Ocataバージョンのリリースノート

15.1.5-28

セキュリティー上の問題

• OSSA-2019-003: Nova Server Resource Faults Leak External Exception Details (CVE-2019-14433)

  This release contains a security fix for bug 1837877 where users without the admin role can be exposed to sensitive error details in the server resource fault message.

  There is a behavior change where non-nova exceptions will only record the exception class name in the fault message field which is exposed to all users, regardless of the admin role.

  The fault details, which are only exposed to users with the admin role, will continue to include the traceback and also include the exception value which for non-nova exceptions is what used to be exposed in the fault message field. Meaning, the information that admins could see for server faults is still available, but the exception value may be in details rather than message now.

バグ修正

• When testing whether direct IO is possible on the backing storage for an instance, Nova now uses a block size of 4096 bytes instead of 512 bytes, avoiding issues when the underlying block device has sectors larger than 512 bytes. See bug https://launchpad.net/bugs/1801702 for details.

15.1.5

セキュリティー上の問題

• The 'AMD-SSBD' and 'AMD-NO-SSB' flags have been added to the list of available choices for the [libvirt]/cpu_model_extra_flags config option. These are important for proper mitigation of security issues in AMD CPUs. For more information see https://www.redhat.com/archives/libvir-list/2018-June/msg01111.html

その他の注意点

• instance.shutdown.end versioned notification will have an empty ip_addresses field since the network resources associated with the instance are deallocated before this notification is sent, which is actually more accurate. Consumers should rely on the instance.shutdown.start notification if they need the network information for the instance when it is being deleted.

15.1.4

セキュリティー上の問題

• A new policy rule, os_compute_api:servers:create:zero_disk_flavor, has been introduced which defaults to rule:admin_or_owner for backward compatibility, but can be configured to make the compute API enforce that server create requests using a flavor with zero root disk must be volume-backed or fail with a 403 HTTPForbidden error.

  Allowing image-backed servers with a zero root disk flavor can be potentially hazardous if users are allowed to upload their own images, since an instance created with a zero root disk flavor gets its size from the image, which can be unexpectedly large and exhaust local disk on the compute host. See https://bugs.launchpad.net/nova/+bug/1739646 for more details.

  While this is introduced in a backward-compatible way, the default will be changed to rule:admin_api in a subsequent release. It is advised that you communicate this change to your users before turning on enforcement since it will result in a compute API behavior change.

15.1.3

セキュリティー上の問題

• The 'SSBD' and 'VIRT-SSBD' cpu flags have been added to the list of available choices for the [libvirt]/cpu_model_extra_flags config option. These are important for proper mitigation of the Spectre 3a and 4 CVEs. Note that the use of either of these flags require updated packages below nova, including libvirt, qemu (specifically >=2.9.0 for virt-ssbd), linux, and system firmware. For more information see https://www.us-cert.gov/ncas/alerts/TA18-141A

15.1.1

紹介

This release includes fixes for security vulnerabilities.

アップグレード時の注意

• Starting in Ocata, there is a behavior change where aggregate-based overcommit ratios will no longer be honored during scheduling for the FilterScheduler. Instead, overcommit values must be set on a per-compute-node basis in the Nova configuration files.

  If you have been relying on per-aggregate overcommit, during your upgrade, you must change to using per-compute-node overcommit ratios in order for your scheduling behavior to stay consistent. Otherwise, you may notice increased NoValidHost scheduling failures as the aggregate-based overcommit is no longer being considered.

  You can safely remove the AggregateCoreFilter, AggregateRamFilter, and AggregateDiskFilter from your [filter_scheduler]enabled_filters and you do not need to replace them with any other core/ram/disk filters. The placement query in the FilterScheduler takes care of the core/ram/disk filtering, so CoreFilter, RamFilter, and DiskFilter are redundant.

  Please see the mailing list thread for more information: http://lists.openstack.org/pipermail/openstack-operators/2018-January/014748.html

セキュリティー上の問題

• [CVE-2017-18191] Swapping encrypted volumes can lead to data loss and a possible compute host DOS attack.

  • Bug 1739593

バグ修正

• The delete_host command has been added in nova-manage cell_v2 to delete a host from a cell (host mappings). The force option has been added in nova-manage cell_v2 delete_cell. If the force option is specified, a cell can be deleted even if the cell has hosts.

• If scheduling fails during rebuild the server instance will go to ERROR state and a fault will be recorded. Bug 1744325

• The libvirt driver now allows specifying individual CPU feature flags for guests, via a new configuration attribute [libvirt]/cpu_model_extra_flags -- only with custom as the [libvirt]/cpu_model. Refer to its documentation in nova.conf for usage details.

  One of the motivations for this is to alleviate the performance degradation (caused as a result of applying the "Meltdown" CVE fixes) for guests running with certain Intel-based virtual CPU models. This guest performance impact is reduced by exposing the CPU feature flag 'PCID' ("Process-Context ID") to the guest CPU, assuming that it is available in the physical hardware itself.

  Note that besides custom, Nova's libvirt driver has two other CPU modes: host-model (which is the default), and host-passthrough. Refer to the [libvirt]/cpu_model_extra_flags documentation for what to do when you are using either of those CPU modes in context of 'PCID'.

15.1.0

既知の問題

• Nova does not support running the nova-api service under mod_wsgi or uwsgi in Ocata. There are some experimental scripts that have been available for years which allow you do to this, but doing so in Ocata results in possible failures to list and show instance details in a cells v2 setup. See bug 1661360 for details.

アップグレード時の注意

• This release contains a schema migration for the nova_api database in order to address bug 1738094:

  https://bugs.launchpad.net/nova/+bug/1738094

  The migration is optional and can be postponed if you have not been affected by the bug. The bug manifests itself through "Data too long for column 'spec'" database errors.

バグ修正

• The fix for OSSA-2017-005 (CVE-2017-16239) was too far-reaching in that rebuilds can now fail based on scheduling filters that should not apply to rebuild. For example, a rebuild of an instance on a disabled compute host could fail whereas it would not before the fix for CVE-2017-16239. Similarly, rebuilding an instance on a host that is at capacity for vcpu, memory or disk could fail since the scheduler filters would treat it as a new build request even though the rebuild is not claiming new resources.

  Therefore this release contains a fix for those regressions in scheduling behavior on rebuild while maintaining the original fix for CVE-2017-16239.

  注釈

  The fix relies on a RUN_ON_REBUILD variable which is checked for all scheduler filters during a rebuild. The reasoning behind the value for that variable depends on each filter. If you have out-of-tree scheduler filters, you will likely need to assess whether or not they need to override the default value (False) for the new variable.

• Fixes bug 1695861 in which the aggregate API accepted requests that have availability zone names including ':'. With this fix, a creation of an availabilty zone whose name includes ':' results in a 400 BadRequest error response.

• This release includes a fix for bug 1733886 which was a regression introduced in the 2.36 API microversion where the force parameter was missing from the PUT /os-quota-sets/{tenant_id} API request schema so users could not force quota updates with microversion 2.36 or later. The bug is now fixed so that the force parameter can once again be specified during quota updates. There is no new microversion for this change since it is an admin-only API.

15.0.8

セキュリティー上の問題

• OSSA-2017-005: Nova Filter Scheduler bypass through rebuild action

  By rebuilding an instance, an authenticated user may be able to circumvent the FilterScheduler bypassing imposed filters (for example, the ImagePropertiesFilter or the IsolatedHostsFilter). All setups using the FilterScheduler (or CachingScheduler) are affected.

  The fix is in the nova-api and nova-conductor services.

15.0.7

バグ修正

• 正確には、[scheduler]/driver 設定オプションにあるカスタムドライバーエントリーポイントの名前を使うことによってカスタムスケジューラードライバーの使用を許可します。setup.cfg のエントリーポイントも更新しなくてはなりません。

• Physical network name will be retrieved from a multi-segment network. The current implementation will retrieve the physical network name for the first segment that provides it. This is mostly intended to support a combination of vxlan and vlan segments. Additional work will be required to support a case of multiple vlan segments associated with different physical networks.

15.0.5

バグ修正

• Includes the fix for bug 1673613 which could cause issues when upgrading and running nova-manage cell_v2 simple_cell_setup or nova-manage cell_v2 map_cell0 where the database connection is read from config and has special characters in the URL.

• cell データベースが確立する接続方法のためデータベース接続の重要な増加があり、bug 1691545 で修正されました。この修正で、 API サービスのデータベース接続に関するオブジェクトはキャッシュされ、 cell データベースと連携するたびに新しい接続を作成することをせず、再利用するようになりました。

15.0.2

紹介

This release includes fixes for security vulnerabilities.

セキュリティー上の問題

• [CVE-2017-7214] Failed notification payload is dumped in logs with auth secrets

  • バグ 1673569

15.0.1

紹介

15.0.1 Ocata リリースはいくつかの高い深刻な、高いインパクトのバグである修正を含みます。もしまだ 15.0.0 にアップグレードしていなければ、直接 15.0.1 にアップグレードすることを推奨します。

既知の問題

• bug 1671648 で報告された Ocata における知られた回帰バグがあります。コンピュートノードでサーバー作成に失敗すると他のコンピュートノードでリトライしないというものです。このバグに対する修正は、15.0.2 リリースで提供され、動作するでしょう。

致命的な問題

• Bug 1670627 is fixed. This bug led to potential over-quota errors after several failed server build attempts, resulting in quota usage to reach the limit even though the servers were deleted.

  Unfortunately the nova-manage project quota_usage_refresh command will not reset the usages to fix this problem once encountered.

  If the project should not have any outstanding resource usage, then one possible workaround is to delete the existing quota usage for the project:

  ``nova quota-delete --tenant <tenant_id>``
  

  That will cleanup the project_user_quotas, quota_usages and reservations tables for the given project in the nova database and reset the quota limits for the project back to the defaults defined in nova.conf.

バグ修正

• 15.0.0 Ocata リリース における回帰であった bug 1670522 を修正しました。 この修正なしには、virt_type が "kvm" または "qemu" でない、たとえば "xen" である libvirt ドライバで動作するコンピュートノードに対して、libvirt >= 1.3.3 かつ QEMU >= 2.7.0 ではデフォルトでサーバー作成に失敗します。

• Bug 1665263 is fixed. This was a regression where instance.delete.start and instance.delete.end notifications were not emitted when deleting an instance in ERROR state due to a failed build.

15.0.0

紹介

Neutron は新しいデプロイメントのデフォルト設定になりました。

15.0.0 は多くの新しい機能とバグ修正を含みます。すべての変更を述べるには難しいです。すくなくともアップグレードセクションは読むようお願いします。そこにはあなたのクラウドを 14.0.0（Newton）から 15.0.0（Ocata）にアップグレードするために必要なアクションが記述されています。

つまり、少しの主たる変更は述べる価値があります。これは息切れするほどのリストではありません:

• Ocata でサポートされる最新 API マイクロバージョンは v2.42 です。14.0.0 Newton リリース移行で追加された REST API マイクロバージョンの詳細は REST API Version History ページで見つけられます。

• Nova の フィルタースケジューラードライバーは新しい Placement RESTful API エンドポイントに基づいたスケジューリング決定をすることができるようになりました。これは Ocata では必須になりました。したがって、もしリソース使用量を提供できるように [placement] セクションを追加する設定を修正していなければ、 compute ノードは開始を拒否します。しばらくの間、CPU、RAM、ディスクリソース使用量だけが Placement API により検証されますが、次のリリースではより多くのリソースクラスを追加する計画があります。さらなる詳細は以下の機能とアップグレードのセクション、それに Placement API ページを参照してください。

• Ocata はたくさんの新しい CellsV2 機能を含みますが、そのすべてはまったく商用に適していません。すべてのデプロイメントは存在するノードをセルにセットアップし、データベース接続と MQ transport_url 設定アイテムをそのセルと合わせなくてはなりません。後続のリリースでは、追加のセルが完全にサポートされるでしょう、また、CellsV1 ユーザーへの移行パスも。デフォルトでは、Ocata デプロイメントは少なくとも一つの新しい "Cell V2" （セルの最初のバージョンと混同しない）を設定する必要があります。Newton では、一つの cell V2 をデプロイしてスケジュールすることが可能でしたが、これはオプションでした。Ocata では、単一 CellsV2 デプロイは必須です。より詳細は以下のリリースノートを読めば見つかります。

• 新しい nova-status コマンドにより、運用者はより良くクラウドが見られるようになりました。特に、新しいサブコマンド "upgrade" により、運用者はアップグレード前にそれらのデプロイメントを事前にチェックすることができます。これはプロアクティブに起こるであろうアップグレードの問題を特定することを助けます。

新機能

• Updates the network metadata that is passed to configdrive by the Ironic virt driver. The metadata now includes network information about port groups and their associated ports. It will be used to configure port groups on the baremetal instance side.

• Adding aarch64 to the list of supported architectures for NUMA and hugepage features. This requires libvirt>=1.2.7 for NUMA, libvirt>=1.2.8 for hugepage and qemu v2.1.0 for both.

• OSprofiler サポートが追加されました。 このプロジェクト間プロファイリングライブラリは、これをサポートするすべての OpenStack サービスのさまざまなリクエストをトレースすることを可能にします。 OpenStack リクエストトレースを開始するには、 --profile <HMAC_KEY> オプションを CLI コマンドに追加する必要があります。 この鍵は nova.conf ファイルにある [profiler] 設定オプションの下の hmac_keys オプションで定義された秘密鍵の一つが存在する必要があります。Nova のプロファイリングを有効無効にするには、同じセクション下の適切な enabled オプションを True または False`にする必要があります。デフォルトでは、Nova はすべての API と RPC リクエストを追跡するでしょうが、DB リクエストも同様に追跡する機会があります。この目的には、`trace_sqlalchemy オプションを True に設定する必要があります。前提として、 OSProfiler ライブラリとそのストレージバックエンドが環境にインストールされる必要があります。もしそう（もしプロファイリングが nova.conf で有効）、追跡は次のコマンドで生成できます、たとえば $ nova --profile SECRET_KEY boot --image <image> --flavor <flavor> <name>。結果の最後には、メッセージに <trace_id> があります。またすばらしい HTML グラフを出力するには、次のコマンドを使用すべきです $ osprofiler trace show <trace_id> --html --out result.html

• 次のバージョンが付与された swap volume 通知が compute manager に追加されました:

  • instance.volume_swap.start

  • instance.volume_swap.end

  • instance.volume_swap.error

• データベースから全ての削除した行をアーカイブするサポートが``nova-manage db archive_deleted_rows``コマンドに追加されました。``--until-complete``オプションはもうアーカイブする行がなくなるまで継続的にプロセスを実行します。

• Virtuozzo hypervisor now supports ephemeral disks for containers.

• 参照の作成、削除、更新と extra specの更新のようなフレーバー操作に関するバージョンが付与された通知をサポートします。

• Hyper-V ドライバは、個別にインスタンスのローカルディスクに適用される IO 制限を指定できるように、クォータフレーバー extra specs をサポートするようになりました。

  • quota:disk_total_bytes_sec

  • quota:disk_total_iops_sec - those are normalized IOPS, thus each IO request is accounted for as 1 normalized IO if the size of the request is less than or equal to a predefined base size (8KB).

  また、SMB Cinder バックエンドに対して、次の Cinder フロントエンド QoS specs をサポートします:

  • total_bytes_sec

  • total_iops_sec - 正規化された IOPS

• The Hyper-V driver now uses os-brick for volume related operations, introducing the following new features:

  • パススルーでファイバーチャネルでのボリューム接続

  • 利用可能な時に事前定義されたイニシエーター HBAのリストを使い、複数の iSCSI ターゲットまたはポータルに接続するように iSCSI MPIO のサポートを改善しました。

• Ironic virt ドライバに クラッシュダンプトリガーのサポートを追加しました。この機能は Ironic サービスが API バージョン 1.29 またはそれ以降をサポートする必要があります。また、python-ironicclient >= 1.11.0 が必要です。

• Ironic virt ドライバに ソフトリブートのサポートを追加しました。Ironic のハードウェアドライバがソフトリブートをサポートしていなければ、ハードリブートを実行します。この機能は Ironic サービスが API バージョン 1.27 またはそれ以降をサポートする必要があります。また、python-ironicclient >= 1.10.0 が必要です。

• Ironic virt ドライバに ソフトパワーオフのサポートを追加しました。この機能は Ironic サービスが API バージョン 1.27 またはそれ以降をサポートする必要があります。また、python-ironicclient >= 1.10.0 が必要です。

• Virtuozzo hypervisor now supports libvirt callback to set admin password. Requires libvirt>=2.0.0.

• The XenServer compute driver now supports hot-plugging virtual network interfaces.

• The same policy rule (os_compute_api:os-server-groups) was being used for all actions (show, index, delete, create) for server_groups REST APIs. It was thus impossible to provide different RBAC for specific actions based on roles. To address this changes were made to have separate policy rules for each action. The original rule (os_compute_api:os-server-groups) is left unchanged for backward compatibility.

• The libvirt driver now has a live_migration_scheme configuration option which should be used where the live_migration_uri would previously have been configured with non-default scheme.

• nova Hyper-V ドライバは OVS VIF を接続できるようになりました。これは neutron-hyperv-agent の代わりに L2 agent として neutron-ovs-agent が使えることを意味します。OVS VIF を接続するために、"hyperv" セクションから設定オプション "vswitch_name" が OVS 拡張を有効にした vSwitch に設定しなくてはなりません。ホットプラグは Windows / Hyper-V Server 2016 + Generation 2 VM でのみサポートされます。古い Hyper-V バージョンは VMがオフである vNIC に接続するのみサポートします。

• nova Hyper-V ドライバは PCI パススルーデバイスを Hyper-V インスタンスに追加（離散的なデバイスアサイン）するのをサポートするようになりました。この機能は Windows / Hyper-V Server 2016 で導入され、ホストの PCI デバイス（たとえば GPU デバイス）を直接 Hyper-V インスタンスに接続することを提供します。この機能の利益を得るには、Hyper-V compute ノードが SR-IOV をサポートし、 割り当て可能な PCI デバイスを持たなくてはなりません。これは次の powershell コマンドを実行することで容易にチェックできます:

  Start-BitsTransfer https://raw.githubusercontent.com/Microsoft/Virtualization-Documentation/master/hyperv-samples/benarm-powershell/DDA/survey-dda.ps1
  .\survey-dda.ps1
  

  The script above will print a list of assignable PCI devices available on the host, and if the host supports SR-IOV.

  もしホストがこの機能をサポートし少なくとも割り当て可能な PCI デバイスを持つならば、ホストはそれらの PCI デバイスが仮想マシンに割り当てられるように設定しなくてはなりません。どのように設定するかの情報はこのガイドを参照してください [1]

  compute ノードが設定された後、 nova-api、nova-scheduler、nova-compute サービスが [2] のように設定されなければなりません。

  [1] https://blogs.technet.microsoft.com/heyscriptingguy/2016/07/14/passing-through-devices-to-hyper-v-vms-by-using-discrete-device-assignment/ [2] http://docs.openstack.org/admin-guide/compute-pci-passthrough.html

• Hyper-V ドライバに起動順序サポートを追加しました。HyperV ドライバは第二世代の仮想マシン（イメージが "hw_machine_type=hyperv-gen2" プロパティを持っている）の要求された起動順序を設定できます。第一世代については、起動した仮想マシンの起動順序はイメージが ISO のみ変更でき、ISO を最初に起動します。

• nova Hyper-V ドライバは対照 NUMA トポロジーをサポートするようになりました。これは、NUMA トポロジーの全ての NUMA ノードが同じ量の vCPU とメモリーを持たなくてはならないことを意味します。フレーバー extra spec に"hw:numa_nodes"、またはイメージプロパティ "hw_numa_nodes" を持つことで容易に要求されます。NUMA トポロジーのインスタンスは動的にメモリーが有効に持てません。したがって、もし インスタンスが NUMA トポロジーを要求するならば、compute ノードの "nova.conf" ファイルにある "dynamic_memory_ratio" 設定オプションの値セットに関わらず、動的メモリーなしで生成されます。この機能から恩恵を得るには、ホストの NUMA スパニングは無効にしなくてはなりません。Hyper-V は CPU ピニングを保証しませんので、nova Hyper-V ドライバはフレーバー extra spec "hw:cpu_policy" またはイメージプロパティー "hw_cpu_policy" を "dedicated" であるインスタンスを生成しません。

• Hyper-V 仮想マシンのセキュアブートを可能とするサポートを追加しました。そのような仮想マシンを作成するためにいくつか考慮することがあります:

  • イメージは第二世代仮想マシンに対して準備されるべきです。イメージ属性 "hw_machine_type=hyperv-gen2" は必須です。

  • 正しくVMを生み出すため、ゲストOSタイプは指定されなくてはなりません。イメージプロパティ "os_type" で指定されます。受付可能な値は"windows" または "linux"です。

  • UEFI セキュアブート機能はイメージプロパティ "os_secure_boot"（ 受け入れる値: "disabled"、 "optional"、 "required"）またはフレーバーのextra spec "os:secure_boot"（受け入れる値: "disabled"、 "required"）により要求することができます。フレーバーの extra spec は優先順位を取ります。もしイメージプロパティとフレーバー extra spec が競合したら例外が上がります。

  • This feature is supported on Windows / Hyper-V Server 2012 R2 for Windows guests, and Windows / Hyper-V Server 2016 for both Windows and Linux guests.

• 暗号化プロバイダ定数が導入され、内部に含まれるプロバイダー実装と関連するサポートするLUKなどの暗号化フォーマットが詳細化されました。これらの定数は与えられた暗号化フォーマットに対して暗号化プロバイダー実装を一意化するために使われます。

• Ironic ドライバにシリアルコンソールのサポートを追加しました。Nova は Ironic の socat コンソールドライバで Ironic ベアメタルのシリアルコンソールをサポートします。この機能を使うためには、シリアルコンソールが Nova で設定され、Ironic socat コンソールドライバが Ironic で使われ設定されていなくてはなりません。ironic シリアルコンソール設定は http://docs.openstack.org/developer/ironic/deploy/console.html に文書化されています。

• ライブマイグレーションは virt_type=parallels をつかうと Virtuozzo コンテナと仮想マシン両方をサポートします。

• 次のレガシー通知は新しいバージョンが付与されたペイロードに変換されました:

  • aggregate.create

  • aggregate.delete

  • instance.create

  • instance.finish_resize

  • instance.power_off

  • instance.resume

  • instance.shelve_offload

  • instance.shutdown

  • instance.snapshot

  • instance.unpause

  • instance.unshelve

  すべてのバージョンが付与された通知は doc/notification_samples ディレクトリ配下にサンプルファイルを持ちます。より詳細な情報は http://docs.openstack.org/developer/nova/notifications.html を参照してください。

• 最新リリースにアップグレードする準備をするとき、デプロイが整っているかチェック新しい nova-status upgrade check CLI が提供されました。このツールはより以前のリリース、たとえば14.0.3 Newton リリースからインストールし直し、アップグレード両方に対応します。成功の度合いにより複数チェックがあり得ます。コマンドの詳細と結果の解釈は nova-status man page にあります。

• すべてのデプロイメントは単一セル環境として機能します。複数の v2 セルは技術的には可能ですが、多くの他のことがセル境界を越えて動作しないので、評価でのみ使用されるべきです。cells v2 に関する詳細とNova cells v2 に必要なセットアップは cells のドキュメントを参照してください。 [1]

  [1]

  http://docs.openstack.org/developer/nova/cells.html

• マイクロバージョン v2.40 で 使用量 のページングサポートが追加されました。新しいオプションパラメータ 'limit' と 'marker' を追加しました。もし 'limit' が提供されなければデフォルト値は現在 1000です。

  /os-simple-tenant-usage?limit={limit}&marker={instance_uuid}
  /os-simple-tenant-usage/{tenant}?limit={limit}&marker={instance_uuid}
  

  より古いマイクロバージョンはこれらの新しいページングクエリパラメータを受け付けません。それらは最大制限まで無言で制限し開始するので、この新しいマイクロバージョンの採用を促します。それにより何千ものインスタンスについてシステム上で DoS ライクな使用リクエストの存在可能性を回避します。

• pci.passthrough_whitelist を機能強化し、正規表現構文をサポートしました。'address' フィールドは正規表現構文が使えます。古い pci.passthrough_whitelist の glob 構文も依然として有効な設定です。

• 新しい Placement API マイクロバージョン 1.3 が追加された。これにより 'members_of' クエリパラメータにより uuid により集約されたメンバであるリソースプロバイダのみをフィルタリングする。パラメータは 'GET /resource_providers' リクエストするとき使われる。パラメータ値は uuid を集約するために次のように 'in:' 構文を使います:

  /resource_providers?member_of=in:09c931b0-c0d7-4e80-8e01-9e6511db8259,f8ab4fa2-804f-402e-b675-7918bd04b173
  

  もし他のクエリパラメータのフィルタリングがあれば、結果は boolean かつ　すべてのフィルターです。

• 新しいPlacement API マイクロバージョン 1.4 が追加された。ユーザーはリソースプロバイダに対して Placement REST API を検索してリクエストしたリソースの集合を得る。`GET /resource_providers`API呼び出しは "resources" クエリストリングパラメーターを持つ。これはプロバイダが持たなくてはならないキャパシティに関してリクエストされた様々なリソースを示す。"resources" クエリストリングパラメータは次の形をとる:

  ?resources=$RESOURCE_CLASS_NAME:$AMOUNT,$RESOURCE_CLASS_NAME:$AMOUNT

  たとえば、ユーザーが 2 vCPU、1024 MB RAM、50 GB のディスク容量の要求を提供できるリソースプロバイダを参照することを望むならば、ユーザーは次のリクエストを発行します:

  ``GET /resource_providers?resources=VCPU:2,MEMORY_MB:1024,DISK_GB:50``
  

  The placement API is only available to admin users.

• カスタムリソースクラスを管理するため、OpenStack Placement REST API に新しい管理者だけのリソースエンドポイントが追加されました。カスタムリソースエンドポイントはデプロイに固有であり、OpenStack クラウド間で交換不可能な定量的リソースのタイプを表現します。利用方法の詳細は Placement REST API Version History ドキュメントを参照ください。

• nova-scheduler プロセスはフィルターを呼ぶ前に有効な宛先リストを得るために placement API を呼ぶようになりました。これは すべてのコンピュートノードが完全に Ocata にアップグレードされた場合のみ動作します。もしアップグレードされていないノードがあれば、スケジューラーは依然としてDBから参照し、パフォーマンスが低下します。

• 新しい 2.41 マイクロバージョンが Compute API に追加された。このマイクロバージョンを指定したユーザは os-aggregates REST API エンドポイントを呼ぶとアグリゲートの 'uuid' 属性を見る。

• 新しいホストが Nova に追加される際、それらをセルにマップするために nova-manage cell_v2 discover_hosts コマンドが実行されなければなりません。適切な自動化されたデプロイメントには、これは些細な余分なステップです。しかし、より小さいまたは自動化されていないでデプロイメントにとっては、この発見を周期的に行うスケジューラープロセスのために新しい設定変数があります。scheduler.discover_hosts_in_cells_interval を正の値とすると、スケジューラーはこれを処理します。このプロセスはすべてのセルにあるすべてのホストを一覧化するので、大きなデプロイメントでは重すぎるかもしれませんのでご注意ください。

• VLAN tags associated with instance network interfaces are now exposed via the metadata API and instance config drives and can be consumed by the instance. This is an extension of the device tagging mechanism added in past releases. This is useful for instances utilizing SR-IOV physical functions (PFs). The VLAN configuration for the guest's virtual interfaces associated with these devices cannot be configured inside the guest OS from the host, but nonetheless must be configured with the VLAN tags of the device to ensure packet delivery. This feature makes this possible.

  注釈

  VLAN tags are currently only supported via the Libvirt driver.

• Keystone ミドルウェアサポートを追加しました。service トークンが user トークンと一緒に送られたら user トークン の期限を無視します。これにより長期間稼働する操作の間に user トークンが期限切れとなることに対処します。 長期間稼働する操作とは 、ライブマイグレーションで nova が 利用している user トークンが期限切れになったとき Cinder と Neutronにアクセスしようとするなどです。この機能を使うため、サービスユーザーが作成される必要があります。サービスユーザー設定を nova.conf の service_user グループに send_service_user_token フラグを True とします。この機能を使うには最低限 Keystone API バージョン 3.8 、Keystone ミドルウェアバージョンは4.12.0 が必要です。これは現在 Nova - Cinder 、Nova - Neutron API 連携のみ動作します。

• The vendordata metadata system now caches boot time roles. Some external vendordata services want to provide metadata based on the role of the user who started the instance. It would be confusing if the metadata returned changed later if the role of the user changed, so we cache the boot time roles and then pass those to the external vendordata service.

• The vendordata metadata system now supports a hard failure mode. This can be enabled using the api.vendordata_dynamic_failure_fatal configuration option. When enabled, an instance will fail to start if the instance cannot fetch dynamic vendordata.

• nova-manage online_data_migrations コマンドは completed と remaining のレコードの表形式の要約を印刷します。このゴールは全ての数をゼロにすることです。以前の実行リターンコードの振る舞いはスクリプトで残っています。

• When using libvirt driver, vrouter VIFs (OpenContrail) now supports multiqueue mode, which allows to scale network performance across number of vCPUs. To use this feature one needs to create instance with more than 1 vCPU from an image with hw_vif_multiqueue_enabled property set to true.

• Virtuozzo ハイパーバイザー（ virt_type=parallels）向けにVIRTIO、RTL8139 と E1000 モデルが有効な vif モデルに追加された。

既知の問題

• 通知が現在 lazy-load フィールドにないので、インスタンスのバージョンが付与された通知に Flavor.projects (access) がありません。この制限は bug 1653221 でトラックされます。

• Newton で ironic データベースから削除された Ironic ノードは孤立したリソースプロバイダになり、不正なスケジューリングとなり再度スケジュールすることになります。もしこれが起きるなら、孤立したリソースプロバイダは特定され削除される必要があります。

  https://bugs.launchpad.net/nova/+bug/1661258 も見てください。

• 設定オプション [libvirt]/live_migration_progress_timeout により制御されるライブマイグレーションの進捗タイムアウトが、しばしばライブマイグレーションがまだよい進捗にも関わらず進捗タイムアウトで失敗する原因となることが発見されました。これらのチェックが原因となる問題を最小化するには、デフォルトを 0 と変更しました。これはタイムアウトを引き起こさないことを意味します。ライブマイグレーションがタイムアウトエラーで失敗するのを修正するには、[libvirt]/live_migration_completion_timeout と [libvirt]/live_migration_downtime を見てください。

• When generating Libvirt XML to attach network interfaces for the tap, ivs, iovisor, midonet, and vrouter virtual interface types Nova previously generated an empty path attribute to the script element (<script path=''/>) of the interface.

  Libvirt 1.3.3 (commit) とそれ以降から、Libvirt はもはやインターフェースのスクリプト要素にからのパス属性を受け付けません。これは RHEL 7.3 およびCentOS 7.3-1611 に同梱される Libvirt 2.0.0 を含みます。Libvirt 1.3.3 またはこれ以降のホストでインタフェース定義に違反する仮想マシンを作成すると、"libvirtError: Cannot find '' in path: No such file or directory"　というエラーになります。

  さらに、より以前の Libvirt のバージョンを使い作成されたすでに存在する仮想マシンが Nova またはほかのユーティリティ（たとえば virsh）経由でこれらの仮想マシンと通信すると同様のエラーになり得ます。

  To mitigate this issue Nova no longer generates an empty path attribute to the script element when defining an interface. This resolves the issue with regards to virtual machine creation. To resolve the issue with regards to existing virtual machines a change to Libvirt is required, this is being tracked in Bugzilla 1412834

• 完全にアップグレードし、もしホストに対する複数のセルを作成したなら、スケジューラーがそれらを使用しますが、それらのインスタンスは利用できないでしょう、なぜなら、まだすべての API 機能がセルを認識するわけではないからです。

• ソート順序で複数セルをまたいだインスタンスのリスト化はセル境界またぎを除いた 理髪師のポールのようなソートになるでしょう。

アップグレード時の注意

• API 設定オプションは 'api' グループに移動されました。それらはもはや 'DEFAULT' グループに含まれません。この変更で影響をうけるオプション:

  • auth_strategy

  • use_forwarded_for

  • config_drive_skip_versions

  • vendordata_providers

  • vendordata_dynamic_targets

  • vendordata_dynamic_ssl_certfile

  • vendordata_dynamic_connect_timeout

  • vendordata_dynamic_read_timeout

  • metadata_cache_expiration

  • vendordata_jsonfile_path

  • max_limit (旧 osapi_max_limit)

  • compute_link_prefix (旧 osapi_compute_link_prefix)

  • glance_link_prefix (旧 osapi_glance_link_prefix)

  • allow_instance_snapshots

  • hide_server_address_states (旧 osapi_hide_server_address_states)

  • fping_path

  • use_neutron_default_nets

  • neutron_default_tenant_id

  • enable_instance_password

• console_token_ttl 設定オプションは consoleauth グループに移動され、token_ttl と名前が変わりました。それはもはや 'DEFAULT' グループに含まれません。

• To allow access to the versions REST API from diverse origins, CORS support has been added to the 'oscomputeversions' pipeline in '/etc/nova/api-paste.ini'. Existing deployments that wish to enable support should add the 'cors' filter at the start of the 'oscomputeversions' pipeline.

• compute.filters にある rootwrap フィルターに ivs-ctl コマンドが追加されました。BigSwitch サポートを必要とするデプロイメントはもはや手動でフィルタを追加することも、インストールで network.filters を含める必要もありません。

• すべての pci 設定オプションが 'pci' グループに追加されました。それらはもはや 'DEFAULT' グループに含まれません。これらのオプションは以下のとおりです:

  • pci_alias (現在 pci.alias)

  • pci_passthrough_whitelist (現在 pci.passthrough_whitelist)

• すべての一般的なスケジューラー設定オプションは scheduler グループに追加されました。

  • scheduler_driver (現在 driver)

  • scheduler_host_manager (現在 host_manager)

  • scheduler_driver_task_period (現在 periodic_task_interval)

  • scheduler_max_attempts (現在 max_attempts)

  さらに、すべてのフィルタースケジューラー設定オプションは filter_scheduler グループに追加されました。

  • scheduler_host_subset_size (現在 host_subset_size)

  • scheduler_max_instances_per_host (現在 max_instances_per_host)

  • scheduler_tracks_instance_changes (現在 track_instance_changes)

  • scheduler_available_filters (現在 available_filters)

  • scheduler_default_filters (現在 enabled_filters)

  • baremetal_scheduler_default_filters (現在 baremetal_enabled_filters)

  • scheduler_use_baremetal_filters (現在 use_baremetal_filters)

  • scheduler_weight_classes (現在 weight_classes)

  • ram_weight_multiplier

  • disk_weight_multipler

  • io_ops_weight_multipler

  • soft_affinity_weight_multiplier

  • soft_anti_affinity_weight_multiplier

  • isolated_images

  • isolated_hosts

  • restrict_isolated_hosts_to_isolated_images

  • aggregate_image_properties_isolation_namespace

  • aggregate_image_properties_isolation_separator

  These options should no longer be included in the DEFAULT group.

• server list API のフィルターとソートクエリパラメーターはホワイトリストにより制限されるようになりました。ホワイトリストは管理者と管理者でないユーザーとで異なります。

  Filtering

  The whitelist for REST API filters for admin users:

  • access_ip_v4

  • access_ip_v6

  • all_tenants

  • auto_disk_config

  • availability_zone

  • config_drive

  • changes-since

  • created_at

  • deleted

  • description

  • display_description

  • display_name

  • flavor

  • host

  • hostname

  • image

  • image_ref

  • ip

  • ip6

  • kernel_id

  • key_name

  • launch_index

  • launched_at

  • limit

  • locked_by

  • marker

  • name

  • node

  • not-tags (2.26 以上で有効)

  • not-tags-any (2.26 以上で有効)

  • power_state

  • progress

  • project_id

  • ramdisk_id

  • reservation_id

  • root_device_name

  • sort_dir

  • sort_key

  • status

  • tags (2.26 以上で有効)

  • tags-any (2.26 以上で有効)

  • task_state

  • tenant_id

  • terminated_at

  • user_id

  • uuid

  • vm_state

  管理者でないユーザーには、すでにフィルタのためにホワイトリストがあります。そのホワイトリストは変更されません。

  Sorting

  The whitelist for sort keys for admin users:

  • access_ip_v4

  • access_ip_v6

  • auto_disk_config

  • availability_zone

  • config_drive

  • created_at

  • display_description

  • display_name

  • host

  • hostname

  • image_ref

  • instance_type_id

  • kernel_id

  • key_name

  • launch_index

  • launched_at

  • locked_by

  • node

  • power_state

  • progress

  • project_id

  • ramdisk_id

  • root_device_name

  • task_state

  • terminated_at

  • updated_at

  • user_id

  • uuid

  • vm_state

  管理者でないユーザーには、ソートキー host と node は除外されます。

  Other

  HTTP Bad Request 400 will be returned for the filters/sort keys which are on joined tables or internal data model attributes. They would previously cause a HTTP Server Internal Error 500, namely:

  • block_device_mapping

  • info_cache

  • metadata

  • pci_devices

  • security_groups

  • services

  • system_metadata

  後方互換性を維持するため、REST API servers リソース表現に割り当たらないフィルターとソートパラメーターは無視されます。

• The three configuration options cpu_allocation_ratio, ram_allocation_ratio and disk_allocation_ratio for the nova compute are now checked against negative values. If any of these three options is set to negative value then nova compute service will fail to start.

• ``[xenserver]/vif_driver``設定オプションのデフォルト値は``[DEFAULT]/use_neutron=True``ので尾フォルト設定と合うように ``nova.virt.xenapi.vif.XenAPIOpenVswitchDriver``に変更されました。

• フレーバーの extra spec としての hw_watchdog_action サポートが削除されました。有効なフレーバーの extra spec は hw:watchdog_action で、それに先立つイメージプロパティは hw_watchdog_action です。

• Ironic ドライバは python-ironicclient>=1.9.0 および、 API バージョン 1.28 またはそれ以上をサポートするため Ironic サービスが必要になりました。スムーズなアップグレードのために、いつも通りに Ironic を Nova の前にアップグレードするべきです。

• Ocata 時点では、nova compute とやり取りする VMware vCenter の最小バージョンは5.1.0 です。vCenter のより古いバージョンを使ったデプロイメントはアップグレードすべきです。5.5.0 以下の vCenter バージョンでの動作はいまや非推奨とされ、5.5.0 は Nova の Pike リリースでの最低バージョンとなるでしょう。

• DEFAULT グループの console_public_hostname コンソールオプションを、xenserver グループに移動しました。

• 次の通知に関する設定オプションは DEFAULT グループから notifications グループに移動されました。

  • notify_on_state_change

  • notify_on_api_faults (旧 notify_api_faults)

  • default_level (旧 default_notification_level)

  • default_publisher_id

  • notification_format

• When making connections to Ceph-backed volumes via the Libvirt driver, the auth values (rbd_user, rbd_secret_uuid) are now pulled from the backing cinder.conf rather than nova.conf. The nova.conf values are only used if set and the cinder.conf values are not set, but this fallback support is considered accidental and will be removed in the Nova 16.0.0 Pike release. See the Ceph documentation for configuring Cinder for RBD auth.

• Nova は もはや非推奨となった Cinder v1 API をサポートしません。

• Ocata はデプロイが Newton でセルとホストの割り当てが作られたことを要求します。もしこれをしていなければ、Ocata の db sync`コマンドが失敗します。小さいデプロイメントはアップグレード前に Newtonで `nova-manage cell_v2 simple_cell_setup を実行したいでしょう。運用者は cell_v2 simple_cell_setup を実行する前に cell0 のために新しいデータベースを作成しなくてはなりません。 simple cell setup コマンドは cell0 データベースの名前が <main database name>_cell0 であることを期待します。主データベース接続に基づき cell0 に対してセルマッピングを作成し、cell0 データベースと同期し、今あるホストとインスタンスを単一セルに関連づけます。

• nova-network サービスは 14.0.0 Newton リリースで非推奨となりました。15.0.0 Ocata リリースでは、 nova-network は Cells V1 デプロイメントでのみ動作します。Neutron ネットワーキングサービスは use_neutron 設定オプションに基づく新しいデプロイメントのデフォルト設定になりました。

• ほとんどのクォータオプションはそれぞれ自身の設定グループの中に移動されました。例外は quota_networks で、これはAPI フラグでクォータフラグではありません。これらのオプションは以下の通りです:

  • quota_instances (現在 instances)

  • quota_cores (現在 cores)

  • quota_ram (現在 ram)

  • quota_floating_ips (現在 floating_ips)

  • quota_fixed_ips (現在 fixed_ips)

  • quota_metadata_items (現在 metadata_items)

  • quota_injected_files (現在 injected_files)

  • quota_injected_file_content_bytes (現在 injected_file_content_bytes)

  • quota_injected_file_path_length (現在 injected_file_path_length)

  • quota_security_groups (現在 security_groups)

  • quota_security_group_rules (現在 security_group_rules)

  • quota_key_pairs (現在 key_pairs)

  • quota_server_groups (現在 server_groups)

  • quota_server_group_members (現在 server_group_members)

  • reservation_expire

  • until_refresh

  • max_age

  • quota_driver (現在 driver)

• 全てのサービスを起動する nova-all バイナリは非推奨期間の後に削除されました。それはテスト目的のみで商用目的を意図していませんでした。サービスを起動するにはそれぞれの Nova バイナリを使ってください。

• The compute_stats_class configuration option was deprecated since the 13.0.0 Mitaka release and has been removed. Compute statistics are now always generated from the nova.compute.stats.Stats class within Nova.

• use_glance_v1 オプションは Ocata の間に Glance V1 サポートを削除する計画に従って削除されました。

• 非推奨とされた S3 イメージバックエンドは削除されました。

• XenServer users must now set the value of xenserver.ovs_integration_bridge before they can use the system. Previously this had a default of "xapi1", which has now been removed, because it is dependent on the environment. The xapi<n> are internal bridges that are incrementally defined from zero and "xapi1" may not be the correct bridge. Operators should set this config value to the integration bridge used between all guests and the compute host in their environment.

• scheduler_json_config_location 設定オプションは 13.0.0 Mitaka リリースから使用されていなかったので削除されました。

• Barbican 関連の設定オプションは非推奨とされ、いまや barbican グループから完全に削除されました。こえらのオプションは Castellan ライブラリで利用可能です。以下は影響されるオプションです:

  • barbican.catalog_info

  • barbican.endpoint_template

  • barbican.os_region_name

• driver configuration option has been removed from cells group. There is only one possible driver for cells (CellsRPCDriver), which makes this option redundant.

• 非推奨とされた cert_topic 設定オプションは削除されました。

• fatal_exception_format_errors 設定オプションは、内部のテストのみに使用されていたため、削除しました。

• 非推奨 Identity v2 API で使われた Ironic 設定オプションが ironic グループから削除されました。以下は削除されたオプションの詳細なリストです:

  • admin_usernale

  • admin_password

  • admin_url

  • admin_tenant_name

• ``service manager``が置き換え可能なコンポーネントであるという概念は Mitaka で非推奨とされましたので、次の設定オプションは削除されます。

  • metadata_manager

  • compute_manager

  • console_manager

  • consoleauth_manager

  • cert_manager

  • scheduler_manager

  • conductor.manager

• mitaka では、より古い SRIOV 親デバイス情報を extra_info から 新しいカラムにマイグレーションするようにオンラインマイグレーションが追加されました。2つのリリースがそのマイグレーションで終了したので、それは Ocata で削除されますから、運用者は必要であれば以前の2つのリリースの一部として実行することが期待されます。

• Placement サービスは Ocata から必須なので、nova-compute を再起動する前にそれをデプロイし、正しい placement 手順で compute ノード設定を修正する必要があります。さもなければ、compute ノードは開始しません。

• Newton (14.0.0) でCoreFilter、RamFilter または DiskFilter のどれかを使っていなければ、すべての compute ノードの設定を修正してください。cpu_allocation_ratio （もし CoreFilter を使っていなければ) または ram_allocation_ratio （もし RamFilter を使っていなければ） または disk_allocation_ratio （もし DiskFilter を使っていなければ）の値を nova-scheduler を Ocata にアップグレードする前に 9999.0 に修正してください。

• nova-conductor がローカルで動作することを可能とする ''use_local'' オプションは削除されました。このレガシーモードは conductor サービスへ移行する間のギャップを橋渡しするために導入されました。もはやデプロイヤーに対して納得できる代替物ではありません。

• 非推奨とされた compute 設定オプション snapshot_name_template は削除されました。それはどこでも使われず、どのコードにも効果がなく、影響がないはずです。

• 非推奨とされた 設定オプション``compute_available_monitors`` は DEFAULT 設定セクションから削除されました。使用可能なモニタープラグインを一覧するには setuptool エントリーポイントをつかってください。

• 次の非推奨とされた nova-manage コマンドは削除されました:

  • nova-manage account scrub

  • nova-manage fixed *

  • nova-manage project scrub

  • nova-manage vpn *

• 次の非推奨とされた nova-manage コマンドは削除されました:

  • nova-manage vm list

• Ocata時点では、nova compute とやり取りする Virtuozzo の最小バージョンは 7.0.0 です。Virtuozzo のより古いバージョンを使ったデプロイメントはアップグレードすべきです。

• XenServer plugins have been renamed to include a '.py' extension. Code has been included to handle plugins with and without the extension, but this will be removed in the next release. The plugins with the extension should be deployed on all compute nodes to mitigate any upgrade issues.

廃止予定の機能

• マイクロバージョン v2.39 は image-metadata プロキシ API を非推奨とし、'createImage' と 'createBackup' アクションに対するイメージメタデータクォータチェックを削除します。このバージョン以降では、Glance 設定オプション image_property_quota がイメージメタデータのクォータ制御に使われるべきです。また、 os-limits API レスポンスから maxImageMeta フィールドを削除します。

• DEFAULT``グループの設定オプション ``multi_instance_display_name_template と null_kernel は非推奨となりました。16.0.0 リリースの早くに削除されるでしょう。これらのオプションはAPI がデプロイメントに渡り一貫してふるまうように非推奨とされました。

• DEFAULT グループにある console_driver 設定オプションは非推奨とされました。将来リリースで削除されるでしょう。このオプションはもはやなにもしません。以前はこのオプションは2つだけ有効でした: nova.console.xvp.XVPConsoleProxy と nova.console.fake.FakeConsoleProxy。後者はテストのみ使われていたので置き換えました。

• [libvirt]/live_migration_progress_timeout は、この機能が動作しないことがわかり、非推奨となりました。詳細は、バグ 1644248 を参照してください。

• DEFAULT にある次のオプションは nova-network を設定するために使われるだけであり、nova-network 自体と同様に非推奨とされました。

  • flat_network_bridge

  • flat_network_dns

  • flat_interface

  • vlan_interface

  • vlan_start

  • num_networks

  • vpn_ip

  • vpn_start

  • network_size

  • fixed_range_v6

  • gateway

  • gateway_v6

  • cnt_vpn_clients

  • fixed_ip_disassociate_timeout

  • create_unique_mac_address_attempts

  • teardown_unused_network_gateway

  • l3_lib

  • network_driver

  • multi_host

  • force_dhcp_release

  • update_dns_entries

  • dns_update_periodic_interval

  • dhcp_domain

  • use_neutron

  • auto_assign_floating_ip

  • floating_ip_dns_manager

  • instance_dns_manager

  • instance_dns_domain

  quota にある次のオプションもまた非推奨とされました。

  • floating_ips

  • fixed_ips

  • security_groups

  • security_group_rules

• remap_vbd_dev オプションは非推奨であり、今後のリリースで削除される予定です。

• topic 設定オプションは非推奨とされ、今後のリリースで削除されます。非推奨のオプションは以下です:

  • cells.topic

  • compute_topic

  • conductor.topic

  • console_topic

  • consoleauth_topic

  • network_topic

  • scheduler_topic

• VMware ドライバの wsdl_location 設定オプションを非推奨としました。このオプションは vCenter バージョン 5.1 以前を使う際に WSDL ファイルの場所を指し示すものでした。vCenterの最小サポートバージョンが 5.1 なので、もはやこのオプションと値は無視され必要ありません。

• [xenserver]/vif_driver 設定オプションは削除に向けて非推奨とされました。XenAPIOpenVswitchDriver vif ドライバは Neutron に対して使われ、 XenAPIBridgeDriver vif ドライバは nova-network 、これは非推奨です、に使われます。将来的には、use_neutron 設定オプションがどの vif ドライバーをロードするか決定するために使われるでしょう。

• [libvirt] 設定セクションの live_migration_uri オプションは非推奨とされ、将来のリリースでは削除されます。live_migration_scheme はライブマイグレーションに使われるスキーマを変更するために使われ、live_migration_inbound_addr はターゲット URI を変更するために使われます。

• XenServer ドライバは torrents 経由でイメージダウンロードサポートを提供します。この機能はテストされていませんし、そのような機能にユースケースがあるかも明らかではありません。結果としてこの機能は非推奨となり、次の設定オプションです:

  • torrent_base_url

  • torrent_seed_chance

  • torrent_seed_duration

  • torrent_max_last_accessed

  • torrent_listen_port_start

  • torrent_listen_port_end

  • torrent_download_stall_cutoff

  • torrent_max_seeder_processes_per_host

• nova.volume.encryptors.luks.LuksEncryptor のような暗号化プロバイダークラスの直接使用は非推奨となりました。Nova のPike リリースでブロックされるでしょう。ツリーにない暗号化プロバイダークラスの使用もまた非推奨となりました。Nova のPike リリースでブロックされるでしょう。

• Nova ネットワークは Newton で非推奨となり、もはや Ocata では通常のデプロイメントではサポートされません。ネットワークサービスバイナリは、依然として機能を必要とする CellsV1の特別な場合を除いて起動を拒否します 。

セキュリティー上の問題

• OSProfiler サポートは様々な OpenStack サービス間の追跡情報を通過することを要求する。この情報は nova.conf 設定ファイルで定義された HMAC 鍵のひとつにより安全に署名される。プロジェクト間追跡を許すため、ユーザーはその鍵を使うべきであり、彼または彼女が追跡したいすべての OpenStack サービス間で一般的である。

バグ修正

• Newton 以前では、CryptsetupEncryptor と LuksEncryptor 暗号化プロバイダーにより暗号化されたボリュームが16進数ごとに頭のゼロを取り除いた交わったパスフレーズを使いました。いまやLuksEncryptor は単純に交わったパスフレーズを使う一方、暗号化されたボリュームを開くとき、LuksEncryptor はもし検知したらこれらの交わったパスフレーズを置き換えようとします。

• bug 1662699 を修正しました。これは、古い v2 APIで実行される block_device_mapping_v2.boot_index 検証が v2.1 APIで回帰していたものです。この修正にて、boot_index=None でサーバーを作成する要求すると、まるで boot_index が指定されていないかのように扱われます。これはデフォルトでブート可能ではないブロックデバイスを意味します。

• Hyper-V ドライバはもはや同じホストにインスタンスをコールドマイグレーションすることを受け入れません。これはリサイズには当てはまらず、まだ許可します。

• nova-manage cell_v2 simple_cell_setup コマンドは [api_database] 接続ではなく、[database] 接続設定オプションを使いデフォルトの cell0 接続を作成するようになりました。cell0 データベーススキーマは main データベースです、言い換えると、api データベーススキーマよりもむしろ instances テーブルです。つまり、 cell0 データベースは nova_api_cell0 よりむしろ nova_cell0 のように呼ばれます。

• サーバー作成時に仮想デバイスロールタギングに関して、2.42 マイクロバージョンはネットワークと block_device_mapping_v2 にタグ属性を復元します。block_device_mapping_v2 に関してバージョン 2.33 で検出、ネットワークに関してバージョン 2.37 で検出したタグ属性が原因のバグはもはやありません。裏を返すと、ブロックデバイスはバージョン 2.32 で、ネットワークインタフェースはバージョン 2.32 と 2.36 との間だけでタグづけされることになります。2.42 からは、ネットワークインタフェースとブロックデバイスの両方が再びタグづけされます。

• To make live-migration consistent with resize, confirm-resize and revert-resize operations, the migration status is changed to 'error' instead of 'failed' in case of live-migration failure. With this change the periodic task '_cleanup_incomplete_migrations' is now able to remove orphaned instance files from compute nodes in case of live-migration failures. There is no impact since migration status 'error' and 'failed' refer to the same failed state.

• nova メタデータ サービスは外部のベンダーデータサービスに nova サービストークンを渡すようになりました。これらのオプションは vendordata_dynamic_auth グループで利用可能な様々な Keystone 関連オプションを使い設定されます。新しいサービストークンはこの目的のために作成されました。以前は、利用可能であればユーザーの keystone トークンが外部のベンダーデータサーバーに渡されましたが、利用可能でなければトークンは渡されませんでした。これは設定情報を決定するために最初のブートで メタデータサーバーのcloud-initの使用のようなシナリオでの問題を解決します。さらなる情報は http://specs.openstack.org/openstack/nova-specs/specs/ocata/approved/vendordata-reboot-ocata.html のブループリントを参照してください。

その他の注意点

• Placement API は nova.conf``の中にある``[placement]``セクションの ``os_interface オプションを使って特定の keystone エンドポイントに接続する設定されます。この値は必要ではありませんが、Placement サービスと接続するためにデフォルトではないエンドポイントインターフェースで接続したいときに使用されます。デフォルトでは、 keystoneauth は "public" エンドポイントと接続します。