更新日期:2019 年 7 月 30 日

VMware Integrated OpenStack 5.1.0.2 | 2019 年 5 月 23 日 | 内部版本 13714880

请查看发行说明以了解新增内容及更新。

发行说明内容

本发行说明包含以下主题:

关于 VMware Integrated OpenStack

VMware Integrated OpenStack 通过简化集成过程,极大地精简了 OpenStack 云基础架构部署。VMware Integrated OpenStack 通过直接在 vCenter Server 中运行的部署管理器 vApp 提供现成的 OpenStack 功能和简单的配置工作流。

兼容性

有关 VMware Integrated OpenStack 与其他 VMware 产品(包括 vSphere 组件)的兼容性的详细信息,请参见 VMware 产品互操作性列表

升级到版本 5.1.0.2

升级到 VMware Integrated OpenStack 5.1.0.2 是一个修补过程。如果运行的是 VMware Integrated OpenStack 5.1 或 5.1.0.1,请参见“修补过程”部分。如果运行的是 VMware Integrated OpenStack 5.0 或更低版本,请参见“早期版本”部分。

修补过程

如果运行的是 VMware Integrated OpenStack 5.1 或 5.1.0.1,则可以直接在现有部署中应用修补程序。为此,请执行以下步骤:

  1. 确认 VMware Integrated OpenStack 服务正在运行或尚未部署。如果 VMware Integrated OpenStack 服务处于任何其他状态,升级都将失败。
  2. 在 vSphere Client 中,生成 OpenStack 管理服务器虚拟机的快照。

  3. 如果已部署 OpenStack,请登录到 OpenStack 管理服务器虚拟机,通过运行以下命令生成快照:
    sudo viopatch snapshot take
    如果尚未部署 OpenStack,则无需生成快照。
    此命令可停止 OpenStack 服务。安装修补程序时,将重新启动服务。
    注意:如果命令失败,请参见“已知问题”部分中的“对于使用远程 vCenter Server 的部署,viopatch 命令无法创建快照”

  4. 将修补程序文件下载到 OpenStack 管理服务器虚拟机上。

  5. 运行以下命令添加修补程序文件:
    sudo viopatch add -l path/vio-patch-5.1.0.2_5.1.0.13714880_all.deb

  6. 运行以下命令安装修补程序文件:
    sudo viopatch install -p vio-patch-5.1.0.2 -v 5.1.0.13714880
    在修补程序安装过程中,API 端点将自动关闭。因此,安装过程中的所有 API 调用都将返回 503 错误。

  7. 注销 vSphere Client,然后重新登录。可以忽略登录过程中出现的任何错误消息。

注意:viopatch uninstall 操作已弃用,不能用于恢复到先前的版本。因此,在此过程中创建的快照是恢复操作所必需的。在完成所有验证任务并确定不需要恢复到以前的版本之前,请不要移除这些快照。

验证修补后的版本正常运行后,可以运行 sudo viopatch snapshot remove 以删除快照。此操作具有破坏性,无法撤消。

如果安装修补程序后需要恢复到先前的版本,请执行以下步骤。

  1. 在 vSphere Client 中,将 OpenStack 管理服务器虚拟机恢复到先前的快照。

  2. 在 OpenStack 管理服务器虚拟机上,运行以下命令,重新启动 OpenStack 服务:
    sudo service oms restart

  3. 运行以下命令恢复到先前的快照:
    sudo viopatch snapshot revert

  4. 在 vCenter Server 虚拟机上,停止 vSphere Client 服务,删除残留文件并重新启动该服务:
    service-control --stop vsphere-ui
    cd /etc/vmware/vsphere-ui/vc-packages/vsphere-client-serenity/
    rm -rf *
    cd /usr/lib/vmware-vsphere-client/server/work
    rm -rf *
    service-control --start vsphere-ui

  5. 从 vSphere Client 注销,然后重新登录。

早期版本

要从 VMware Integrated OpenStack 5.0 升级到 VMware Integrated OpenStack 5.1.0.2,请执行以下步骤:

  1. 按照修补 VMware Integrated OpenStack 所述升级到 VMware Integrated OpenStack 5.1。
  2. 按照上文“修补过程”部分所述应用 VMware Integrated OpenStack 5.1.0.2 修补程序。

要从 VMware Integrated OpenStack 4.x 升级到 VMware Integrated OpenStack 5.1.0.2,请执行以下步骤:

  1. 按照安装新版本所述部署 VMware Integrated OpenStack 5.1 OVA。
  2. 在新的 5.1 部署上,按照上文“修补过程”部分所述应用 VMware Integrated OpenStack 5.1.0.2 修补程序。
  3. 按照迁移到新的 VMware Integrated OpenStack 部署所述迁移到修补后的部署。

弃用通知 

新版本的 vRealize Automation 无法再通过 VMware Integrated OpenStack 的认证。

VMware Integrated OpenStack 的未来主要版本中将更改或弃用 VMware Integrated OpenStack 5.1.0.2 中提供的某些 OpenStack 管理服务器生命周期管理 API。 

VMware Integrated OpenStack with Kubernetes 中的 SDDC 提供程序将在未来主要版本中弃用,该提供程序之前用于不含 VMware Integrated OpenStack 的部署。对于新的 VMware Integrated OpenStack with Kubernetes 部署,请使用 OpenStack 提供程序。

国际化

VMware Integrated OpenStack 5.1.0.2 提供英文版以及另外七种语言版本:简体中文、繁体中文、日语、韩语、法语、德语和西班牙语。

以下项目必须仅包含 ASCII 字符。

  • OpenStack 资源(如项目、用户和映像)的名称
  • 基础架构组件(如 ESXi 主机、端口组、数据中心和数据存储)的名称
  • LDAP 和 Active Directory 属性 

适用于 VMware Integrated OpenStack 的开源组件

有关适用于 VMware Integrated OpenStack 5.1.0.2 中分发的开源软件组件的版权声明和许可证,可从产品下载页面的“开源”选项卡上获取。您还可以下载适用于 VMware Integrated OpenStack 组件的披露软件包,这些披露软件包受 GPL、LGPL 或其他要求源代码或源代码修改可用的类似许可证的约束。

已解决的问题

  • 对于 NSX Data Center for vSphere 部署,SpoofGuard 限制会阻止某些类型的 IP 地址与虚拟机关联。

    在早期版本中,无法将虚拟机配置为具有端口安全,也无法将其配置为与网络上已使用的子网或 IP 地址相关联。

    现在,可以通过禁用 SpoofGuard 来放宽端口安全要求,以允许在这些虚拟机上使用 OpenStack 的分布式防火墙功能。

    要启用此功能,请执行以下步骤:

    1. 在 OpenStack 管理服务器上,打开 custom.yml 文件,并将 nsxv_allow_multiple_ip_addresses 的值设置为 true
    2. 运行 sudo viocli deployment configure 命令。
    3. 确保在目标网络上禁用端口安全。
    4. 确保在目标端口上启用端口安全。

    随后在创建或更新端口时,您可以使用 --allowed-address-pairs 参数指定单个 IP 地址或整个子网。由于端口在创建时从网络继承了端口安全设置,因此您必须在禁用网络上的端口安全后创建的端口上手动启用端口安全。在网络上禁用或启用端口安全不会影响现有端口的端口安全设置。

    注意:必须在网络上禁用 SpoofGuard,因为其粒度为逻辑交换机级别。

  • custom.yml 文件中添加了其他参数。

    现在可以在 custom.yml 中配置以下项目:

    • nova_default_vif_model - 设置默认的 vNIC 模型。
    • nova_additional_passthrough_devices - 包括其他直通设备(一系列整数)。
    • glance_api_image_member_quota - 设置可与其共享映像的用户的最大数量。
  • 无法从使用厚置备的映像启动实例。

    使用 vmware_template_disk_type 元数据将映像的置备类型设置为厚置备时,无法从该映像启动实例。

    本版本已解决该问题。

  • 无法从 VMware Integrated OpenStack 仪表板为 LBaaS 运行状况监控器选择 HTTPS。

    可以通过命令行界面(而不是仪表板)为 LBaaS 运行状况监控器配置 HTTPS。

    本版本已解决该问题。

  • 没有足够权限时,尝试修改映像会导致用户注销。

    如果您以具有 _member_ 角色的用户身份登录,则尝试修改云管理员拥有的映像时,将自动从 VMware Integrated OpenStack 仪表板注销。

    本版本已解决该问题。

  • VMware Integrated OpenStack 无法通过 TLS 协议向 vRealize Log Insight 发送日志。

    在早期版本中,与 vRealize Log Insight 通信时无法使用 TLS 加密。

    本版本已解决该问题。

  • 服务器修复功能无法正常运行。

    使用 openstack server rescue 命令将实例重新引导到修复模式时,会发生错误,并且操作失败。

    本版本已解决该问题。但是,存在以下限制:

    如果要使用修复功能,在为实例上载映像时,必须将 vmware_create_template 的值设置为 false。例如:

    openstack image create test-image --disk-format vmdk --container-format bare --file test-image.vmdk --property vmware_disktype="preallocated" --property vmware_create_template="false"
  • 如果更改映像的磁盘适配器类型,则无法从该映像启动存储策略控制的实例。

    如果使用映像上的 vmware_adaptertype 元数据(例如,将其适配器从 IDE 更改为 SCSI),则无法再使用该映像启动基于存储策略的管理 (SPBM) 下的实例。

    本版本已解决该问题。

  • 无法将虚拟机导入到 VMware Integrated OpenStack。

    尝试导入非受管虚拟机时,出现方法调用错误。

    本版本已解决该问题。

  • 串行控制台日志不会进行轮换,并且可能会占用过多的磁盘空间。

    虚拟串行端口集中器 (vSPC) 生成的日志文件(位于计算节点上的 /var/log/vspc 目录中)不会进行轮换,并且最终可能会占用过多的磁盘空间。

    本版本已解决该问题。

  • 从 Flex 和 HTML5 客户端导出的 JSON 模板文件不可完全互换。

    如果使用基于 Flex 的 vSphere Web Client 导出模板,然后使用 HTML5 vSphere Client 将其导入,则不会保留“创建元数据代理服务器”和“创建 DHCP 服务器配置文件”设置。

    本版本已解决该问题。

  • viocli upgrade mgmt_server 命令可能无法完成。

    由于上游 OpenStack 问题,联机数据迁移在某些部署上可能会失败。viocli upgrade mgmt_server 命令随后挂起,并且无法完成升级过程。

    本版本已解决该问题。

  • 无法为第二个可用区中的实例生成快照。

    为不在第一个可用区的实例创建快照时,快照过程无法完成。

    本版本已解决该问题。

  • 从 JSON 模板部署 OpenStack 时,Edge 群集下拉列表不可用。

    在基于 Flex 的 vSphere Web Client 中,如果使用模板文件同时选中“创建元数据代理服务器”或“创建 DHCP 服务器配置文件”来部署 OpenStack,则无法从下拉列表中选择 Edge 群集。

    本版本已解决该问题。

  • OpenStack 命令行界面将一些用户名显示为“None”。

    使用 openstack user list 命令时,某些用户名将返回“None”,即使已分配了有效名称也是如此。

    本版本已解决该问题。

已知问题

已知问题分为如下类别。

VMware Integrated OpenStack
  • 在具有多个 vCenter Server 实例的环境中,Nova 实时迁移无法将实例移至远程 vCenter Server 中的主机。

    不支持在 vCenter Server 实例之间执行 Nova 实时迁移。

    解决办法:无。

  • 删除与浮动 IP 地址关联的实例不会删除关联的 DNS 记录。

    删除关联浮动 IP 地址的实例时,Designate 不会移除该实例的 DNS 记录。

    解决办法:解除浮动 IP 地址与实例的关联,然后再删除实例。

  • 计算节点移除再重新添加后可能无法启动。

    如果为计算节点创建了租户虚拟数据中心,则该节点移除再重新添加后无法启动。

    解决办法:无。

  • VMware Integrated OpenStack 仪表板上计算的本地存储可能不正确。

    如果多个计算节点使用同一个数据存储,VMware Integrated OpenStack 仪表板上的管理程序页面将错误地显示:总可用磁盘空间=(该单个数据存储的大小)x(使用该数据存储的计算节点数)。此外,每个计算节点的本地存储 (已用) 列中的条目将显示该数据存储上的总已用空间,而非单个计算节点的已用空间。

    解决办法:无。

  • 在具有多个 vCenter Server 实例的环境中,实例找不到模板,引导失败。

    如果手动从计算 vCenter Server 中删除映像,则实例可能会引导失败并显示错误“在位置找不到模板 (Unable to find template at location)”。重新添加计算节点后,也会出现此问题。

    解决办法:运行 glance image-showimage-uuid 命令,确定映像中远程 vCenter Server 的位置。然后,运行 glance location-delete --urlimage-location 命令,从 Glance 中删除该位置。

  • 对于使用远程 vCenter Server 的部署,viopatch 命令无法生成快照。

    如果部署中的所有控制虚拟机均部署在一个管理 vCenter Server 实例中并使用远程 vCenter Server 实例中部署的 Nova 计算节点,则 viopatch snapshot take 命令将无法获取有关管理 vCenter Server 实例的信息。命令失败,并显示错误“AttributeError: ‘NoneType’对象没有属性‘snapshot’(AttributeError: 'NoneType' object has no attribute 'snapshot')。”

    解决办法:在 OpenStack 管理服务器虚拟机上,运行以下命令,手动设置管理 vCenter Server 的 IP 地址、用户名和密码:

    export VCENTER_HOSTNAME = mgmt-vc-ip-address export VCENTER_USERNAME = mgmt-vc-username export VCENTER_PASSWORD = mgmt-vc-password
  • NSX-T 密码更改后,VMware Integrated OpenStack 无法连接到 NSX-T。

    如果 Neutron 服务器运行时更改 NSX-T 密码,VMware Integrated OpenStack 可能无法连接到 NSX-T。

    解决办法:更改 NSX-T 密码之前,登录到活动控制器节点,然后运行 systemctl stop neutron-server 命令以停止 Neutron 服务器服务。在 VMware Integrated OpenStack 中更新 NSX-T 密码后,重新启动该服务。

  • 从版本 4.x 升级后,Nova 计算服务无法启动。

    如果在版本 4.x 中删除了 Nova 计算节点,以后又添加了使用相同 vCenter Server 和相同群集的新 Nova 计算节点,则升级到版本 5.x 后 Nova 计算服务将无法启动。/var/log/nova/nova-compute.log 中显示“ERROR nova ResourceProviderCreationFailed”。

    解决办法:执行以下步骤以从数据库中移除 Nova 计算节点:

    1. 查找已删除计算节点的 MOID。
    2. 登录到活动数据库节点,然后打开 nova_api 数据库:

      mysql
      use nova_api

    3. 在“resource_providers”表中,移除包含已删除计算节点的 MOID 的 resource_provider 记录。
    4. 在“host_mappings”表中,移除已删除计算节点的主机记录。
  • 数据存储故障可能会导致 OpenStack 部署无法访问。

    如果 HA 部署中的所有节点都使用同一个数据存储,则该数据存储出现故障将会导致无法访问整个部署。

    解决办法:尝试修复出现故障的数据存储并恢复其数据。vCenter Server 中显示每个节点的虚拟机后,重新启动 OpenStack 部署。如果数据存储不可恢复,请使用 viocli recover 命令还原故障节点。

  • Keystone 端点处于错误状态。

    更改内部端点动态加密设置后,Keystone 端点重新连接失败。将 internal_api_protocol 参数设置为 http(对于 HA 部署)或 https(对于紧凑型或微型部署)时会发生此问题。

    解决办法:修改 Keystone 端点 URL。

    1. 在 vSphere Web Client 中,选择系统管理 > OpenStack
    2. 选择 KEYSTONE 端点,然后单击编辑(铅笔)图标。
    3. 在显示的更新端点部分,根据您的配置将 URL 更改为以 httphttps 开头。
    4. 输入管理员密码,并单击更新
  • 无法在 vCenter Server 6.7 中使用 HTML5 vSphere Client 部署 VMware Integrated OpenStack OVA。

    在 vCenter Server 6.7 中使用 HTML5 vSphere Client 部署 VMware Integrated OpenStack OVA 后,VMware Integrated OpenStack vApp 无法打开电源且 UI 显示错误:“虚拟机 具有所需的 vService 依赖项‘vCenter 扩展安装’,但该依赖项未绑定到提供程序 (The virtual machine has a required vService dependency 'vCenter Extension Installation' which is not bound to a provider)。”    

    解决办法:使用基于 Flex 的 vSphere Web Client 或使用 OVF Tool 部署 VMware Integrated OpenStack OVA。

    有关详细信息,请参见 vSphere 6.7 发行说明知识库文章 55027

  • 以数字开头的主机名导致出现“java.io.IOException”错误。

    OpenStack 管理服务器不支持以数字开头的主机名。如果主机名以数字开头,将显示错误“java.io.IOException: DNSName 组件必须以字母开头 (java.io.IOException: DNSName components must begin with a letter)”。

    解决办法:使用不以数字开头的主机名。有关详细信息,请参见 JDK 上游问题:https://bugs.openjdk.java.net/browse/JDK-8054380

  • 东西向流量不在虚拟线路提供商网络上引导的虚拟机之间进行传输。

    如果使用虚拟线路创建提供商网络,而未创建 SpoofGuard 策略,则将不会在此提供商网络上引导的虚拟机之间传输东西向流量。  

    解决办法:创建 SpoofGuard 策略并将虚拟线路添加到该策略,然后再创建虚拟线路提供商网络。

  • 证书验证可能会在 OpenStack 管理服务器上失败。

    使用 viocli 命令行实用程序时,可能会出现以下错误:

    ssl.SSLError: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:590)

    解决办法:在 OpenStack 管理服务器上,运行以下命令,禁用 vCenter Server 证书验证:

    sudo su - export VCENTER_INSECURE=True
  • 删除路由器接口超时。

    使用共享 NSX 路由器部署并发 Heat 堆栈时,路由器接口删除可能会超时。可能会显示以下消息:neutron_client_socket_timeouthaproxy_neutron_client_timeouthaproxy_neutron_server_timeout

    解决办法:请勿在网络资源频繁更改的环境中使用共享路由器。如果需要 NAT 或浮动 IP 地址,请使用专用路由器。否则,请使用分布式路由器。

VMware Integrated OpenStack with Kubernetes
  • 对于 NSX-T 部署,vkube cluster heal 命令可能会失败。

    如果在 k8s-master-0 节点处于“错误”状态的群集上使用 vkube cluster heal 命令,可能会显示以下错误消息:

    fatal: [k8s-master-0-0ffeac43-78ea-4eab]: FAILED! => {"changed": false, "msg": "Unable to start service etcd: Job for etcd.service failed because a timeout was exceeded.See \"systemctl status etcd.service\" and \"journalctl -xe\" for details.\n"}

    解决办法:使用 SSH 登录到受影响群集的 k8s-master-1 节点,然后从 etcd 群集中手动删除无法访问的成员。之后,关闭 SSH 连接,并再次运行 vkube cluster heal 命令。

  • 无法删除处于“错误”状态的群集。

    如果基础架构资源不足,群集创建、修复和扩展将失败,且群集将进入“错误”状态。

    解决办法:执行下列步骤:

    1. 登录到工具箱容器。
    2. 使用 OpenStack 客户端删除处于“错误”状态的主机。
    3. 再次运行 vkube cluster delete 命令以删除群集。
  • 如果用户名或域包含反斜杠 (\),则身份验证失败。

    Keystone 身份验证插件使用反斜杠字符作为分隔符在单个字符串中对域名和用户名进行编码。 .如果域名或用户名中存在其他反斜杠,Keystone 身份验证插件将无法正确解码域名和用户名。

    解决办法:使用不包含反斜杠字符的域名或用户名。

check-circle-line exclamation-circle-line close-line
Scroll to top icon