Pike バージョンのリリースノート¶
5.0.2¶
セキュリティー上の問題¶
Add new configuration option openstack_ca_file in the drivers section to pass the CA bundle used for the OpenStack API. Setting this file and setting verify_ca to true will result to all requests from the cluster nodes to the OpenStack APIs to be verified.
バグ修正¶
[bug 1663757] A configuration parameter, verify_ca, was added to magnum.conf with a default value of True and passed to the heat templates to indicate whether the cluster nodes validate the Certificate Authority when making requests to the OpenStack APIs (Keystone, Magnum, Heat). This parameter can be set to False to disable CA validation if you have self-signed certificates for the OpenStack APIs or you have your own Certificate Authority and you have not installed the Certificate Authority to all nodes.
From now on, server names are prefixed with the cluster name. The cluster name is truncated to 30 characters, ('_', '.') are mapped to '-' and non alpha-numeric characters are removed to ensure FQDN compatibility.
Fixed a bug where --live-restore was passed to Docker daemon causing the swarm init to fail. Magnum now ensures the --live-restore is not passed to the Docker daemon if it's default in an image.
5.0.1¶
新機能¶
Kubernetes for fedora-atomic runs in system containers [1]. These containers are stored in ostree in the fedora-atomic hosts and they don't require docker to be running. Pulling and storing them in ostree is very fast and they can easily be managed as systemd services. Since these containers are based on fedora packages, they are working as drop in replacements of the binaries in the fedora atomic host. The ProjectAtomic hasn't found a solution yet [3] on tagging the images, so the magnum team builds and publishes images in this [2] account in dockerhub. Users can select the tag they want using the kube_tag label.
[1] https://github.com/projectatomic/atomic-system-containers [2] https://hub.docker.com/r/openstackmagnum/kubernetes-kubelet/tags/ [3] https://pagure.io/atomic/kubernetes-sig/issue/6
Add swarm-mode driver based on fedora-atomic. Users can select the swarm-mode COE by using the coe field in cluster-template. This is a new driver, it is recommended to let magnum create a private-network and security groups per cluster.
5.0.0¶
新機能¶
kubernetes ダッシュボードをデフォルトで kubernetes クラスターに含めます。 ユーザーはこのkubernetes ダッシュボードを使用して kubernetes クラスターを管理できます。 'kube_dashboard_enabled' というラベルを false に設定すると、ダッシュボードを無効にすることができます。
cAdvisor 、 node-exporter 、 Prometheus 、 Grafana に基づく監視スタックを含みます。 ユーザーは、このスタックを prometheus_monitoring というラベルで有効にすることができます。 Prometheus は Kubernetes クラスターからメトリクスをスクラップし、 Grafana の Prometheus データソースを通じて Grafana に提供します。完了すると、デフォルトの Grafana ダッシュボードが提供されます。
etcd 設定を cinder ボリュームに格納するためのサポートを追加します。 k8s_fedora_atomic は、ボリュームのサイズを定義する新しいラベル etcd_volume_size を受け入れます。値 0 またはラベルを設定しないままにすると、ボリュームを使用する必要がなくなり、データはインスタンスのローカルストレージに保存されます。
Docker ストレージを Cinder ボリュームでサポートするドライバのさまざまなボリュームタイプをサポートします。 swarm_fedora_atomic および k8s_fedora_atomic は docker_volume_type を指定する新しいラベルを受け入れます。
クラスターテンプレートインスタンスが認証に使用する Keystone URL は、デフォルトで
public
のtrustee_keystone_interface
パラメータで設定可能になりました。
アップグレード時の注意¶
クラスターが Magnum 以外の OpenStack サービスと直接通信できるようにするには、 magnum.conf の trust セクションで cluster_user_trust を True に設定します。デフォルト値は False です。
magnum.conf に cinder という名前の新しいセクションが作成されます。この cinder セクションでは、キー default_docker_volume_type の値を設定する必要があります。この値は、 cinder の構成で有効な cinder ボリュームタイプである必要があります。このデフォルト値は、コンテナーのストレージ用に cinder ボリュームを使用するときに、ユーザーが volume_type を指定しない場合に使用されます。 提案されているデフォルト値は、 cinder 構成の cinder.conf に設定されています。
セキュリティー上の問題¶
すべての Magnum クラスターには、信頼されるユーザーと trustID が割り当てられます。 このユーザーは、クラスターが鍵管理サービス(Barbican)と通信し、クラスターの認証局を取得できるようにするために使用されます。 この信頼ユーザーは他のサービスでも使用できます。 これを使用して、クラスターがブロックストレージサービス、オブジェクトストレージサービス、ロードバランシングなどの他のOpenStack サービスで認証されるようにすることができます。このユーザーと trustID を持つクラスターには、信頼する側の OpenStack プロジェクトへのフルアクセス権があります。 Magnum 以外のサービスへのアクセスを制限するための新しい設定パラメータが追加されました。
バグ修正¶
新しく作成されたクラスターの CVE-2016-7404 を修正しました。この問題を解決するには、既存のクラスターを再作成する必要があります。この修正の一部は、magnum.conf の trust セクションに新しく導入された cluster_user_trust の設定です。この設定の既定値はFalseです。 cluster_user_trust は、クラスターのインスタンスにトラスト ID を渡すことを許可するかどうかを指定します。ほとんどのクラスターでは、この機能は必要ありません。 registry_enabled=True または volume_driver=rexray のクラスターにはこの機能が必要です。この機能を必要とするその他の機能が将来導入される可能性があります。このようなクラスターを作成するには、 cluster_user_trust を True に設定する必要があります。