重要信息:更新日期:2019 年 1 月 9 日

VMware Integrated OpenStack 5.1 | 2018 年 11 月 13 日 | 内部版本 10738236
VMware Integrated OpenStack with Kubernetes 5.1 | 2018 年 11 月 13 日 | 内部版本 10628687

请查看发行说明以了解新增内容及更新。

发行说明内容

本发行说明包含以下主题:

关于 VMware Integrated OpenStack

VMware Integrated OpenStack 通过简化集成过程,极大地精简了 OpenStack 云基础架构部署。VMware Integrated OpenStack 通过直接在 vCenter Server 中运行的部署管理器 vApp 提供现成的 OpenStack 功能和简单的配置工作流。

新增功能

  • 支持最新版本的 VMware 产品:VMware Integrated OpenStack 5.1 支持并完全兼容 VMware vSphere 6.7 Update 1、NSX-T 2.3、NSX Data Center for vSphere 6.4.3 和 vRealize Operations Manager 7.0。
  • OpenStack Swift(对象存储):现在包括 Swift 以启用分布式对象存储。在 VMware Integrated OpenStack 5.1 中,将此项目作为一项技术预览版提供支持。
  • OpenStack Barbican(密钥管理器):Barbican 作为一个完全支持的项目包含在内,使用户能够安全地存储和管理租户密钥。 
  • 数据存储群集:现在可以对 Nova 和 Cinder 存储使用数据存储群集,且某些操作支持 Storage DRS。
  • NSX-T 部署中的 SR-IOV:现在 NSX-T 和 SR-IOV 可以共存,从而将 NSX-T 的网络优势和功能与 SR-IOV 直通结合在一起。
  • NSX-V 和 NSX-T 共存:现在,单个 OpenStack 控制层面可以配置 NSX-V 和 NSX-T 共存。 
  • Horizon 改进功能:可以在 VMware Integrated OpenStack 仪表板上配置 Designate 设置和 TVD 项目-插件映射。
  • 角色标记:创建实例时可以标记虚拟设备,客户机工作负载可以更轻松地识别设备并进行分类。

兼容性

有关 VMware Integrated OpenStack 与其他 VMware 产品(包括 vSphere 组件)的兼容性的详细信息,请参见 VMware 产品互操作性列表

升级到版本 5.1

升级 VMware Integrated OpenStack

可以从 VMware Integrated OpenStack 4.0、4.1、4.1.1 或 4.1.2 直接升级到 VMware Integrated OpenStack 5.1。 

注意:当前不支持从 VMware Integrated OpenStack 4.1.2.1 升级。将在更高版本的修补程序中提供该支持。

如果运行的是 VMware Integrated OpenStack 3.1 或更低版本,请先升级到版本 4.1,然后再升级到版本 5.1。 

升级 VMware Integrated OpenStack with Kubernetes

要从 VMware Integrated OpenStack with Kubernetes 5.0 升级到 VMware Integrated OpenStack with Kubernetes 5.1,请参见《VMware Integrated OpenStack with Kubernetes 入门指南》中的升级 VMware Integrated OpenStack with Kubernetes

如果运行的是 VMware Integrated OpenStack with Kubernetes 4.1 或更低版本,请先升级到版本 5.0,然后再升级到版本 5.1。 

安全注意事项

VMware Integrated OpenStack with Kubernetes (VIO-K) 5.1 可能会受到 Kubernetes 中的重要安全漏洞 CVE-2018-1002105 的影响。此前 VMware 针对此漏洞发布了警示此处),该警示现已更新以包含 VMware Integrated OpenStack with Kubernetes。您必须安装安全修补程序 1 以修复此漏洞。

安装 VMware Integrated OpenStack with Kubernetes 5.1 后,执行以下步骤修补您的部署:

  1. 产品下载页面下载 VMware Integrated OpenStack with Kubernetes 5.1 安全修补程序 1。 
  2. 将修补程序文件传输到 VMware Integrated OpenStack with Kubernetes 管理服务器。
  3. 登录到管理服务器。
  4. 解压缩并通过运行以下命令安装修补程序:
    tar -xzf viok-5.1-hp1.tar.gz
    cd viok-5.1-hp1
    ./install.sh

弃用通知 

新版本的 vRealize Automation 无法再通过 VMware Integrated OpenStack 的认证。

VMware Integrated OpenStack 的未来主要版本中将更改或弃用 VMware Integrated OpenStack 5.1 中提供的某些 OpenStack 管理服务器生命周期管理 API。 

VMware Integrated OpenStack with Kubernetes 中的 SDDC 提供程序将在未来主要版本中弃用,该提供程序之前用于不含现有 VMware Integrated OpenStack 实例的部署。对于新的 VMware Integrated OpenStack with Kubernetes 部署,请使用 OpenStack 提供程序。

国际化

VMware Integrated OpenStack 5.1 提供英文版以及另外七种语言版本:简体中文、繁体中文、日语、韩语、法语、德语和西班牙语。

以下项目必须仅包含 ASCII 字符。

  • OpenStack 资源(如项目、用户和映像)的名称
  • 基础架构组件(如 ESXi 主机、端口组、数据中心和数据存储)的名称
  • LDAP 和 Active Directory 属性 

VMware Integrated OpenStack with Kubernetes 仅提供英文版。

适用于 VMware Integrated OpenStack 的开源组件

有关适用于 VMware Integrated OpenStack 5.1 中分发的开源软件组件的版权声明和许可证,可从产品下载页面的“开源”选项卡上获取。您还可以下载适用于 VMware Integrated OpenStack 组件的披露软件包,这些披露软件包受 GPL、LGPL 或其他要求源代码或源代码修改可用的类似许可证的约束。

已解决的问题

  • 无法引导 vSAN 数据存储上的 ISO 映像。

    在先前版本中,从 vSAN 数据存储上的 ISO 引导会失败。

    本版本已解决该问题。

  • viocli deployment configure 命令无法重新启动 MySQL 数据库。

    更改数据库参数并运行 viocli deployment configure 后,由于数据库服务未重新启动,配置未能生效。

    本版本已解决该问题。

  • 控制器无法创建临时文件。

    由于累积了大量临时文件没有清理,较旧的环境可能会遇到问题。

    本版本已解决该问题。

  • 删除具有租户虚拟数据中心的计算节点后,无法再重新添加。

    删除具有租户虚拟数据中心的计算节点后,尝试重新添加失败,且 /var/log/nova/nova-compute.log 中显示“Failed to create resource provider”错误。

    本版本已解决该问题。

  • 无法配置负载平衡器静态路由的前缀长度。

    在先前版本中,通过 GUI 配置的静态路由规则全部使用 24 位前缀。

    现在,您可以在配置负载平衡器静态路由时指定子网掩码。

  • 调整卷大小可能会导致卷迁移到其他主机。

    调整卷大小时,即使 always_resize_on_same_host 设置为 true,也可能会移至群集中的其他主机。

    本版本已解决该问题。

  • 不按顺序删除计算节点后尝试添加计算节点时出现错误。

    在较早版本的 VMware Integrated OpenStack 中,只能按降序删除计算节点。例如,对于三个计算节点 VIO-Compute-0、VIO-Compute-1 和 VIO-Compute-2,需要先删除 VIO-Compute-2,接着删除 VIO-Compute-1,最后删除 VIO-Compute-0。如果没有按此顺序删除节点,则稍后添加节点时会生成错误。

    本版本已解决该问题。

  • 实例无法启动并显示错误“ResourceProviderAggregateRetrievalFailed: 无法获取资源提供者的聚合 (ResourceProviderAggregateRetrievalFailed: Failed to get aggregates for resource provider)”。

    删除计算节点上的现有租户虚拟数据中心后,无法启动计算节点上的实例。具体来说,如果 Nova 计算服务启动之前计算节点上的租户虚拟数据中心已存在且在 Nova 计算服务启动后删除,则尝试启动此类计算节点上的实例时,将会出现此问题。

    本版本已解决该问题。

已知问题

已知问题分为如下类别。

VMware Integrated OpenStack
  • 对于 NSX-V 部署,不会在新创建的计算群集上实施安全组。

    创建计算群集时,其受管对象引用 (MoRef) 在 NSX-V 中未更新,且未应用默认规则。

    解决办法:登录到活动控制器并运行 sudo -u neutron nsxadmin -r firewall-sections -o nsx-update 命令。或者,也可以手动更新 NSX-V 操作系统群集安全组部分中的默认规则以包含新的计算群集。

  • 在具有多个 vCenter Server 实例的环境中,Nova 实时迁移无法将实例移至远程 vCenter Server 中的主机。

    不支持在 vCenter Server 实例之间执行 Nova 实时迁移。

    解决办法:无。

  • 删除与浮动 IP 地址关联的实例不会删除关联的 DNS 记录。

    删除关联浮动 IP 地址的实例时,Designate 不会移除该实例的 DNS 记录。

    解决办法:解除浮动 IP 地址与实例的关联,然后再删除实例。

  • 计算节点移除再重新添加后可能无法启动。

    如果为计算节点创建了租户虚拟数据中心,则该节点移除再重新添加后无法启动。

    解决办法:无。

  • VMware Integrated OpenStack 仪表板上计算的本地存储可能不正确。

    如果多个计算节点使用同一个数据存储,VMware Integrated OpenStack 仪表板上的管理程序页面将错误地显示:总可用磁盘空间=(该单个数据存储的大小)x(使用该数据存储的计算节点数)。此外,每个计算节点的本地存储 (已用) 列中的条目将显示该数据存储上的总已用空间,而非单个计算节点的已用空间。

    解决办法:无。

  • 在具有多个 vCenter Server 实例的环境中,实例找不到模板,引导失败。

    如果手动从计算 vCenter Server 中删除映像,则实例可能会引导失败并显示错误“在位置找不到模板 (Unable to find template at location)”。重新添加计算节点后,也会出现此问题。

    解决办法:运行 glance image-showimage-uuid 命令,确定映像中远程 vCenter Server 的位置。然后,运行 glance location-delete --urlimage-location 命令,从 Glance 中删除该位置。

  • 对于使用远程 vCenter Server 的部署,viopatch 命令无法生成快照。

    如果部署中的所有控制虚拟机均部署在一个管理 vCenter Server 实例中并使用远程 vCenter Server 实例中部署的 Nova 计算节点,则 viopatch snapshot take 命令将无法获取有关管理 vCenter Server 实例的信息。命令失败,并显示错误“AttributeError: ‘NoneType’对象没有属性‘snapshot’(AttributeError: 'NoneType' object has no attribute 'snapshot')。”

    解决办法:在 OpenStack 管理服务器虚拟机上,运行以下命令,手动设置管理 vCenter Server 的 IP 地址、用户名和密码:

    export VCENTER_HOSTNAME = mgmt-vc-ip-address export VCENTER_USERNAME = mgmt-vc-username export VCENTER_PASSWORD = mgmt-vc-password
  • NSX-T 密码更改后,VMware Integrated OpenStack 无法连接到 NSX-T。

    如果 Neutron 服务器运行时更改 NSX-T 密码,VMware Integrated OpenStack 可能无法连接到 NSX-T。

    解决办法:更改 NSX-T 密码之前,登录到活动控制器节点,然后运行 systemctl stop neutron-server 命令以停止 Neutron 服务器服务。在 VMware Integrated OpenStack 中更新 NSX-T 密码后,重新启动该服务。

  • 从版本 4.x 升级后,Nova 计算服务无法启动。

    如果在版本 4.x 中删除了 Nova 计算节点,以后又添加了使用相同 vCenter Server 和相同群集的新 Nova 计算节点,则升级到版本 5.x 后 Nova 计算服务将无法启动。/var/log/nova/nova-compute.log 中显示“ERROR nova ResourceProviderCreationFailed”。

    解决办法:执行以下步骤以从数据库中移除 Nova 计算节点:

    1. 查找已删除计算节点的 MOID。
    2. 登录到活动数据库节点,然后打开 nova_api 数据库:

      mysql
      use nova_api

    3. 在“resource_providers”表中,移除包含已删除计算节点的 MOID 的 resource_provider 记录。
    4. 在“host_mappings”表中,移除已删除计算节点的主机记录。
  • 数据存储故障可能会导致 OpenStack 部署无法访问。

    如果 HA 部署中的所有节点都使用同一个数据存储,则该数据存储出现故障将会导致无法访问整个部署。

    解决办法:尝试修复出现故障的数据存储并恢复其数据。vCenter Server 中显示每个节点的虚拟机后,重新启动 OpenStack 部署。如果数据存储不可恢复,请使用 viocli recover 命令还原故障节点。

  • Keystone 端点处于错误状态。

    更改内部端点动态加密设置后,Keystone 端点重新连接失败。将 internal_api_protocol 参数设置为 http(对于 HA 部署)或 https(对于紧凑型或微型部署)时会发生此问题。

    解决办法:修改 Keystone 端点 URL。

    1. 在 vSphere Web Client 中,选择系统管理 > OpenStack
    2. 选择 KEYSTONE 端点,然后单击编辑(铅笔)图标。
    3. 在显示的更新端点部分,根据您的配置将 URL 更改为以 httphttps 开头。
    4. 输入管理员密码,并单击更新
  • 无法在 vCenter Server 6.7 中使用 HTML5 vSphere Client 部署 VMware Integrated OpenStack OVA。

    在 vCenter Server 6.7 中使用 HTML5 vSphere Client 部署 VMware Integrated OpenStack OVA 后,VMware Integrated OpenStack vApp 无法打开电源且 UI 显示错误:“虚拟机 具有所需的 vService 依赖项‘vCenter 扩展安装’,但该依赖项未绑定到提供程序 (The virtual machine has a required vService dependency 'vCenter Extension Installation' which is not bound to a provider)。”    

    解决办法:使用基于 Flex 的 vSphere Web Client 或使用 OVF Tool 部署 VMware Integrated OpenStack OVA。

    有关详细信息,请参见 vSphere 6.7 发行说明知识库文章 55027

  • 以数字开头的主机名导致出现“java.io.IOException”错误。

    OpenStack 管理服务器不支持以数字开头的主机名。如果主机名以数字开头,将显示错误“java.io.IOException: DNSName 组件必须以字母开头 (java.io.IOException: DNSName components must begin with a letter)”。

    解决办法:使用不以数字开头的主机名。有关详细信息,请参见 JDK 上游问题:https://bugs.openjdk.java.net/browse/JDK-8054380

  • 东西向流量不在虚拟线路提供商网络上引导的虚拟机之间进行传输。

    如果使用虚拟线路创建提供商网络,而未创建 SpoofGuard 策略,则将不会在此提供商网络上引导的虚拟机之间传输东西向流量。  

    解决办法:创建 SpoofGuard 策略并将虚拟线路添加到该策略,然后再创建虚拟线路提供商网络。

  • 证书验证可能会在 OpenStack 管理服务器上失败。

    使用 viocli 命令行实用程序时,可能会出现以下错误:

    ssl.SSLError: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:590)

    解决办法:在 OpenStack 管理服务器上,运行以下命令,禁用 vCenter Server 证书验证:

    sudo su - export VCENTER_INSECURE=True
  • 删除路由器接口超时。

    使用共享 NSX 路由器部署并发 Heat 堆栈时,路由器接口删除可能会超时。可能会显示以下消息:neutron_client_socket_timeouthaproxy_neutron_client_timeouthaproxy_neutron_server_timeout

    解决办法:请勿在网络资源频繁更改的环境中使用共享路由器。如果需要 NAT/FIP,请使用专用路由器。否则,请使用分布式路由器。

VMware Integrated OpenStack with Kubernetes
  • 对于 NSX-T 部署,vkube cluster heal 命令可能会失败。

    如果在 k8s-master-0 节点处于“错误”状态的群集上使用 vkube cluster heal 命令,可能会显示以下错误消息:

    fatal: [k8s-master-0-0ffeac43-78ea-4eab]: FAILED! => {"changed": false, "msg": "Unable to start service etcd: Job for etcd.service failed because a timeout was exceeded.See \"systemctl status etcd.service\" and \"journalctl -xe\" for details.\n"}

    解决办法:使用 SSH 登录到受影响群集的 k8s-master-1 节点,然后从 etcd 群集中手动删除无法访问的成员。之后,关闭 SSH 连接,并再次运行 vkube cluster heal 命令。

  • 无法删除处于“错误”状态的群集。

    如果基础架构资源不足,群集创建、修复和扩展将失败,且群集将进入“错误”状态。

    解决办法:执行下列步骤:

    1. 登录到工具箱容器。
    2. 使用 OpenStack 客户端删除处于“错误”状态的主机。
    3. 再次运行 vkube cluster delete 命令以删除群集。
  • 如果用户名或域包含反斜杠 (\),则身份验证失败。

    Keystone 身份验证插件使用反斜杠字符作为分隔符在单个字符串中对域名和用户名进行编码。 .如果域名或用户名中存在其他反斜杠,Keystone 身份验证插件将无法正确解码域名和用户名。

    解决办法:使用不包含反斜杠字符的域名或用户名。

check-circle-line exclamation-circle-line close-line
Scroll to top icon