로 인해 기본값('overcloud')이 아닌 다른 오버클라우드 계획 이름을 사용할 때 잘못된 동작이 발생했습니다. 이번 수정에서는 이러한 매개변수를 올바르게 전달하고 올바른 동작을 복원합니다.

컨테이너가 자동으로 다시 시작되면 'docker kill' 명령이 종료되지 않습니다. 사용자가 'docker kill <container>'를 실행하려고 하면 무한정 중단될 수 있습니다. 이 경우 CTRL+C는 명령을 중지합니다.

문제를 방지하려면 'docker stop'(Docker kill 대신)을 사용하여 컨테이너화된 서비스를 중지합니다.

원인: "openstack overcloud node configure" 명령은 "deploy-kernel" 및 "deploy-ramdisk" 매개변수의 이미지 ID가 아닌 이미지 이름만 사용합니다. 이제 수정 후 이미지 ID가 승인됩니다.

openstack-tripleo-heat-templates

이번 개선된 기능에는 director에서 RT가 활성화된 컴퓨팅 노드를 "일반" 컴퓨팅 노드와 함께 배포할 수 있는 지원이 추가되었습니다.

glance-direct 방법을 사용하려면 HA 구성에 사용할 때 공유 스테이징 영역이 필요합니다. 공통 스테이징 영역이 없는 경우 'glance-direct' 방법을 사용한 이미지 업로드는 HA 환경에서 실패할 수 있습니다. 컨트롤러 노드에 대한 들어오는 요청은 사용 가능한 컨트롤러 노드에 분산됩니다. 한 컨트롤러는 첫 번째 단계를 처리하고 다른 컨트롤러는 두 번째 요청을 두 개의 컨트롤러를 사용하여 다른 스테이징 영역에 이미지를 작성합니다. 두 번째 컨트롤러는 첫 번째 단계를 처리하는 컨트롤러에서 사용하는 동일한 스테이징 영역에 액세스할 수 없습니다.

Glance는 'glance-direct' 방법을 포함하여 여러 이미지 가져오기 방법을 지원합니다. 이 방법은 3단계 접근법을 사용합니다. 이미지 레코드를 생성하고, 이미지를 스테이징 영역에 업로드한 다음, 스테이징 영역에서 이미지를 스토리지 백엔드로 전송하므로 이미지를 사용할 수 있게 됩니다. HA 설정(즉, 컨트롤러 노드가 3개인 경우) glance-direct 방법은 컨트롤러 노드 전체에서 공유 파일 시스템을 사용하는 공통 스테이징 영역이 필요합니다.

이제 활성화된 Glance 가져오기 방법 목록을 구성할 수 있습니다. 기본 설정은 'glance-direct' 방법을 활성화하지 않습니다(web-download는 기본적으로 활성화되어 있음). 문제를 방지하고 HA 환경에서 Glance에 이미지를 안정적으로 가져오려면 'glance-direct' 방법을 활성화하지 마십시오.

openvswitch systemd 스크립트는 호스트에서 /run/openvswitch 폴더를 삭제합니다. ovn-controller 컨테이너 내부의 /run/openvswitch 경로는 오래된 디렉터리가 됩니다. 서비스가 다시 시작되면 폴더를 다시 생성합니다. ovn-controller가 이 폴더에 다시 액세스하려면 폴더를 다시 마운트하거나 ovn-controller 컨테이너를 다시 시작해야 합니다.

Cinder용 RBD 백엔드에서 사용할 Ceph 풀 목록을 지정하는 새로운 CinderRbdExtraPools Heat 매개변수가 추가되었습니다. 목록의 각 풀에 대해 추가 Cinder RBD 백엔드 드라이버가 생성됩니다. 이는 CinderRbdPoolName과 연결된 표준 RBD 백엔드 드라이버에 추가됩니다. 새 매개변수는 선택 사항이며 기본값은 빈 목록입니다. 모든 풀은 단일 Ceph 클러스터와 연결되어 있습니다.

Redis는 TLS가 활성화된 HA 배포의 노드에서 데이터를 올바르게 복제할 수 없습니다. Redis follower 노드는 리더 노드의 데이터를 포함하지 않습니다. Redis 배포의 TLS를 비활성화하는 것이 좋습니다.

이번 개선된 기능에는 metrics 데이터를 Gnocchi DB 인스턴스로 보내는 지원이 추가되었습니다.

collectd 구성 가능 서비스에 대한 다음 새 매개변수가 추가되었습니다. CollectdGnocchiAuthMode가 'simple'으로 설정된 경우 CollectdGnocchitocol, CollectdGnocchiServer, CollectdGnocchiPort 및 CollectdGnocchiUser가 구성에 대해 고려됩니다.

CollectdGnocchiAuthMode가 'keystone'로 설정된 경우 CollectdGnocchiKeystone* 매개변수가 구성에 대해 고려됩니다.

다음은 추가된 매개변수에 대한 자세한 설명입니다.

OVN 메타데이터 서비스가 DVR 기반 환경에 배포되지 않았습니다. 따라서 인스턴스 이름, 공개 키 등과 같은 메타데이터를 가져올 수 없었습니다.

이 패치를 사용하면 앞서 언급한 서비스를 통해 부팅된 모든 인스턴스가 메타데이터를 가져올 수 있습니다.

Cinder 백엔드 서비스에 대한 Heat 템플릿은 서비스가 컨테이너에 배포되어야 하는지 여부와 관계없이 오버클라우드 호스트에 cinder-volume 서비스를 배포하도록 Puppet이 트리거되었습니다. 이로 인해 cinder-volume 서비스가 두 번 배포되었습니다. 즉 컨테이너에도 호스트가 있습니다.

이로 인해 호스트에서 실행되는 악성 cinder-volume 서비스에서 작업을 처리하면 OpenStack 볼륨 작업(예: 볼륨 생성 및 연결)이 실패하는 경우가 있었습니다.

그 결과 Cinder 백엔드 heat 템플릿이 cinder-volume 서비스의 두 번째 인스턴스를 배포하지 않도록 업데이트되었습니다.

Gnocchi 백엔드로 사용되는 Swift 클러스터를 제대로 수행하면 gnocchi-metricd.conf의 collectd 로그 및 "ConnectionError: ('Connection aborted.', CannotSendRequest())" 오류가 발생할 수 있습니다. 문제를 완화하려면 CollectdDefaultPollingInterval 매개변수 값을 늘리거나 Swift 클러스터 성능을 향상시킵니다.

ceph-ansible의 복잡한 ceph-keys 처리를 변경하면 /etc/ceph/ceph.client.manila.keyring 파일에서 잘못된 콘텐츠가 생성되므로 manila-share 서비스가 초기화되지 않습니다.

manila-share 서비스가 초기화되도록 하려면 1) 오버클라우드 배포에 사용할 /usr/share/openstack/tripleo-heat-templates의 사본을 만듭니다.

2) 295 행의 모든 삼중 백슬래시를 단일 백슬래시로 변경하도록 …​/tripleo-heat-templates/docker/services/ceph-ansible/ceph-base.yaml 파일을 편집합니다. 이전: mon_cap: 'allow r, allow command \\"auth del\\\", allow command \\"auth caps\\", allow command \\"auth get\\\", allow command \\"auth get-or-create\\\" after: mon_cap: 'rallow, 'allow command \\" allow command \"auth del\", allow command \"auth caps\", allow command \"auth get\", allow command \"auth get-or-create\"'

3) 원래 overcloud-deploy 명령에서 /usr/share/openstack-tripleo-heat 템플릿이 발생한 모든 tripleo-heat-templates 복사본에 대한 경로를 배포할 수 있습니다.

ceph 키 /etc/ceph/ceph.client.manila.keyring 파일에는 적절한 콘텐츠가 있고 manila-share 서비스가 제대로 초기화됩니다.

HA에 대한 cinder-volume 서비스를 구성할 때 cinder의 DEFAULT/host 구성이 "hostgroup"으로 설정되었습니다. 기타 cinder 서비스(cinder-api, cinder-scheduler, cinder-backup)는 서비스를 실행 중인 오버클라우드 노드에 관계없이 구성에 "hostgroup"을 사용합니다. 이러한 서비스의 로그 메시지는 모두 동일한 "hostgroup" 호스트에서 시작된 것처럼 보이므로 메시지를 생성한 노드를 파악하기 어려웠습니다.

HA에 배포할 때 cinder-volume의 backend_host는 DEFAULT/host를 해당 값으로 설정하는 대신 "hostgroup"으로 설정됩니다. 이렇게 하면 각 노드의 DEFAULT/host 값이 고유합니다.

그 결과 cinder-api, cinder-scheduler, cinder-backup의 로그 메시지가 메시지를 생성한 노드와 올바르게 연결됩니다.

새 릴리스로 업그레이드한 후 Block Storage 서비스(cinder)가 이전 릴리스의 이전 RPC 버전을 사용하여 중단되었습니다. 이로 인해 최신 RPC 버전이 필요한 모든 cinder API 요청이 실패했습니다.

새 릴리스로 업그레이드할 때 모든 cinder RPC 버전이 최신 릴리스와 일치하도록 업데이트됩니다.

python-cryptography

버전 2.1부터 python-cryptography는 인증서에 사용된 CNS 이름이 IDN 표준을 준수하는지 확인합니다. 확인된 이름이 이 사양을 따르지 않으면 암호화가 인증서를 검증하지 못하고 OpenStack 명령줄 인터페이스 또는 OpenStack 서비스 로그에서 다른 오류를 찾을 수 있습니다.

python-cryptography 빌드를 설치한 후 Obsoletes가 누락되었기 때문에 RDO의 초기 가져오기가 실패했습니다. 이 패키지의 RHEL 7 빌드가 올바르고 올바른 Obsoletes 항목이 있습니다.

이번 수정에서는 python-cryptography에 대한 Obsoletes를 추가합니다.

python-ironic-tests-tempest

OSP 릴리스 13 업그레이드 후 업그레이드가 실패하기 전에 설치된 Tempest 플러그인(-tests) rpm. 초기 업그레이드 패키지에는 이전 rpm을 사용하지 않는 데 필요한 epoch 명령이 포함되지 않았습니다. subrpm은 OSP 13에서 제공되지 않으며 새로운 플러그인 rpm에 있는 Obsoletes가 올바른 rpm을 제대로 차단하지 않았습니다.

이 문제를 해결하려면 obsolete를 수정하거나 old -rpm을 수동으로 제거하고 대체 플러그인 python2-*-tests-tempest를 수동으로 설치합니다.

python-networking-ovn

neutron 및 OVN 데이터베이스 간의 일관성을 유지하기 위해 구성 변경 사항은 내부적으로 비교되고 백엔드에서 검증됩니다. 각 구성 변경에는 버전 번호가 할당되며 예약된 작업에는 데이터베이스에 대한 모든 생성, 업데이트 및 삭제 작업의 유효성을 검사합니다.

이 버전에서는 networking-ovn에서 내부 DNS 확인을 지원합니다. 두 가지 제한 사항이 있지만 내부 dns를 통해 내부 fqdn 요청을 올바르게 확인하지 않는 bz#1581332입니다.

확장 기능은 GA 릴리스에서 tripleo에서 기본적으로 구성되지 않습니다. 해결 방법은 bz#1577592를 참조하십시오.

게이트웨이 없이 서브넷이 생성되면 DHCP 옵션이 추가되지 않았으며 이러한 서브넷의 인스턴스는 DHCP를 가져올 수 없습니다.

인스턴스가 IP 주소를 가져올 수 있도록 메타데이터/DHCP 포트가 이러한 목적으로 대신 사용됩니다. 메타데이터 서비스를 활성화해야 합니다. 외부 게이트웨이가 없는 서브넷의 인스턴스는 이제 OVN 메타데이터/DHCP 포트를 통해 DHCP를 통해 IP 주소를 가져올 수 있습니다.

현재 L3 HA 스케줄러는 노드의 우선 순위를 고려하지 않았습니다. 따라서 모든 게이트웨이를 동일한 노드에서 호스팅하고 로드가 후보 간에 배포되지 않았습니다.

이번 수정에서는 게이트웨이 라우터를 예약할 때 로드된 노드를 선택하는 알고리즘을 구현합니다. 이제 로드된 최소 네트워크 노드에서 게이트웨이 포트를 예약하여 부하를 균등하게 분배합니다.

하위 포트가 다른 하이퍼바이저의 다른 트렁크에 다시 할당되면 바인딩 정보를 업데이트하지 않고 하위 포트가 ACTIVE로 전환되지 않았습니다.

이번 수정을 통해 하위 포트가 트렁크에서 제거될 때 바인딩 정보가 지워집니다. 이제 하위 포트가 다른 하이퍼바이저에 상주하는 다른 트렁크 포트에 다시 할당되면 ACTIVE로 전환됩니다.

python-os-brick

iSCSI 검색을 사용하면 노드 시작 구성이 "자동"에서 "default"로 재설정되어 서비스가 재부팅 시 시작되지 않았습니다. 이 문제는 각 검색 후 모든 시작 값을 복원하여 수정됩니다.

python-zaqar-tests-tempest

Queens 주기 동안 Tempest 플러그인 컬렉션이 openstack-*-tests rpm 하위 패키지에서 추출되었으므로 업그레이드에는 종속성 문제가 있었습니다. 그러나 모든 패키지가 Provides 및 Obsoletes의 올바른 조합이있는 것은 아닙니다. OSP 13에는 -tests(unittest 하위-rpms)가 없습니다.

이전 릴리스에서 설치된 -tests를 사용하여 업그레이드를 시도하면 종속성 문제로 인해 오류가 발생합니다.

이 문제를 해결하기 위해 추출된 -tests rpms의 이전 버전에 대한 Obsoletes가 다시 추가되었습니다.