红帽全球峰会第 5 章 集群
当使用 on-fail=ignore 时,Pacemaker 不会更新失败计数
当 Pacemaker 集群中的资源无法启动时,Pacemaker 会更新资源的最后失败时间和失败计数,即使使用了
on-fail=ignore 选项。这可能导致不必要的资源迁移。现在,当使用 on-fail=ignore 时,Pacemaker 不会更新失败计数。因此,集群状态输出中会显示失败,但被正确忽略,因此不会导致资源迁移。(BZ#1200853)
pacemaker 和其他 Corosync 客户端再次成功连接
在以前的版本中,当为 IPC 套接字构建名称时,libqb 库会有一个有限的缓冲区大小。如果系统中的进程 ID 超过 5 位,则它们已被截断,IPC 套接字名称可能会变为非唯一的。因此,Corosync 集群管理器的客户端可能无法连接,并可能会退出,假设集群服务不可用。这可包括可能失败的 pacemaker,不运行任何集群服务。这个版本增加了用于构建 IPC 套接字名称的缓冲区大小,以覆盖可能的最大进程 ID 号。因此,无论进程 ID 大小是什么,pacemaker 和其他 Corosync 客户端都会持续启动并继续运行。(BZ#1276345)
添加到 luci 接口中的安全功能以防止单击jacking
在以前的版本中,
luci 不会被禁止单击jacking,一种攻击一个 Web 站点的技术会欺骗用户通过 genuine 网页上的有意注入的元素来执行意外或恶意的操作。为了保护此类攻击,luci 现在由 X-Frame-Options: DENY 和 Content-Security-Policy: frame-ancestors 'none' 标头提供,它们旨在防止 luci 页面包含在外部,可能是恶意的网页。另外,当用户将 luci 配置为使用自定义证书且使用可识别的 CA 证书正确选择时,在较新的 Web 浏览器中会强制使用 7 天有效期限的 Strict-Transport-Security 机制。可以停用这些新的静态 HTTP 标头,如果需要克服不兼容性,用户可以在 /etc/sysconfig/luci 文件中添加自定义静态 HTTP 标头,这提供了示例。(BZ#1270958)
GlusterFS 现在可以从缓存写入后端的失败同步中正确恢复
在以前的版本中,如果因为缺少空间而导致缓存写入 Gluster 后端的同步会失败,则 write-behind 会将文件描述符(
fd)标记为 bad。这意味着虚拟机无法恢复,因为某种原因无法在与后端同步后重启。
在这个版本中,
glusterfs 会在错误时重试同步到后端,直到同步成功为止。另外,在这种情况下,文件描述符不会标记为 bad,只有与有失败同步的区域重叠的操作才会失败,直到同步成功为止。因此,当底层错误条件修复并成功同步后,虚拟机可以正常恢复。(BZ#1171261)
修复了在 NFS Ganesha 集群上设置 Gluster 存储时的 AVC 拒绝错误
以前,由于 Access Vector Cache (AVC)拒绝错误,在 NFS-Ganesha 集群上尝试设置 Gluster 存储会失败。负责的 SELinux 策略已被调整,允许处理由 NFS-Ganesha 挂载的卷,并且不再发生上述故障。(BZ#1241386)
安装 glusterfs 不再影响默认的 logrotate 设置
当在 Red Hat Enterprise Linux 6 上安装 glusterfs 软件包时,
glusterfs-logrotate 和 glusterfs-georep-logrotate 文件之前会使用几个全局 logrotate 选项安装。因此,全局选项会影响 /etc/logrotate.conf 文件中的默认设置。glusterfs RPM 已重新构建,以防止覆盖默认设置。因此,/etc/logrotate.conf 中的全局设置继续像配置一样工作,而不会被 glusterfs logrotate 文件的设置覆盖。(BZ#1171865)
DM 多路径的隔离代理不再会在非集群重启后丢失 SCSI 密钥
在以前的版本中,当节点没有使用集群方法重启时,DM 多路径的隔离代理会丢失 SCSI 密钥。这会导致集群试图隔离节点时出现错误。在这个版本中,每次重启时都会正确重新生成密钥。(BZ#1254183)
HP Integrated Lights-Out (iLo)的隔离代理现在在通过 SSL v3 连接时自动使用 TLS1.0
在以前的版本中,HP Integrated Lights-Out (iLO)的隔离代理需要 tls1.0 参数才能使用 TLS1.0 而不是 SSL v3。在这个版本中,当通过 SSL v3 的连接失败时,TLS1.0 会被自动使用。(BZ#1256902)
