VMware Integrated OpenStack 4.0 | 2017년 9월 19일 | 빌드 6437860 Kubernetes와 VMware Integrated OpenStack 4.0 | 2017년 9월 19일 | 빌드 6564406 이 릴리스 정보의 추가 사항 및 업데이트 사항을 확인하십시오.

릴리스 정보에 포함된 내용

릴리스 정보에는 다음과 같은 항목이 포함됩니다.

• VMware Integrated OpenStack 정보
• 국제화
• 새로운 기능
• Kubernetes와 VMware Integrated OpenStack
• 호환성
• VMware Integrated OpenStack 4.0으로 업그레이드
• VMware Integrated OpenStack 4.0의 오픈 소스 구성 요소
• 알려진 문제

VMware Integrated OpenStack 정보

VMware Integrated OpenStack은 통합 프로세스를 효율화하여 OpenStack 클라우드 인프라 배포를 크게 단순화합니다. VMware Integrated OpenStack은 vCenter Server에서 직접 실행되는 배포 관리자 vApp을 통해 기본 제공 OpenStack 기능 및 편리한 구성 워크플로를 제공합니다.

국제화

VMware Integrated OpenStack 버전 4.0은 영어 및 7개 추가 언어인 중국어 간체, 중국어 번체, 일본어, 한국어, 프랑스어, 독일어, 스페인어로 제공됩니다. OpenStack 리소스(예: 프로젝트 이름, 사용자 이름, 이미지 이름 등)의 모든 입력 및 이름 지정 규칙과 기본 인프라 구성 요소(예: ESXi 호스트 이름, 가상 스위치 포트 그룹 이름, 데이터 센터 이름, 데이터스토어 이름 등)에는 ASCII 문자를 사용해야 합니다. 

새로운 기능

이 릴리스는 최신 OpenStack Ocata 릴리스에 기반하며 다음과 같은 새로운 기능 및 향상된 기능을 제공합니다.

• 최신 버전의 VMware 제품 지원. VMware Integrated OpenStack 4.0은 VMware vSphere 6.5 업데이트 1, VMware NSX for vSphere 6.3.3 및 VMware NSX-T 2.0을 지원하며 이러한 제품과 완벽하게 호환됩니다.
• SR-IOV 향상. SR-IOV 가상 함수를 나타내는 포트를 생성하도록 direct vnic 유형이 지원됩니다. direct vnic 유형을 사용하여 생성된 Neutron 포트는 OpenStack 인스턴스의 시작 단계에서 사용할 수 있습니다. 이러한 기능 향상을 통해 여러 vnic 유형으로 인스턴스를 부팅하는 기능도 추가됩니다(예: direct 및 normal 유형의 vnic이 있는 부팅 인스턴스).
• 다중 VC 지원. NSX-T VMware Integrated OpenStack 배포에 컴퓨팅 vCenter Server 인스턴스를 더 추가할 수 있습니다.
• vRealize Automation 통합. vRealize Automation 포털의 임베디드 VMware Integrated OpenStack 탭을 통해 OpenStack 배포를 관리하고 OpenStack XaaS Blueprint를 설계할 수 있습니다.
• Kubernetes와 VMware Integrated OpenStack VMware Integrated OpenStack 4.0부터 Kubernetes에 구축된 컨테이너 오케스트레이션 플랫폼이 포함되고 완전하게 지원됩니다.  
• 콘솔 로그. 이제  nova console-log 명령을 VMware Integrated OpenStack 4.0으로 배포된 모든 VM에서 사용할 수 있습니다.
• 보안 다중 테넌시. VMware Integrated OpenStack 4.0에 OpenStack 배포 시 주된 차별화 요소인 다중 테넌시를 제공하는 새로운 테넌트 가상 데이터 센터 구조가 도입되었습니다. 이 구조는 테넌트당 CPU 및 메모리 리소스를 할당하는 기능을 제공하여 다중 테넌트 환경에서 리소스 보장 및 격리를 제공합니다. 관리자는 새로 추가된 viocli 명령을 통해 그리고 테넌트 특정 플레이버를 생성하여 보안 다중 테넌시를 구성할 수 있습니다.
• VLAN 투명성. 이제 vSphere Distributed Switch용 VMware NSX 플러그인 및 NSX for vSphere가 VLAN 투명성 확장을 지원합니다. 이 기능을 사용하면 투명성 플래그가 설정된 Neutron 네트워크를 생성할 수 있습니다.
• 라이브 크기 조정. 이제 크기 조정 작업을 위한 다운타임없이 VNF 리소스를 확장할 수 있습니다. 이미지 메타데이터 os_live_resize를 사용하여 디스크, 메모리 및 vCPU의 크기를 실시간으로 조정할 수 있습니다.
• 새로운 라이센싱 모델. VMware Integrated OpenStack 4.0에는 솔루션 설치 후 적용해야 하는 Data Center Edition 및 Carrier Edition 라이센스 모델이 도입되었습니다. 올바른 라이센스를 가져오는 방법에 대한 자세한 내용은 https://www.vmware.com/products/openstack.html#pricing을 참조하십시오.
• NUMA에 대한 완전한 지원. VMware Integrated OpenStack 4.0은 기본 vSphere 플랫폼에서 NUMA 인식 배치를 지원합니다. 이 기능을 통해 전기통신 환경에서 실행되는 VNF(가상 네트워크 기능)에 낮은 지연 시간과 높은 처리량을 제공합니다.

Kubernetes와 VMware Integrated OpenStack

이제 Kubernetes에 구축된 컨테이너 오케스트레이션 플랫폼이 VMware Integrated OpenStack에 포함되어 애플리케이션 개발자가 전체 인프라 스택을 프로비저닝할 수 있게 되었습니다. 이 플랫폼은 다음과 같은 기능을 제공합니다.

• 최신 버전의 Kubernetes 지원. VMware Integrated OpenStack 4.0에는 완전하게 지원되는 Kubernetes 버전 1.7이 포함되어 있습니다.
• VMware Integrated OpenStack을 통한 원활한 배포. 컨테이너 플랫폼은 통합 환경을 위해 VMware Integrated OpenStack 위에 신속하게 설치합니다.
• 사용이 쉬운 작업 UI. 관리자와 사용자는 관리 UI를 통해 Kubernetes 관리 작업에 빠르게 액세스할 수 있습니다.
• 공유 또는 단독 클러스터 유형 허용. 클러스터는 모든 권한 있는 사용자가 네임스페이스를 관리할 수 있는 단독 모드나 다중 테넌시가 엄격하게 적용되는 공유 모드로 배포할 수 있습니다.
• 엔터프라이즈 지원 스토리지 및 네트워킹. VMware Integrated OpenStack과의 통합은 vSAN 및 NSX 기반의 엔터프라이즈 클래스 스토리지 및 네트워킹을 Kubernetes로 확장합니다.
• LDAP/AD 통합 기본 제공. Keystone을 사용하여 완전한 다중 테넌시와 함께 AD 및 LDAP 통합이 기본적으로 지원됩니다.

호환성

VMware 제품 상호 운용성 매트릭스에서는 현재 버전의 VMware Integrated OpenStack과 VMware vSphere 구성 요소(ESXi, VMware vCenter Server, vSphere Web Client 및 선택적 VMware 제품 포함) 사이의 호환성에 대한 세부 정보를 제공합니다. VMware Integrated OpenStack 또는 다른 VMware 제품을 설치하기 전에 VMware 제품 상호 운용성 매트릭스에서 지원되는 관리 및 백업 에이전트 관련 정보도 확인하십시오.

VMware Integrated OpenStack 4.0으로 업그레이드

VMware Integrated OpenStack 3.1 배포에서 VMware Integrated OpenStack 4.0으로 직접 업그레이드할 수 있습니다.

VMware Integrated OpenStack 관리자에서 직접 업그레이드 절차를 수행합니다. 여러 단계로 이루어진 전체 절차는 VMware Integrated OpenStack 관리자 가이드에서 자세히 설명합니다.

VMware Integrated OpenStack 4.0의 오픈 소스 구성 요소

VMware Integrated OpenStack 4.0에서 배포되는 오픈 소스 소프트웨어 구성 요소에 적용되는 저작권 정보 및 라이센스는 제품 다운로드 페이지의 Open Source(오픈 소스) 탭에서 확인할 수 있습니다. 이 페이지에서는 최신 VMware Integrated OpenStack 릴리스에 소스 코드를 사용하거나 소스 코드를 수정하는 데 필요한 모든 GPL, LGPL 또는 기타 유사한 라이센스의 소스 파일도 다운로드할 수 있습니다.

알려진 문제

알려진 문제는 다음과 같이 그룹화되어 있습니다.

• VMware Integrated OpenStack
• Kubernetes와 VMware Integrated OpenStack

VMware Integrated OpenStack

• 전송 영역의 UUID를 입력하지 않으면 Horizon을 통한 제공자 네트워크 생성이 실패함

  VLAN 유형 네트워크를 만들 때 Horizon의 provider_network 텍스트 상자에 전송 영역의 UUID 값을 입력해야 합니다. 값을 입력하지 않으면 네트워크 생성이 실패합니다.

  해결 방법: VMware NSX 인터페이스에서 전송 영역의 UUID를 확인하고 해당 값을 provider_network 텍스트 상자에 입력합니다.

• 논리적 분산 라우터의 DHCP를 사용하지 않는 서브넷에서 메타데이터에 액세스할 수 없음

  논리적 분산 라우터가 사용된 경우, DHCP를 사용하지 않는 서브넷의 인스턴스가 라우터 인터페이스를 통해 메타데이터에 액세스할 수 없습니다. 이 동작은 공유 및 단독 라우터에서는 나타나지 않습니다. 이는 동일한 논리적 네트워크(예: 메타데이터 네트워크)가 여러 개의 논리적 분산 라우터에 연결할 수 없어 발생하는 예외 동작일 수 있습니다.

  해결 방법: 없음

• Ubuntu Xenial OVA를 사용하여 생성된 Glance 이미지에서 부팅할 때 OS 부팅이 실패함

  OS 부팅이 실패하고 다음 오류가 나타납니다.

  error: file `/boot/grub/i386-pc/efi_gop.mod' not found
  error: file `/boot/grub/i386-pc/efi_uga.mod' not found

  이 문제는 Xenial cloud OVA와 관련된 문제로, Ubuntu cloud-images 프로젝트에서 버그로 추적하고 있습니다. 자세한 내용은 https://bugs.launchpad.net/cloud-images/+bug/1615875를 참조하십시오.

  해결 방법: Ubuntu 버그가 해결되고 새 OVA가 게시되기 전까지 Xenial ISO 이미지를 사용합니다.

• --loadbalancer 옵션으로 생성된 풀에 멤버를 추가할 때 LBaaS v2가 실패함

  OpenStack LBaaS v2는 로드 밸러서 풀 구성을 위한 두 가지 옵션을 제공합니다. --loadbalancer와 --listener입니다. 풀 생성 시 두 옵션 중 하나 이상을 사용해야 합니다.
  --loadbalancer 옵션을 사용하여 OpenStack LBaaS v2에 풀을 생성하는 경우, 멤버 추가가 실패하고 로드 밸러서가 오류 상태가 됩니다.

  해결 방법: --listener 옵션을 사용하여 풀을 생성합니다.

• vCenter Server에서 이름이 변경된 OpenStack 인스턴스가 이전 이름 아래에 나타남

  nova rename 명령을 사용하여 OpenStack 인스턴스의 이름을 변경한 경우, 변경 사항은 OpenStack 데이터베이스에만 나타납니다. vCenter Server 인스턴스는 이전 이름을 표시합니다.

  해결 방법: 없음

• 가용성 영역 구성이 성공적으로 적용되지 않을 수 있음

  가용성 영역 구성을 수정한 후, 새 구성은 백업 Edge가 삭제되고 다시 생성되기 전까지 적용되지 않을 수 있습니다.

  예를 들어, nsx.ini 파일에 있는 다음 구성은 백업 Edge가 포함된 가용성 영역 기능을 제공합니다.
  zone3:resgroup-163:datastore-12:true:datastore-21
  이 영역의 리소스 풀을 변경하고 Neutron을 다시 시작하면 백업 Edge가 업데이트되지 않습니다. 새 라우터나 네트워크를 배포하면 이전 백업 Edge가 사용되어 가용성 영역 구성과의 불일치가 발생합니다.

  가용성 영역 구성을 변경한 후 Neutron을 시작하기 전에 관리 유틸리티를 호출하십시오.

  1. nsx.ini 파일에서 가용성 영역 구성을 수정합니다.
  2. 모든 백업 Edge를 연속하여 삭제합니다.
     nsxadmin -r backup-edges -o clean --property edge-id=edge-XX
  3. Neutron을 다시 시작합니다.
  4. 새 구성을 확인합니다.
     availability-zone-list
• 새 OpenStack 인스턴스를 배포할 때 인증서가 CA 저장소에 없음 오류가 나타날 수 있음

  이미 vRealize Automation에 연결된 다른 인스턴스에 사용된 IP 주소를 사용하여 새 VMware Integrated OpenStack 인스턴스를 배포하는 경우 인증서 오류가 나타날 수 있습니다.
  요청을 실행할 수 없음: ; java.security.cert.CertificateException: 인증서가 CA 저장소에 없습니다. (워크플로: REST 작업 / REST 호출을 호출합니다. (item0)#35)

  해결 방법: vRealize Orchestrator에서 해당 워크플로를 실행하여 이전 VMware Integrated OpenStack 인스턴스의 인증서를 삭제하고 새 인증서를 가져옵니다.

  1. vRealize Orchestrator에 로그인합니다.
  2. 라이브러리 > 구성 > SSL 신뢰 관리자로 이동합니다.
  3. 워크플로를 실행하여 이전 VMware Integrated OpenStack 인스턴스의 신뢰된 인증서를 삭제합니다.
  4. 워크플로를 실행하여 URL에서 새 인스턴스의 인증서를 가져옵니다.
• VMware Integrated OpenStack 배포 후 VMware Integrated OpenStack Manager 인터페이스에서 syslog 설정을 수정할 수 없음

  VIO를 배포한 후 VIO Manager 인터페이스(VMware Integrated OpenStack >관리 서버 > 설정 편집 > vApp 옵션)에서 설정을 사용하여 syslog 서버 구성을 수정할 수 없습니다.

  해결 방법: 다음 위치에서 구성을 수정합니다. VMware Integrated OpenStack > OpenStack 클러스터 > 관리 > Syslog 서버.

• 대시보드에서 볼륨을 연결하지 못한 경우에도 볼륨이 연결된 것으로 표시될 수 있음
  이 문제는 Icehouse 릴리스에서 처음으로 보고된 알려진 OpenStack 문제입니다.

• 이미지 업로드 시간이 길어 NotAuthenticated 오류가 발생함
  이 문제는 Icehouse 릴리스에서 처음으로 보고된 알려진 OpenStack 문제(https://bugs.launchpad.net/glance/+bug/1371121)입니다.

• 데이터스토어 이름의 특수 문자가 Glance(이미지 서비스)에서 지원되지 않음
  데이터스토어 이름에 영숫자가 아닌 문자(예: 콜론, 앰퍼샌드 또는 쉼표)가 있을 경우 데이터스토어를 Glance 서비스에 추가할 수 없습니다. 특히, 다음 문자는 다른 용도로 예약되어 구성을 방해할 수 있으므로 Glance 데이터스토어 이름에 사용할 수 없습니다. : , / $(콜론, 쉼표, 슬래시, 달러 기호).
  
  해결 방법: 이러한 기호를 사용하지 않습니다.

• 둘 중 하나의 컨트롤러 VM이 재부팅되면 고가용성이 손상될 수 있음

  컨트롤러 하나에 장애가 발생하면 다른 컨트롤러가 계속해서 서비스를 제공합니다. 하지만 초기 컨트롤러가 재부팅되면 더 이상 서비스를 제공하지 않을 수 있으므로 다른 컨트롤러에도 장애가 발생할 경우 사용하지 못할 수 있습니다.

  해결 방법: 컨트롤러에 장애가 발생하고 HA가 호출되면 장애가 발생한 컨트롤러가 재부팅된 후 배포를 검토하여 두 컨트롤러가 모두 서비스를 제공하고 있는지 확인합니다. VMware Integrated OpenStack 배포를 시작 및 중지하는 방법에 대한 자세한 내용은 VMware 기술 자료 문서 2148892를 참조하십시오.

• 메타데이터 서비스는 [게이트웨이 없음] 옵션으로 생성된 서브넷에서 액세스할 수 없음

  NSX 6.2.2 이전 버전을 사용하여 배포한 경우 게이트웨이 없음 네트워크가 지원되지 않습니다. Edge는 Edge 라우팅된 네트워크에 사용되고 DHCP는 VDR 네트워크에 사용됩니다. NSX 6.2.3 이후 버전을 사용하여 배포한 경우 게이트웨이 없음 또는 DHCP 없음 네트워크가 지원되지 않습니다. DHCP는 모든 DHCP 네트워크에 사용되고 Edge는 DHCP가 아닌 네트워크에 사용됩니다. 2.x에서는 Edge VM에 대해 자동 구성이 해제됩니다. 해당하는 경우 DHCP가 게이트웨이를 설정하며 이 게이트웨이 Edge를 통해 메타데이터 서비스가 제공됩니다. 따라서 서브넷이 게이트웨이 없음 옵션을 사용하여 생성된 경우 메타데이터 트래픽을 캡처할 라우터 Edge가 없습니다.

  해결 방법:게이트웨이 없음 옵션으로 구성된 네트워크의 경우 트래픽을 DHCP Edge IP에 전달하도록 169.254.169.254/32에 대한 경로를 구성합니다.

• Firefox 브라우저에서 패치 파일 업로드 중에 문제 발생

  Firefox를 사용하여 VMware Integrated OpenStack의 패치를 업데이트할 때 Firefox가 Adobe Flash 플러그인 버전 19를 사용 중인 경우 업로드가 실패합니다.

  해결 방법: CLI를 사용하여 패치를 다운로드합니다. 다른 브라우저를 사용하거나 Firefox 브라우저의 Flash 플러그인을 이전 버전(15, 16, 17 또는 18)으로 복원하여 이 문제를 해결할 수도 있습니다.

• OpenStack 관리 서비스가 자동으로 다시 시작되지 않음
  특정 상황에서 OpenStack 관리 서비스가 자동으로 다시 시작되지 않습니다. 예를 들어 페일오버 이벤트가 발생한 후 모든 OpenStack 서비스가 성공적으로 다시 시작되지만 관리 서비스에는 연결하지 못할 수 있습니다.

  해결 방법: vSphere Web Client에서 VMware Integrated OpenStack vApp을 수동으로 다시 시작합니다. [인벤토리] 페이지에서 아이콘을 마우스 오른쪽 버튼으로 클릭하고 [종료]를 선택합니다. 모든 서비스가 종료된 후 vApp 전원을 켭니다. 다시 시작 작업이 성공했는지 OpenStack 관리자 로그에서 확인합니다.

  참고: 다시 시작하면 서비스가 중단됩니다.

• Heat 템플릿을 실행할 때 네트워크 생성이 실패할 수 있음

  NSX 6.2.2를 사용하는 VMware Integrated OpenStack 배포에서 발견되었습니다. 여러 Heat 템플릿을 실행할 때 네트워크 생성 작업을 반복하면 백엔드에서 이 작업이 실패하는 경우가 있습니다.

  NSX 6.2.3 이상 버전에서 해결되었습니다.

• 복구 작업에서 "노드가 이미 있습니다." 오류를 반환함

  특정 상황에서는 ansible 작업이 중단되면 viocli recovery - <DB name> 명령 실행이 실패합니다. 그 결과 데이터베이스 노드가 남아 있게 되어 오류가 발생합니다.

  해결 방법: 노드를 수동으로 제거하고 viocli recovery 명령을 다시 실행합니다.

• LBaaS v2 마이그레이션: 풀에 연결되지 않은 상태 모니터가 마이그레이션되지 않음
  LBaaS v2에서는 상태 모니터가 지정되고 풀에 연결되어야 합니다. LBaaS v1에서는 상태 모니터를 풀에 연결하지 않고 별도의 절차로 생성할 수 있습니다.

  그 결과, LBaaS v2로 마이그레이션할 경우에 연결되지 않은 상태 모니터는 제외됩니다.

  해결 방법: LBaaS v1로 마이그레이션하기 전에 모든 상태 모니터를 풀에 연결하여 모든 상태 모니터가 성공적으로 마이그레이션되도록 합니다. VMware Integrated OpenStack 3.0를 설치하거나 해당 버전으로 업그레이드한 후에는 마이그레이션 프로세스가 선택 사항입니다. 자세한 내용은 VMware Integrated OpenStack 관리 가이드를 참조하십시오.

• NSX LBaaS v2.0 테넌트 제한 사항

  NSX for vSphere 로드 밸런서가 서브넷당 테넌트를 하나만 지원합니다. 일반적인 작업에서는 테넌트마다 고유한 로드 밸런서를 생성하기 때문에 문제가 되지 않습니다. 사용자가 로드 밸런서를 생성하여 서브넷에 연결하려고 하면 로드 밸런서가 ERROR 상태로 생성됩니다.

  해결 방법: 테넌트가 고유한 로드 밸런서를 생성할 수 있도록 허용합니다. 로드 밸런서를 생성하여 기본 서브넷에 연결하지 않습니다.

• Heat 스택 삭제가 실패하고 "NSX Edge에 구성을 게시하지 못했습니다." 오류가 표시됨

  NSX v6.2.2를 사용하는 배포에서 관측됩니다. 과부하 상태에서는 Heat 스택 또는 OpenStack API가 백엔드에서 실패할 수 있습니다.

  해결 방법: 실패한 작업을 재시도합니다.

• 이미지가 VMX 버전 10 이상이어야 함
  이 문제는 streamOptimized 이미지 및 OVA에 영향을 미칩니다. 예를 들어 이미지가 VMX-10 이상이 아닌 경우 이미지를 가져오는 데는 문제가 없지만 이 이미지에서 생성된 OpenStack 인스턴스가 작동하지 않게 됩니다. OpenStack 계산 노드가 5.5 등 이전 ESXi 버전에서 배포된 경우 일반적으로 이 문제가 발생합니다. 또한 이미지 메타데이터(vmware_hw_version) 또는 플레이버 메타데이터(vmware:hw_version)를 조정하여 해당 이미지를 수정할 수 없습니다.

• vSphere HA 이벤트 이후 복구에서 동기화 및 프로세스 시작 오류가 표시됨

  vSphere에서 HA 이벤트가 발생하는 경우 VMware Integrated OpenStack 배포에 영향을 줄 수 있습니다. 복구 후 VMware Integrated OpenStack에서 viocli deployment status -v 명령을 실행하십시오. 결과 보고서에 동기화 또는 프로세스 시작 오류가 표시되는 경우 아래의 해결 방법을 사용하십시오.

  해결 방법:viocli services stop 명령을 사용하여 모든 OpenStack 서비스를 중지합니다. viocli services start 명령을 사용하여 모든 OpenStack 서비스를 다시 시작합니다. 다시 시작 후, viocli deployment status -v 명령을 다시 실행합니다. 오류가 없어야 합니다.

• RabbitMQ를 시작할 때 OpenStack 복구가 실패하는 경우가 있음

  거의 발생하지는 않지만 RabbitMQ가 시작되는 시점에 VMware Integrated OpenStack 복구가 실패합니다.

  해결 방법: 복구 프로세스를 반복합니다. 두 번째에는 복구가 성공합니다.

• Heat 스택 삭제 작업에서 연결된 Cinder 볼륨을 삭제하지 못함

  로드가 많을 경우 Heat 스택이 삭제된 후 해당 Cinder 볼륨은 삭제되지 못하는 경우가 있습니다. 이로 인해 데이터베이스 교착 상태 경고가 발생하고 Cinder 성능이 느려집니다.

  해결 방법: 해결 방법이 없습니다.

• 대시보드에서 SQL에 구성된 사용자를 수정할 수 없음
  VMware Integrated OpenStack 배포가 사용자 인증에 LDAP를 사용하도록 구성된 경우, 사용자의 소스가 SQL 데이터베이스이더라도 OpenStack 대시보드(Horizon)에서 사용자에 대한 정의를 수정할 수 없습니다.

• OpenStack 대시보드에 라우터 크기 드롭다운 메뉴가 없음

  OpenStack 대시보드(Horizon)에서 단독 라우터를 생성할 때 크기를 지정할 수 있습니다. 하지만 공유에서 단독으로 라우터를 수정하는 경우 라우터 크기 드롭다운 메뉴가 나타나지 않으므로, 라우터 크기를 지정하지 못하게 됩니다.

  해결 방법:기본값을 복원하고, 유형을 단독으로 다시 수정합니다. 드롭다운 메뉴가 나타납니다.

• 방화벽을 게이트웨이가 없는 라우터에 연결할 때 규칙이 NSX 라우터에 추가되지 않음

  FWaaS(Firewall as a Service) 규칙은 게이트웨이가 있는 라우터에만 추가됩니다. 게이트웨이가 없는 라우터에는 보호할 관련 트래픽이 없으므로 이러한 규칙이 영향을 주지 않기 때문입니다.

  해결 방법: 규칙을 추가하려면 라우터에 게이트웨이를 설정합니다.

• VMware NSX-T 배포의 경우 방화벽을 게이트웨이가 없는 라우터에 연결할 때 규칙이 NSX 라우터에 추가됨

  FWaaS(Firewall as a Service) 규칙과 일치하는 관련 트래픽이 없는 경우에도 게이트웨이가 없는 라우터에 해당 규칙이 추가됩니다.

  해결 방법: 규칙을 활성화하려면 라우터에 게이트웨이를 설정합니다.

• NSX for vSphere가 포함된 배포의 경우 admin_state 매개 변수를 업데이트해도 아무런 영향이 없음

  Nova 포트에 대해 admin_state 매개 변수를 False로 업데이트해도 아무런 영향이 없습니다. 이 매개 변수가 NSX for vSphere에서 지원이 되지 않기 때문입니다.

  해결 방법: 해결 방법이 없습니다.

• VMware NSX for vSphere 배포의 경우 게이트웨이를 MDProxy 라우터에 연결하면 NSX Edge(MDProxy Edge) vnic0 인덱스가 VM 네트워크에서 게이트웨이 네트워크 포트 그룹으로 변경됨 

  이 구성은 OpenStack 인스턴스에서 md 프록시 서버를 가져오는 동안 영향을 유발할 수 있습니다.관리 테넌트는 mdproxy 라우터를 게이트웨이에 연결하여 OpenStack 인스턴스에서 메타데이터 서버 블록에 액세스할 수 있습니다.

  해결 방법: 게이트웨이를 MDProxy 라우터에 연결하지 않습니다.

• 4.0으로 업그레이드 프로세스가 ansible.log에 표시되는 "ssh_exchange_identification: Connection closed by remote host" 또는 "Can’t connect to MySQL server" 오류와 함께 실패할 수 있음

  네트워크 지연 시간 또는 리소스 경합과 같은 인프라 관련 문제로 인해 업그레이드 프로세스가 실패할 수 있습니다.

  해결 방법: vSphere Web Client에서 업그레이드 계속을 클릭하여 업그레이드를 다시 시도합니다.

• 개체 스토리지 사용자, 서비스 및 끝점 생성 문서에 잘못된 명령이 표시됨

  개체 스토리지 사용자, 서비스 및 끝점 생성의 3단계에 keystone service-create 명령이 표시되어 있습니다. 이것은 잘못된 명령으로 keystone: command not found 오류를 반환합니다.

  해결 방법: Keystone CLI는 더 이상 사용되지 않으므로 keystone service-create는 이제 유효하지 않습니다. 명령을 openstack service create로 교체합니다. 버전 4.1용으로 업데이트된 개체 스토리지 사용자, 서비스 및 끝점 생성을 참조하십시오.

• 서비스 GW Edge에서 BGP 테넌트 네트워크가 손실됨

  BGPSpeaker와 서비스 GW 간에 BGP 피어링이 설정된 이후 Neutron 명령 neutron bgp-speaker-network-remove를 실행하여 BGPSpeaker와 외부/공급자 네트워크의 연결을 끊으면 neutron bgp-speaker-network-add를 사용하여 BGPSpeaker에 대한 외부/공급자 네트워크 연결을 복원하더라도 서비스 게이트웨이의 테넌트 경로가 손실될 수 있습니다. 이 문제는 Neutron 명령 집합으로 인해 ECMP 플래그 전환 및 BGP 구성이 동시에 트리거되기 때문에 발생합니다.

  해결 방법: ecmp_wait_time 매개 변수의 기본값인 2초는 충분히 길지 않을 수 있으므로 5초로 늘려야 합니다. 이렇게 변경하면 일련의 작업(bgp-speaker-network-remove 명령 후 bgp-speaker-add. 명령 실행)이 동일하게 수행된 후 누락된 경로에 업데이트가 적용됩니다. nsxv.ini 파일에서 속성 값을 변경합니다.

• Nova 서버와의 메타데이터 에이전트 HTTP 통신에 보안 위험이 발생함

  Edge Appliance에 상주하는 메타데이터 에이전트는 역방향 프록시 역할을 하며 OpenStack에서 NSX 환경에 대한 메타데이터 정보를 수집하기 위해 업스트림 Nova 서버에 연결합니다. nginx 역방향 프록시 구성 또한 일반 텍스트 통신을 지원합니다. TLS 암호화가 부족하여 중요 데이터가 노출될 수 있고 네트워크의 공격자가 전송 중인 사이트의 데이터를 수정할 수도 있습니다.

  해결 방법: mdproxy와 Nova 서버 간 보안 통신을 위해 HTTP 대신 CA 지원이 포함된 HTTPS를 사용합니다. 다음 단계를 수행합니다.

  1. nova.conf에 다음 매개 변수를 추가하여 Nova 메타데이터 HTTPS 지원을 사용하도록 설정합니다.
     
     [DEFAULT]
enabled_ssl_apis = metadata
[wsgi]
ssl_cert_file = <nova metadata https server certificate file path>
ssl_key_file = <nova metadata https server private key file path>
  
  
  2. NSX Manager에 로그인하고 시스템 > 신뢰 > 인증서로 이동하여 필요에 따라 CA 인증서 또는 인증서 체인을 가져온 다음 인증서의 UUID를 기록합니다.
  3. REST 호출을 사용하여 HTTPS mdproxy 서비스를 생성합니다.
     1. 다음과 같은 형식으로 https_mdproxy.json 파일을 준비합니다. 
        
        https_mdproxy.json json format is as below:
{
"display_name" : "https_md_proxy",
"resource_type" : "MetadataProxy",
"metadata_server_url" : "https://10.117.5.179:8433",
"metadata_server_ca_ids": ["4574853e-e312-4b02-a1c1-002b570c2aa8","940251c9-3500-4bcd-9761-b49d0c2a95d1"],
"secret": "123",
"edge_cluster_id" : "00aaf00d-a8ba-42b6-a3bf-9914c8567401"
}
         
     2. REST를 호출하여 CA가 포함된 하나의 https mdproxy 서비스를 배포하고 NSX Manager가 다음 상태를 반환할 때까지 기다립니다.
        
        201 CREATE 성공. curl -i -k -u <nsx-mgr-admin:nsx-mgr-passwd>
-H "content-type: application/json"
-H "Accept: application/json"
-X POST https://<nsx-mgr-ip>/api/v1/md-proxies
-d "`cat ./https_mdproxy.json`

         

  4.  mdproxy 서비스의 UUID를 기록하고 이 mdproxy 서비스를 VMware Integrated OpenStack 메타데이터 프록시 서비스로 사용합니다. 이제 mdproxy와 Nova 서버 간의 통신이 인증서 인증을 사용하는 https로 보호됩니다.

• NSX-T 배포의 경우 router-gateway-set 동안 새로 생성된 Tier0 라우터가 Tier1 라우터에 연결되지 않음 

  Tier0 라우터가 구성되어 있을 때 새 라우터를 생성한 경우 새 라우터의 UUID가 nsxv3.ini 파일에 자동으로 채워지지 않습니다. 새로 생성된 Tier1 라우터는 새로운 Tier0 라우터에 연결되지 않습니다. 이 문제를 해결하려면 수동으로 nsxv3.ini 파일을 업데이트하고 외부 네트워크를 다시 생성해야 합니다.

  해결 방법: 이 문제를 해결하려면 다음 단계를 수행합니다.

  1. 새 Tier0 라우터의 UUID를 가져옵니다.
  2. /etc/neutron/plugin/vmware/nsxv3.ini 파일을 열고 Tier0 라우터의 UUID를 업데이트합니다.
  3. Neutron 서버를 다시 시작합니다.
  4. 기존의 외부 네트워크를 삭제하고 새로운 외부 네트워크를 생성합니다.
• BGP가 사용되도록 설정된 공유 라우터의 게이트웨이를 제거하면 BGP가 사용되도록 설정된 다른 공유 라우터에서 일시적인 네트워크 운영 중단이 발생할 수 있음

  공유 라우터 환경에서는 동일한 Edge에서 여러 라우터가 호스팅될 수 있습니다. 그러한 라우터 중 하나의 게이트웨이 IP가 BGP 환경에서 라우터 ID로 사용됩니다. 해당 라우터의 게이트웨이가 지워지면 플러그인이 BGP가 사용되도록 설정된 다른 라우터의 게이트웨이 IP를 라우터 ID로 선택하고 해당 필드를 수정합니다. 이 프로세스 동안 해당 Edge에서 호스팅되는 다른 BGP 라우터에 대한 보급 경로가 손실되므로 피어링 중단이 발생합니다. 피어링은 피어링이 다시 설정되면 복구됩니다.

  해결 방법: 해결 방법이 없습니다. 이 문제를 방지하려면 단독 라우터를 사용합니다.

• Neutron에서 NSX 정책을 사용하도록 설정한 후 테넌트 트래픽이 차단될 수 있음

  Neutron 플러그인에서 security-group-policy를 사용하도록 설정한 후 NSX 방화벽 섹션 순서가 잘못될 수 있습니다. 올바른 순서는 다음과 같아야 합니다.

  1. NSX 정책
  2. 테넌트 보안 그룹
  3. 기본 섹션

  해결 방법: VMware Integrated OpenStack을 구성하기 전에 첫 번째 NSX 정책을 만듭니다. 이미 구성한 경우 vSphere Web Client의 [NSX 방화벽] 페이지로 이동하여 정책 섹션을 위로 이동합니다.

Kubernetes와 VMware Integrated OpenStack

• SDDC 제공자가 있는 Kubernetes VM 포함 VMware Integrated OpenStack에서 전원을 껏다가 다시 켜면 OpenStack 서비스 컨테이너가 작동을 중지하고 자동으로 다시 시작하지 않음

  Kubernetes VM 포함 VMware Integrated OpenStack에 하나의 SDDC 제공자가 배포되어 있는 경우 예를 들어 ESXi 호스트 관련 문제를 해결하기 위해 VM의 전원을 껐다가 다시 켜면 VM이 다른 호스트로 마이그레이션됩니다. Kubernetes 클러스터 생성 및 확장과 같은 제공자에 대한 후속 작업은 실패합니다.

  해결 방법: 제공자를 새로 고치려면 다음 단계를 수행합니다.

  1. Kubernetes VM 포함 VMware Integrated OpenStack에서 OVA 배포 중 설정된 암호를 사용하여 root로 로그인합니다.
     vkube login --insecure
  2. SDDC 제공자 ID를 가져옵니다.
     vkube provider list --insecure
  3. 제공자 ID를 사용하여 SDDC 제공자를 새로 고칩니다.
     vkube provider refresh sddc <provider_id> --insecure 

      

• 관리 암호 변경 후 사용자가 사용자 및 그룹을 나열할 수 없음

  캐시된 관리 암호가 새 관리 암호와 동기화되지 않습니다.

  해결 방법: 캐시된 관리 암호를 업데이트하려면 VMware GSS에서 update_admin_pwd 스크립트를 가져옵니다. 그런 다음 update_admin_pwd를 실행하고 각 클러스터에서 vkube cluster update를 실행합니다.

• SDDC 클라우드 제공자에 대해 UI에 vSphere 클러스터가 나타나지 않음

  UI에서 SDDC 클라우드 제공자를 생성하고 루트 CA 파일을 업로드하려고 선택하면 [vSphere 클러스터] 페이지에 클러스터가 나타나지 않습니다. 이 문제는 인증서 검증 프로세스의 버그로 인한 것입니다. 신뢰할 수 있는 인증 기관에서 승인한 인증서로 vCenter Server를 보호하거나 vCenter Server 인증서 검증을 무시하도록 선택하면 이 문제가 발생하지 않습니다.

  해결 방법: 다음 작업 중 하나를 수행합니다.

  • 신뢰할 수 있는 인증 기관에서 승인한 인증서로 vCenter Server를 보호한 다음 SDDC 클라우드 제공자를 생성합니다.
  • vCenter Server 인증서 검증을 무시합니다. 이것은 보안 설치 환경에 권장되지 않습니다.
  • CLI를 사용하여 SDDC 클라우드 제공자를 생성하고 루트 CA 파일을 CLI 페이로드에서 vcenter_certificate 속성으로 전달합니다.
• 제공자 이름을 입력했는데도 UI에서 계속 제공자 이름을 입력하라는 메시지가 표시됨

  SDDC 또는 OpenStack 클라우드 제공자를 생성할 때 [제공자 추가] 마법사에서 제공자 이름을 지정했는데도 UI가 "제공자 이름이 필요합니다."라는 오류를 표시합니다.

  해결 방법: 이 문제는 UI가 특정 버전의 브라우저로 처음 로드될 때 발생합니다. 이 문제를 해결하려면 브라우저 탭을 닫습니다. 그런 다음 새 탭을 열고 가상 장치에 다시 연결합니다.

• UI에서 파일을 업로드할 때 "{0} 파일만 지원됩니다." 오류 메시지가 나타남

  이 오류 메시지는 잘못된 파일 유형이 업로드되었을 때 UI에 나타납니다. 이 문제는 다음 중 하나의 경우에 발생할 수 있습니다.

  • 클라우드 제공자 또는 클러스터를 생성할 때 이전에 다운로드한 페이로드 파일을 생성 프로세스 중 업로드하려고 시도하는 경우
  • SDDC 클라우드 제공자 또는 OpenStack 제공자를 생성할 때 CA 인증서 파일을 업로드하려고 시도하는 경우

  해결 방법: 상황에 맞는 해결 방법을 적용합니다.

  • 페이로드 파일을 업로드하려고 시도하는 경우 페이로드 파일의 확장명이 .json인지 그리고 파일에 올바른 JSON 컨텐츠가 포함되어 있는지 확인합니다.
  • CA 인증서를 업로드하려고 시도하는 경우 인증서 파일의 확장명이 .crt인지 확인합니다.
• SDDC 클라우드 제공자 생성이 실패하고 "dpkg: unrecoverable fatal error, aborting:" 오류가 표시됨

  SDDC 클라우드 제공자 생성이 실패하고 가상 장치의 column-api 컨테이너 로그에 오류가 기록됩니다. 다음과 유사한 내용의 메시지가 표시됩니다.

  - docker logs column-api -fTASK [bootstrap-os : Bootstrap | Install python 2.x and pip] *******************172.18.0.2 - - [06/Sep/2017 05:47:32] "GET /runs/46a74449-7123-4574-90c2-3404dfac6641 HTTP/1.1" 200 -fatal: [k8s-node-1-2393e79d-ec6a-4e63-8f63-c6308d72496e]: FAILED! => {"changed": true, "failed": true, "rc": 100, "stderr": "Shared connection to 192.168.0.3 closed.", "stdout": "........"dpkg: unrecoverable fatal error, aborting:", " files list file for package 'python-libxml2' is missing final newline", "E: Sub-process /usr/bin/dpkg returned an error code (2)"]}"

  해결 방법: 이 오류는 SDDC 클라우드 제공자 생성 중 파일 손상에 따른 결과입니다. SDDC 클라우드 제공자를 삭제하고 다시 생성합니다.