重要:更新日期:2019 年 1 月 9 日

VMware Integrated OpenStack 5.1 | 2018 年 11 月 13 日 | 組建編號 10738236
VMware Integrated OpenStack with Kubernetes 5.1 | 2018 年 11 月 13 日 | 組建編號 10628687

查看這些版本說明的新增項目和更新。

版本說明的內容

此版本說明涵蓋下列主題:

關於 VMware Integrated OpenStack

VMware Integrated OpenStack 透過精簡整合程序,大幅簡化了 OpenStack 雲端基礎結構的部署。VMware Integrated OpenStack 透過直接在 vCenter Server 中執行的部署管理員 vApp,提供了立即可用的 OpenStack 功能和簡單的組態工作流程。

新增功能

  • 支援最新版本的 VMware 產品:VMware Integrated OpenStack 5.1 支援 VMware vSphere 6.7 Update 1、NSX-T 2.3、NSX Data Center for vSphere 6.4.3 和 vRealize Operations Manager 7.0,並與其完全相容。
  • OpenStack Swift (物件儲存):現在包含 Swift,用於啟用分散式物件儲存。在 VMware Integrated OpenStack 5.1 中,支援此專案做為技術預覽。
  • OpenStack Barbican (金鑰管理員):Barbican 做為完全支援的專案納入,並可讓使用者安全地儲存和管理承租人密碼。 
  • 資料存放區叢集:您現在可以針對 Nova 和 Cinder 儲存區使用資料存放區叢集,且針對特定作業支援 Storage DRS。
  • NSX-T 部署中的 SR-IOV:NSX-T 和 SR-IOV 現在可以共存,結合了 NSX-T 的網路優點和功能與 SR-IOV 的傳遞。
  • NSX-V 與 NSX-T 共存:單一 OpenStack 控制平面現在可以設定為 NSX-V 與 NSX-T 共存。 
  • Horizon 改進:您可以在 VMware Integrated OpenStack 儀表板上設定 Designate 設定和 TVD 專案-外掛程式對應。
  • 角色標記:現在可在建立執行個體時標記虛擬裝置,讓客體工作負載更輕鬆地識別和分類裝置。

相容性

如需有關 VMware Integrated OpenStack 與其他 VMware 產品 (包括 vSphere 元件) 的相容性詳細資料,請參閱《VMware 產品互通性對照表》

升級至 5.1 版

升級 VMware Integrated OpenStack

您可以直接從 VMware Integrated OpenStack 4.0、4.1、4.1.1 或 4.1.2 升級至 VMware Integrated OpenStack 5.1。 

附註:目前不支援從 VMware Integrated OpenStack 4.1.2.1 升級。之後的修補程式將提供此支援。

如果您正在執行 VMware Integrated OpenStack 3.1 或更早版本,請先升級至 4.1 版,然後再升級至 5.1 版。 

升級 VMware Integrated OpenStack with Kubernetes

若要從 VMware Integrated OpenStack with Kubernetes 5.0 升級至 VMware Integrated OpenStack with Kubernetes 5.1,請參閱《VMware Integrated OpenStack with Kubernetes 入門指南》中的〈升級 VMware Integrated OpenStack with Kubernetes〉

如果您正在執行 VMware Integrated OpenStack with Kubernetes 4.1 或更早版本,請先升級至 5.0 版,然後再升級至 5.1 版。 

安全性注意事項

VMware Integrated OpenStack with Kubernetes (VIO-K) 5.1 可能會受到 Kubernetes 中的嚴重安全性漏洞 CVE-2018-1002105 的影響。VMware 先前在此處張貼了有關此漏洞的警示,這部分內容現已更新為包含 VMware Integrated OpenStack with Kubernetes。您必須安裝安全性修補程式 1 才能修復此漏洞。

安裝 VMware Integrated OpenStack with Kubernetes 5.1 後,執行下列步驟來修補您的部署:

  1. 產品下載頁面下載 VMware Integrated OpenStack with Kubernetes 5.1 安全性修補程式 1。 
  2. 將此修補程式檔案傳輸到 VMware Integrated OpenStack with Kubernetes 管理伺服器。
  3. 登入管理伺服器。
  4. 執行下列命令解壓縮並安裝此修補程式:
    tar -xzf viok-5.1-hp1.tar.gz
    cd viok-5.1-hp1
    ./install.sh

取代通知 

新版本的 vRealize Automation 將不再透過 VMware Integrated OpenStack 進行認證。

在 VMware Integrated OpenStack 5.1 中可用的某些 OpenStack 管理伺服器生命週期管理 API 在 VMware Integrated OpenStack 未來主要版本中將變更或被取代。 

VMware Integrated OpenStack with Kubernetes 中的 SDDC 提供者 (用於在沒有現有的 VMware Integrated OpenStack 執行個體時進行部署) 在未來主要版本中將將被取代。對於新 VMware Integrated OpenStack with Kubernetes 部署,使用 OpenStack 提供者。

國際化

VMware Integrated OpenStack 5.1 提供英文及其他 7 種語言版本:簡體中文、繁體中文、日文、韓文、法文、德文及西班牙文。

下列項目必須僅包含 ASCII 字元:

  • OpenStack 資源 (例如專案、使用者和映像) 的名稱
  • 基礎結構元件 (例如 ESXi 主機、連接埠群組、資料中心和資料存放區) 的名稱
  • LDAP 和 Active Directory 屬性 

VMware Integrated OpenStack with Kubernetes 僅提供英文版本。

VMware Integrated OpenStack 的開放原始碼元件

產品下載頁面的 [開放原始碼] 索引標籤中提供了適用於 VMware Integrated OpenStack 5.1 中散佈的開放原始碼軟體元件的版權聲明與授權。您也可以針對 VMware Integrated OpenStack 的元件下載公開套件,這些套件由 GPL、LGPL 或者需要原始碼或需要修改原始碼的其他相似授權進行管理,以使其可供使用。

已解決的問題

  • vSAN 資料存放區上的 ISO 映像無法開機。

    在舊版中,從 vSAN 資料存放區上的 ISO 開機會失敗。

    已在此版本中解決此問題。

  • viocli deployment configure 命令無法重新啟動 MySQL 資料庫。

    變更資料庫參數並執行 viocli deployment configure 後,由於沒有重新啟動資料庫服務,新組態並未生效。

    已在此版本中解決此問題。

  • 控制器無法建立暫存檔。

    較舊的環境可能會遇到問題,因為累積了大量暫存檔且未清除。

    已在此版本中解決此問題。

  • 您無法重新新增具有承租人虛擬資料中心的已刪除的運算節點。

    刪除具有承租人虛擬資料中心的運算節點後,嘗試重新新增該節點失敗,並在 /var/log/nova/nova-compute.log 中顯示「Failed to create resource provider」錯誤。

    已在此版本中解決此問題。

  • 無法設定負載平衡器靜態路由的首碼長度。

    在舊版中,透過 GUI 設定的靜態路由規則均使用 24 位元的首碼。

    您現在可以在設定負載平衡器的靜態路由時,指定子網路遮罩。

  • 調整磁碟區的大小可能會導致該磁碟區移轉至其他主機。

    當您調整磁碟區大小時,即使 always_resize_on_same_host 設為 true,該磁碟區仍可能會移至叢集中的其他主機。

    已在此版本中解決此問題。

  • 當您以不正確的順序刪除運算節點,然後嘗試新增運算節點時發生錯誤。

    在舊版 VMware Integrated OpenStack 中,您只能以遞減順序刪除運算節點。例如,如果具有三個運算節點 VIO-Compute-0、VIO-Compute-1 和 VIO-Compute-2,您需要首先刪除 VIO-Compute-2,再刪除 VIO-Compute-1,最後刪除 VIO-Compute-0。如果未按照此順序刪除節點,則稍後新增節點會產生錯誤。

    已在此版本中解決此問題。

  • 執行個體無法啟動並顯示錯誤「ResourceProviderAggregateRetrievalFailed: 無法取得資源提供者的彙總」。

    無法在已刪除現有承租人虛擬資料中心的運算節點上啟動執行個體。具體來說,當您嘗試在某個運算節點上啟動執行個體時,如果該運算節點在 Nova 運算服務啟動前存在承租人虛擬資料中心但在 Nova 運算服務啟動後該資料中心遭到刪除,將發生此問題。

    已在此版本中解決此問題。

已知問題

已知問題分類如下。

VMware Integrated OpenStack
  • 對於 NSX-V 部署,不會在新建立的運算叢集上強制執行安全群組。

    您建立運算叢集時,不會在 NSX-V 中更新其受管理的物件參考 (MoRef),且不會套用預設規則。

    因應措施:登入作用中控制器,並執行 sudo -u neutron nsxadmin -r firewall-sections -o nsx-update 命令。或者,您可以在 NSX-V 中的作業系統叢集安全群組區段內手動更新預設規則,以納入新的運算叢集。

  • 在具有多個 vCenter Server 執行個體的環境中,Nova 即時移轉無法將執行個體移到遠端 vCenter Server 中的主機。

    不支援跨 vCenter Server 執行個體進行 Nova 即時移轉。

    因應措施:無。

  • 刪除與浮動 IP 位址相關聯的執行個體不會刪除相關聯的 DNS 記錄。

    如果您刪除與浮動 IP 位址相關聯的執行個體,Designate 不會移除該執行個體的 DNS 記錄。

    因應措施:從執行個體解除關聯浮動 IP 位址,然後再刪除執行個體。

  • 移除並重新新增運算節點後,其可能不會啟動。

    如果存在為運算節點建立的承租人虛擬資料中心,移除並重新新增該節點後,其將無法啟動。

    因應措施:無。

  • 可能無法在 VMware Integrated OpenStack 儀表板上正確計算本機儲存區。

    如果多個運算節點使用相同的資料存放區,則 VMware Integrated OpenStack 儀表板上的 Hypervisor 頁面將錯誤地顯示可用的總磁碟空間為單一資料存放區大小乘以使用它的運算節點數目。此外,每個運算節點的本機儲存區 (已用) 資料行中的項目將顯示資料存放區上的已用空間總計,而不是單一運算節點的已用空間。

    因應措施:無。

  • 在具有多個 vCenter Server 執行個體的環境中,執行個體找不到範本,且無法開機。

    如果已從運算 vCenter Server 手動刪除映像,執行個體可能無法開機,並顯示錯誤「找不到範本位置」。重新新增運算節點時,也可能會發生此問題。

    因應措施:執行 glance image-show image-uuid 命令,從映像決定遠端 vCenter Server 的位置。然後,執行 glance location-delete --url image-location 命令,從 Glance 刪除此位置。

  • 針對使用遠端 vCenter Server 的部署,viopatch 命令無法建立快照。

    如果在部署環境中,所有控制虛擬機器部署在管理 vCenter Server 執行個體中,並使用遠端 vCenter Server 執行個體中部署的 Nova 運算節點,則 viopatch snapshot take 命令無法取得管理 vCenter Server 執行個體的相關資訊。命令失敗並顯示錯誤「AttributeError: 『NoneType』物件沒有屬性『snapshot』」。

    因應措施:在 OpenStack 管理伺服器虛擬機器中,透過執行下列命令手動設定管理 vCenter Server 的 IP 位址、使用者名稱和密碼:

    export VCENTER_HOSTNAME = mgmt-vc-ip-address export VCENTER_USERNAME = mgmt-vc-username export VCENTER_PASSWORD = mgmt-vc-password
  • 變更 NSX-T 密碼後,VMware Integrated OpenStack 無法連線至 NSX-T。

    如果您在 Neutron 伺服器正在執行時變更 NSX-T 密碼,VMware Integrated OpenStack 可能無法連線至 NSX-T。

    因應措施:變更 NSX-T 密碼之前,登入作用中控制器節點並執行 systemctl stop neutron-server 命令,以停止 Neutron 伺服器服務。在 VMware Integrated OpenStack 中更新 NSX-T 密碼後,服務將重新啟動。

  • 從 4.x 版升級後,Nova 運算服務無法啟動。

    如果在 4.x 版中刪除了 Nova 運算節點,且稍後新增了使用相同 vCenter Server 和相同叢集的新 Nova 運算節點,在升級至 5.x 版後,Nova 運算服務將無法啟動。「ERROR nova ResourceProviderCreationFailed」將寫入 /var/log/nova/nova-compute.log

    因應措施:執行下列步驟,以從資料庫中移除 Nova 運算節點:

    1. 找到已刪除運算節點的 MOID。
    2. 登入作用中的資料庫節點,並開啟 nova_api 資料庫:

      mysql
      use nova_api

    3. 在「resource_providers」資料表中,移除具有已刪除運算節點之 MOID 的 resource_provider 記錄。
    4. 在「host_mappings」資料表中,移除已刪除運算節點的主機記錄。
  • 資料存放區故障可能會導致 OpenStack 部署無法存取。

    如果 HA 部署中的所有節點使用同一資料存放區,則該資料存放區的故障將導致整個部署均無法存取。

    因應措施:嘗試修正故障資料存放區並復原其資料。每個節點的虛擬機器顯示在 vCenter Server 中後,重新啟動 OpenStack 部署。如果資料存放區無法復原,請使用 viocli recover 命令還原故障節點。

  • Keystone 端點處於錯誤狀態。

    內部端點進行中的加密設定變更後,Keystone 端點無法重新連線。將 internal_api_protocol 參數設定為 http (針對 HA 部署) 或 https (針對精簡或微型部署) 時,會發生此問題。

    因應措施:修改 Keystone 端點 URL。

    1. 在 vSphere Web Client 中,選取管理 > OpenStack
    2. 選取 KEYSTONE 端點,然後按一下編輯 (鉛筆) 圖示。
    3. 在顯示的更新端點區段中,根據您的組態,將 URL 變更為以 httphttps 開頭。
    4. 輸入管理員密碼,然後按一下更新
  • 在 vCenter Server 6.7 中,無法在 HTML5 vSphere Client 中部署 VMware Integrated OpenStack OVA。

    在 vCenter Server 6.7 中使用 HTML5 vSphere Client 部署 VMware Integrated OpenStack OVA 後,VMware Integrated OpenStack vApp 無法開啟電源,並且 UI 顯示錯誤:「虛擬機器 具有未繫結到提供者的必要 vService 相依性「vCenter 延伸安裝」。」    

    因應措施:使用以 Flex 為基礎的 vSphere Web Client 或使用 OVF Tool 部署 VMware Integrated OpenStack OVA。

    如需詳細資訊,請參閱《vSphere 6.7 版本說明》知識庫 55027

  • 以數字開頭的主機名稱導致「java.io.IOException」錯誤。

    OpenStack 管理伺服器不支援以數字開頭的主機名稱。如果主機名稱以數字開頭,會出現錯誤「java.io.IOException: DNSName 元件必須以字母開頭」。

    因應措施:使用不以數字開頭的主機名稱。如需詳細資訊,請參閱 JDK 上游問題:https://bugs.openjdk.java.net/browse/JDK-8054380

  • 東西向流量不在虛擬連線提供者網路上開機的虛擬機器之間進行傳輸。

    如果您建立使用虛擬連線的提供者網路,且沒有建立 SpoofGuard 原則,東西向流量將不會在此提供者網路上開機的虛擬機器之間進行傳輸。  

    因應措施:建立 SpoofGuard 原則,並向此原則新增虛擬連線,然後再建立虛擬連線提供者網路。

  • 可能無法在 OpenStack 管理伺服器上執行憑證驗證。

    您使用 viocli 命令列公用程式時,可能會發生下列錯誤:

    ssl.SSLError: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:590)

    因應措施:在 OpenStack 管理伺服器上,透過執行下列命令停用 vCenter Server 憑證驗證:

    sudo su - export VCENTER_INSECURE=True
  • 刪除路由器介面逾時。

    使用共用 NSX 路由器部署並行 Heat 堆疊時,路由器介面刪除可能逾時。可能會顯示下列內容:Neutron_client_socket_timeouthaproxy_neutron_client_timeouthaproxy_neutron_server_timeout

    因應措施:請勿在網路資源經常變更的環境中使用共用路由器。如果需要 NAT/FIP,請使用獨佔路由器。否則,請使用分散式路由器。

VMware Integrated OpenStack with Kubernetes
  • 對於 NSX-T 部署,vkube cluster heal 命令可能會失敗。

    如果您在 k8s-master-0 節點處於 [錯誤] 狀態的叢集上使用 vkube cluster heal 命令,可能會顯示下列錯誤訊息:

    fatal: [k8s-master-0-0ffeac43-78ea-4eab]: FAILED! => {"changed": false, "msg": "Unable to start service etcd: Job for etcd.service failed because a timeout was exceeded.See \"systemctl status etcd.service\" and \"journalctl -xe\" for details.\n"}

    因應措施:使用 SSH 登入受影響叢集的 k8s-master-1 節點,並手動刪除 etcd 叢集中無法連線的成員。然後,關閉 SSH 連線並再次執行 vkube cluster heal 命令。

  • 無法刪除處於 [錯誤] 狀態的叢集。

    如果基礎結構的資源不足,叢集建立、修復和調整將會失敗,並且叢集將進入 [錯誤] 狀態。

    因應措施:執行下列步驟:

    1. 登入工具箱容器。
    2. 使用 OpenStack 用戶端刪除處於 [錯誤] 狀態的主機。
    3. 再次執行 vkube cluster delete 命令來刪除叢集。
  • 如果使用者名稱或網域包含反斜線 (\),則驗證會失敗。

    Keystone 驗證外掛程式使用反斜線字元做為分隔符號,以編碼單個字串中的網域名稱和使用者名稱 。如果 網域名稱或使用者名稱中有額外的反斜線,Keystone 驗證外掛程式將無法正確解碼網域名稱和使用者名稱。

    因應措施:使用不含反斜線字元的網域名稱或使用者名稱。

check-circle-line exclamation-circle-line close-line
Scroll to top icon