VMware Integrated OpenStack 7.0.1 | 2020 年 11 月 19 日 | 組建編號 17200834

查看這些版本說明的新增項目和更新。

版本說明的內容

此版本說明涵蓋下列主題:

關於 VMware Integrated OpenStack

VMware Integrated OpenStack 透過簡化整合程序,大幅簡化了 OpenStack 雲端基礎結構的部署。VMware Integrated OpenStack 透過在 vCenter Server 中做為虛擬應用裝置執行的部署管理員,提供了立即可用的 OpenStack 功能和簡單的組態工作流程。

新增功能

  • 支援最新版本的 VMware 產品:VMware Integrated OpenStack 7.0.1 支援 VMware vSphere 7.0u1、NSX-T Data Center 3.1 和 NSX Data Center for vSphere 6.4.8 並與其完全相容
  • 新功能和增強功能:
    • 支援可設定狀態的 DHCPv6:現在可以在 SLAAC 與 DHCPv6 之間進行選擇,用於在數據平面中進行 IP 定址。此功能需要 Neutron Policy 外掛程式和 NSX-T 3.1。
    • 支援將 IP CIDR 格式用於 Neutron 連接埠的 allowed-address-pairs 設定。此功能需要 Neutron Policy 外掛程式和 NSX-T 3.1。
  • 升級程序改進:
    • 如果您的 VMware Integrated OpenStack 5.1 部署包含已啟用 FWaaS v1 的防火牆,則可以直接升級至 7.0.1 版。

升級至 7.0.1 版

若要升級至 VMware Integrated OpenStack 7.0.1,可以使用 viocli patch 命令套用修補程式。

可以將修補程式套用至現有 VMware Integrated OpenStack 7.0 部署,或將其套用至不含部署的 VMware Integrated OpenStack 7.0 OVA。此修補程式適用於下列情況:

如需修補程式指示,請參閱《VMware Integrated OpenStack 安裝和設定指南》中的〈套用 VMware Integrated OpenStack 7.0.1 修補程式〉

相容性

取代通知 

  • Neutron FWaaSv2 將在未來版本中被取代。
  • 以下網路功能已被取代,將在未來版本中移除:
    • 適用於 Neutron 的 NSX Data Center for vSphere 驅動程式。
    • 適用於 Neutron 的 NSX-T 管理外掛程式將被 NSX-T Policy 外掛程式取代。
    • TVD 外掛程式,可讓單一 VMware Integrated OpenStack 部署使用 NSX Data Center for vSphere 後端和 NSX-T Data Center 後端。

國際化

VMware Integrated OpenStack 提供英文及其他 7 種語言版本:簡體中文、繁體中文、日文、韓文、法文、德文及西班牙文。

下列項目必須僅包含 ASCII 字元:

  • OpenStack 資源 (例如專案、使用者和映像) 的名稱
  • 基礎結構元件 (例如 ESXi 主機、連接埠群組、資料中心和資料存放區) 的名稱
  • LDAP 和 Active Directory 屬性 

VMware Integrated OpenStack 的開放原始碼元件

產品下載頁面的 [開放原始碼] 索引標籤中提供了適用於 VMware Integrated OpenStack 中散佈的開放原始碼軟體元件的版權聲明與授權。您也可以針對 VMware Integrated OpenStack 的元件下載公開套件,這些套件由 GPL、LGPL 或者需要原始碼或需要修改原始碼的其他相似授權進行管理,以使其可供使用。

已解決的問題

已解決的問題分類如下。

    升級

    已在此版本中解決下列升級問題。

    • 從 VMware Integrated OpenStack 5.x 升級至 7.0 失敗,並產生 LDAP 組態。

      在設定了 LDAP 且未使用網域資訊設定 AD 網域名稱的情況下,升級指令碼會失敗。

    • 在大型環境中,從 VMware Integrated OpenStack 5.x 升級到 7.0 失敗。

      在大型環境中,從 VMware Integrated OpenStack 5.x 升級到 7.0 時,vCenter 探索服務失敗並顯示錯誤訊息:「要求實體太大: 限制為 3145728」。

    • 直接升級至 VMware Integrated OpenStack 7.0 後,無法顯示在 5.x 版中建立的防火牆

      VMware Integrated OpenStack 5.x 使用 FWaaS v1。VMware Integrated OpenStack 7.0 使用 FWaaS v2。不再需要在升級前從 FWaaS v1 移轉到 FWaaS v2。

    • 升級至 VMware Integrated OpenStack 7.0 後,在 NSX-V 環境中無法連線到中繼資料服務。

      使用 NSX-V 外掛程式從 VMware Integrated OpenStack 5.x 升級至 7.0 時,如果中繼資料 Proxy Edge 無法從 VMware Integrated OpenStack API 網路進行路由,則無法連線到中繼資料服務。

    • 同時執行多個作業時,Neutron 服務會報告 ToozConnectionError

      從 VMware Integrated OpenStack 5.x 升級至具有 NSX-V 外掛程式的 7.0 後,Neutron 服務會在執行網路相關作業時報告 ToozConnectionError,尤其是在同時執行多個作業期間。

    • 升級至 VMware Integrated OpenStack 7.0 後,無法部署 Heat 堆疊並顯示錯誤:AuthorizationFailure

      從 VMware Integrated OpenStack 5.x 升級至 7.0 後,無法部署 Heat 堆疊並顯示錯誤:AuthorizationFailure,因為並未延續保留 heat.conf 檔案中設定的使用者認證。

    • 在升級期間,keystone.conf 中的一些驗證方法未延續保留。

      從 VMware Integrated OpenStack 5.1 升級至 VMware Integrated OpenStack 7.0 期間,不會延續保留不支援的驗證方法,例如「application_credential」。

    • 升級至 VMware Integrated OpenStack 7.0 後,請求 Neutron 配額詳細資料失敗。

      如果使用者在 VMware Integrated OpenStack 5.x 中設定了負載平衡器相關的配額,則在升級至 VMware Integrated OpenStack 7.0 後,將無法請求 Neutron 配額。

    一般

    已在此版本中解決下列一般問題。

    • 如果 NSX-T Edge 識別碼與 nsx_id 不同,則 VMware Integrated OpenStack 7.0 部署會失敗。

      在 NSX-T 2.5.1 中,如果 Edge 識別碼和 NSX 識別碼具有不同的值,則新 VMware Integrated OpenStack 7.0 部署會失敗,並顯示 Neutron 伺服器錯誤「vmware_nsxlib.v3.exceptions.ResourceNotFound: 在後端找不到資源」。

    • 虛擬裝置角色標記未傳回正確的值。

      中繼資料服務未正確傳回已標記裝置的硬體位址。

    • 重新啟動資料庫網繭後,出現不一致的資料

      重新啟動資料庫網繭後,可能會有多個網繭宣告作為主節點,而這些網繭沒有形成單一叢集。

    • 虛擬機器無法連線至路由器 IPv6 閘道。

      在具有 NSX-V 6.4.8 的 VMware Integrated OpenStack 7.0 環境中,虛擬機器無法連線至路由器 IPv6 閘道。

    • 如果在建立虛擬機器時將 LatencySensitivity 設為 [高],內容「ethernetx.cTxPerDev」會設定為「1」

      如果在建立虛擬機器時將 LatencySensitivity 設為 [高],cTxPerDev 不應自動設為「1」。
      cTxPerDev 設定應與「hw:vifs_multi_thread」內容保持一致。

    • Horizon 使用者介面無法顯示日文語言

      即使在變更語言設定後,使用者仍無法在 Horizon 上看到日文語言使用者介面。

    • 「viocli delete deployment」命令將會刪除 vCenter Content Library 中儲存的備份檔案

      viocli delete deployment 命令將會刪除 vCenter Content Library 中儲存的備份檔案,而不顯示警告訊息。現在,此命令會顯示警告訊息並等待管理員確認,然後才會執行刪除。

    • 如果 vCenter 的 instanceUuid 包含大寫字母,則使用 GUI 部署 OpenStack 會失敗。

      使用 GUI 部署 OpenStack 時,如果 vCenter instanceUuid 包含大寫字母,則產生的 Nova 運算名稱將包含大寫字母,並且 VMware Integrated OpenStack 部署會失敗。無法建立 Nova 運算 CR,因為 Kubernetes 不接受含大寫字母的名稱。

    • 在 VMware Integrated OpenStack 6.0 或 7.0 部署中,透過 VIP 存取 Heat 自動調整 URL 失敗

      透過 VIP 存取 Heat 自動調整 URL 失敗,並顯示 SSLError:「憑證驗證失敗」。

    • Heat 堆疊失敗並顯示錯誤:DesignateClientPlugin 物件沒有屬性 _get_service_name。

      Heat 堆疊 (用於建立連接埠和記錄集) 失敗並顯示下列錯誤:
      錯誤: 內容錯誤: : resources.ha_proxy_vip_shared_dns.properties.zone: : 「DesignateClientPlugin」物件沒有屬性「_get_service_name」。

    • 無法使用 RBAC 在網路上建立負載平衡器

      使用 RBAC 在網路上建立 LB 失敗,並顯示類似下列內容的錯誤:「建立失敗: 無詳細資料: DriverError: 驅動程式錯誤: 找不到路由器 9e7c00b4-1e96-44fc-bcc5-ab9a7a9ef334」。

    • 建立負載平衡器時,Neutron 報告驅動程式錯誤:錯誤的 lbaas-listener 請求,無法在 NSX 後端建立虛擬伺服器。

      Neutron 報告驅動程式錯誤:錯誤的 lbaas-listener 請求: 無法在 NSX 後端建立虛擬伺服器。當多個接聽程式具有相同的憑證時,會發生此情況。

    • 使用 --cascade 選項刪除 Octavia LB 失敗

      使用「--cascade」選項刪除 Octavia 負載平衡器時,LB 將保持「PENDING_DELETE」狀態。

    • 在使用 DVS 外掛程式的部署中,利用允許的位址配對建立 Neutron 連接埠失敗並記錄 UnboundLocalError。

      在使用 DVS 外掛程式的 VMware Integrated OpenStack 7.0 部署上利用允許的位址配對建立 Neutron 連接埠時,API 呼叫可能會失敗,並顯示 HTTP/500 錯誤。Neutron 記錄將顯示採用下列格式的例外狀況:「POST failed.: UnboundLocalError: local variable 'port_security' referenced before assignment」。此問題是由於從 Python 2.7 切換到 Python 3.7 而在 VMware Integrated OpenStack 7.0 中引入了變數範圍例外狀況造成的。此問題僅影響 DVS 外掛程式。

    • 在 NSXV 外掛程式上啟用 nsxv_use_routers_as_lbaas_platform 旗標的情況下,刪除負載平衡器會導致服務 Edge 排清 conntrack 資料表。

      在上述案例中刪除負載平衡器時,LBaaSv2 驅動程式會將 VIP 從服務 Edge 應用裝置中移除。
      這會造成排清 Edge conntrack 資料表。如果 Edge 還託管了其他負載平衡器物件,將會捨棄與這些負載平衡器的連線。

    • 向 vRealize Log Insight 8.1.1 或更新版本的記錄轉送可能無法正常運作

      從 8.1.1 版開始,vRealize Log Insight 預設會在 VMware Integrated OpenStack 7.0 用於記錄轉送的連接埠 9000 上啟用 SSL 連線。但是,VMware Integrated OpenStack 7.0 將此連接埠視為 HTTP 端點,因此 vRealize Log Insight 8.1.1 將無法再接收 VMware Integrated OpenStack 記錄。為了解決此問題,VMware Integrated OpenStack 7.0.1 為客戶提供了一種方法,即使用 vRealize Log Insight 連接埠 9543 作為 Web Client 中的 HTTPS 端點。如果您想繼續使用連接埠 9000 作為 HTTP 端點,則在 vRealize Log Insight 8.1.1 或更新版本中停用「SSL 連線」。

    • Cinder 備份服務無法正常啟動和執行。

      Cinder-backup 網繭無法掛接備份 NFS,並顯示錯誤「rpc.statd 不在執行中,但進行遠端鎖定需要執行此服務。」

    已知問題

    已知問題分類如下。

      升級

      執行升級之前,請考慮下列問題。
      • 從 VMware Integrated OpenStack 5.x 升級到 7.0 後,Horizon 作業會持續重新導向至登入頁面

        升級後,Horizon 或 Ingress 網繭可能會發生問題。重新建立後將會還原正常功能。

        因應措施:執行下列步驟,以重新建立 Horizon 或 Ingress 網繭。

        1. 使用 SSH 登入管理虛擬機器。
        2. 若要重新建立 Horizon 網繭,請使用下列命令:
          kubectl get pods -n openstack|grep horizon-server| awk '{print $1}'|xargs kubectl -n openstack delete pod 
        3. 若要重新建立 Ingress 網繭,請使用下列命令:
          kubectl get pods -n openstack|grep '^ingress' | awk '{print $1}'|xargs kubectl -n openstack delete pod
      • 在升級期間,不會保留不含運算叢集的 vCenter Server 執行個體。

        如果您的 VMware Integrated OpenStack 5.1 部署中包含的 vCenter Server 執行個體未將任何運算節點新增至您的部署,則升級到 VMware Integrated OpenStack 7.0 之後,不會保留這些 vCenter Server 執行個體的設定。

        因應措施:升級完成後,將所需的 vCenter Server 執行個體新增至 VMware Integrated OpenStack 7.0 部署。

      • 如果將負載平衡器從 Neutron-lbaas 移轉到 Octavia,則沒有成員的負載平衡器將消失

        沒有成員的負載平衡器不會加以使用,因此不會進行移轉。它們會在 Neutron 資料庫同步期間消失,因為缺少後端實作。

        因應措施:在移轉之前,請移除未使用的負載平衡器。

      • 從 VMware Integrated OpenStack 5.1.0.4 升級後存在失效的 Nova 服務

        升級至 VMware Integrated OpenStack 7.0 後,5.1.0.4 中的舊版 Nova 服務會「關閉」

        [root@vioadmin1-vioshim-5dbf477dc4-2lh7s ~]# nova service-list
        +---------------------------------------------------------------------------
        | Id | Binary | Host | Zone | Status | State 
        | Updated_at | Disabled Reason | Forced down 
        |+--------------------------------------------------------------------------
        | cbe3345a-4daa-41fa-8133-60302e369533 | nova-conductor | controller02 | internal | enabled | down 
        | 2020-04-29T14:58:20.000000 | - | False |
        | cb2ebf3c-53e1-493b-979e-471a1bd2e3b9 | nova-conductor | controller01 | internal | enabled | down 
        | 2020-04-29T14:58:20.000000 | - | False |
        | 669d979a-26a2-4b85-a139-a6705a3b04f8 | nova-scheduler | controller02 | internal | enabled | down 
        | 2020-04-29T14:58:23.000000 | - | False |
        | f97b8c40-ab45-4e9c-ac3d-675f1600d5ad | nova-scheduler | controller01 | internal | enabled | down 
        | 2020-04-29T14:58:23.000000 | - | False |
        | 39312d81-841e-4399-b178-f9b7d47eba1b | nova-consoleauth | controller02 | internal | enabled | down 
        | 2020-04-29T14:58:17.000000 | - | False |
        | 793480c6-6503-4fc2-a89e-fe20a3700efb | nova-consoleauth | controller01 | internal | enabled | down 
        | 2020-04-29T14:58:16.000000 | - | False |
        |04T05:15:54.000000 | - | False |

        因應措施:移除處於「關閉」狀態的服務。

        1. 更新 Nova CR。
          viocli update nova nova-xxx
        2. 對於資訊清單參數,請設定 cron_job_service_cleaner: true,例如:
          conf:
            nova:
              neutron:
                metadata_proxy_shared_secret: .Secret:managedencryptedpasswords:data.metadata_proxy_shared_secret
              vmware:
                passthrough: "false"
                tenant_vdc: "false"
          manifests: 
            cron_job_service_cleaner: true
        3. 儲存 CR 並等待重新建立所有 Nova 網繭。

        大約一小時後,cronjob 會移除處於「關閉」狀態的所有服務。

      • 從 VMware Integrated OpenStack 5.1 升級後,LDAP 使用者無法登入

        從 VMware Integrated OpenStack 5.1 升級後,LDAP 使用者無法登入 VMware Integrated OpenStack 7.0。

        因應措施:發行 VMware Integrated OpenStack 5.1 後,Keystone 社群程式碼發生了變更。若要解決此問題,您必須更新使用者資料庫。請參閱知識庫 79373

      • 如果在 VMware Integrated OpenStack 5.x 中啟用了 Designate 元件,則在升級至 7.0 後無法更新 VMware Integrated OpenStack 5.x 中建立的區域

        VMware Integrated OpenStack 5.x 中 Designate 元件架構與 VMware Integrated OpenStack 7.0 中的架構不同。在 VMware Integrated OpenStack 5.x 中,Designate 區域的主要 IP 與負載平衡器節點的公用 IP 相對應。但是,在升級至 VMware Integrated OpenStack 7.0 後,7.0 測試平台將不會使用負載平衡器節點的公用 IP,因此區域無法對其主要 IP 提出 AXFR 請求。

        因應措施:手動將 5.x 中建立的區域主要 IP 更新為公用 VIP。下列步驟說明如何使用 bind9 後端執行更新。bind9 伺服器必須支援 modzone 作業。

        1. 選取 designate-worker-XXXXX 網繭並登入。
          osctl exec -it designate-worker-XXXXX bash
        2. 取得在 VMware Integrated OpenStack 5.1 中建立的 Designate 區域的相關資訊。在下列範例中,bind9 伺服器的 IP 位址為 192.168.111.254,Designate 區域為 test.com。
          rndc -s 192.168.111.254 -p 953 -k /etc/designate/rndc.key showzone test.com.
          zone "test.com" { type slave; file "slave.test.com.1b10d5ec-e39c-449d-b1e1-c7bf1fba02e5"; masters { 192.168.112.162 port 5354; 192.168.112.163 port 5354;}; }; 
        3. 將 Designate 區域的主要 IP 更新為 VMware Integrated OpenStack 7.0 的公用 VIP。在下列範例中,VMware Integrated OpenStack 7.0 的公用 VIP 為 192.168.112.160。
          rndc -s 192.168.111.254 -p 953 -k /etc/designate/rndc.key modzone test.com '{ type slave; file "slave.test.com.1b10d5ec-e39c-449d-b1e1-c7bf1fba02e5"; masters { 192.168.112.160 port 5354; }; };'

      一般問題

       

      • 未提供公用 API 速率限制。

        在 VMware Integrated OpenStack 7.0 中,無法在公用 API 上強制執行速率限制。

        因應措施:無。將在更新的版本中提供此功能。

      • 升級至 VMware Integrated OpenStack 7.0 後,無法將預設集區新增至現有的 LBaaS 接聽程式。

        VMware Integrated OpenStack 5.1 不支援變更 LBaaS 接聽程式的預設集區。在 VMware Integrated OpenStack 7.0 中支援此功能。但是,如果您在不具有預設集區的 VMware Integrated OpenStack 5.1 中建立 LBaaS 接聽程式,則即使升級至 VMware Integrated OpenStack 7.0,也無法將預設集區新增至接聽程式。

        因應措施:刪除受影響的接聽程式,然後重新建立。

      • 使用未連結至路由器的私人子網路建立負載平衡器會導致錯誤狀態

        透過 Neutron NSX-T 外掛程式 (例如 MP 和 Policy 外掛程式),使用未連結至路由器的私人子網路建立負載平衡器會導致負載平衡器處於錯誤狀態,並且不會向使用者報告此錯誤。

        因應措施:使用連結至路由器的子網路建立負載平衡器。

      • [Horizon 防火牆] 儀表板中遺失部分防火牆群組、原則和規則。

        [Horizon 防火牆] 儀表板旨在將共用旗標設為 true 或 false 時,顯示防火牆群組、原則和規則。如果將共用旗標保留為未設定,則不會顯示防火牆群組、原則和規則。

        因應措施:由於 OpenStack CLI 不要求設定共用旗標,因此您可以使用它來列出防火牆群組、原則和規則。或者,對於未設定共用旗標時 [Horizon 防火牆] 儀表板中的所有記錄,您可以將值更新為零或 false。從邏輯上來說,false 等同於未設定。例如:

        update firewall_groups_v2 set shared=0 where shared is NULL;
        update firewall_policies_v2 set shared=0 where shared is NULL;
        update firewall_rules_v2 set shared=0 where shared is NULL;

      • 將映像上傳至 Glance 在完成前即逾時

        使用 Horizon 或 CLI 時,將大型映像上傳至 Glance 可能會在完成前即逾時。

        • 如果使用 Horizon 使用者介面,則映像將上傳至 Horizon temp 資料夾,然後上傳至 Glance。Horizon 工作階段的時間限制為一小時。如果上傳作業未在一小時內完成,則工作階段會終止,且映像上傳程序也會中止。
        • 如果使用 CLI,則映像將上傳至可在其中轉換格式的 glance-api 工作資料夾。然後,映像會傳輸到 Glance 資料存放區。如果映像太大,該程序可能會逾時並中止。

        因應措施:若要省去上傳至 Horizon temp 檔案夾的額外步驟並節省上傳時間,請使用 CLI 上傳映像。對於大型映像,請將其放置在執行 CLI 的用戶端可存取的 Web 伺服器上,然後使用 glance async import 命令上傳映像。請參閱 https://docs.openstack.org/python-glanceclient/latest/cli/details.html#glance-task-create

        例如,您可以使用下列命令從 URL https://raw.githubusercontent.com/arnaudleg/openstack-cli-tests/master/files/cirros-0.3.0-i386-disk.vmdk 匯入映像:

        glance task-create --type import --input '{"import_from_format": "vmdk", "import_from": "https://raw.githubusercontent.com/arnaudleg/openstack-cli-tests/master/files/cirros-0.3.0-i386-disk.vmdk", "image_properties": {"name": "cirros-imported", "disk_format": "vmdk", "container_format": "bare", "vmware_adaptertype": "ide", "vmware_disktype": "streamOptimized", "vmware_ostype": "otherGuest"}}'

      • 網繭進入擱置中狀態。VMware Integrated OpenStack 管理伺服器或控制器的狀態變更為 [未就緒]。

        這種情況是由於 VMware Integrated OpenStack 管理伺服器和控制器虛擬機器上的資源爭用情形所致。當 kubelet 無法在合理的時間內完成工作時,會將 Kubernetes 節點標記為 [未就緒]。Kubernetes 會嘗試將網繭重新排程至其他可用節點。如果沒有其他節點可供使用,則網繭會進入擱置中狀態。如果單一節點上的網繭密度較高,則精簡設定更容易出現此問題。

        因應措施:若要將 Kubernetes 節點狀態從 [未就緒] 變更為 [就緒],請使用 systemctl restart kubelet 重新啟動 kubelet 服務。若要永久解決此問題,請擴充以新增控制器節點,並減少每個節點上的負載。

      • 如果在部署 OpenStack 時輸入錯誤的認證,則該精靈可能無法辨識正確的認證。

        在 OpenStack 部署程序期間,如果輸入的 vCenter Server 或 NSX Manager 認證錯誤,則該精靈可能無法辨識正確的認證。即使移除錯誤資訊並輸入正確的認證,此精靈仍可能無法驗證這些認證。

        因應措施:關閉部署精靈,然後再次開啟。

      • 如果將 CIDR 0.0.0.0/x 用作安全群組中的 IPv4 位址區塊,會在 NSX-V 後端轉譯為「any」

        使用 CIDR 0.0.0.0/x (x>0,x<=32) 設定安全群組規則時,VMware Integrated OpenStack 外掛程式會在 NSX-V 後端將其轉譯為「any」。使用 IPv6 ::/x (x>0,x<=128) 設定安全群組規則時,也適用此情況。

        因應措施:請勿使用 0.0.0.0/x 或 ::/x 位址區塊。

      • 將在 Photon OS 3.0 中變更預設存放庫位置

        VMware Integrated OpenStack 7.0 使用 Photon OS 3.0 作為 LCM 和控制器虛擬機器的作業系統。預設存放庫位置將從 bintray.com 變更為 packages.vmware.com on 25-Nov-2020。此變更將會影響使用 tdnf 命令安裝的軟體套件。

        因應措施:Bintray 上的所有套件均可從 packages.vmware.com 取得。若要存取套件,請將預設存放庫位置變更為新存放庫。請參閱此處提供的指示。

      check-circle-line exclamation-circle-line close-line
      Scroll to top icon