搜索

3.5. Red Hat OpenStack Platform 17.1 beta - 2023 年 6 月 15 日

download PDF

部署此 RHOSP 发行版本时,请考虑 Red Hat OpenStack Platform (RHOSP)中的以下更新。

3.5.1. 程序错误修复

此 Red Hat OpenStack Platform (RHOSP)发行版本中解决了这些程序错误:

BZ#1965308
在此次更新之前,当您使用与成员子网相同的网络使用不同的子网时,负载均衡服务(octavia)可能会拔出所需的子网。附加到此子网的成员无法访问。在这个版本中,负载均衡服务不会拔出所需的子网,负载均衡器可以访问子网成员。
BZ#2066866
虽然 Panko 监控服务已被弃用,但在从 RHOSP 16.2 升级到 17.1 后,其端点仍然存在于 Identity 服务(keystone)中。在这个版本中,清理 Panko 服务端点。但是,Panko 服务用户不会被自动删除。您必须使用命令 openstack user delete panko 手动删除 Panko 服务用户。如果没有删除这些用户,则没有影响。
BZ#2080199
在此次更新之前,在从 RHOSP 16.2 升级到 17.0 的过程中不会清理从 undercloud 中删除的服务。移除的服务保留在 OpenStack 端点列表中,即使它们无法访问或正在运行。在这个版本中,RHOSP 升级包括 Ansible 任务来清理不再需要的端点。
BZ#2097844
在此次更新之前,overcloud 配置下载 命令会失败,并显示回溯错误,因为命令试图访问编排服务(heat)来执行下载。编排服务不再永久在 undercloud 上运行。在这个版本中,overcloud config download 命令已被删除。相反,您可以将 overcloud deploy 命令与 --stack-only 选项搭配使用。
BZ#2116600
有时,在实时迁移过程中,libvirt 内部错误 迁移是活跃的,但没有设置 RAM 信息,即使实时迁移成功。当实时迁移应该成功时,实时迁移会失败。在这个版本中,当提高此 libvirt 内部错误时,实时迁移会在 libvirt 驱动程序中完成。在这种情况下,实时迁移可以正确地成功。
BZ#2125610
在此次更新之前,SELinux 问题会触发使用 Amphora 供应商驱动程序的 RHOSP 负载均衡服务(octavia) ICMP 健康监控器的错误。在 RHOSP 17.1 中,这个问题已被解决,ICMP 健康监控器可以正常工作。
BZ#2125612
在此次更新之前,当负载均衡器使用多个并发会话加载时,用户可能会在负载均衡服务(octavia) Amphora VM 日志文件中遇到以下警告信息: nf_conntrack: table full, discard packet。如果 Amphora 虚拟机丢弃了传输控制协议(TCP)流,并导致用户流量延迟,则会出现此错误。在这个版本中,负载均衡服务 Amphora 虚拟机中的 TCP 流禁用连接跟踪(conntrack),新的 TCP 流不会被丢弃。conntrack 只适用于用户数据报协议(UDP)流。
BZ#2129207
在此次更新之前,身份服务(keystone)的网络中断或临时不可用会导致 nova-conductor 服务无法启动。在这个版本中,nova-conductor 服务会记录一个警告,并在存在可能临时中断时继续启动。因此,如果在启动过程中遇到必要服务的临时问题或临时不可用,nova-conductor 服务将无法启动。
BZ#2133027
Alarming 服务(aodh)使用已弃用的 gnocchi API 来聚合指标,这会导致 gnocchi 中 CPU 使用率不正确。在这个版本中,gnocchi 中的动态聚合支持重新聚合现有指标以及根据需要操作和转换指标的功能。gnocchi 中的 CPU 时间会被正确计算。
BZ#2133297
在此次更新之前,openstack undercloud install 命令启动 openstack tripleo deploy 命令,该命令创建了 /home/stack/.tripleo/history 文件,其所有者为 root:root。由于权限错误,后续的部署命令会失败。在这个版本中,命令会创建 stack 用户作为所有者的文件,并且部署命令会成功,且无权限错误。
BZ#2140988

在此次更新之前,实时迁移可能会失败,因为数据库没有使用目标主机详情进行更新。

在这个版本中,数据库中的实例主机值在实时迁移过程中被设置为目标主机。

BZ#2149216

在更新 Open Virtual Network (OVN)负载均衡器健康检查前,如果您使用与 Load Balancer Virtual IP (VIP)关联的浮动 IP (FIP),如果使用了 FIP,则流量会被重定向到 Error 状态的成员。

在这个版本中,如果您使用浮动 IP (FIP)与 Load Balancer Virtual IP (VIP)关联,则为 FIP 创建新的负载均衡器健康检查,流量不会重定向到 Error 状态的成员。

BZ#2149468
在此次更新之前,Compute 服务(nova)处理来自块存储服务(cinder)卷分离 API 的临时错误消息,如 '504 Gateway Timeout',作为错误。Compute 服务失败了卷分离操作,即使它成功但会在块存储服务端超时,在计算服务数据库中保留过时的块设备映射记录。在这个版本中,如果 Compute 服务收到可能临时的 HTTP 错误,则计算服务会重试对块存储服务 API 的卷分离调用。重试时,如果不再找到卷附加,则计算服务会将卷作为已分离的处理。
BZ#2151043
在此次更新之前,openstack-cinder-volume-0 容器,由 Pacemaker 捆绑包资源为块存储服务(cinder)创建,从主机挂载 /run。此挂载路径在目录中创建 .containerenv 文件。当 .containerenv 文件存在时,subscription-manager 会失败,因为它评估了在容器内执行该命令。在这个版本中,挂载路径被更新,以便 Podman 禁用创建 .containerenv 文件,而 subscription-manager 在运行 openstack-cinder-volume-0 容器的主机上成功执行。
BZ#2152888
在此次更新之前,Service Telemetry Framework (STF) API 健康监控脚本失败,因为它依赖于 Podman 日志内容,这不再可用。在这个版本中,健康监控脚本依赖于 Podman 套接字而不是 Podman 日志,API 健康监控会正常运行。
BZ#2154343
在此次更新之前,在安全组中禁用和启用网络日志对象不一致。当与那个连接关联的安全组中的其中一个日志对象被禁用时,连接登录就会被禁用。在这个版本中,如果安全组中的任何相关的日志对象允许它,则会记录连接,即使其中一个日志对象被禁用。
BZ#2162756
在此次更新之前,VLAN 网络流量通过 Controller 节点进行集中式。在这个版本中,如果连接到路由器的所有租户提供商网络都是 VLAN/Flat 类型,则流量现在被分发。包含虚拟机的节点直接发送流量。
BZ#2163815
在此次更新之前,如果流量来自 localnet,Open Virtual Network (OVN)负载均衡器无法在带有 localnet 端口(网络服务 [neutron] 提供商网络)的交换机上正常工作。在这个版本中,负载均衡器不会添加到与提供商网络关联的逻辑交换机中。这个版本强制网络地址转换(NAT)在虚拟路由器级别而不是逻辑交换机级别进行。
BZ#2164421

在此次更新之前,计算服务(nova)不会自信检查虚拟机磁盘(VMDK)镜像文件的内容。通过使用特殊精心设计的 VMDK 镜像,可以将主机文件系统上的敏感文件公开给使用该 VMDK 镜像引导的客户机。在这个版本中,Compute 服务会信任检查 VMDK 文件并禁止泄漏行为所依赖的 VMDK 功能。不再可以使用特殊精心设计的 VMDK 文件泄漏敏感主机文件系统内容。

注意

红帽不支持 RHOSP 中的 VMDK 镜像文件格式。

BZ#2164677
在此次更新之前,heat-cfn 服务的 iptables 规则包含不正确的 TCP 端口号。如果为公共端点启用了 SSL,用户无法访问 heat-cfn 服务端点。在这个版本中,iptables 规则中的 TCP 端口号是正确的。用户可以访问 heat-cfn 服务端点,即使为公共端点启用了 SSL。
BZ#2167161

在此次更新之前,rgw_max_attr_size 的默认值为 256,它在上传大型镜像时为 OpenStack 上 OpenShift 造成问题。在这个版本中,rgw_max_attr_size 的默认值为 1024。

您可以通过在 overcloud 部署中包含的环境文件中添加以下配置来更改值:

parameters_default:
  CephConfigOverrides:
    rgw_max_attr_size: <new value>
BZ#2169303
在此次更新之前,IPMI 代理容器没有生成,因为 CeilometerIpmi 服务没有添加到 THT Compute 角色中。在这个版本中,CeilometerIpmi 服务添加到所有 THT Compute 角色。IPMI 代理容器使用 --privilege 标志执行,以在主机上执行 ipmitool 命令。遥测服务(ceilometer)现在可以捕获电源指标。
BZ#2169349
在此次更新之前,实例丢失了与 ovn-metadata-port 的通信,因为负载均衡器运行状况监控器正在响应 OVN 元数据代理的 IP 的 ARP 请求,从而导致请求发送到另一个 MAC 地址。在这个版本中,ovn-controller 使用专用端口而不是 ovn-metadata-port 来执行后端检查。在为负载均衡器池建立运行状况监控器时,请确保 VIP 负载均衡器的子网中有一个可用的 IP。此端口因每个子网而异,同一子网中的各种运行状况监视器可以重复利用该端口。运行状况监视器检查不再影响实例的 ovn-metadata-port 通信。
BZ#2172063
在此次更新之前,如果 chrony NTP 服务停机,则 openstack overcloud ceph deploy 命令在 apply spec 操作过程中可能会失败。在这个版本中,在应用 spec 操作前会启用 chrony NTP 服务。
BZ#2172582
在此次更新之前,创建池操作会失败,因为 podman 命令使用 /etc/ceph 作为卷参数。此参数不适用于 Red Hat Ceph Storage 版本 6 容器。在这个版本中,podman 命令使用 /var/lib/ceph/$FSID/config/ 作为第一个卷参数,并创建池 操作成功。
BZ#2173101
在此次更新之前,当用户在 tripleo-ipa 上下文中部署 Red Hat Ceph Storage 时,stray 主机 警告会显示 Ceph 对象网关(RADOS Gateway [RGW])的集群中。在这个版本中,在 Ceph Storage 部署期间,您可以在 tripleo-ipa 上下文中传递 --tld 选项,以便在创建集群时使用正确的主机。
BZ#2173575
在此次更新之前,当与禁用端口安全性的提供商网络关联的虚拟机时,试图访问 OpenStack 无法识别的提供商网络上的 IP,因为转发数据库(FDB)表没有学习 MAC 地址。此补丁使用 OVN 中的新选项来学习 FDB 表中的 IP。FDB 表目前没有年龄机制。您可以定期清理表,以防止出现表大小导致的扩展问题。
BZ#2178618
在此次更新之前,安全组日志记录增强引入了一个问题,当日志对象与安全组同时无法同时删除。此操作会导致内部服务器错误。在这个版本中,如果请求的行不存在,则修改北向数据库条目的 db_set 函数不会失败。
BZ#2180933
在此次更新之前,主机服务(如 Pacemaker)被挂载到 rsyslog 容器的 /var/log/host/ 下。但是,配置路径与主机路径 /var/log/pacemaker/ 相同。因此,rsyslog 服务无法找到 Pacemaker 日志文件。在这个版本中,Pacemaker 日志路径从 /var/log/pacemaker/ 改为 /var/log/host/pacemaker/
BZ#2188252
在此次更新之前,'openstack tripleo container image prepare' 命令失败,因为 container_image_prepare_defaults.yaml 文件中有不正确的 Ceph 容器标签。在这个版本中,正确的 Ceph 容器标签位于 YAML 文件中,'openstack tripleo container image prepare' 命令成功。
BZ#2203238
在此次更新之前,为了使 nova-compute 日志记录 os-brick 特权命令以进行调试,您必须应用 https://access.redhat.com/articles/5906971 中概述的临时解决方案。在这个版本中,临时解决方案是多余的,它提供了一个更好的解决方案,它通过 nova-compute 服务分隔日志,以便 os-brick 的特权命令记录在 debug 级别,但没有记录 nova 特权命令。

3.5.2. 功能增强

此 Red Hat OpenStack Platform (RHOSP)发行版本包括以下改进:

BZ#1369007
当 overcloud 包含 UEFI 安全引导节点时,云用户可以启动通过 UEFI 安全引导保护的实例。有关为 UEFI 安全引导创建镜像的详情,请参考 为 UEFI 安全引导创建镜像。有关为 UEFI 安全引导 创建类别的详情,请参考类别元数据中的 "UEFI 安全引导"。
BZ#1581414

在此次更新之前,在 RHOSP 部署的生命周期内无法更改 NovaHWMachineType,因为没有 hw_machine_type 镜像属性的机器类型会在硬重启或迁移后使用新配置的机器类型。更改实例的底层机器类型可能会破坏实例的内部 ABI。

在这个版本中,当启动实例时,计算服务会在实例的系统元数据中记录实例类型。因此,现在可以在 RHOSP 部署生命周期内更改 NovaHWMachineType,而不影响现有实例的机器类型。

BZ#1619266

这个版本引入了安全组日志记录功能。要监控流量流并尝试使用虚拟机实例,您可以为安全组配置网络服务数据包日志记录。

您可以将任何虚拟机实例端口与一个或多个安全组关联,并为每个安全组定义一个或多个规则。例如,您可以创建一个规则来将入站 ssh 流量丢弃到 finance 安全组中的任何虚拟机。您可以创建另一条规则,以允许该组中的虚拟机发送和响应 ICMP (ping)消息。

然后,您可以将数据包日志记录配置为记录接受和丢弃的数据包流的组合。

您可以将安全组日志记录用于有状态和无状态安全组。

日志记录的事件存储在托管虚拟机实例的计算节点上,位于 /var/log/containers/stdouts/ovn_controller.log 文件中。

BZ#1672972

此功能增强可帮助云用户确定他们无法访问"ACTIVE"实例的原因,因为托管该实例的 Compute 节点无法访问。现在,当主机 Compute 节点无法访问时,RHOSP 管理员可以配置以下参数,以启用自定义策略,这可以在云用户运行 openstack show server details 命令时可以提供 host_status 自动的状态:

  • NovaApiHostStatusPolicy :指定自定义策略应用到的角色。
  • NovaShowHostStatus :指定要向云用户显示的主机状态级别,如 "UNKNOWN"。
BZ#1693377
在这个版本中,一个实例可以混合有共享(floating) CPU 和专用(固定)CPU,而不是只有一个 CPU 类型。RHOSP 管理员可以使用 hw:cpu_policy=mixedhw_cpu_dedicated_mask 类别额外规格来为需要共享 CPU 和专用 CPU 混合的实例创建类别。
BZ#1701281
在 RHOSP 17.1 中,支持冷迁移和调整具有 vGPU 的实例的大小。
BZ#1761861
在这个版本中,您可以在 Compute 节点上配置每个物理 GPU,以支持不同的虚拟 GPU 类型。
BZ#1761903
在使用路由提供商网络的 RHOSP 部署中,您现在可以配置计算调度程序来过滤与路由网络段关联的 Compute 节点,并在将实例调度到 Compute 节点上前验证放置中的网络。您可以使用 NovaSchedulerQueryPlacementForRoutedNetworkAggregates 参数启用此功能。
BZ#1772124
在这个版本中,您可以使用新的 NovaMaxDiskDevicesToAttach heat 参数指定可附加到单个实例的最大磁盘设备数。默认值为无限(-1)。如需更多信息,请参阅配置要附加到一个实例的存储设备的最大数量
BZ#1782128
在 RHOSP 17.1 中,RHOSP 管理员可以向云用户提供创建具有模拟虚拟信任平台模块(vTPM)设备的实例。RHOSP 只支持 TPM 版本 2.0
BZ#1793700
在 RHOSP 17.1 中,RHOSP 管理员可以通过对 YAML 文件 provider.yaml 中的自定义特征和清单建模,在 RHOSP overcloud 节点上提供哪些自定义物理功能和可消耗的资源。
BZ#1827598
此 RHOSP 发行版本引进了对 OpenStack 无状态安全组 API 的支持。
BZ#1873409
在为 OVS 硬件卸载配置并使用 ML2/OVN 的 RHOSP 部署中,以及具有 VDPA 设备和驱动程序和 Mellanox NIC 的 Compute 节点,您可以启用您的云用户创建使用 VirtIO 数据路径加速(VDPA)端口的实例。如需更多信息,请参阅配置 VDPA Compute 节点,以启用使用 VDPA 端口和 创建带有 VDPA 接口的实例
BZ#1873707

在这个版本中,您可以使用备份和恢复工作流中的验证框架来验证恢复的系统状态。包括以下验证:

  • undercloud-service-status
  • neutron-sanity-check
  • Healthcheck-service-status
  • nova-status
  • ceph-health
  • check-cpu
  • service-status
  • image-serve
  • pacemaker-status
  • validate-selinux
  • container-status
BZ#1883554
在这个版本中,RHOSP 管理员可以创建一个具有 套接字 PCI NUMA 关联性策略的类别,它只有在至少有一个实例 NUMA 节点与 PCI 设备相同的主机套接字中的 NUMA 节点关联性时才创建一个实例来请求 PCI 设备。
BZ#1962500
在这个版本中,您可以在 TripleO Heat 模板中配置 collectd 日志记录源。默认值与默认日志记录路径匹配。
BZ#2033811
共享文件系统服务(manila)现在支持使用 Pure Storage Flashblade 系统作为后端。请参考红帽生态系统目录,找到供应商的认证和安装文档。
BZ#2066349

在这个版本中,由 overcloud-hardened-uefi-full.qcow2 整个磁盘 overcloud 镜像安装的 LVM 卷现在由一个精简池支持。卷仍然被增长为消耗可用的物理存储,但默认不会过度置备。

精简配置的逻辑卷的好处:

  • 如果卷填满容量,则人工干预的选项现在包括增大卷以过度置备物理存储容量。
  • RHOSP 升级过程现在可以在精简置备环境中创建临时备份卷。
BZ#2069624
RHOSP 快照和恢复功能基于逻辑卷管理器(LVM)快照功能,旨在恢复升级或更新失败。在执行升级或更新前,快照会保留 RHOSP 集群的原始磁盘状态。然后,您可以删除或恢复快照,具体取决于结果。如果升级成功完成,且您不再需要快照,请将快照从节点中删除。如果升级失败,您可以恢复快照,评估任何错误,然后再次启动升级过程。恢复会使所有节点的磁盘与执行快照时完全相同。
BZ#2104522
在这个版本中,实时迁移使用多选 Open Virtual Network (OVN)端口来优化迁移流程,并显著减少迁移过程中虚拟机的网络停机时间。
BZ#2111528
在这个版本中,默认的 Ceph 容器镜像基于 Red Hat Ceph Storage 6 而不是 Red Hat Ceph Storage 5。
BZ#2124309
在这个版本中,Operator 可以为 Pacemaker 管理的虚拟 IP (VIP)启用 run_arping 功能,以便集群预先检查重复的 IP。要做到这一点,您必须在环境文件中添加以下配置:ExtraConfig: pacemaker::resource::ip::run_arping: true 如果找到重复项,则会在 /var/log/pacemaker/pacemaker.log 日志文件中记录以下错误: Sep 07 05:54:54 IPaddr2 (ip-172.17.3.115)[209771]: Error: IPv4 地址冲突 172.17.3.115 [DAD] Sep 07 05:54:54 IPaddr2 (ip-172.17.3.115)[209771]: Error: 添加 172.17.3.115 失败
BZ#2133055, BZ#2138238
在这个版本中,您将部署两个 Image 服务(glance) API 实例。OpenStack 租户可访问的实例配置为隐藏镜像位置详情,如镜像的直接 URL,或者镜像是否在多个位置中可用。第二个实例可供 OpenStack 管理员和 OpenStack 服务访问,如块存储服务(cinder)和计算服务(nova)。此实例配置为提供镜像位置详情。此功能增强解决了 OSSN-0090CVE-2022-4134 的建议。在这个版本中,恶意用户无法利用镜像的位置详情来上传更改的镜像。
BZ#2152877
此增强将 OVN 安全组日志记录添加到网络服务(neutron)中,以回复网络连接的数据包。ovn-controller 日志文件现在记录完整的网络连接。
BZ#2165501
从 Red Hat OpenStack Platform (RHOSP) 17.1 开始,在 ML2/OVN 部署中,您可以在最小带宽或带宽限制 QoS 出口策略上启用硬件卸载。您无法在入口策略中启用硬件卸载。如需更多信息 ,请参阅为 QoS 策略配置网络服务

3.5.3. 技术预览

本节中列出的项目作为 Red Hat OpenStack Platform (RHOSP)的技术预览提供。有关技术预览状态范围的详情,以及相关的支持影响,请参阅 https://access.redhat.com/support/offerings/techpreview/

BZ#1813561
在这个版本中,负载均衡服务(octavia)使用应用程序层协议 Negotiation (ALPN)支持 HTTP/2 负载均衡,用于通过传输层安全(TLS)启用的监听程序和池。HTTP/2 协议通过更快地加载页面来提高性能。
BZ#1848407
在 RHOSP 17.1 中,负载均衡服务(octavia)中的流控制传输协议(SCTP)提供了一个技术预览。用户可以在负载均衡器中创建 SCTP 侦听程序并附加 SCTP 池。
BZ#2057921
在 RHOSP 17.1 中,提供了一个技术预览,用于通过 IPv6 管理网络创建负载均衡器。将私有 IPv6 管理网络用于负载均衡服务(octavia)可以简化边缘部署。
BZ#2088291
在 RHOSP 17.1 中,为路由器网关 IP 入口和出口提供 ML2/OVN QoS 带宽限制的技术预览。

3.5.4. 发行注记

本节概述了本发行版本的重要信息,包括推荐做法和 Red Hat OpenStack Platform (RHOSP)的显著变化。您必须将此信息纳入考量,才能确保您的部署获得最佳效果。

BZ#2178015

在 RHOSP 17.1 中,红帽建议同一 NIC 硬件上的所有物理功能(PF)都使用同一空间中的驱动程序。同一 NIC 上的 PFS 应该都使用在用户空间或内核空间中运行的驱动程序。

例如,如果 DPDK PMD 驱动程序使用 NIC1 上的 PF1,则 NIC1 上的 PF2 不应使用内核驱动程序。在本例中,NIC1 上的 PF 应该同时使用 DPDK PMD 驱动程序,或两者都使用内核驱动程序。

3.5.5. 已知问题

目前,Red Hat OpenStack Platform (RHOSP)中存在这些已知问题:

BZ#2108212

如果您在迁移到 OVN 机制驱动程序的过程中使用 IPv6 连接到虚拟机实例,则与实例的连接可能会在 ML2/OVN 服务启动时最多出现几分钟。

在迁移到 OVN 机制驱动程序时,IPv6 的路由器广告守护进程 radvd 会停止。在停止 radvd 时,路由器公告将不再广播。这个广播中断会导致 VM 实例连接在 IPv6 上丢失。新 ML2/OVN 服务启动后,会自动恢复 IPv6 通信。

临时解决方案: 要避免潜在的中断,请使用 IPv4。

BZ#2109985

目前,在 ML2/OVS 部署中,Open vSwitch (OVS)不支持设置 skb_priorityskb_mark 或输出队列字段的卸载 OpenFlow 规则。这些字段对于 virtio 端口的服务质量(QoS)支持是必需的。

如果您为 virtio 端口设置了最小带宽规则,则 Networking 服务(neutron) OVS 代理使用 Packet Mark 字段标记此端口的流量。此流量无法卸载,它会影响其他端口中的流量。如果您设置了带宽限制规则,则所有流量都标记为默认的 0 队列,这意味着无法卸载任何流量。

临时解决方案:如果您的环境包含 OVS 硬件卸载端口,请在需要硬件卸载的节点中禁用数据包标记。当您禁用数据包标记时,无法为 virtio 端口设置速率限制规则。但是,区分服务代码点(DSCP)标记规则仍然可用。

在配置文件中,将 disable_packet_marking 标志设置为 true。编辑配置文件时,您必须重启 neutron_ovs_agent 容器。例如:

$ cat `/var/lib/config-data/puppet-generated/neutron/etc/neutron/plugins/ml2/openvswitch_agent.ini`
  [ovs]
  disable_packet_marking=True
BZ#2126810

在 RHOSP 17.0 中,DNS 服务(designate)和负载均衡服务(octavia)被错误配置以实现高可用性。这些服务的 RHOSP 编排服务(heat)模板使用 Redis 模板的非 Pacemaker 版本。

临时解决方案:在 overcloud deploy 命令的 enable-designate.yamloctavia.yaml 环境文件后包括 environments/ha-redis.yaml

BZ#2144492
如果您使用集中式路由(没有 DVR)将 RHOSP 17.1 ML2/OVS 部署迁移到 ML2/OVN,则 ML2/OVN 迁移期间发生的浮动 IP (FIP)停机时间可能会超过 60 秒。
BZ#2160481

在使用 BGP 动态路由的 RHOSP 17.1 环境中,目前存在一个已知问题:浮动 IP (FIP)端口转发失败。

配置 FIP 端口转发时,发送到带有与 FIP 相等的目标 IP 的特定目标端口的数据包将从 RHOSP 网络服务(neutron)端口重定向到内部 IP。无论使用的协议是什么,都会出现这种情况:TCP、UDP 等。

配置 BGP 动态路由时,不公开执行 FIP 端口转发的路由,这些数据包无法访问其最终目的地。

目前,还没有临时解决方案。

BZ#2163477
在使用 BGP 动态路由的 RHOSP 17.1 环境中,目前存在一个已知问题影响到提供商网络的虚拟机实例。RHOSP Compute 服务无法将从其中一个虚拟机实例发送到多播 IP 地址目的地的数据包。因此,订阅多播组的虚拟机实例无法接收发送到它们的数据包。其原因是 overcloud 节点上没有正确配置 BGP 多播路由。目前,还没有临时解决方案。
BZ#2182371
目前,使用 Mellanox ConnectX-5、ConnectX-6 和 Bluefield-2 NIC 的客户机实例存在一个已知问题,以及带有卸载(switchdev)端口的 Bluefield-2 NIC。当您直接从客户机重启操作系统时,需要很长时间来初始化系统,例如,使用 sudo systemctl reboot --reboot-arg=now。如果虚拟机配置有来自同一物理功能(PF)的两个虚拟功能(VF),则其中一个 VF 的初始化可能会失败,并导致较长的初始化时间。临时解决方案:使用 OpenStack API 及时重启客户机实例,而不是直接重启客户机实例。
BZ#2183793

红帽没有使用 AMD 处理器在 NFV 部署中验证 RHOSP 17.1 beta 版本。现在,测试正在进行,计划将在以后的发行版本中验证应用程序。

在红帽验证应用程序之前,请不要将 RHOSP 17.1 NFV 部署与 AMD 硬件用于生产环境。任何预先测试的应用程序都会面临意外结果的风险。

BZ#2184070
在这个版本中,添加了一个检查,以确保在 OVN 迁移过程中为每个子网池有足够的 IP 地址。如果您没有足够的 IP 地址,迁移脚本将停止并显示警告。
BZ#2185897
在 ML2/OVN 部署中,不要使用使用中继端口的虚拟机实例的实时迁移。在使用中继端口的实例上,实时迁移可能会因为计算节点之间的实例子端口进行流动而失败。对于具有中继端口的实例,请使用冷迁移。
BZ#2192913

在带有 ML2/OVN 的 RHOSP 17.1 环境中使用 DVR 启用并使用 VLAN 租户网络,连接到不同租户网络的虚拟机之间的 east/west 流量会产生大量到光纤。

因此,这些虚拟机之间的数据包不仅到达运行那些虚拟机的计算节点,还到达任何其他 overcloud 节点。

这可能会给网络端造成影响,这可能是安全风险,因为光纤在任何位置发送流量。

这个程序错误将在后续 FDP 版本中解决,因此不需要 RHOSP 更新来获取它。

BZ#2196291
目前存在一个已知问题:自定义 SRBAC 规则不允许非管理员用户列出策略规则。因此,非管理员用户无法列出或管理这些规则。目前的解决方法包括禁用 SRBAC,或修改 SRBAC 自定义规则以允许此操作。
BZ#2203857

目前,Red Hat Ceph Storage (RHCS) 6.0 中的 Ceph RADOS 网关组件中的一个已知问题会导致使用 Identity 服务(keystone)令牌授权失败。请参阅 https://bugzilla.redhat.com/2188266

因此,当使用 RADOS 网关作为 object-store 服务器配置 Red Hat Ceph Storage 时,Object Storage 服务(swift)客户端会失败,并返回代码 403/Unauthorized。这个问题没有包括在测试中部署了 RHCS 6.1 的预发布版本,这些版本在 2023 年 6 月 15 日正式发布。

此外,OpenStack 上的 OpenShift 集成尚未验证用于 beta 版,因为默认配置使用 RADOS 网关。以下临时解决方案是缓解这个问题,并可让您对 OpenStack 上的 OpenShift 集成进行初始测试。

临时解决方案:将 Object Storage 服务(swift)部署为 object-store 服务器而不是 RADOS 网关,即使为持久块存储服务(cinder)或 Image 服务(glance)存储启用 Ceph Storage 也是如此。为此,请在部署命令行中将 cephadm.yaml 环境文件替换为 cephadm-rbd-only.yaml

当您使用 Object Storage 服务(swift)而不是 RADOS 网关配置为 object-store 服务器时,Object Storage 服务(swift)客户端可以正常工作。

BZ#2207991
目前,安全基于角色的访问控制(SRBAC)和 NovaShowHostStatus 参数使用相同的策略键标题。如果您同时配置 SRBAC 和 NovaShowHostStatus,则部署会失败并带有冲突。在 RHOSP 17.1-Beta 中,您无法在同一部署中同时使用这两个功能。RHOSP 17.1 GA 版本中会出现一个修复。
BZ#2210030
目前存在一个已知问题:自定义 SRBAC 规则不允许将共享安全组列出不是规则所有者的非管理员用户。这会导致共享安全组和规则没有被不是规则所有者的非管理员用户正确管理。临时解决方案:禁用自定义 SRBAC 规则或修改自定义规则,以允许任何用户管理规则。
BZ#2210062

在使用带有 OVN 的 BGP 动态路由的 RHOSP 17.1 环境中,存在一个已知问题:OVN BGP 代理使用的 Autonomous System Number (ASN)的默认值与 FRRouting (FRR)使用的 ASN 不同。

临时解决方案:确保 undercloud 和 overcloud 配置中使用的 tripleo 参数的值是 FrrBgpAsnFrrOvnBgpAgentAsn

BZ#2210319

目前存在一个已知问题:RHEL 9.2 中的 Retbleed 漏洞缓解可能会导致 Intel Skylake CPU 上带有 Data Plane Development Kit (OVS-DPDK)的 Open vSwitch 性能下降。

只有在 BIOS 中禁用了 C-states,超线程被启用,OVS-DPDK 只使用一个给定内核的超线程时,才会发生此性能回归。

临时解决方案:将核心的超线程分配给 OVS-DPDK 或将运行 DPDK 的 SRIOV 客户机(如 NFV 配置指南中的推荐)。

BZ#2211691
目前存在一个已知问题:与 CVE-2023-2088 相关的、与 CVE-2023-2088 相关的块存储服务(cinder)的变化,会影响裸机置备服务(ironic)分离附加到物理裸机节点的卷的能力。使用在其上部署实例的物理机器停止需要分离。您可以使用 Compute 服务(nova)或使用卷功能引导来部署裸机实例。但是,您无法通过使用从块存储服务卷引导来自动停止实例。这个问题还没有临时解决方案。RHOSP 17.1 GA 版本中会出现一个修复。
BZ#2211849

在使用 BGP 动态路由的 RHOSP 17.1 环境中,目前存在一个已知问题:在 overcloud 节点上运行的 OVN BGP 代理因为所提供的库(pyroute2)中存在错误。当出现这个问题时,不会从受影响的节点公告新的路由,新的或迁移的虚拟机、新的负载均衡器等连接可能会丢失。

临时解决方案:通过将以下行添加到 containers-prepare-parameter.yaml 中,在 ovn_bgp_agent 容器中安装 pyroute2 的更新版本:

ContainerImagePrepare:
- push_destination: true
  ...
  includes:
  - nova-compute
  modify_role: tripleo-modify-image
  modify_append_tag: "-hotfix"
  modify_vars:
    tasks_from: rpm_install.yml
    rpms_path: /home/stack/nova-hotfix-pkgs
  ...

如需更多信息,请参阅 将额外的 RPM 文件安装到容器镜像 中。

BZ#2213126

缓冲区超过安全组日志条目的日志队列有时会在达到指定限制前停止接受条目。作为临时解决方案,您可以设置超过您要保存的条目数的队列长度。

您可以使用参数 NeutronOVNLoggingRateLimit 设置每秒的最大日志条目数。如果日志条目创建超过那个速率,则过量在队列中会被缓冲到您在 NeutronOVNLoggingBurstLimit 中指定的日志条目数。

这个问题在突发的第一秒中尤其明显。在较长的突发(如 60 秒)中,速率限值更大,并补偿突发限制。因此,这个问题在短的突发中具有最大比例的影响。

临时解决方案:在比目标值高的值设置 NeutronOVNLoggingBurstLimit。根据需要观察和调整。

BZ#2214328

目前,当启用了安全基于角色的访问控制(SRBAC)时,DNS 即服务(designate)会被错误配置。如果您同时配置 SRBAC 和 DNS-as-a-Service,RHOSP 部署会失败。临时解决方案:要成功部署,请在 undercloud 服务器上应用以下补丁:

BZ#2215053
在使用 Border Gateway Protocol (BGP)动态路由的 RHOSP 17.1 环境中,目前存在一个已知问题: FRRouting (FRR)容器无法部署。发生这种情况的原因是,RHOSP director 在容器镜像准备任务完成前部署 FRR 容器。临时解决方案:在 heat 模板中,确保 ContainerImagePrepareovercloud deploy 命令前面。
BZ#2215936
如果您从带有 SR-IOV 的 ML2/OVS 迁移到 ML2/OVN,然后尝试创建带有虚拟功能(VF)的虚拟机实例,则实例创建会失败。此问题不会影响物理功能(PF)的实例。

3.5.6. 过时的功能

本节中的项目可能不再被支持,或者在以后的 Red Hat OpenStack Platform (RHOSP)发行版本中不再支持:

BZ#2128701

从 RHOSP 17.0 开始,ML2/OVS 机制驱动程序已弃用。

在多个版本中,红帽将 ML2/OVS 替换为 ML2/OVN。例如,从 RHOSP 15 开始,ML2/OVN 成为默认机制驱动程序。

通过 RHOSP 17 发行版本,支持已弃用的 ML2/OVS 机制驱动程序。在此期间,ML2/OVS 驱动程序保持维护模式,接收程序错误修复和正常支持,大多数新的功能开发都会在 ML2/OVN 机制驱动程序中发生。

在 RHOSP 18.0 中,红帽计划完全删除 ML2/OVS 机制驱动程序并停止支持它。

如果您的现有 RHOSP 部署使用 ML2/OVS 机制驱动程序,请立即开始评估迁移到机制驱动程序的计划。RHOSP 16.2 和 17.1 支持迁移。

红帽需要在尝试从 ML2/OVS 迁移到 ML2/OVN 前提交主动支持问题单。红帽不支持在没有主动支持问题单的情况下进行迁移。请参阅如何提交主动问题单。

BZ#2136445

使用 sensubility 通过 podman 监控 API 健康状态在 RHOSP 17.1 中已被弃用。

只有 sensubility 层已弃用。API 健康检查仍处于支持状态。sensubility 层存在与 Sensu 交互,它不再是一个受支持的接口。

BZ#2139931
metrics_qdr 服务(AMQ Interconnect)在 RHOSP 17.1 中弃用。对于到 Service Telemetry Framework (STF)的数据传输,RHOSP 17.1 中继续支持 metrics_qdr 服务。metrics_qdr 服务用作 STF 的数据传输,不会影响 Red Hat OpenStack 操作的任何其他组件。
BZ#2179428
在 active-passive 配置中部署 Block Storage (cinder)备份服务在 RHOSP 17.1 中已弃用,并将在以后的发行版本中删除。对于 RHOSP 16.2 和 RHOSP 17.0,块存储(cinder)备份服务部署在主动 - 被动配置中,此配置将继续在这些升级的集群的 RHOSP 17.1 中被支持。
BZ#2215264
在 RHOSP 17.1 中弃用了验证框架(VF)。

3.5.7. 删除的功能

本节中的项目在此 Red Hat OpenStack Platform (RHOSP)发行版本中删除:

BZ#2065541
在 RHOSP 17.1 中,collectd-gnocchi 插件已从 director 中删除。您可以使用 Service Telemetry Framework (STF)来收集监控数据。
BZ#2126890

Derived Parameters 功能已被删除。Derived Parameters 功能使用 openstack overcloud deploy 命令的 --plan-environment-file 选项进行配置。

临时解决方案/迁移说明

NFV 和 HCI overcloud 需要系统调整。系统调优有很多不同的选项。Derived 参数功能通过 director 调优系统,使用 openstack overcloud deploy 命令的 --plan-environment-file 选项检查硬件检查数据并设置调优参数。在 17.1 中删除了 Derived 参数功能。

以下参数由此功能调整:

  • IsolCpusList
  • KernelArgs
  • NeutronPhysnetNUMANodesMapping
  • NeutronTunnelNUMANodes
  • NovaCPUAllocationRatio
  • NovaComputeCpuDedicatedSet
  • NovaComputeCpuSharedSet
  • NovaReservedHostMemory
  • NovaReservedHostMemory
  • OvsDpdkCoreList
  • OvsDpdkSocketMemory
  • OvsPmdCoreList

    要设置和调优这些参数,请使用可用的命令行工具观察其值,并使用标准 heat 模板设置它们。

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.