版本說明的內容

• 關於 VMware Integrated OpenStack
• 新增功能
• 升級至 7.1 版
• 相容性
• 取代通知
• 已解決的問題
• 已知問題

關於 VMware Integrated OpenStack

VMware Integrated OpenStack 透過簡化整合程序，大幅簡化了 OpenStack 雲端基礎結構的部署。VMware Integrated OpenStack 透過在 vCenter Server 中做為虛擬應用裝置執行的部署管理員，提供了立即可用的 OpenStack 功能和簡單的組態工作流程。

新增功能

• 支援最新版本的 VMware 產品： 
  • VMware Integrated OpenStack 7.1 與 VMware vSphere 7.0 U2、NSX-T 3.1.1 和 NSX-V 6.4.10 完全相容
• 新功能和增強功能：
  • 管理平面：
    • 支援對 VIO 管理平面進行災難復原。提供新的 viocli 命令以支援管理平面從災難復原。完整的災難復原程序會透過 SRM、vSphere Replication 和 NSX-T 多站台功能進行驗證，其涵蓋了 Nova 執行個體、Cinder 磁碟區和 Neutron 網路。在目標 DR 站台中復原部署後，使用者可以使用 VIO 管理已復原的 Nova/Cinder/Neutron 物件。
    • 支援從 Neutron NSX-T 管理外掛程式移轉至 Policy 外掛程式。 
    • 支援多個授權金鑰：允許管理員輸入多個 VIO 授權金鑰並指派金鑰以供使用。
  • OpenStack 驅動程式：
    • 支援 Octavia 類型模板。此功能允許使用者在 NSX-T 上的 VIO 所建立的負載平衡器上使用 OpenStack Octavia 類型模板功能。Neutron NSX-P 外掛程式以及 NSX-T 3.1 或更新版本支援此功能。
  • 擴充性：
    • 支援更大的擴充性。現在，憑藉 Neutron NSX-T Policy 外掛程式，一個 VIO 部署最多可支援 128 個 Nova 運算節點，最多支援 1 萬個承租人網路；將 vIDM 作為 IdP 時，最多支援 8 個 VIO 部署聯盟。

升級至 7.1 版

• 從 7.0/7.0.1 升級時，請使用 viocli patch 命令。請參閱產品安裝指南中的詳細指示。
• 從 6.0 升級時，請使用產品安裝指南中所述的藍/綠升級程序。
• VIO 7.1 不支援從 5.x 直接升級，請先升級至 7.0.1。

相容性

• 如需有關 VMware Integrated OpenStack 與其他 VMware 產品的相容性的詳細資料，請參閱《VMware 產品互通性對照表》。

取代通知 

• 以下網路功能已被取代，將在 VIO 下一版本中移除：
  • 適用於 Neutron 的 NSX Data Center for vSphere 驅動程式。
  • 適用於 Neutron 的 NSX-T 管理外掛程式將被 NSX-T Policy 外掛程式取代。
  • TVD 外掛程式，可讓單一 VMware Integrated OpenStack 部署使用 NSX Data Center for vSphere 後端和 NSX-T Data Center 後端。
• Neutron FWaaSv2 將在未來版本中被取代。

已解決的問題

已解決的問題分類如下。

• 已解決的 VIO 管理問題
• 已解決的 OpenStack 問題

• 2750794 已修正：當 VIO 管理員刪除 VIO 備份排程工作時，刪除了備份資料。

  在 VIO 7.0 中，當管理員刪除 VIO 備份排程工作時，一併刪除了 vCenter 內容程式庫上儲存的備份資料。
  在 VIO 7.1 中，刪除備份排程工作時不會刪除備份資料。

• 2738659 已修正：啟用 vCenter SSL 後，VIO 備份還原程序無法正常運作。

  啟用 vCenter SSL 後，VIO 備份還原程序無法正常運作。無法將備份資料上傳至 vCenter 內容程式庫，並報告「x509: 憑證未知授權機構」錯誤。

• 2680755 已修正：無法執行 VIO 部署精靈，並出現「vCenter 資源載入逾時」錯誤。

  VIO 7 使用 govmomi 擷取 vCenter 詳細目錄資訊。如果 DistributedVirtualPortgroup 在目標 vSphere 環境中具有用於流量篩選和標記的「MAC」或「系統流量」流量辨識符號，govmomi 將會進入危急狀態。

• 2677748 已修正：VIO Manager Web 使用者介面無法列出 OpenStack 服務狀態

  VIO Manager Web 使用者介面無法列出服務旋轉輪，並且僅顯示「找不到資源」訊息。

• 2591794 已修正：中繼資料服務在 NSX-V 環境中無法存取

  如果中繼資料 Proxy Edge 無法從 VMware Integrated OpenStack API 網路進行路由，則中繼資料服務無法存取。在這種情況下，VIO 7.1 會自動透過管理 API 連線至中繼資料 Proxy。

• 2688209 已修正：VIO 支援服務包僅包含約兩天的記錄資訊。

  在 VIO 6.0 和 7.0 中，支援服務包只能包含約兩天的記錄資訊。此記錄資訊不足，無法進行疑難排解。為了解決此問題，VIO 7.1 會啟用自動產生的記錄備份，將記錄保留時間最多增加至 7 天。

• 2707205 已修正：VIO 6/7 沒有在控制器節點上將 rp_filter 設定為寬鬆模式

  VIO 6/7 已轉換為 PhotonOS，並且沒有在控制器節點上明確設定 rp_filter，這表示其預設為「1」(RFC3704 嚴格模式)。管理網路上的應用程式可能無法連線至公用端點，因為嚴格模式設定會導致封包被捨棄。

• 2631412 已修正：VIO GUI 使用名稱為「Kubernetes 入口控制器偽憑證」的憑證

  憑證名稱是由 Nginx 入口控制器建立的預設名稱。升級至 VIO 7.1 後，將取代為適當名稱。 

• 2594923 已修正：Glance 映像的 vmware_cpu_affinity 內容不起作用。

  Glance 映像的 vmware_cpu_affinity 內容不起作用。使用此類 Glance 映像建立 Nova 執行個體時將會出現錯誤「錯誤: 欄位 vmware_cpu_affinity 中需要清單，而非字串 (HTTP 400)」

  在 VIO 7.1 中，可以按以下範例設定此內容：

  openstack image set --property vmware_cpu_affinity="[0,1]" image_name

• 2753879 已修正：由於 fwaas v1 延伸，Heat 堆疊無法更新。

  上游 Heat 仍使用 fwaas v1，且不支援 fwaas v2。但是，VIO 7 僅支援 fwaas v2。

• 2713308 已修正：未使用的基礎 Glance 映像將在 nova 快取資料夾中累積。

  未使用的基礎 Glance 映像將在 nova 快取資料夾中累積。用於清理未使用映像的後端程序無法正常運作。

• 2710808 已修正：VIO 7 在 Designate 集區中僅支援一個 ns_record

  VIO 7 在 Designate 集區中僅支援一個 ns_record，在 VIO 7.1 中對此進行了改進，能夠在 Designate 中支援多個 ns_record。

• 2707581 已修正：如果將 QoS 原則設定為預設值，則外部網路也會使用此 QoS 原則。

  如果將某個特定的 QoS 原則設定為預設值，則外部網路也會使用此 QoS 原則。對於外部網路來說，這是不正確的。

• 2705010 已修正：在 VIO 7 中無法變更具有 Octavia 的負載平衡器大小。

  Octavia LBaaS 沒有為使用者提供變更負載平衡器大小的方式。
  VIO 7.1 提供了用於設定大小的選項。

  default_edge_size = <purpose>:<edge size>[,...]
  

  支援的用途為 router、dhcp、lb。
  支援的大小為 compact、large、xlarge、quadlarge。
  例如：default_edge_size = lb:xlarge

  請使用「viocli update neutron」在 [nsxv] 區段下新增以下參數進行設定：

  conf:
    neutron: 
    plugins: 
      nsx: 
        nsxv: 
          default_edge_size: lb:xlarge

• 2701437 已修正：Glance 映像選項「vmware_create_template=false」無法正常運作。

  在以下組態下，Glance 映像無法建立 Nova 執行個體並將其開機：

  • vmware_create_template 選項在 Glance 組態中為 false 時
  • 使用者將 OpenStack CLI 與內容「vmware_create_template=false」搭配使用以建立 Glance 映像時
    例如：

  openstack image create --disk-format vmdk --file vmdk --property vmware_create_template=false imageName

• 2699470 已修正：無法在 nova 運算網繭中執行 nova-manage 命令。

  從 nova 運算網繭執行 nova-manage 命令時，將出現 DBNonExistentTable 例外狀況，因為 nova-compute.conf 中沒有 [database] 區段。

• 2688655 已修正：在 VIO 7.0.1 上，無法透過 openid 進行 OpenStack CLI 驗證

  在 VIO 7.0.1 上，無法透過 openid 進行 OpenStack CLI 驗證，並顯示 [未經授權 (HTTP 401)] 錯誤。

• 2674517 已修正：類型模板中定義的交換磁碟未正確掛接在 Nova 執行個體中。

  類型模板中定義的交換磁碟未正確掛接在 Nova 執行個體中。已在 VIO 7.1 中修正此問題，但其限制為不支援調整具有交換磁碟的虛擬機器的大小。

• 2672946 已修正：如果主機彙總名稱具有某些特定條件，Nova 運算 AZ 設定網繭會進入 CrashLoopBackOff 狀態。

  如果 AZ nova 中存在名為「nova」的主機彙總，並且同一區域中存在與「^.*nova$」相符的名為「xxxxx-nova」的另一個主機彙總 (例如 5-nova)，則 Nova 運算 AZ 設定網繭將進入 CrashLoopBackOff 狀態。

• 2656225 已修正：使用者無法透過 Horizon 使用者介面開啟虛擬機器主控台，並顯示錯誤「錯誤: 主控台目前無法使用」

  在某些情況下，Horizon 無法顯示虛擬機器主控台，並顯示錯誤「錯誤: 主控台目前無法使用」。如果 vmx 組態路徑變長，nova-compute 無法插入包含 MKS 票證資訊和資料庫的 vmx 組態路徑的資料列，則會造成此情況。例如，對 VIO 執行個體執行 SvMotion 會導致 vmx 組態路徑變為更長的字串。

• 2652286 已修正：LB 健全狀況監控器刪除失敗，並顯示「伺服器端錯誤: 『NoneType』物件沒有屬性『load_balancer_id』」

  這是 Octavia 服務中的錯誤，會影響 VMware NSX 外掛程式。在某些情況下，Octavia 服務無法擷取與健全狀況監控器對應的集區，從而觸發了此錯誤。此錯誤目前處於待解決狀態，並且可在以下網址進行追蹤：https://storyboard.openstack.org/#!/story/2008231

• 2678067 已修正：Windows Nova 虛擬機器的滑鼠游標無法透過 Horizon Console 持續運作

  在任何瀏覽器上存取 Horizon Console 時，Windows 虛擬機器的游標將不會回應，除非使用 Tab 鍵或 Ctrl 鍵並按一下。最終，將會再次停止回應按一下滑鼠左鍵。

• 2755304 已修正：Octavia LB 狀態變更交易失敗，並停滯在 PENDING_DELETE 狀態。

  Octavia 使用 UNIX 通訊端在驅動程式代理程式內部進行通訊。寫入此通訊端時偶爾會出現逾時，進而導致狀態變更交易失敗。針對狀態變更交易新增了重試機制。

• 2643797 已修正：設定 trusted_dashboard 時，會將 Horizon FQDN 作為 IP 位址儲存在 kystone.conf 中，而非 FQDN 名稱。

  設定 keystone 的聯盟設定時，會將提供的 Horizon FQDN 作為 IP 位址儲存在 keystone 組態檔中，而非提供的 FQDN 名稱。

  viocli update keystone
  conf: 
    keystone: 
      federation: 
        trusted_dashboard: https://HorizonFQDN/auth/websso/

已知問題

• 未提供公用 API 速率限制。

  在 VMware Integrated OpenStack 7.1 中，無法在公用 API 上強制執行速率限制。

  因應措施：無。將在更新的版本中提供此功能。

• 使用未連結至路由器的私人子網路建立負載平衡器會導致錯誤狀態

  透過 Neutron NSX-T 外掛程式 (例如 MP 和 Policy 外掛程式)，使用未連結至路由器的私人子網路建立負載平衡器會導致負載平衡器處於錯誤狀態，並且不會向使用者報告此錯誤。

  因應措施：使用連結至路由器的子網路建立負載平衡器。

• 如果在部署 OpenStack 時輸入錯誤的認證，則該精靈可能無法辨識正確的認證。

  在 OpenStack 部署程序期間，如果輸入的 vCenter Server 或 NSX Manager 認證錯誤，則該精靈可能無法辨識正確的認證。即使移除錯誤資訊並輸入正確的認證，此精靈仍可能無法驗證這些認證。

  因應措施：關閉部署精靈，然後再次開啟。

• 在 NSX-V Neutron 外掛程式中的直接連接埠上，無法強制執行 OpenStack 連接埠安全性

  對於具有 vnic-type direct 的連接埠，啟用連接埠安全性可能無效。安全性功能不適用於直接連接埠。

  因應措施：無。

• 如果 vCenter 和 NSX 密碼包含 $$，則無法登入 VIO

  如果為基礎 vCenter 和 NSX 設定的 VIO 帳戶使用包含「$$」的密碼，則 VIO 會因密碼中使用了「$$」而無法完成 vCenter 和 NSX 的驗證。OpenStack 網繭會進入 CrashLoopBackOff 狀態。

  因應措施：請使用不含「$$」的其他密碼。

• 負載平衡器停滯在 PENDING_XXX 狀態，無法操作。

  當 octavia-api 網繭中的 octavia-da 當機時，建立、修改或刪除的每個負載平衡器都會發生此停滯問題。

  因應措施：在 octavia 中，這些負載平衡器已無法再使用。應手動將其從 octavia 資料庫中移除。

• 使用者無法從 OpenStack CLI 用戶端下載 Glance 映像

  從 OpenStack CLI 下載映像時，發生錯誤：「[Errno 32] 下載的映像已損毀。」這是因為 VIO 預設將映像作為虛擬機器範本儲存在 vSphere 資料存放區中。md5sum 值未儲存在 VMDK 和虛擬機器範本中。

  因應措施：在以下組態下，可以下載 Glance 映像：

  • vmware_create_template 選項在 Glance 組態中為 false
  • 使用者將 OpenStack CLI 與內容「vmware_create_template=false」搭配使用以建立 Glance 映像
• 將防火牆群組設定為以系統管理方式關閉 (狀態=關閉) 後，即使將防火牆群組管理狀態恢復為 [啟動]，防火牆群組的運作狀態也始終為 [關閉]

  在不涉及新增連接埠或從防火牆群組移除連接埠的轉換過程中，neutron-fwaas 服務將忽略變更運作狀態。

  因應措施：可以新增或移除連接埠，也可以新增和移除已繫結至防火牆群組的連接埠。

• 如果 vCenter 和 NSX 憑證由中繼 CA 簽署，則必須選擇略過憑證驗證

  如果 vCenter 和 NSX 憑證由中繼 CA 簽署，則某些 VIO 服務無法正確設定以進行憑證驗證。失敗可能會以各種形式顯示。例如，新增或編輯 vCenter 或 NSX 時，無法取消選取「略過憑證驗證」。

  因應措施：從使用者介面中選擇「略過憑證驗證」，然後編輯 vCenter 和 NSX CR 並將 spec.insecure 設定為 true。

• 按一下 Neutron 區段上的編輯並儲存意外啟用了多點傳播

  在 NSX-T Policy 使用者介面中，如果在多點傳播路由中進行了任何不相關的變更，將在區段上啟用多點傳播路由。

  因應措施：編輯區段時，在使用者介面中明確停用多點傳播。

• 新增成員作業失敗，並顯示「提供者『vmwareedge』報告錯誤: 無法擷取憑證::」(HTTP 狀態 500)

  無法在 HTTPS _TERMINATED Octavia 負載平衡器中新增或移除成員。

  因應措施：使用 OpenStack CLI 新增或移除成員。

  1.針對所有受影響的使用者擷取 tls_container_ref

  2.找到容器、密碼和憑證 URI

  3.擷取 Octavia 服務使用者識別碼

  4.將步驟 2 中擷取的 URI 新增至步驟 3 中擷取的使用者識別碼的 ACL

• 在大規模 MP2P 移轉期間，第 1 層閘道無法完全復原

  某些第 1 層閘道無法完全復原，並且在大規模 MP2P 移轉期間刪除狀態仍保持進行中。由於移轉期間發生錯誤，可能導致復原失敗。

  因應措施：還原 UA 並重新移轉。

• Keystone 聯盟中出現重複項目錯誤

  將 Keystone 聯盟中的 OIDC 刪除後，如果同一使用者嘗試使用 OIDC 登入，則驗證會失敗，並顯示 409 訊息。

  因應措施：透過 Horizon 或 OpenStack CLI 刪除使用者。

  例如：

  1.在 Horizon 中，使用管理員帳戶登入。

  2.設定具有同盟網域的網域內容。

  3.在使用者頁面中，刪除 [使用者名稱] 資料行為無的使用者。

  在 OpenStack CLI 中

  openstack user list --domain <federated domain name>

  openstack user delete <user id> --domain <federated domain name>

• 移轉成功後，VIO 支援服務包中不會提供移轉程式網繭記錄
   

  移轉成功後，VIO 控制平面會進行重新設定，並且會刪除移轉程式網繭。因此，無法在支援服務包上擷取其記錄。

  因應措施：移轉程式網繭的記錄位於控制器節點上，並且在 /var/log/vmware/mp2p_migration.log 中執行並儲存。可以透過 viossh 存取控制器節點以擷取記錄檔。這些記錄檔僅在執行工作的控制器上可用，因此可能需要逐一查看數個控制器，直到找到這些記錄檔。

• 如果存在 1 萬個 Neutron 承租人網路，則無法啟用 Ceilometer

  如果存在大量資源 (例如 vSphere 中建立的網路)，VIO 將為這些物件產生許多客戶資源。如果 CR 數目太大，則後端 API 上的 VIO Manager Web 使用者介面將會失敗，因為回應資料對於 HTTP 要求來說過大。

  因應措施：在 VIO Manager 中，手動刪除探索客戶資源。

  可以使用以下命令列出 CR：

  kubectl -n openstack get discoveries.vio.vmware.com

  可以使用以下命令刪除 CR。例如：

  kubectl -n openstack delete discoveries.vio.vmware.com vcenter-vcenter2-networks-2

• 憑證在還原後需要進行 CA 簽署並重新套用

  包含 vio 私密金鑰和憑證的憑證密碼目前不在備份範圍內。進行非就地還原後，先前匯入的憑證將不存在於新部署中。

  因應措施：

  1.儲存原始部署中的憑證密碼
  osctl get secret certs -oyaml > certs.yaml
  2. 還原後，將憑證密碼中的「private_key」和「vio_certificate」值取代為步驟 1 中的資料。
  3. 停止/啟動服務。

• 無法在特定的 nova 運算節點上建立執行個體，並且 nova 運算記錄停滯。

  建立執行個體時，它處於 [建置] 狀態且永遠不會成功。檢查 nova-compute 記錄，其中只有幾條記錄，沒有更多資訊。

  因應措施：手動重新啟動 novacompute 網繭。

• 儲存 Horizon 使用者介面中的防火牆規則變更時沒有回應。

  如果在編輯防火牆規則時任何標有「*」的必要選項未進行更新，則儲存變更時沒有使用者介面回應。

  因應措施：編輯防火牆規則時，請更新所有必要選項。

• 從 VIO Manager Web 使用者介面變更 vCenter 使用者名稱和密碼後，部分第 2 天作業無法運作。

  當使用者在 VIO Manager Web 使用者介面中更新 vCenter 認證時，OpenStack 服務可以運作。但是，由於 k8s 雲端提供者中的 vCenter 密碼和 cluster-api 未更新，VIO 的控制平面無法與 vCenter 通訊。

  因應措施：使用「kubectl patch secret」命令更新 VIO Manager 中的 vCenter 認證。

  檢查目前的 vc-credential 密碼資訊：

  kubectl -n kube-system get secret viocluster1-vc-credentials -o yaml 
  kubectl -n openstack get secret viocluster1-vc-credentials -o yaml
  

  使用新的使用者名稱/密碼 (採用 base64 格式) 更新 vc-credentials 密碼：

  kubectl -n kube-system patch secret viocluster1-vc-credentials --patch \
  '{"data": {"your_vcenter.password": "password_in_base64", "your_vcenter.username": "username_in_base64"}}'
  kubectl -n openstack patch secret viocluster1-vc-credentials --patch \
  '{"data": {"password": “password_in_base64", "username": "username_in_base64"}}'
  

• 使用 SAML 聯盟 IdP 登入時，Horizon 使用者介面顯示「xmltooling::IOException」。

  如果 VIO 已設定外部 SAML IdP，當使用者嘗試使用 SAML 聯盟登入時，將會出現「xmltooling::IOException」錯誤。

  因應措施：在瀏覽器中按一下 [重新整理] 按鈕，使用者將會進入 IdP 登入頁面。

• 使用「viocli update」命令更新 CR 時，如果輸入大型整數做為值，可能會發生錯誤。例如，profile_fb_size_kb：2097152。

  在某些情況下，VIO Helm 圖會將大型整數轉換為科學記號標記法。

  因應措施：為大型整數加上引號。例如，profile_fb_size_kb："2097152"。

• 控制器節點上的快照會阻止某些 VIO 作業。

  如果控制器節點的快照存在，則無法移動控制器節點上的持續性磁碟區。因此，VIO 不支援建立控制器的快照。

  因應措施：刪除控制器節點上的所有快照。

• 依預設，從映像建立的磁碟區始終可開機。

  如果在從映像建立磁碟區時包含 --non-bootable 參數，則參數不會生效。

  因應措施：建立磁碟區後，請將其更新為不可開機。