3.3. Red Hat OpenStack Platform 17.1.1 유지 관리 릴리스 - 2023년 9월 20일

이번 업데이트에서는 부트스트랩 컨트롤러 노드를 교체한 후 OVN 데이터베이스 작업에 부정적인 영향을 미치는 버그가 수정되었습니다. 이번 업데이트 이전에는 이름 재사용으로 OVN 데이터베이스 RAFT 클러스터에 문제가 있었기 때문에 대체 컨트롤러 노드에 원래 부트스트랩 컨트롤러 노드 호스트 이름과 IP 주소를 사용할 수 없었습니다.

이제 교체 컨트롤러 노드에 원래 호스트 이름과 IP 주소를 사용할 수 있습니다.

이번 업데이트 이전에는 OVN 서비스 공급자 드라이버와 함께 로드 밸런싱 서비스(octavia)를 사용하는 RHOSP 17.1 환경에서 FIP(유동 IP 주소)에 대한 로드 밸런서 상태 점검이 프로토콜 포트로 올바르게 채워지지 않았습니다. FIP에 대한 요청이 'ERROR' 상태에 있는 로드 밸런서 멤버에 잘못 배포되었습니다.

이번 업데이트를 통해 문제가 해결되고 부동 IP 주소(FIP)에 대한 새 로드 밸런서 상태 점검이 프로토콜 포트로 올바르게 채워집니다. 이 업데이트를 배포하기 전에 상태 모니터를 생성한 경우 포트 문제를 해결하려면 해당 모니터를 다시 생성해야 합니다.

RHOSP 17.1.1에서 tripleo_frr_bgp_peers 역할별 매개변수를 사용하여 IP 주소 목록을 지정할 수 있습니다.

예제

  ControllerRack1ExtraGroupVars:
    tripleo_frr_bgp_peers: ["172.16.0.1", "172.16.0.2"]

이 릴리스에는 사용자 지정 라우터 플레이버를 정의하고 사용자 지정 라우터 플레이버를 사용하여 라우터를 생성하는 데 사용할 수 있는 선택적 기능의 기술 프리뷰가 포함되어 있습니다.

자세한 내용은 라우터 플레이버를 사용하여 사용자 지정 가상 라우터 생성을 참조하십시오.

IPv6를 사용하여 OVN 메커니즘 드라이버로 마이그레이션하는 동안 인스턴스에 연결하는 경우 ML2/OVS 서비스가 중지되면 인스턴스에 대한 연결이 최대 몇 분 동안 중단될 수 있습니다.

IPv6의 라우터 알림 데몬은 OVN 메커니즘 드라이버로 마이그레이션하는 동안 중지됩니다. radvd 가 중지되지만 라우터 알림은 더 이상 브로드캐스트되지 않습니다. 이 브로드캐스트 중단으로 인해 IPv6를 통한 인스턴스 연결이 손실됩니다. 새 ML2/OVN 서비스가 시작되면 IPv6 통신이 자동으로 복원됩니다.

해결방법: 잠재적인 중단을 방지하려면 대신 IPv4를 사용합니다.

RHOSP 17.1.1에서 director는 상위의 NS 레코드와 일치하도록 NS 레코드를 자동으로 구성할 수 없습니다. 해결방법: 향후 릴리스에서 자동화된 해결방법이 제공되며, 관리자는 언더클라우드의 /usr/share/ansible/roles/designate_bind_pool/templates/ 의 오케스트레이션 서비스(heat) 템플릿 파일을 수동으로 변경할 수 있습니다. Jinja 템플릿에서 pool.yaml.j2 에서 다음 빈 행(13-16)까지 ns_records 를 포함하는 행 다음에 있는 코드를 제거하고 인프라에 적절한 값을 삽입합니다. 마지막으로 관리자는 오버클라우드를 재배포해야 합니다.

예제

  ns_records:
    - hostname: ns1.desiexample.com
      priority: 1
    - hostname: ns2.desiexample.com
      priority: 2

BGP 동적 라우팅을 사용하는 RHOSP 17.1 환경에서는 현재 부동 IP(FIP) 포트 전달이 실패하는 알려진 문제가 있습니다.

FIP 포트 전달이 구성되면 FIP와 동일한 대상 IP를 사용하여 특정 대상 포트로 전송된 패킷은 RHOSP Networking 서비스(neutron) 포트에서 내부 IP로 리디렉션됩니다. 이는 사용되는 프로토콜(TCP, UDP 등)에 관계없이 발생합니다.

BGP 동적 라우팅이 구성되면 FIP 포트 전달을 수행하는 데 사용되는 FIP로의 경로가 노출되지 않으며 이러한 패킷은 최종 대상에 도달할 수 없습니다.

현재는 해결방법이 없습니다.

RHOSP 17.1.1에서는 에이전트 알림 서비스가 초기화되는 경우 새 배포 중에 RHOSP Identity 서비스(keystone)를 사용할 수 없는 알려진 문제가 있습니다. 이렇게 하면 ceilometer가 gnocchi 엔드포인트를 검색하지 않습니다. 결과적으로 메트릭이 gnocchi로 전송되지 않습니다.

해결방법: 컨트롤러 노드에서 agent-notification 서비스를 다시 시작합니다.

$ sudo systemctl restart tripleo_ceilometer_agent_notification.service

Pacemaker에서 제어하는 ceph-nfs 리소스에는 일부 프로세스 데이터를 저장하기 위해 런타임 디렉터리가 필요합니다. RHOSP를 설치하거나 업그레이드할 때 디렉터리가 생성됩니다. 현재 컨트롤러 노드를 재부팅하면 디렉터리가 제거되고 컨트롤러 노드가 재부팅되면 ceph-nfs 서비스가 복구되지 않습니다. 모든 컨트롤러 노드가 재부팅되면 ceph-nfs 서비스가 영구적으로 실패합니다.

해결방법: 컨트롤러 노드를 재부팅하면 컨트롤러 노드에 로그인하고 /var/run/ceph 디렉터리를 생성합니다.

$ mkdir -p /var/run/ceph

재부팅된 모든 컨트롤러 노드에서 이 단계를 반복합니다. ceph-nfs-pacemaker 서비스가 실패한 것으로 표시되면 디렉터리를 만든 후 컨트롤러 노드에서 다음 명령을 실행합니다.

$ pcs 리소스 정리

현재 rsyslog는 아카이브가 하루에 한 번 모든 로그 파일을 기록할 때 Elasticsearch로 로그 전송을 중지합니다.

해결방법: 배포 중에 "RsyslogReopenOnTruncate: true"를 추가하여 Rsyslog가 모든 로그 파일을 로그 교체 시 다시 열리도록 합니다.

현재 RHOSP 17.1은 puppet-rsyslog 모듈과 함께 제공되므로 Director에서 rsyslog를 잘못 구성할 수 있습니다.

해결방법: Rsyslog를 올바르게 구성하기 전에 /usr/share/openstack-tripleo-heat-templates/deployment/logging/rsyslog-container-puppet.yaml 에 패치 [1]을 수동으로 적용합니다.

[1] https://github.com/openstack/tripleo-heat-templates/commit/ce0e3a9a94a4fce84dd70b6098867db1c86477fb

DVR이 활성화되어 있고 VLAN 테넌트 네트워크를 사용하는 ML2/OVN 또는 ML2/OVS 환경에서 다른 테넌트 네트워크에 연결된 인스턴스 간 동/서 트래픽은 패브릭에 분산됩니다.

결과적으로 해당 인스턴스 간 패킷은 해당 인스턴스가 실행되는 컴퓨팅 노드뿐만 아니라 다른 오버클라우드 노드에도 도달합니다.

이로 인해 네트워크에 영향을 미칠 수 있으며 모든 곳에서 트래픽을 전송하므로 보안 위험이 발생할 수 있습니다.

이 버그는 이후 FDP 릴리스에서 수정될 예정입니다. FDP 수정을 받기 위해 RHOSP 업데이트를 수행할 필요가 없습니다.

현재 RHEL 9.2의 Retbleed 취약점 완화로 인해 Intel Skylake CPU에서 OVS-DPDK(Data Plane Development Kit)가 있는 Open vSwitch의 성능이 저하될 수 있습니다.

이 성능 회귀는 BIOS에서 C-state가 비활성화되고 하이퍼 스레딩이 활성화되고 OVS-DPDK가 지정된 코어의 하이퍼 스레드 하나만 사용하는 경우에만 발생합니다.

해결방법: 코어의 하이퍼 스레딩을 OVS-DPDK에 할당하거나 NFV 구성 가이드에서 권장되는 DPDK가 있는 SRIOV 게스트에 할당합니다.

초과 보안 그룹 로그 항목을 버퍼링하는 로깅 대기열은 지정된 제한에 도달하기 전에 항목을 수락하지 않는 경우가 있습니다. 이 문제를 해결하려면 큐 길이를 보유할 항목 수보다 크게 설정할 수 있습니다.

NeutronOVNLoggingRateLimit 매개변수를 사용하여 초당 최대 로그 항목 수를 설정할 수 있습니다. 로그 항목 생성이 이 비율을 초과하면 NeutronOVNLoggingBurstLimit 에서 지정하는 로그 항목 수까지 큐에 초과가 버퍼링됩니다.

이 문제는 버스트의 첫 번째 단계에서 특히 중요합니다. 60 초와 같은 더 긴 버스트에서 속도 제한은 더 많은 영향을 미치고 버스트 제한 부정확에 대한 보완입니다. 따라서이 문제는 짧은 버스트에서 가장 큰 비례 효과가 있습니다.

해결방법: NeutronOVNLoggingBurstLimit 를 대상 값보다 높은 값으로 설정합니다. 필요에 따라 관찰하고 조정합니다.

모니터에서 사용하는 포트 번호에 따라 UDP 풀의 TCP 상태 모니터가 예상대로 작동하지 않을 수 있습니다. 풀 구성원 및 상태 모니터의 상태도 올바르지 않습니다. 이는 UDP 풀의 특정 포트 번호에서 TCP 상태 모니터 사용을 중단하는 SELinux 규칙 때문입니다.

해결방법 (있는 경우): 현재 해결 방법이 없습니다.

OVN 메커니즘 드라이버를 사용하는 RHOSP 17.1에서는 포트당 흐름 이벤트 로깅 또는 network log create 명령의 --target 옵션 사용을 지원하지 않습니다.

RHOSP 17.1은 network log create 명령의 --resource 옵션을 사용하여 보안 그룹당 흐름 이벤트 로깅을 지원합니다. RHOSP를 사용한 네트워킹 의 "보안 그룹 작업"을 참조하십시오.

RHOSP 17.1 GA에서는 RBAC(보안 역할 기반 액세스 제어)가 활성화된 경우 DNS 서비스(designate)가 잘못 구성됩니다. 현재 sRBAC 정책에는 지정에 대한 잘못된 규칙이 포함되어 있으며 지정이 올바르게 작동하도록 수정해야 합니다. 가능한 해결 방법은 언더클라우드 서버에 다음 패치를 적용하고 오버클라우드를 재배포하는 것입니다.

https://review.opendev.org/c/openstack/tripleo-heat-templates/+/888159

RHOSP 17.1에는 OVS-DPDK PMD 스레드에서 또는 DPDK 애플리케이션을 실행하는 게스트에서 하드웨어 인터럽트 요청(IRQ)이 진행 중인 일시적인 패킷 손실 문제가 있습니다.

이 문제는 배포 중에 많은 VF를 프로비저닝한 결과입니다. VFS에는 IRQ가 필요하며, 각 IRQ는 물리적 CPU에 바인딩되어야 합니다. IRQ의 용량을 처리할 수 있는 하우스키핑 CPU가 충분하지 않으면 irqbalance 가 모두 바인딩하지 못하고 분리된 CPU에서 IRQ를 덮어씁니다.

해결방법: 다음 작업 중 하나 이상을 시도할 수 있습니다.

DNS 서비스(designate)를 실행하는 RHOSP 17.1에서는 구성이 변경되면 bind9 및 unbound 서비스가 재시작되지 않는 알려진 문제가 있습니다.

해결방법: 각 컨트롤러에서 다음 명령을 실행하여 수동으로 컨테이너를 다시 시작합니다.

$ sudo systemctl restart tripleo_designate_backend_bind9
$ sudo systemctl restart tripleo_unbound

RHOSP 17.1.1 환경에서 RHOSP DNS 서비스(designate)를 실행하는 IPv6 네트워크를 사용하는 환경에서는 BIND 9 백엔드 서버에서 DNS 알림 메시지를 거부할 수 있습니다. 이 문제는 동일한 인터페이스에서 동일한 네트워크에 대한 여러 IP 주소가 있으며, 메시지가 designate Worker 서비스 이외의 소스에서 전달되는 것처럼 표시될 수 있기 때문에 발생합니다.

해결방법: 다음 패치를 적용합니다.

현재 다음 배포 아키텍처에 대해 Multi-RHEL이 지원되지 않습니다.

RHOSP 16.2에서 17.1 GA로 인플레이스 업그레이드를 수행할 때 알려진 문제가 있습니다. 컬렉션 에이전트인 collectd-sensubility 가 RHEL 8 컴퓨팅 노드에서 실행되지 않습니다.

해결방법: 영향을 받는 노드에서 파일을 편집하고 26행의 /var/lib/container-config-scripts/collectd_check_health.py. healthy: .State.Health.Status} " 를 "healthy: .State.Healthcheck.Status}" 로 바꿉니다.

ML2/OVN 메커니즘 드라이버를 사용하는 RHOSP 17.1 GA 환경에서는 부동 IP 포트 전달이 제대로 작동하지 않는 알려진 문제가 있습니다. 이 문제는 FIP를 사용할 때 VLAN 및 플랫 네트워크가 north-south 네트워크 트래픽을 배포하므로 발생하며 대신 FIP 포트 전달을 컨트롤러 또는 네트워크 노드에 중앙 집중화해야 합니다.

해결방법: 이 문제를 해결하고 중앙 집중식 게이트웨이 노드를 통해 FIP 포트 전달을 강제 적용하려면 RHOSP Orchestration 서비스(heat) 매개변수 NeutronEnableDVR 을 false 로 설정하거나 VLAN 또는 플랫 프로젝트 네트워크 대신 Geneve를 사용합니다.

이 RHOSP 릴리스에서는 iavf 드라이버와 함께 Intel X710 및 E810 시리즈 컨트롤러 가상 기능(VF)을 사용하는 SR-IOV 인터페이스가 링크 상태 플레이닝과 관련된 네트워크 연결 문제가 발생할 수 있는 알려진 문제가 있습니다. 영향을 받는 게스트 커널 버전은 다음과 같습니다.

메타데이터 에이전트가 여러 번 오작동하여 HAProxy 하위 컨테이너를 시작하려고 하면 메타데이터 서비스를 사용할 수 없게 될 수 있습니다. 메타데이터 에이전트는 'ProcessExecutionError: exit code: 125; Stdin: ; Stdout: 새 하위 컨테이너 neutron-haproxy-ovnmeta-<uuid>"와 유사한 오류 메시지를 기록합니다.

해결방법: podman kill <_container name_ >을 실행하여 문제가 있는 haproxy 하위 컨테이너를 중지합니다.

OVNAvailabilityZone Role 매개변수가 예상대로 인식되지 않으므로 OVN에서 가용성 영역 구성이 실패합니다.

해결방법: OVNCMSOptions 매개변수를 사용하여 OVN 가용 영역을 구성합니다. 예를 들면 다음과 같습니다.

ControllerParameters:
  OVNCMSOptions: 'enable-chassis-as-gw,availability-zones=az1'

RHOSP 17.1 환경에서 동적 라우팅을 사용하는 경우 RHOSP 17.1.1으로 업데이트가 제대로 작동하지 않습니다. 특히 Free Range Routing (FRR) 구성 요소는 업데이트되지 않습니다.

해결방법: RHOSP 17.1을 업데이트하기 전에 언더클라우드에 다음 패치를 적용합니다.

RHOSP 17.1.1 환경에서는 OVN 공급자 드라이버와 함께 로드 밸런싱 서비스(octavia)를 상태 모니터와 함께 사용하는 환경에서 풀 로드 밸런싱 상태가 false 멤버를 ONLINE 으로 잘못 표시합니다. 상태 모니터를 사용하지 않는 경우 상태 fake 멤버는 NO_MONITOR 의 정상적인 작업을 표시합니다.

멤버의 IP 주소에 오타 오류가 있는 경우와 같이 멤버가 유효하지 않을 때 페이크 로드 밸런싱 풀 멤버가 발생할 수 있습니다. 풀에 구성된 상태 모니터는 fake 멤버에서 상태 점검을 수행하지 않으며 글로벌 운영 상태는 페이크 멤버를 풀 상태를 계산할 때 ONLINE 으로 잘못 고려합니다. 또한 풀의 다른 모든 멤버가 ERROR 상태인 경우 풀의 멤버가 잘못된 ONLINE 상태의 페이크 멤버이므로 잘못된 DEGRADED 운영 상태가 ERROR 대신 할당됩니다.

해결방법: 현재 이 문제에 대한 해결방법이 없습니다.

Networking 서비스(neutron)로 인해 해당 프로필이 라우터에서 사용 중인 플레이버의 일부인 경우에도 네트워킹 프로필을 비활성화하거나 제거할 수 없습니다. 프로필 비활성화 또는 제거로 인해 라우터가 제대로 작동하지 않을 수 있습니다.

해결방법: 네트워킹 프로필을 비활성화하거나 제거하기 전에 현재 라우터에서 사용하는 플레이버의 일부가 아닌지 확인하십시오.