VMware Integrated OpenStack 7.1 | 2021 年 5 月 13 日 | ビルド OVA 17987092、パッチ 17987093

リリース ノートに追加または更新された内容をご確認ください。

リリース ノートの概要

このリリース ノートには、次のトピックが含まれています。

VMware Integrated OpenStack について

VMware Integrated OpenStack は、統合プロセスを効率化することで、OpenStack クラウド インフラストラクチャのデプロイを大幅に簡略化します。VMware Integrated OpenStack には事前設定なしですぐに使用できる OpenStack 機能と、vCenter Server で仮想アプライアンスとして稼動するデプロイ マネージャの vApp を介した簡単な構成ワークフローが備わっています。

新機能

  • 最新バージョンの VMware 製品のサポート: 
    • VMware Integrated OpenStack 7.1 は、VMware vSphere 7.0 U2、NSX-T 3.1.1、および NSX-V 6.4.10 との間に完全な互換性があります。
  • 新機能と機能拡張:
    • 管理プレーン:
      • VIO 管理プレーンでのディザスタ リカバリのサポート。管理プレーンを災害からリカバリできるようにサポートする新しい viocli コマンドが提供されます。ディザスタ リカバリの全体的な手順は、SRM、vSphere Replication と、Nova インスタンス、Cinder ボリューム、Neutron ネットワークをカバーする NSX-T のマルチサイト機能で検証されます。ターゲットのディザスタ リカバリ サイトでデプロイがリカバリされると、ユーザーは VIO を使用して、リカバリされた Nova/Cinder/Neutron オブジェクトを管理できます。
      • Neutron NSX-T 管理プラグインからポリシー プラグインへの移行のサポート。 
      • 複数のライセンス キーのサポート:管理者が複数の VIO ライセンス キーを入力し、使用するキーを割り当てることができます。
    • OpenStack ドライバ:
      • Octavia フレーバーのサポート。この機能により、ユーザーは、NSX-T で VIO によって作成されたロード バランサで OpenStack Octavia フレーバー機能を使用できます。この機能は、NSX-T 3.1 以降で Neutron NSX-P プラグインによってサポートされます。
    • スケーラビリティ:
      • 拡張されたスケーラビリティのサポート。1 つの VIO デプロイで、最大 128 台の Nova コンピューティング ノード、Neutron NSX-T Policy Plugin による最大 10,000 のテナント ネットワーク、vIDM を IdP として使用する最大 8 つの VIO デプロイ フェデレーションをサポートできるようになりました。

バージョン 7.1 へのアップグレード

  • 7.0 または 7.0.1 からアップグレードするには、viocli patch コマンドを使用します。詳細な手順については、製品のインストール ガイドを参照してください。
  • 6.0 からアップグレードする場合は、製品のインストール ガイドに記載されている Blue または Green アップグレード手順を使用してください。
  • VIO 7.1 では、5.x からの直接アップグレードはサポートされていません。まず 7.0.1 にアップグレードしてください。

互換性

非推奨に関する通知 

  • 次のネットワーク機能は廃止されています。VIO の次回のリリースで削除される予定です。
    • Neutron 用の NSX Data Center for vSphere ドライバ。
    • NSX-T Management Plugin for Neutron は、NSX-T Policy Plugin に置き換えられます。
    • TVD プラグイン。単一の VMware Integrated OpenStack デプロイで、NSX Data Center for vSphere バックエンドと NSX-T Data Center バックエンドを使用できます。
  • Neutron FWaaSv2 は、以降のバージョンで廃止される予定です。

解決した問題

解決された問題には、次のトピックが含まれます。

VIO 管理に関する解決した問題
  • 2750794 の修正:VIO 管理者が VIO バックアップのスケジュール ジョブを削除すると、バックアップ データが削除される

    VIO 7.0 では、管理者が VIO バックアップのスケジュール ジョブを削除すると、vCenter Server コンテンツ ライブラリに保存されているバックアップ データも削除されました。
    VIO 7.1 では、バックアップのスケジュール ジョブが削除されてもバックアップ データは削除されません。

  • 2738659 の修正:vCenter Server SSL を有効にしてあると、VIO バックアップのリストア手順が正しく動作しない

    vCenter Server SSL を有効にしてあると、VIO バックアップのリストア手順が正しく動作しないvCenter Server のコンテンツ ライブラリへのバックアップ データのアップロードに失敗し、「x509: 認証局が不明な証明書です」エラーが報告されていました。

  • 2680755 の修正:VIO デプロイ ウィザードで「vCenter Server リソースのロード タイムアウト」というエラーが発生し、先に進めない

    VIO 7 は、govmomi を使用して vCenter Server インベントリ情報を取得します。ターゲットの vSphere 環境で、トラフィックのフィルタリングとマーキングのために DistributedVirtualPortgroup に「MAC」または「システム トラフィック」トラフィック修飾子がある場合、govmomi は正常な処理ができません。

  • 2677748 の修正:VIO マネージャの Web ユーザー インターフェイスで、OpenStack のサービス ステータスを一覧表示できない

    VIO マネージャの Web ユーザー インターフェイスでは、ホイールによってサービスを一覧表示することができず、「リソースが見つかりません」というメッセージのみが表示されます。

  • 2591794 の修正:NSX-V 環境でメタデータ サービスにアクセスできない

    VMware Integrated OpenStack の API ネットワークからメタデータ プロキシ エッジにルーティングできない場合、メタデータ サービスにアクセスできません。この場合、VIO7.1 は管理 API 経由でメタデータ プロキシに自動的にアクセスします。

  • 2688209 の修正:VIO サポート バンドルに含まれるログ情報が約 2 日間分のみ

    VIO 6.0 および 7.0 では、サポート バンドルに保持できるログ情報が約 2 日間分のみです。このログ情報は、トラブルシューティングの目的を十分に満たせません。この問題を解決するために、VIO 7.1 では自動生成されるログ バックアップを有効にして、ログの保持期間を最大 7 日に増やしています。

  • 2707205 の修正:VIO 6 および 7 では、コントローラ ノードで rp_filter が loose モードに設定されない

    VIO 6 および 7 は PhotonOS に移行し、コントローラ ノードで rp_filter を明示的に設定しませんでした。そのため、デフォルトで「1」(RFC3704 の strict モード)に設定されています。strict モード設定によってパケットがドロップされ、管理ネットワーク上のアプリケーションがパブリック エンドポイントに接続できない場合があります。

  • 2631412 の修正:VIO GUI で「Kubernetes Ingress Controller Fake Certificate」という名前の証明書が使用される

    この証明書名は、Nginx Ingress Controller によって作成されるデフォルトの名前です。VIO 7.1 にアップグレードすると、適切な名前に置き換えられます。 

OpenStack に関する解決した問題
  • 2594923 の修正:glance イメージの vmware_cpu_affinity プロパティが機能しない

    glance イメージの vmware_cpu_affinity プロパティが機能しないこのような glance イメージを使用して Nova インスタンスを作成すると、「エラー: vmware_cpu_affinity フィールドには、文字列でなくリストが必要です (HTTP 400)」エラーが発生します。

    VIO 7.1 では、次の例のようにこのプロパティを設定できます。

    openstack image set --property vmware_cpu_affinity="[0,1]" image_name
  • 2753879 の修正:fwaas v1 拡張機能が原因で Heat スタックを更新できない

    アップストリーム Heat では fwaas v1 が引き続き使用され、fwaas v2 はサポートされません。ただし、VIO7 は fwaas v2 のみをサポートします。

  • 2713308 の修正:未使用の基本 glance イメージが Nova キャッシュ フォルダに蓄積される

    未使用の基本 glance イメージが Nova キャッシュ フォルダに蓄積される未使用のイメージをクリーンアップするバックエンド プロセスが正しく動作しません。

  • 2710808 の修正:VIO7 でサポートされる Designate プール内の ns_record は 1 つのみ

    VIO7 でサポートされる Designate プール内の ns_record は 1 つのみです。VIO7.1 ではこれが改善され、Designate で複数の ns_record がサポートされます。

  • 2707581 の修正:QoS ポリシーがデフォルトとして設定されている場合、その QoS ポリシーが外部ネットワークでも使用される

    特定の QoS ポリシーがデフォルトとして設定されている場合、その QoS ポリシーが外部ネットワークでも使用されます。これは、外部ネットワークにとって正しくない動作です。

  • 2705010 の修正:VIO7 では Octavia のロード バランサのサイズを変更できない

    Octavia LBaaS には、ユーザーがロード バランサのサイズを変更する方法がありません。
    VIO 7.1 には、このサイズを設定するオプションが用意されています。

    default_edge_size = <purpose>:<edge size>[,...]
    

    サポートされる purpose は、router、dhcp、lb です。
    サポートされる size は、compact、large、xlarge、quadlarge です。
    例:default_edge_size = lb:xlarge

    「viocli update neutron」を使用して、[nsxv] セクションの下にパラメータを追加し、設定してください。

    conf:
      neutron: 
      plugins: 
        nsx: 
          nsxv: 
            default_edge_size: lb:xlarge
  • 2701437 の修正:glance イメージ オプション「vmware_create_template=false」が正しく機能しない

    次の構成では、glance イメージから Nova インスタンスを作成および起動できませんでした。

    • glance 構成で vmware_create_template オプションが false の場合
    • ユーザーが openstack CLI でプロパティ「vmware_create_template=false」を使用して glance イメージを作成した場合
      例:
    openstack image create --disk-format vmdk --file vmdk --property vmware_create_template=false imageName
  • 2699470 の修正:Nova コンピューティング ポッドで nova-manage コマンドを実行できない

    Nova コンピューティング ポッドから nova-manage コマンドを実行すると、nova-compute.conf に [database] セクションが存在しないために DBNonExistentTable 例外が発生します。

  • 2688655 の修正:VIO 7.0.1 では Openstack CLI で openid を使用した認証が機能しない

    VIO 7.0.1 では、Openstack CLI で openid を使用した認証は Unauthorized (HTTP 401) エラーが発生して機能しません。

  • 2674517 の修正:フレーバーで定義されたスワップ ディスクが Nova インスタンスに正しくマウントされない

    フレーバーで定義されたスワップ ディスクが Nova インスタンスに正しくマウントされないこれは、スワップ ディスクを持つ仮想マシンのサイズ変更をサポートしないという制約の下で VIO 7.1 で修正されました。

  • 2672946 の修正:ホスト集約名が特定の条件のとき、Nova コンピューティングのアベイラビリティ ゾーン セットアップ ポッドが CrashLoopBackOff 状態になる

    Nova アベイラビリティ ゾーンに「nova」という名前のホスト集約があり、同じゾーンに「^.*nova$」に一致する「xxxxx-nova」という名前(5-nova など)の別のホスト集約がある場合、Nova コンピューティングのアベイラビリティ ゾーン セットアップ ポッドは CrashLoopBackOff 状態になります。

  • 2656225 の修正:ユーザーが仮想マシン コンソールを開けず、「エラー: 現在、コンソールは利用できません」というエラーが Horizon ユーザー インターフェイスで表示される

    一定の条件のとき、Horizon で「エラー: 現在、コンソールは利用できません」というエラーが表示されて仮想マシンを表示できませんでした。これは、vmx 構成パスが長くなり、MKS チケットの情報と vmx 構成パスを含む行を Nova コンピューティングがデータベースに挿入できない場合に発生します。たとえば、VIO インスタンスに SvMotion を使用すると、vmx 構成パスが長い文字列に変更されます。

  • 2652286 の修正:LB 健全性モニターの削除が「サーバ側エラー: 'NoneType' オブジェクトに 'load_balancer_id' 属性がありません」というエラーと共に失敗する

    これは、Octavia サービスのバグが VMware NSX プラグインに影響しているためです。健全性モニターに対応するプールを Octavia サービスが取得できないために、このエラーが発生することもあります。このバグは現在、https://storyboard.openstack.org/#!/story/2008231 でオープン状態として扱われ、追跡されています。

  • 2678067 の修正:Horizon Console で、Windows Nova 仮想マシンに対するマウス カーソルの動作に一貫性がない

    任意のブラウザで Horizon Console にアクセスしたとき、Tab キーまたは Ctrl キーを押しながらクリックしないと、Windows 仮想マシンのカーソルが反応しません。その後、再度左クリックしても反応しなくなります。

  • 2755304 の修正:Octavia LB ステータス変更トランザクションが失敗し、ステータスが PENDING_DELETE から変化しなくなる

    Octavia は、ドライバ エージェント内での内部通信に UNIX ソケットを使用します。このソケットへの書き込み中に、タイムアウトが発生してステータス変更トランザクションが失敗することがあります。ステータス変更トランザクションの再試行メカニズムが追加されました。

  • 2643797 の修正:trusted_dashboard を構成するとき、Horizon FQDN が FQDN 名ではなく IP アドレスとして kystone.conf に保存される

    keystone のフェデレーション設定を構成するとき、指定された Horizon FQDN は、指定された FQDN 名ではなく IP アドレスとして keystone 構成ファイルに保存されます。

    viocli update keystone
    conf: 
      keystone: 
        federation: 
          trusted_dashboard: https://HorizonFQDN/auth/websso/

既知の問題

  • パブリック API のレート制限を使用できない

    VMware Integrated OpenStack 7.1 では、パブリック API にレート制限を適用できません。

    回避策:なし。この機能は、この後のバージョンで提供されます。

  • ルーターに接続されていないプライベート サブネットを使用してロード バランサを作成すると、エラー状態になる

    MP プラグインや Policy Plugin などの Neutron NSX-T プラグインでは、ルーターに接続されていないプライベート サブネットを使用してロード バランサを作成すると、ロード バランサにエラーが発生しますが、エラーがユーザーに報告されません。

    回避策:ルーターに接続されているサブネットを使用してロード バランサを作成します。

  • OpenStack のデプロイ時に誤った認証情報を入力すると、ウィザードは正しい認証情報を認識できないことがある

    OpenStack のデプロイ プロセスで、vCenter Server または NSX Manager の認証情報を正しく入力しなかった場合、ウィザードは正しい認証情報を認識できないことがあります。誤った情報を削除して、正しい認証情報を入力しても、ウィザードは検証に失敗することがあります。

    回避策:デプロイ ウィザードを閉じて、もう一度開きます。

  • NSX-V Neutron Plugin の直接ポートに OpenStack ポート セキュリティを適用できない

    vnic-type が direct であるポートでポート セキュリティを有効にしても、有効にならないことがあります。直接ポートでセキュリティ機能が使用できません。

    回避策:なし。

  • vCenter Server と NSX のパスワードに $$ が含まれていると VIO にログインできない

    基になる vCenter Server と NSX 用に構成された VIO アカウントが「$$」を含むパスワードを使用している場合、パスワードに含まれる「$$」のために VIO は vCenter Server と NSX の認証を完了できません。OpenStack ポッドが CrashLoopBackOff 状態になる可能性があります。

    回避策:「$$」を含まない他のパスワードを使用します。

  • ロード バランサが PENDING_XXX 状態で停止し、操作できなくなる

    この停止問題は、ロード バランサが作成、変更、または削除されたとき、octavia-api ポッド内で octavia-da がクラッシュすると発生します。

    回避策:これらのロード バランサは、Octavia で使用できなくなります。これらは Octavia データベースから手動で削除する必要があります。

  • ユーザーが openstack CLI クライアントから glance イメージをダウンロードできない

    openstack CLI からイメージをダウンロードすると、次のエラーが発生します。「[Errno 32] ダウンロードされたイメージが破損しています。」これは、VIO がデフォルトでイメージを仮想マシン テンプレートとして vSphere データストアに保存するためです。md5sum 値は VMDK と仮想マシン テンプレートの間で保存されません。

    回避策:glance イメージは、次の構成の場合にダウンロードできます。

    • glance 構成で vmware_create_template オプションが false
    • ユーザーが openstack CLI でプロパティ「vmware_create_template=false」を使用して glance イメージを作成した
  • ファイアウォール グループの管理状態を DOWN に設定すると (state=DOWN)、UP に戻した後でもファイアウォール グループの動作ステータスが常に DOWN になる

    neutron-fwaas サービスでは、ファイアウォール グループに対するポートの追加や削除を伴わない移行における動作ステータスの変更は無視されます。

    回避策:ポートを追加または削除するか、ファイアウォール グループにバインド済みのポートを追加してから削除します。

  • vCenter Server および NSX 証明書が中間 CA によって署名されている場合、証明書の検証を無視しないように選択することができない

    vCenter Server および NSX 証明書が中間 CA によって署名されている場合、一部の VIO サービスは、証明書検証を実行するように適切に構成できません。不具合はさまざまな形で示されます。たとえば、vCenter Server または NSX の追加または編集時に「証明書の検証を無視」の選択を解除することができません。

    回避策:ユーザー インターフェイスから [証明書の検証を無視] を選択し、vCenter Server と NSX の CR を編集して spec.insecure を true に設定します。

  • Neutron セグメントで [編集] をクリックして保存すると、誤ってマルチキャストが有効になる

    NSX-T ポリシーのユーザー インターフェイスで、マルチキャスト ルーティングに対して何か無関係な変更が行われた場合、セグメントでマルチキャスト ルーティングが有効になります。

    回避策:ユーザー インターフェイスでセグメントを編集するときには、マルチキャストを明示的に無効にします。

  • メンバー追加の操作が「プロバイダ 'vmwareedge' からエラーが返されました: 証明書を取得できません::」(HTTP ステータス 500) メッセージで失敗する

    HTTPS_TERMINATED 状態の Octavia ロード バランサに対してメンバーを追加または削除できません。

    回避策:OpenStack CLI を使用してメンバーを追加または削除します。

    1.影響を受けるすべてのユーザーについて tls_container_ref を取得します。

    2.コンテナ、シークレット、および証明書の URI を見つけます。

    3.Octavia のサービス ユーザー ID を取得します。

    4.手順 2 で取得した URI を、手順 3 で取得したユーザー ID の ACL に追加します。

  • 大規模な MP2P 移行中に Tier-1 ゲートウェイを完全にロールバックできない

    大規模な MP2P 移行中、一部の Tier-1 ゲートウェイは完全にロールバックできず、削除ステータスが進行中のままになっていました。移行中のエラーが原因でロールバックが失敗した可能性があります。

    回避策:UA をリストアして再移行します。

  • Keystone フェデレーションで重複エントリ エラーが発生する

    Keystone フェデレーションで OIDC を削除した後、同じユーザーが OIDC を使用してログインしようとすると、409 メッセージが表示されて認証に失敗します。

    回避策:Horizon または OpenStack CLI を使用してユーザーを削除します。

    例:

    1.Horizon で、管理者アカウントでログインします。

    2.フェデレーション ドメインでドメイン コンテキストを設定します。

    3.[ユーザー] 画面で、[ユーザー名] 列が [なし] のユーザーを削除します。

    OpenStack CLI で以下を実行します。

    openstack user list --domain <federated domain name>

    openstack user delete <user id> --domain <federated domain name>

  • 移行が成功した後、移行ポッドのログが VIO サポート バンドルで利用できない
     

    移行が成功すると、VIO 制御プレーンが再構成され、移行ポッドは削除されます。これにより、そのログはサポート バンドルでキャプチャされません。

    回避策:移行ポッドのログはコントローラ ノードから入手できます。ログは /var/log/vmware/mp2p_migration.log に記録され、保存されます。viossh を介してコントローラ ノードにアクセスすると、ログ ファイルを取得できます。ログ ファイルは、ジョブが実行されるコントローラからのみ入手できます。そのため、ログ ファイルが見つかるまで複数のコントローラを調べる必要がある場合もあります。

  • Neutron テナント ネットワークの数が 10,000 の場合、ceilometer を有効にできない

    ネットワークなどの大量のリソースが vSphere 内に作成されると、VIO はそれらのオブジェクトに対して大量の顧客リソースを生成します。顧客リソースの数が多すぎると、http 要求に対する応答データが大きくなりすぎ、バックエンド API で VIO Manager の Web ユーザー インターフェイスが正常に動作しません。

    回避策:VIO マネージャで、検出された顧客リソースを手動で削除します。

    次のコマンドを使用して顧客リソースを一覧表示できます。

    kubectl -n openstack get discoveries.vio.vmware.com

    次のコマンドを使用して顧客リソースを削除できます。例:

    kubectl -n openstack delete discoveries.vio.vmware.com vcenter-vcenter2-networks-2
  • リストア後、証明書は CA 署名をして再適用する必要がある

    VIO プライベート キーと証明書を含む証明書シークレットは、現在バックアップの対象ではありません。インプレースでないリストアの後、以前にインポートした証明書は新しいデプロイには含まれません。

    回避策:

    1.元のデプロイの証明書シークレットを保存します。
    osctl get secret certs -oyaml > certs.yaml
    2. リストア後、証明書シークレットの「private_key」と「vio_certificate」の値を手順 1 のデータに置き換えます。
    3. サービスを停止し、再度開始します。

  • 特定の Nova コンピューティング ノードにインスタンスを作成できず、Nova コンピューティング ログが停止する

    インスタンスを作成すると、そのインスタンスは BUILD 状態になり、作成は成功しません。Nova コンピューティング ログを確認すると、記録は少なく、あまり情報が得られません。

    回避策:novacompute ポッドを手動で再起動します。

  • ファイアウォール ルールの変更を Horizon ユーザー インターフェイスから保存すると応答がない

    ファイアウォール ルールの編集時、「*」でマークされている必須オプションに更新されていないものがあると、変更を保存するときにユーザー インターフェイスは応答しません。

    回避策:ファイアウォール ルールを編集するときは、すべての必須オプションを更新してください。

  • vCenter Server のユーザー名とパスワードを VIO Manager の Web ユーザー インターフェイスから変更した後、一部の Day2 操作が機能しない

    ユーザーが VIO Manager の Web ユーザー インターフェイスで vCenter Server の認証情報を更新した場合、OpenStack サービスが機能することは可能です。しかし、Kubernetes クラウド プロバイダの vCenter Server シークレットと cluster-api が更新されないため、VIO の制御プレーンは vCenter Server と通信できません。

    回避策:VIO Manager で「kubectl patch secret」コマンドを使用して、vCenter Server の認証情報を更新します。

    次のようにして、現在の vc-credential シークレット情報を確認します。

    kubectl -n kube-system get secret viocluster1-vc-credentials -o yaml 
    kubectl -n openstack get secret viocluster1-vc-credentials -o yaml
    

    次のようにして、vc-credentials シークレットを新しいユーザー名/パスワード(base64 形式)で更新します。

    kubectl -n kube-system patch secret viocluster1-vc-credentials --patch \
    '{"data": {"your_vcenter.password": "password_in_base64", "your_vcenter.username": "username_in_base64"}}'
    kubectl -n openstack patch secret viocluster1-vc-credentials --patch \
    '{"data": {"password": "password_in_base64", "username": "username_in_base64"}}'
    
  • SAML フェデレーション IdP を使用してログインすると、Horizon のユーザー インターフェイスに「xmltooling::IOException」と表示される

    VIO が外部 SAML IdP で構成されている場合、ユーザーが SAML フェデレーションでログインしようとすると、「xmltooling::IOException」エラーが発生します。

    回避策:ブラウザの [更新] ボタンをクリックすると IdP のログイン画面に進むことができます。

  • 「viocli update」コマンドを使用して CR を更新すると、値として大きな整数を入力した場合にエラーが発生することがある(例:profile_fb_size_kb: 2097152)

    大きい整数は、VIO Helm チャートによって指数表記に変換される場合があります。

    回避策:大きい整数は引用符で囲みます。例:profile_fb_size_kb: "2097152"。

  • コントローラ ノードでスナップショットを作成すると、一部の VIO 操作ができない

    コントローラ ノードのスナップショットがある場合は、コントローラ ノード上のパーシステント ボリュームを移動できません。そのため、VIO ではコントローラのスナップショットの作成はサポートされません。

    回避策:コントローラ ノード上のすべてのスナップショットを削除します。

  • イメージから作成されたボリュームは、デフォルトで常に起動可能である

    イメージからボリュームを作成するときに、--non-bootable パラメータを指定した場合、パラメータは有効になりません。

    回避策:ボリュームが作成されたら、起動不可能に更新します。

check-circle-line exclamation-circle-line close-line
Scroll to top icon