VMware Integrated OpenStack 7.0 | 2020 年 6 月 4 日| 内部版本 16227912

请查看发行说明以了解新增内容及更新。

发行说明内容

本发行说明包含以下主题:

关于 VMware Integrated OpenStack

VMware Integrated OpenStack 通过简化集成过程,极大地精简了 OpenStack 云基础架构部署。VMware Integrated OpenStack 通过在 vCenter Server 中作为虚拟设备运行的部署管理器提供即时可用的 OpenStack 功能和简单的配置工作流。

新增功能

  • OpenStack Train:VMware Integrated OpenStack 7.0 基于 OpenStack 的 Train 版本
  • 支持最新版本的 VMware 产品:VMware Integrated OpenStack 7.0 支持且完全兼容 VMware vSphere 7.0 和 NSX-T Data Center 3.0。
  • OpenStack 功能:
    • 对 Nova 服务器实例支持有选择性地固定 vCPU。可以将一部分 vCPU 固定到物理 CPU 内核。此功能需要 vSphere 7.0 或更高版本。
    • 支持 SR-IOV 网卡冗余,可实现网络连接 HA,从而允许从不同的 pNIC 调度 vNIC 置备。 
    • 支持 Neutron 中继服务,从而允许使用单个虚拟网卡 (vNIC) 将多个网络连接到一个实例。通过将实例连接到单个端口,可以为该实例提供多个网络。有关如何使用中继服务的信息,请参见 OpenStack 社区中的文档。此功能需要使用 Neutron Policy 插件。 
    • 支持 Octavia LBaaS,本版本已集成 OpenStack Octavia 项目。
    • 对具有 IPv6 成员的 Octavia LBaaS 支持 IPv6,此功能需要 NSX-T 3.0 或更高版本以及 Neutron Policy 插件。
    • 支持将 NSX-T vRF-lite 作为外部网络,此功能需要 NSX-T 3.0 或更高版本以及 Neutron Policy 插件。
    • 在 VDS 7.0 上支持 NSX-T,此功能需要 vSphere 7.0 或更高版本以及 NSX-T 3.0 或更高版本。要了解部署建议和已知限制,请参见 NSX-T 3.0 发行说明中的“新增功能”部分。
  • 控制层面增强功能
    • 修补程序管理:内置修补功能,无需使用蓝/绿升级过程
    • 公共 API:用于管理 VMware Integrated OpenStack 7.0 部署的 API
    • Python 3:VMware Integrated OpenStack 7.0 现已完全使用 Python 3 编写
    • 命令行:改进了 viocli 命令行实用程序
    • 稳定性和性能改进
  • 许可模式: 
    • 在 VIO 7.0 中,Data Center Edition 已与 Carrier Edition 合并。Carrier Edition 可以购买,且包括所有功能。Data Center Edition 不再上市出售。对升级到 VIO 7.0 没有任何影响。有关详细信息,请参阅 KB79285

安装与升级

  • 安装:
    • VIO 7.0 的全新部署仅支持具有 DVS 和 NSX-T Policy API 的 Neutron 插件
  • 升级:
    • 支持的 VIO 升级途径:
      • VIO 5.1 升级到 VIO 7.0
      • VIO 6.0 升级到 VIO 7.0
    • 升级途径支持具有 NSX-V 和 NSX-T 管理插件的 Neutron 插件
    • 请在升级前阅读已知问题,并在产品文档中了解详细的升级过程。

兼容性

弃用通知 

  • 在此版本中,Neutron LBaaS 已弃用并替换为 OpenStack Octavia 项目。
  • 在此版本中,Neutron FWaaS v1 已弃用并替换为 FWaaS v2。
  • 以下网络连接功能已弃用,将不包含在未来版本中:
    • 适用于 Neutron 的 NSX Data Center for vSphere 驱动程序。
    • 适用于 Neutron 的 NSX-T 管理插件。将来,将使用 NSX-T Policy 插件。
    • TVD 插件,该插件支持单个 VMware Integrated OpenStack 部署使用 NSX Data Center for vSphere 后端和 NSX-T Data Center 后端。

国际化

VMware Integrated OpenStack 7.0 提供英文版以及另外七种语言版本:简体中文、繁体中文、日语、韩语、法语、德语和西班牙语。

以下项目必须仅包含 ASCII 字符。

  • OpenStack 资源(如项目、用户和映像)的名称
  • 基础架构组件(如 ESXi 主机、端口组、数据中心和数据存储)的名称
  • LDAP 和 Active Directory 属性 

适用于 VMware Integrated OpenStack 的开源组件

有关适用于 VMware Integrated OpenStack 7.0 Beta 中分发的开源软件组件的版权声明和许可证,可从产品下载页面的“开源”选项卡上获取。您还可以下载适用于 VMware Integrated OpenStack 组件的披露软件包,这些披露软件包受 GPL、LGPL 或其他要求源代码或源代码修改可用的类似许可证的约束。

已知问题

已知问题分为如下类别。

    升级

    在执行升级之前,请考虑以下问题。
    • 同时执行多个操作时,Neutron 服务会报告 ToozConnectionError

      从 VMware Integrated OpenStack 5.x 升级到具有 NSX-V 插件的 7.0 后,执行与网络相关的操作时,Neutron 服务会报告 ToozConnectionError,尤其是在同时执行多个操作的时段会报告此错误。

      解决办法:要解决此问题,请在 VMware Integrated OpenStack UI 中将 Neutron 服务副本设置为 1。要在升级之前避免出现问题,请按照迁移到新的 VMware Integrated OpenStack 部署中所述,将 VIO Manager 和控制器节点的大小从“中型”更改为“大型”。

    • 从 VMware Integrated OpenStack 5.x 直接升级到 7.0 后,无法显示在版本 5.x 中创建的防火墙

      VMware Integrated OpenStack 5.x 使用 FWaaS v1。VMware Integrated OpenStack 7.0 使用 FWaaS v2。

      解决办法:要将使用版本 5.x 创建的防火墙迁移到版本 7.0,请将 VMware Integrated OpenStack 升级到版本 6.0,手动执行 FWaaS v1 到 FWaaS v2 的迁移,然后再升级到版本 7.0。

    • 从 VIO 5.x 升级到 7.0 后,Horizon 操作不断重定向到登录页面

      升级后,Horizon 或 Ingress pod 可能会出现问题。重新创建可恢复正常功能。

      解决办法:执行以下步骤以重新创建 Horizon 或 Ingress pod。

      1. 通过 ssh 登录到管理虚拟机。
      2. 要重新创建 Horizon pod,请使用以下命令:
        kubectl get pods -n openstack|grep horizon-server| awk '{print $1}'|xargs kubectl -n openstack delete pod 
      3. 要重新创建 Ingress pod,请使用以下命令:
        kubectl get pods -n openstack|grep '^ingress' | awk '{print $1}'|xargs kubectl -n openstack delete pod
    • 不包含计算群集的 vCenter Server 实例在升级期间不会保留。

      如果您的 VMware Integrated OpenStack 5.1 部署包含 vCenter Server 实例,但未将其所含的计算节点添加到部署中,则在升级到 VMware Integrated OpenStack 7.0 之后,将不会保留这些 vCenter Server 实例的设置。

      解决办法:完成升级后,将所需的 vCenter Server 实例添加到 VMware Integrated OpenStack 7.0 部署。

    • 如果将负载平衡器从 Neutron-lbaas 迁移到 Octavia,没有成员的负载平衡器将消失

      不使用没有成员的负载平衡器,因此也不会进行迁移。这样的负载平衡器将在 Neutron 数据库同步期间消失,因为它们缺少后端实现。

      解决办法:在迁移之前,移除未使用的负载平衡器。

    • 从 VIO 5.1.0.4 升级后存在失效的 Nova 服务

      升级到 VIO 7.0 后,5.1.0.4 中的旧版 Nova 服务处于“关闭”状态

      [root@vioadmin1-vioshim-5dbf477dc4-2lh7s ~]# nova service-list
      +--------------------------------------------------------------------------- | Id | Binary | Host | Zone | Status | State | Updated_at | Disabled Reason | Forced down |+-------------------------------------------------------------------------- | cbe3345a-4daa-41fa-8133-60302e369533 | nova-conductor | controller02 | internal | enabled | down | 2020-04-29T14:58:20.000000 | - | False | | cb2ebf3c-53e1-493b-979e-471a1bd2e3b9 | nova-conductor | controller01 | internal | enabled | down | 2020-04-29T14:58:20.000000 | - | False | | 669d979a-26a2-4b85-a139-a6705a3b04f8 | nova-scheduler | controller02 | internal | enabled | down | 2020-04-29T14:58:23.000000 | - | False | | f97b8c40-ab45-4e9c-ac3d-675f1600d5ad | nova-scheduler | controller01 | internal | enabled | down | 2020-04-29T14:58:23.000000 | - | False | | 39312d81-841e-4399-b178-f9b7d47eba1b | nova-consoleauth | controller02 | internal | enabled | down | 2020-04-29T14:58:17.000000 | - | False | | 793480c6-6503-4fc2-a89e-fe20a3700efb | nova-consoleauth | controller01 | internal | enabled | down | 2020-04-29T14:58:16.000000 | - | False | |04T05:15:54.000000 | - | False |

      解决办法:移除处于“关闭”状态的服务。

      1. 更新 Nova CR。
        viocli update nova nova-xxx
      2. 对于清单参数,请设置 cron_job_service_cleaner: true,例如:
        conf:
          nova:
            neutron:
              metadata_proxy_shared_secret: .Secret:managedencryptedpasswords:data.metadata_proxy_shared_secret
            vmware:
              passthrough: "false"
              tenant_vdc: "false"
        manifests: 
          cron_job_service_cleaner: true
      3. 保存 CR 并等待重新创建所有 Nova pod。

      大约一小时后,cronjob 将移除处于“关闭”状态的所有服务。

    • 从 VIO 5.1 升级后,LDAP 用户无法登录

      从 VIO 5.1 升级后,LDAP 用户无法登录到 VIO 7.0。

      解决办法:VIO 5.1 版本后,Keystone 社区代码进行了更改。要解决此问题,必须更新用户数据库。请参见 KB79373

    一般问题

     

    • 公共 API 速率限制不可用。

      在 VMware Integrated OpenStack 7.0 中,无法对公共 API 实施速率限制。

      解决办法:无。将在更高版本中提供该功能。

    • 升级到 VMware Integrated OpenStack 7.0 后,无法将默认池添加到现有 LBaaS 侦听器。

      VMware Integrated OpenStack 5.1 不支持更改 LBaaS 侦听器的默认池。VMware Integrated OpenStack 7.0 支持此功能。但是,如果在 VMware Integrated OpenStack 5.1 中创建不含默认池的 LBaaS 侦听器,则即使升级到 VMware Integrated OpenStack 7.0 后,也无法将默认池添加到该侦听器。

      解决办法:删除受影响的侦听器,然后重新创建。

    • 使用未连接到路由器的专用子网创建负载平衡器会导致错误状态

      通过 Neutron NSX-T 插件(例如 MP 和 Policy 插件),使用未连接到路由器的专用子网创建负载平衡器会导致负载平衡器处于错误状态,并且不会向用户报告该错误。

      解决办法:使用连接到路由器的子网创建负载平衡器。

    • Horizon 防火墙仪表板中缺少某些防火墙组、策略和规则。

      Horizon 防火墙仪表板旨在显示共享标记设置为 true 或 false 的防火墙组、策略和规则。如果未设置共享标记,则不会显示防火墙组、策略和规则。

      解决办法:OpenStack CLI 不要求设置共享标记,因此可以使用 CLI 列出防火墙组、策略和规则。或者,对于 Horizon 防火墙仪表板中未设置共享标记的所有记录,可以将该值更新为零或 false。从逻辑上来说,false 等同于未设置。例如:

      update firewall_groups_v2 set shared=0 where shared is NULL;
      update firewall_policies_v2 set shared=0 where shared is NULL;
      update firewall_rules_v2 set shared=0 where shared is NULL;

    • 将映像上载至 Glance 的操作尚未完成即超时

      使用 Horizon 或 CLI 时,将较大的映像上载到 Glance 的操作可能尚未完成即超时。

      • 如果使用 Horizon UI,映像将上载到 Horizon 临时文件夹,然后再上载至 Glance。Horizon 会话时间限制为一小时。如果上载操作在一小时内未完成,则会话将终止,且映像上载过程中止。
      • 如果使用 CLI,映像将上载到 glance-api 工作文件夹,可在其中转换映像格式。然后,映像将传输到 Glance 数据存储。如果映像太大,该过程可能会超时并中止。

      解决办法:要省去上载到 Horizon 临时文件夹的额外步骤并节省上载时间,请使用 CLI 上载映像。对于较大的映像,请将其放置在运行 CLI 的客户端可访问的 Web 服务器上,然后使用 glance async import 命令上载映像。请参见 https://docs.openstack.org/python-glanceclient/latest/cli/details.html#glance-task-create

      例如,可以使用以下命令从 URL 导入映像:https://raw.githubusercontent.com/arnaudleg/openstack-cli-tests/master/files/cirros-0.3.0-i386-disk.vmdk:

      glance task-create --type import --input '{"import_from_format": "vmdk", "import_from": "https://raw.githubusercontent.com/arnaudleg/openstack-cli-tests/master/files/cirros-0.3.0-i386-disk.vmdk", "image_properties": {"name": "cirros-imported", "disk_format": "vmdk", "container_format": "bare", "vmware_adaptertype": "ide", "vmware_disktype": "streamOptimized", "vmware_ostype": "otherGuest"}}'

    • Pod 进入挂起状态。VIO 管理服务器或控制器的状态更改为“未就绪”。

      这种情况是由于 VIO 管理服务器和控制器虚拟机上的资源争用所致。如果 kubelet 无法在合理的时间内完成任务,则会将 Kubernetes 节点标记为“未就绪”。Kubernetes 会尝试将 pod 重新安排到其他可用的节点。如果没有其他节点可用,pod 将进入挂起状态。如果单个节点上的 pod 密度较高,紧凑型设置更容易出现此问题。

      解决办法:要将 Kubernetes 节点状态从“未就绪”更改为“就绪”,请使用 systemctl restart kubelet 重新启动 kubelet 服务。要永久解决问题,请横向扩展以添加控制器节点,从而减少每个节点上的负载。

    • 如果在部署 OpenStack 时输入错误的凭据,向导可能无法识别正确的凭据。

      在 OpenStack 部署过程中,如果输入的 vCenter Server 或 NSX Manager 凭据不正确,向导可能无法识别正确的凭据。即使移除错误的信息并输入正确的凭据,向导也可能无法对其进行验证。

      解决办法:关闭部署向导,然后重新打开。

    • 如果在安全组中使用 CIDR 0.0.0.0/x 作为 IPv4 地址块,将在 NSX-V 后端转换为“any”

      使用 CIDR 0.0.0.0/x (x>0, x<=32) 设置安全组规则时,VMware Integrated OpenStack 插件会在 NSX-V 后端将其转换为“any”。使用 IPv6 ::/x (x>0, x<=128) 设置安全组规则时,也会出现这种情况。

      解决办法:不要使用 0.0.0.0/x 或 ::/x 地址块。

    check-circle-line exclamation-circle-line close-line
    Scroll to top icon