更新日期:2018 年 11 月 13 日

VMware Integrated OpenStack 4.1 | 2018 年 1 月 18 日 | 内部版本 7538136
VMware Integrated OpenStack with Kubernetes 4.1 | 2018 年 1 月 18 日 | 内部版本 7549988

请查看发行说明以了解新增内容及更新。

发行说明内容

本发行说明包含以下主题:

关于 VMware Integrated OpenStack

VMware Integrated OpenStack 通过简化集成过程,极大地精简了 OpenStack 云基础架构部署。VMware Integrated OpenStack 通过直接在 vCenter Server 中运行的部署管理器 vApp 提供现成的 OpenStack 功能和简单的配置工作流。

新增功能

此版本基于最新的 OpenStack Ocata 版本,并提供以下新功能和增强功能:

VMware Integrated OpenStack

  • 支持最新版本的 VMware 产品:VMware Integrated OpenStack 4.1 支持并完全兼容 VMware vSphere 6.5 Update 1、VMware NSX for vSphere 6.3.5、VMware NSX-T 2.1 和 vSAN 6.6.1。
  • 支持 HTML5 vSphere Client:VMware Integrated OpenStack 支持 HTML5 vSphere Client 版本 6.5.0U1、6.5.0U1b、6.5.0U1c 和 6.5.0f。
  • 多域 LDAP 后端:Keystone 现在可以由多个 LDAP 域支持,从而支持更复杂的结构和环境。 
  • 原生 NSX-T LBaaS:VMware Integrated OpenStack 完全支持对基于虚拟机和容器的工作负载使用新的 NSX-T 原生负载平衡器。 
  • HAProxy 限制:HAProxy 进行了更新,增加了更多配置设置,可防止恶意和意外 API 过载。
  • 微型部署模式:引入了新的部署选项,支持部署到设备模型中的单个服务器。 
  • 公共管理 API:可直接用于自动执行 VMware Integrated OpenStack 部署和生命周期管理的 OpenStack 管理服务器 API 现已写入文档中,并且可用于常规使用。 

VMware Integrated OpenStack with Kubernetes

VMware Integrated OpenStack 包含构建于 Kubernetes 上的容器编排平台,这样应用程序开发人员能够置备完整的基础架构堆栈。该平台提供以下新功能:

  • 支持最新版本的 Kubernetes:VMware Integrated OpenStack 4.1 包括并完全支持 Kubernetes 版本 1.8.1。
  • 日志记录增强功能:现在可以将日志转发到任何符合 syslog 的目标,从而能够与现有的日志管理工具集成。
  • 其他组件:容器平台新增了对 Helm 和 Heapster 的支持,可帮助管理和监控已部署的应用程序。 
  • 控制层面备份和恢复:此版本包括其他工具和最佳做法,有助于容器平台控制层面备份。 

兼容性

有关 VMware Integrated OpenStack 与其他 VMware 产品(包括 vSphere 组件)的兼容性的详细信息,请参见 VMware 产品互操作性列表

升级到版本 4.1

升级 VMware Integrated OpenStack

可以从 VMware Integrated OpenStack 3.1 或更高版本直接升级到 VMware Integrated OpenStack 4.1。 

  • 要从 VMware Integrated OpenStack 3.1.x 升级到 VMware Integrated OpenStack 4.1,请参见“安装指南”中的升级 VMware Integrated OpenStack
    注意:如果您在已禁用源 NAT 的路由器上配置了浮动 IP 地址,请在升级到版本 4.1 之前启用源 NAT 或移除浮动 IP 地址。禁用了源 NAT 的路由器不再支持浮动 IP 地址。
  • 要从 VMware Integrated OpenStack 4.0 升级到 VMware Integrated OpenStack 4.1,请参见“安装指南”中的修补 VMware Integrated OpenStack

如果运行的是 VMware Integrated OpenStack 3.0 或更低版本,请先升级到版本 3.1,然后再升级到版本 4.1。 

升级 VMware Integrated OpenStack with Kubernetes

要从 VMware Integrated OpenStack with Kubernetes 4.0 升级到 VMware Integrated OpenStack with Kubernetes 4.1,请参见《VMware Integrated OpenStack with Kubernetes 入门指南》中的升级 VMware Integrated OpenStack with Kubernetes

国际化

VMware Integrated OpenStack 4.1 提供英文版以及另外七种语言版本:简体中文、繁体中文、日语、韩语、法语、德语和西班牙语。

以下项目必须仅包含 ASCII 字符。

  • OpenStack 资源(如项目、用户和映像)的名称
  • 基础架构组件(如 ESXi 主机、端口组、数据中心和数据存储)的名称
  • LDAP 和 Active Directory 属性 

VMware Integrated OpenStack with Kubernetes 仅提供英文版。

适用于 VMware Integrated OpenStack 的开源组件

有关适用于 VMware Integrated OpenStack 4.1 中分发的开源软件组件的版权声明和许可证,可从产品下载页面的“开源”选项卡上获取。您还可以下载适用于 VMware Integrated OpenStack 组件的披露软件包,这些披露软件包受 GPL、LGPL 或其他要求源代码或源代码修改可用的类似许可证的约束。

已解决的问题

已解决的问题分为以下几组。

VMware Integrated OpenStack
    VMware Integrated OpenStack with Kubernetes
    • 在 GUI 中,未针对 SDDC 云提供商显示任何 vSphere 群集。

      在 GUI 中创建 SDDC 云提供商并上载根 CA 文件后,“vSphere 群集”页面上不显示任何群集。如果使用可信证书颁发机构批准的证书保护 vCenter Server,或者如果选择忽略 vCenter Server 证书验证,则不会出现此问题。

      本版本已解决该问题。

    • 更改管理员密码后,无法列出用户和组。

      缓存的管理员密码与新管理员密码不同步。

      本版本已解决该问题。

    • 在 GUI 中上载文件时,显示错误消息“仅支持 {0} 文件 (Only {0} files are supported)”。

      上载的文件类型不正确时,将显示此错误消息。在以下情况下会出现此情形:

      • 创建云提供商或群集时,尝试上载之前在创建过程中下载的负载文件。
      • 创建 SDDC 云提供商或 OpenStack 提供程序时,尝试上载 CA 证书文件。

      本版本已解决该问题。

    • 即使您已经输入了提供商名称,GUI 仍提示输入。

      创建 SDDC 或 OpenStack 云提供商时,即使在“添加提供商”向导中指定了提供商名称,GUI 仍会显示错误“需要输入提供商名称 (Provider name is required)”。

      本版本已解决该问题。

    已知问题

    已知问题分为如下类别。

    VMware Integrated OpenStack
    • NSX-T 密码更改后,VMware Integrated OpenStack 无法连接到 NSX-T。

      如果 Neutron 服务器运行时更改 NSX-T 密码,VMware Integrated OpenStack 可能无法连接到 NSX-T。

      解决办法:更改 NSX-T 密码之前,登录到活动控制器节点,然后运行 systemctl stop neutron-server 命令以停止 Neutron 服务器服务。在 VMware Integrated OpenStack 中更新 NSX-T 密码后,重新启动该服务。

    • 删除具有租户虚拟数据中心的计算节点后,无法再重新添加。

      删除具有租户虚拟数据中心的计算节点后,尝试重新添加失败,且 /var/log/nova/nova-compute.log 中显示“Failed to create resource provider”错误。

      解决办法:执行以下步骤以从数据库中移除 Nova 计算节点:

      1. 查找已删除计算节点的 MOID。
      2. 登录到活动数据库节点,然后打开 nova_api 数据库:

        mysql
        use nova_api

      3. 在“resource_providers”表中,移除包含已删除计算节点的 MOID 的 resource_provider 记录并移除该记录的所有子项。
    • 不按顺序删除计算节点后尝试添加计算节点时出现错误。

      如果没有按降序删除计算节点,则稍后添加节点时会生成错误。

      解决办法:按照节点编号从最大到最小的顺序删除节点。例如,对于三个计算节点 VIO-Compute-0、VIO-Compute-1 和 VIO-Compute-2,必须先删除 VIO-Compute-2,接着删除 VIO-Compute-1,最后删除 VIO-Compute-0。

    • OpenStack GUI 仅导出公共虚拟 IP 地址的原始值。

      如果设置时公共虚拟 IP 地址已更改且 VMware Integrated OpenStack 或 OpenStack 配置已导出并重新加载,导出的配置将包含原始配置的公共虚拟 IP 地址,而不是更新的值。

      解决办法:重新加载 OpenStack 配置之前,更新导出并保存的配置文件中的公共虚拟 IP 地址。或者,在确认重新部署时,在 GUI 中更新公共虚拟 IP 地址。

    • 公共负载平衡器 IP 地址与 OpenStack API 访问网络冲突。

      如果不在 GUI 中进行配置,公共负载平衡器 IP 地址可能会与 OpenStack API 访问网络重叠。将配置导出并重新应用到 OpenStack 或 VMware Integrated OpenStack 设置时,将不允许 IP 地址重叠。

      解决办法:提供或配置 IP 地址时,确保公共负载平衡器 IP 地址不与 OpenStack API 访问网络重叠。

    • 使用 HTML5 vSphere Client 部署 VMware Integrated OpenStack 失败。

      在 HTML5 vSphere Client 中,如果使用旧模板部署 VMware Integrated OpenStack 而不选择部署类型,部署向导的最后一步会发生内部 REST API 错误。

      解决办法:使用旧模板时,请手动选择部署类型。或者,也可以使用基于 Flex 的 vSphere Web Client 部署 OpenStack。

    • HTML5 vSphere Client 中不显示 VMware Integrated OpenStack vApp。

      安装 VMware Integrated OpenStack 后,HTML5 vSphere Client 无法加载 VMware Integrated OpenStack 插件。

      解决办法:注销 vSphere Client,然后再次登录。如果仍未显示 vApp,请执行以下步骤,重新启动 HTML5 vSphere Client:

      1. 登录到基于 Flex 的 vSphere Web Client。
      2. 选择主页 > 系统管理
      3. 在导航器树中,选择系统配置,然后单击服务
      4. 选择 VMware vSphere Client
      5. 单击操作图标,然后选择重新启动
    • 负载平衡器进入错误状态。

      如果创建负载平衡器时使用的子网未连接到第 1 层网络路由器,则该负载平衡器无法成功创建,并且会进入错误状态。

      解决办法:将第 1 层网络路由器连接到该子网,然后再创建负载平衡器。

    • 实例在重负载下无法引导。

      如果在系统负载较重时部署 VMware Integrated OpenStack 实例,Keystone 可能会收到大量 API 请求,且无法进行处理,并显示错误“服务不可用 (Service Unavailable)”。

      解决办法:在系统负载较轻时部署实例。

    • 证书验证可能会在 OpenStack 管理服务器上失败。

      使用 viocli 命令行实用程序时,可能会出现以下错误:

      ssl.SSLError: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:590)

      解决办法:在 OpenStack 管理服务器上,运行以下命令,禁用 vCenter Server 证书验证:

      sudo su - export VCENTER_INSECURE=True
    • 移除启用了 BGP 的共享路由器的网关时,其他启用了 BGP 的共享路由器可能会发生短暂的网络中断。

      在使用共享路由器的环境中,多个路由器可能会托管在同一个 Edge 上。如果启用 BGP,则会将其中一个路由器的网关 IP 地址用作 router id。清除路由器的网关后,该插件会选择另一个启用了 BGP 的路由器的网关作为 router id 的新值。此过程会导致对等互连暂时中断,因为在该 Edge 上托管的另一个启用了 BGP 的路由器的通告路由丢失。

      解决办法:使用专用路由器。

    • 刷新 Nova 或 Neutron 服务期间出现服务中断问题。

      如果 VMware Integrated OpenStack 检测到不符合许可证要求的 OpenStack 设置,会尝试通过重新启动 Nova 或 Neutron 服务来更正设置。

      解决办法:无。部署 OpenStack 前分配许可证,确保 OpenStack 设置符合许可证要求。

    • 对于 NSX-T 部署,新的第 0 层路由器在路由器网关设置期间不会连接到第 1 层路由器。

      如果在创建第 0 层路由器时已经配置了一个这样的路由器,则新路由器的 UUID 不会自动写入 nsxv3.ini 文件。以后创建的第 1 层路由器不会连接到新的第 0 层路由器。

      解决办法:手动更新 nsxv3.ini 文件并重新创建外部网络。

      1. 找到新的第 0 层路由器的 UUID。
      2. 打开 /etc/neutron/plugin/vmware/nsxv3.ini 文件并更新新的第 0 层路由器的 UUID。
      3. 重新启动 Neutron 服务器。
      4. 删除外部网络,并创建一个新的外部网络。
    • 删除路由器接口超时。

      使用共享 NSX 路由器部署并发 Heat 堆栈时,路由器接口删除可能会超时。可能会显示以下消息:neutron_client_socket_timeouthaproxy_neutron_client_timeouthaproxy_neutron_server_timeout

      解决办法:请勿在网络资源频繁更改的环境中使用共享路由器。如果需要 NAT/FIP,请使用专用路由器。否则,请使用分布式路由器。

    • 对于 NSX-V 部署,将网关连接到元数据代理路由器后,OpenStack 部署无法访问元数据服务器。

      如果将网关连接到元数据代理路由器,NSX Edge vnic0 索引会从虚拟机网络更改为网关网络端口组。这可能会阻止 OpenStack 部署访问元数据服务器。

      解决办法:不要将网关连接到元数据代理路由器。

    • 对于 NSX-T 部署,如果将防火墙连接到没有网关的路由器,防火墙规则会添加到 NSX 路由器中。

      防火墙即服务规则添加到没有网关的路由器,即使不存在与这些规则匹配的相关流量时也是如此。

      解决办法:要激活规则,请为路由器配置一个网关。

    • Nova 实例无法引导,并显示错误“找不到有效的主机 (no valid host found)”。

      在负载较大的情况下,使用 tenant_vdc 属性引导实例可能会失败。

      解决办法:在系统负载较轻时启动实例。

    • 服务网关 Edge 上丢失 BGP 租户网络。

      在 BGP 主讲人与服务网关之间建立 BGP 对等互连后,运行 neutron bgp-speaker-network-remove 命令以解除 BGP 主讲人与外部网络或提供商网络的关联可能会导致服务网关上的租户路由丢失。使用 neutron bgp-speaker-network-add 将外部网络或提供商网络还原到 BGP 主讲人不会重新创建路由。

      解决办法:nsxv.ini 文件中,将 ecmp_wait_time 的值更改为 5 秒。

    • DLR 租户 Edge (PLR) 与提供者网关 Edge 之间的 iBGP 对等互连无法正确通告租户网络,导致外部通信中断。

      使用 iBGP 对等互连时,通告的路由安装在对等客户端上且不会修改下一跃点。因此,提供者网关 Edge 使用传输网络范围中的下一跃点 IP 地址(而非租户的 PLR Edge 上行链路)在租户网络间安装路由。由于网关 Edge 无法解析到传输网络的路由,通信会中断。

      解决办法:在操作分布式路由器时使用 eBGP 对等互连。

    • 对于 NSX-V 部署,admin_state 参数不起作用。

      admin_state 参数更改为 False 对 Nova 端口不起作用。NSX-V 不支持此参数。

      解决办法:无。

    • 云服务路由器包含 IP 地址,而非 FQDN。

      在 VMware Integrated OpenStack 部署过程中,负载平衡器配置中的公共主机名未指定或不符合公共访问的要求。公共主机名用于外部访问 VMware Integrated OpenStack 仪表板和 API。

      解决办法:要在部署后更改或编辑公共主机名,请参见知识库文章 2147624

    • 将防火墙连接到没有网关的路由器时,防火墙规则不会添加到 NSX 路由器。

      仅在路由器包含网关时,防火墙即服务规则才会添加到路由器中。这些规则对没有网关的路由器不起作用,因为没有任何相关的流量。

      解决办法:连接防火墙前,为路由器配置一个网关。

    • 元数据代理与 Nova 服务器之间进行 HTTP 通信时遇到安全风险。

      Edge 设备上的元数据代理用作反向代理,与上游 Nova 服务器进行通信以收集 NSX 环境中 OpenStack 的相关元数据信息。Nginx 反向代理配置还支持明文通信。未进行 TLS 加密会泄露敏感数据,网络上的攻击者也可以从站点修改传输中的数据。

      解决办法:要确保元数据代理服务器和 Nova 服务器之间的通信安全,请使用支持 CA 的 HTTPS,而不使用 HTTP。

      1. 将以下参数添加到 nova.conf,以启用 Nova 元数据 HTTPS 支持:
        [DEFAULT] enabled_ssl_apis = metadata [wsgi] ssl_cert_file = nova-md-https-server-cert-file ssl_key_file = nova-md-https-server-private-key-file
      2. 在 NSX Manager 中,选择系统 > 信任 > 证书,然后导入 CA 证书或证书链。记录已导入证书的 UUID。
      3. 准备以下格式的 https_mdproxy.json 文件: 
        { "display_name" : "https_md_proxy", "resource_type" : "MetadataProxy", "metadata_server_url" : "https://md-server-url", "metadata_server_ca_ids": ["ca-id"], "secret": "secret", "edge_cluster_id" : "edge-cluster-id" }
      4. 使用 REST API 部署 HTTPS 元数据代理服务器。
        curl -i -k -u nsx-mgr-admin:nsx-mgr-passwd -H "content-type: application/json" -H "Accept: application/json" -X POST https://nsx-mgr-ip/api/v1/md-proxies -d "`cat ./https_mdproxy.json`"
      5. 使用所创建的元数据代理服务器的 UUID 配置 VMware Integrated OpenStack。元数据代理服务器与 Nova 服务器之间的通信现在受到支持证书身份验证的 HTTPS 的保护。
    • 策略文件自定义不同步到 VMware Integrated OpenStack 仪表板。

      GUI 不体现对自定义操作手册中指定的策略所做的更改。

      解决办法:如果使用自定义操作手册编辑策略文件,请在 VMware Integrated OpenStack 仪表板策略文件中进行同样的更改以确保一致性。

    • 可能无法成功应用可用区配置。

      修改可用区配置后,在删除并重新创建备份 Edge 之前可能不会应用新配置。

      解决办法:删除所有备份 Edge 并重新启动 Neutron。

      1. 删除所有备份 Edge。
        nsxadmin -r backup-edges -o clean --property edge-id=edge-node-id
      2. 重新启动 Neutron。
    • 重命名的 OpenStack 实例在 vCenter Server 中显示为原始名称。

      如果使用 nova rename 命令重命名 OpenStack 实例,则仅在 OpenStack 数据库中显示更改。vCenter Server 实例仍继续显示原始名称。

      解决办法:

    • 分布式逻辑路由器上没有 DHCP 的子网无法访问元数据。

      无 DHCP 的子网上的实例不能通过分布式逻辑路由器接口访问元数据。对于共享和专用路由器,不会出现此行为。

      解决办法:无。

    • 在部署 OpenStack 实例时,可能会出现“证书不在 CA 存储库中 (Certificate is not in CA store)”错误。

      当使用已连接到 vRealize Automation 的另一个实例之前使用的 IP 地址部署新的 VMware Integrated OpenStack 实例时,可能会发生以下证书错误:
      无法执行请求: ; java.security.cert.CertificateException: 证书不在 CA 存储库中。调用 REST 操作/REST 调用 (item0)#35)(Cannot execute the request: ; java.security.cert.CertificateException: Certificate is not in CA store.Certificate is not in CA store. (Workflow:Invoke a REST operation / REST call (item0)#35))

      解决办法:删除旧 VMware Integrated OpenStack 实例的证书,然后在 vRealize Orchestrator 中导入新实例证书。

      1. 登录到 vRealize Orchestrator。
      2. 选择 > 配置 > SSL Trust Manager
      3. 运行工作流以删除旧的 VMware Integrated OpenStack 实例的可信证书。
      4. 运行工作流以从 URL 导入新实例的证书。
    • 在 Neutron 中启用 NSX 策略后,可能会阻止租户流量。

      在 Neutron 插件中启用 security-group-policy 后,可能会以错误的顺序列出 NSX 防火墙区域。正确的顺序如下所示:

      1. NSX 策略
      2. 租户安全组
      3. 默认区域

      解决办法:在 vSphere Web Client 中,打开 NSX 防火墙页面,然后将各个部分移到正确的位置。为防止出现此问题,请先创建 NSX 策略,然后再配置 VMware Integrated OpenStack。

    • VMware Integrated OpenStack 仪表板上未显示路由器大小下拉菜单。

      在 VMware Integrated OpenStack 仪表板上创建专用路由器时,可以指定其大小。但是,将路由器从共享更改为专用时,路由器大小下拉菜单不显示,导致无法指定路由器大小。

      解决办法:还原路由器的默认值,然后再次将类型修改为专用。此时应显示下拉菜单。

    • 在 VMware Integrated OpenStack 仪表板上无法修改配置了 SQL 的用户。
      如果将 VMware Integrated OpenStack 部署配置为使用 LDAP 进行用户身份验证,则无法在 VMware Integrated OpenStack 仪表板中修改任何用户定义,即使用户定义来自 SQL 数据库也是如此。

      解决办法:无。

    • vSphere HA 事件后进行恢复时显示同步和进程启动失败。

      vSphere HA 事件可能会影响您的 VMware Integrated OpenStack 部署。vSphere 恢复后,在 OpenStack 管理服务器上运行 viocli deployment status 命令。如果生成的报告显示任何同步或进程启动失败,请使用下面的解决办法。

      解决办法:依次运行 viocli services stop 命令和 viocli services start 命令,手动重新启动所有 OpenStack 服务。重新启动 OpenStack 服务后,再次运行 viocli deployment status 命令,并确认没有任何错误。

    • 映像必须为 VMX 10 或更高版本。
      此问题会影响已优化流的映像和 OVA。如果映像的硬件版本低于 VMX 10,则从映像创建的 OpenStack 实例将不起作用。在较低版本的 ESXi(如 5.5)上部署 OpenStack 计算节点时通常会遇到此问题。您无法通过修改映像元数据 (vmware_hw_version) 或特定实例元数据 (vmware:hw_version) 来更正此类映像。

      解决办法:使用较新的映像。

    • OpenStack 管理服务器可能不会自动重新启动。
      在特定条件下,OpenStack 管理服务器不会自动重新启动。例如,在故障切换事件后,所有 OpenStack 服务均成功重新启动,但 OpenStack 管理服务器仍不可访问。

      解决办法:在 vSphere Web Client 中手动重新启动 VMware Integrated OpenStack vApp。右键单击清单页面中的图标,然后选择关闭。关闭所有服务后,打开 vApp 的电源。检查 OpenStack 管理器日志确认是否已成功重新启动。

    • 无法访问使用 no-gateway 选项创建的子网上的元数据服务。

      当使用 no-gateway 选项创建子网时,没有路由器 Edge 用于捕获元数据流量。

      解决办法:对于使用 no-gateway 选项的网络,请为 169.254.169.254/32 配置路由以将流量转发到 DHCP Edge IP 地址。

    • 如果重新引导控制器虚拟机,高可用性可能会受到影响。

      当高可用性设置中的某个控制器出现故障时,第二个控制器会继续提供服务。但是,初始控制器重新引导后,可能不会开始提供服务。第二个控制器出现故障时,部署将无法切换回初始控制器。

      解决办法:当高可用性设置中出现故障的控制器重新引导后,请检查您的部署,确保这两个控制器都能提供服务。有关如何启动和停止 VMware Integrated OpenStack 部署的详细信息,请参见知识库文章 2148892

    • Glance 不支持在数据存储名称中使用特殊字符。
      如果数据存储名称中包含某些非字母数字字符,则数据存储不能添加到 Glance 服务。以下字符保留用于其他用途,不允许在 Glance 数据存储名称中使用:冒号 (:)、逗号 (,)、斜杠 (/) 和美元符号 ($)。

      解决办法:不要在数据存储名称中使用这些符号。

    • 映像上载时间较长导致 NotAuthenticated 失败。
      这是 OpenStack 的已知问题,最先是在 Icehouse 版本中报告的。请参见 https://bugs.launchpad.net/glance/+bug/1371121

    • 即使卷附加失败,仍可能会在仪表板上显示为已附加。
      这是 OpenStack 的已知问题,最先是在 Icehouse 版本中报告的。

    • 部署后,无法通过 VMware Integrated OpenStack vApp 修改 Syslog 设置。

      部署后,无法在VMware Integrated OpenStack > 管理服务器 > 编辑设置 > vApp 选项中修改 syslog 服务器配置。

      解决办法:VMware Integrated OpenStack > OpenStack 群集 > 管理 > Syslog 服务器中修改配置。

    VMware Integrated OpenStack with Kubernetes
    • 无法通过虚拟 IP 地址访问 Kubernetes API 服务器。

      如果在 NSX-T 网络环境中使用一个 OpenStack 提供程序部署了多个 Kubernetes 群集,则无法使用虚拟 IP 地址访问 Kubernetes API 服务器。

      解决办法:登录到 NSX-T 后端服务器,将负载平衡器虚拟服务器更新为浮动 IP 地址。

    • 对于使用 SDDC 提供程序执行的 VDS 部署,群集在恢复后可能会显示为活动,但没有外部路由。

      如果 Nginx Ingress 控制器 Pod 在恢复后处于错误状态,可能不会发生外部路由。

      解决办法:请执行以下步骤以清除错误状态:

      1. 删除默认服务帐户和受影响的 Nginx Ingress 控制器 Pod。
        kubectl delete serviceaccount default -n kube-system kubectl delete pod nginx-ingress-controller-id -n kube-system
      2. 在 VMware Integrated OpenStack with Kubernetes 虚拟机上,运行 vkube cluster update 命令。
    • 无法还原已删除的群集。

      运行“删除群集”和“删除提供者”命令后,删除的网络、路由器和负载平衡器均无法恢复。

      解决办法:无。

    • 重新启动 Kubernetes 群集节点的客户机操作系统后,flannel Pod 未正确启动。

      重新启动 Kubernetes 群集节点的客户机操作系统会清除所有 IP 表规则。导致 flannel 容器无法正确启动。

      解决办法:重新启动 Kubernetes 网络代理。您可以终止 kube-proxy 进程,hyperkube 将自动启动一个新的 kube-proxy 进程。

    • 执行群集操作时,会显示“未分配任何策略 (No policy assigned)”错误。

      分配给专用或共享群集的组中的成员用户在群集上执行诸如运行 kubectl 实用程序等操作时可能会收到“未分配任何策略 (No policy assigned)”错误。出现此问题的原因是,用户会话期间未正确存储已进行身份验证的用户的组信息。

      解决办法:向群集分配单个用户而非组。

    • SDDC 云提供商创建失败,并显示“dpkg: 不可恢复的致命错误,正在中止: (dpkg: unrecoverable fatal error, aborting:)”消息。

      创建 SDDC 云提供商失败,并且虚拟设备上的 column-api 容器的日志中包含类似于以下内容的消息:

      - docker logs column-api -fTASK [bootstrap-os : Bootstrap | Install python 2.x and pip] *******************172.18.0.2 - - [06/Sep/2017 05:47:32] "GET /runs/46a74449-7123-4574-90c2-3404dfac6641 HTTP/1.1" 200 -fatal: [k8s-node-1-2393e79d-ec6a-4e63-8f63-c6308d72496e]: FAILED! => {"changed": true, "failed": true, "rc": 100, "stderr": "Shared connection to 192.168.0.3 closed.", "stdout": "........"dpkg: unrecoverable fatal error, aborting:", " files list file for package 'python-libxml2' is missing final newline", "E: Sub-process /usr/bin/dpkg returned an error code (2)"]}"

      解决办法:删除 SDDC 云提供商,然后重新创建。

    • 循环打开具有 SDDC 提供程序的 VMware Integrated OpenStack with Kubernetes 虚拟机电源后,OpenStack 服务容器将停止工作且不会自动重新启动。

      如果关闭具有一个 SDDC 提供程序的 VMware Integrated OpenStack with Kubernetes 虚拟机的电源后再打开电源,该虚拟机将迁移到另一台主机。对该提供程序的后续操作(例如 Kubernetes 群集创建操作和横向扩展操作)将失败。

      解决办法:要刷新提供程序,请执行以下步骤:

      1. 在 VMware Integrated OpenStack with Kubernetes 虚拟机上,以 root 用户身份登录。
        vkube login --insecure
      2. 刷新 SDDC 提供程序。
        vkube provider refresh sddc provider-id --insecure 

        您可以通过运行 vkube provider list --insecure 命令获取 SDDC 提供程序 ID。

      1.  

    check-circle-line exclamation-circle-line close-line
    Scroll to top icon