OpenStack リリース: Ussuri リリースのハイライト

序文

今年もOpenStackの半年ごとのリリース日がやってきました。これまでに21バージョンがリリースされており、より安定し、より堅牢になっています。近年、docker、k8s、サーバーレスなどの新しいテクノロジーが非常に人気を博しており、OpenStack では、誰がリーダーであるか、どのテクノロジーが最も人気があるかということに重点が置かれなくなりました。人々は何度も悲観的でしたが、私たちは一歩ずつ前進し続けています。

OpenStack は特定のメーカーに縛られず、柔軟性があり無料です。現在、これは推奨されるクラウド ソリューションの 1 つと考えられます。現在、プライベート クラウド ユーザーの 83% が、単一のパブリック クラウドへの過度の依存からユーザーを解放する OpenStack に移行しています。実際、OpenStack ユーザーは、Amazon Web Services (AWS) (44%)、Microsoft Azure (28%)、Google Compute Engine (GCP) (24%) などのパブリック クラウドに依存することが多いです。ユーザー インフラストラクチャの 58% は OpenStack によって稼働しています。

さらに、一部のユーザーが OpenStack の影響を感じない理由の 1 つは、OpenStack 導入の少なくとも半分が中国で行われていることです。そこでは、Huawei（28％）とEasyStack（22％）です。市場外では、Red Hat が 20%、Canonical が 16%、Mirantis が 5% で主要プレーヤーとなっている。 SUSE とその他が混在している割合は約 3% です。

この進歩を維持するため、最も広く導入されているオープンソース クラウド インフラストラクチャ ソフトウェアの 21 番目のバージョンである Ussuri が 5 月 13 日にリリースされます。このリリースは予想よりも少し遅れています。

OpenStack コードの貢献は、stackalytics (https://www.stackalytics.com/) で入手できます。

Cinder - ブロック ストレージ サービス

Cinder インターフェースは、「ボリュームの作成」、「ボリュームの削除」、「ボリュームの接続」など、ブロックデバイスを作成して仮想マシンに接続できるいくつかの標準機能を提供します。容量の拡張、スナップショット、仮想マシンイメージのクローン作成をサポートする、より高度な機能もあります。

注:

• 現在の機能の改善、例:ボリューム タイプの最小値と最大値を設定する機能。時間比較演算子を使用してボリューム リストをフィルター処理する機能。
• Glance マルチストレージとミラー データ同期をサポートし、ボリュームをミラー サービスにアップロードします。
• いくつかの新しいバックエンド ドライバーを追加し、現在のドライバーにさまざまな機能を追加しました。

Cyborg - ハードウェア管理アクセラレータ

Cyborg (旧 Nomad) は、アクセラレーション リソース (FPGA、GPU、SoC、NVMe SSD、DPDK/SPDK、eBPF/XDP など) の共通管理フレームワークを提供することを目的としています。

注:

• Nova-Cyborg の統合が完了したため、ユーザーは CyBrg によって管理されるアクセラレータのインスタンスを起動できるようになりました。サポートされているインスタンス操作については、アクセラレータ操作ガイドを参照してください。
• Cyborg によって管理されるデバイスを一覧表示し、一般的にはアクセラレータのインベントリを表示および管理するための新しい API が実装されました。
• CyBrg は、将来のバージョンとの互換性を確保するために、V2API でマイクロバージョンを採用するための基盤を提供します。
• CyBrg クライアントは現在 OpenStack SDK に基づいており、最新バージョンの API v2 をサポートしています。
• ユニット/機能テストを追加し、技術的な複雑さを軽減することで、全体的な品質を向上させます。

Glance - 画像サービス

Glance (OpenStack Image Service) は、イメージの検出、登録、ダウンロードを提供するサービスです。 Glance は仮想マシンイメージの集中ストレージを提供します。 Glance の RESTful API を使用すると、画像のメタデータを照会したり、画像をダウンロードしたりできます。仮想マシン イメージは、単純なファイル システムからオブジェクト ストレージ システム (OpenStack Swift など) まで、さまざまな場所に簡単に保存できます。

注:

• 複数ストアの機能が強化され、ユーザーは 1 つの画像を複数のストアにインポートしたり、複数のストアの既存の画像を複製したり、1 つのストアから画像を削除したりできるようになりました。
• 画像を解凍するための新しいインポートプラグイン
• ストレージ用にS3ドライバーが再導入されました

Horizo​​n - グラフィカル管理サービス

Horizo​​n は、Openstack 用の WEB フロントエンド管理インターフェース (UI サービス) を提供します。 Horizo​​nが提供するDashBoardサービスにより、管理者はWEB UIを使用してOpenstackクラウド環境全体を管理し、さまざまな操作結果や動作状況を直感的に把握することができます。

注:

• このリリースでは、古い機能の廃止、廃止された機能の削除、統合テスト カバレッジの改善、ユニット テストでのモック使用への移行など、メンテナンスの観点からのバグ修正と改善に主に焦点を当てています。
• Horizo​​n とすべての Horizo​​n プラグインは、現在サポートされている唯一の Django LTS である Django 2.2 をサポートしています。 Django は Horizo​​n が依存するフレームワークです。 Python 2.7 はサポートされなくなり、すでに Python 3 の時代になっていることに注意してください。
• Keystone モジュールにいくつかの機能を実装しました。ユーザー パネルでの最初のログイン、パスワード ロック オプション、アプリケーション資格情報のアクセス ルールのサポートなど、ユーザーが期限切れのパスワードを変更できるようにしました。

アイロニック - ベアメタルサービス

Ironic は、セキュリティとフォールト トレランスを備えた物理サーバーをプロビジョニングするための API と複数のプラグインで構成されています。ハイパーバイザー ドライバーとして nova と組み合わせて使用​​することも、bifrost を使用したスタンドアロン サービスとして使用することもできます。デフォルトでは、ベアメタル マシンと対話するために PXE と IPMI が使用されます。 Ironic は、追加機能のためにベンダー提供のプラグインの使用もサポートしています。

注:

• スコープ付きイントロスペクション ルールをサポートし、ノードの各サブセットが異なるハードウェア配信などのルールを持つ (および保持する) ことを可能にします。
• 管理対象クラウドでのハードウェアの廃止を自動化するためのハードウェア廃止ワークフローのサポート。
• マルチテナントの概念と追加のポリシー オプションは、管理者以外のユーザーでも利用できます。
• Ironic とそのリモート エージェント間のやり取りの認証が補完され、信頼できないネットワークへの展開が可能になりました。
• ソフトウェア RAID で UEFI とデバイス選択が利用できるようになりました。

Keystone - アイデンティティ認証サービス

Keystone (OpenStack Identity Service) は、認証、サービス アクセス ルール、およびサービス トークンを管理する OpenStack フレームワークのコンポーネントです。リソースへのユーザー アクセスにはユーザー ID と権限の検証が必要であり、サービス実行操作にも権限の検出が必要であり、これらはすべて Keystone を通じて処理する必要があります。 Keystone は、サービス バス、または Openstack フレームワーク全体のレジストリに似ています。 OpenStack サービスは、Keystone を通じてエンドポイント (サービス アクセス用の URL) を登録します。サービス間の呼び出しは、まず Keystone によって認証され、対象サービスのエンドポイントを取得してから呼び出す必要があります。

注:

• フェデレーション認証アプローチを使用すると、アプリケーションの資格情報と信頼を作成する際のユーザー エクスペリエンスが大幅に向上します。マップされたグループ メンバーシップからロールが割り当てられているフェデレーション ユーザーの場合、トークンの有効期限が切れた後も、構成可能な TTL の間、そのグループ メンバーシップが保持され、その間、アプリケーションの資格情報は有効なままになります。
• Keystone から Keystone へのアサーションには、Keystone Identity Provider 上のユーザーのグループ メンバーシップが含まれるようになりました。これは、Keystone Service Provider 上のグループ メンバーシップにマッピングできます。
• マッピング API に依存せずにフェデレーション ユーザーに特定のロール割り当てを行うことができるようになりました。これにより、フェデレーション ユーザーを Keystone で直接作成し、アイデンティティ プロバイダーにリンクできるようになりました。
• 新しい Keystone デプロイメントを開始すると、管理者ロールにはデフォルトで「不変」オプションが設定され、意図的に「不変」オプションを削除しない限り、誤って削除または変更されることが防止されます。
• Keystonemiddleware は、以前のリリース サイクルで keystone から削除された Identity v2.0 API をサポートしなくなりました。

Kolla - OpenStack サービスのコンテナ化されたデプロイメント

Kolla の使命は、OpenStack クラウド プラットフォーム向けに、本番環境レベルのすぐに使用できる配信機能を提供することです。 kollaの基本的な考え方は、すべてがコンテナであるということです。すべてのサービスは Docker ベースで実行され、1 つのコンテナでは 1 つのサービス (プロセス) のみが実行されることが保証されるため、Docker は最小の粒度で実行されます。

注:

• すべてのイメージ、スクリプト、Ansible プレイブックでは現在 Python 3 が使用され、Python 2 のサポートは削除されました。
• CentOS 8 ホストとイメージのサポートが追加されました。
• バックエンド API サービスの TLS 暗号化の初期サポートが追加され、API トラフィックのエンドツーエンドの暗号化が提供されるようになりました。現在、Keystone をサポートしています。
• Open Virtual Network (OVN) のデプロイと Neutron との統合のサポートが追加されました。
• Zun CNI (コンテナ ネットワーク インターフェイス) コンポーネントのデプロイのサポートが追加され、コンテナを備えた Docker で Zun Pod をサポートできるようになりました。
• クラスター ログ データの管理に役立つ Elasticsearch Curator のサポートが追加されました。
• Mellanox ネットワーク デバイスを Neutron で使用するために必要なコンポーネントを追加しました。
• 外部 Ceph 統合の構成が簡素化され、Ceph-Ansible によってデプロイされた Ceph クラスターから OpenStack で有効化への移行が容易になりました。

Kuryr - OpenStack コンテナ ネットワーキング

Kubernetes Kuryr は OpenStack Neutron のサブプロジェクトです。このプロジェクトの主な目的は、OpenStack と Kubernetes のネットワークを統合することです。このプロジェクトは、Kubernetes にネイティブの Neutron ベースのネットワークを実装します。したがって、Kuryr-Kubernetes を使用すると、OpenStack VM と Kubernetes Pod が同じサブネット上で動作することを選択できるようになり、Neutron の L3 とセキュリティ グループを使用してネットワークをルーティングし、特定のソース ポートをブロックできるようになります。

注:

• IPv6をサポート
• ネストされたセットアップの DPDK サポートと、その他のさまざまな DPDK および SR-IOV の改善。
• NetworkPolicy サポートに関連する複数の修正。

マニラ - ファイル共有サービス

マニラ プロジェクトの正式名称は File Share Service で、サービスとしてのファイル共有を意味します。これは、OpenStack ビッグ テント モデルのサブプロジェクトの 1 つであり、CIFS および NFS プロトコルをサポートして、クラウド上でファイル共有を提供するために使用されます。

注:

• 共有グループは、実験的な機能から一般公開機能へと進化しました。 API バージョン 2.55 以降では、共有グループ タイプ、グループ仕様、グループ クォータ、および共有グループ自体の作成、更新、削除に X-OpenStack-Manila-API-Experimental ヘッダーは不要になりました。
• 互換性がある場合は、ストレージ プール内のスナップショットから共有を作成できます。この新しい機能により、以前はスナップショットをホストするバックエンドに限定されていたワークロードを拡張することで、バックエンド リソースをより有効に活用できるようになります。
• プロジェクトとそのユーザーが作成できる共有コピーの数とサイズを制限するために、新しいクォータ制御メカニズムが導入されました。
• 時間間隔を使用して非同期ユーザー メッセージをクエリできるようになりました。

Neutron - ネットワーク サービス

Neutron は OpenStack のコア プロジェクトの 1 つであり、クラウド コンピューティング環境で仮想ネットワーク機能を提供します。 OpenStack Networking (neutron) は、OpenStack 環境内のすべての仮想ネットワーク インフラストラクチャ (VNI) と物理ネットワーク インフラストラクチャ (PNI) のアクセス層を管理します。

注:

この OVN ドライバーは現在、Neutron リポジトリに統合されており、Neutron ツリー ML2 ドライバーの 1 つとなっています。 linuxbridge または openvswitch .OVN ドライバーの openvswitch ドライバーに対する利点には、たとえば次のようなものがあります。分散 SNAT トラフィック、分散 DHCP を備え、ネットワーク ノードなしで実行できる DVR。他の ML2 ドライバーは引き続きツリー内に存在し、完全にサポートされています。現在、デフォルトのプロキシはまだオープン スイッチですが、将来的には OVN ドライバーがデフォルトの選択肢になる予定です。

ステートレス セキュリティ グループのサポートが追加されました。ユーザーは、ステートレスに設定されたセキュリティ グループを作成できるようになりました。つまり、そのグループ内のどのルールにも制御は使用されません。ポートでは、ステートレス セキュリティ グループまたはステートフル セキュリティ グループのみを使用できます。一部のユースケースでは、ステートレス セキュリティ グループによりオペレーターは最適化されたデータ パス パフォーマンスを選択できる一方、ステートフル セキュリティ グループによりシステムに追加の処理が課せられます。

アドレス範囲とサブネット プールにロールベースのアクセス制御 (RBAC) が追加されました。アドレス範囲とサブネット プールは通常、オペレーターによって定義され、ユーザーに公開されます。この変更により、オペレーターはアドレス範囲とサブネット プールに対してよりきめ細かいアクセス制御を使用できるようになります。

作成中にリソースをタグ付けするためのサポートが Neutron API に追加されました。ユーザーは、POST リクエストでリソース (ポートなど) のタグを直接設定できるようになりました。これにより、Kubernetes ネットワーク操作のパフォーマンスが大幅に向上します。たとえば、Kuryr が Neutron に送信する API 呼び出しの数は大幅に削減されます。

Nova - コンピューティング サービス

Nova は、OpenStack クラウドのコンピューティング オーケストレーション コントローラーです。 OpenStack クラウド内のインスタンスのライフサイクルをサポートするすべてのアクティビティは、Nova によって処理されます。これにより、Nova はコンピューティング リソース、ネットワーク、認証、および必要なスケーラビリティの管理を担当するプラットフォームになります。

注:

• Nova セル間のコールド移行とサイズ変更をサポートします。
• Nova コンピューティング ホストへのイメージのプレビューをサポートします。
• CyBorg 経由でアクセラレータ デバイスを使用してインスタンスを作成するためのサポート。
• 最小帯域幅保証によるモバイル サーバーのさらなるサポート。
• 孤立したリソース割り当てを見つけてクリーンアップするための nova-manage 配置監査 CLI のサポート。

Nova API ポリシーでは、scope_type タイプを使用した新しいデフォルト ロールが導入されています。これらの新しい変更により、セキュリティ レベルと管理性が向上します。新しいポリシーでは、「読み取り」と「書き込み」の両方のロールを使用して、システム レベルとプロジェクト レベルのトークンへのアクセスをより豊富に処理できます。この機能はデフォルトでは無効になっていますが、構成オプションを介して有効にすることができます。詳細については、ポリシーの概念に関するドキュメントを参照してください。

Octavia - ロードバランサーサービス

Octavia は、OpenStack LBaaS によってサポートされるバックグラウンド プログラムであり、仮想マシン トラフィックの負荷分散を提供します。本質は Trove と似ており、Nova と Neutron の API を呼び出して、HAProxy と Keepalived ソフトウェアがインストールされた仮想マシンを生成し、それをターゲット ネットワークに接続します。

注:

• Octavia は、特定のアベイラビリティーゾーンでのロードバランサーのデプロイをサポートするようになりました。これにより、負荷分散機能をエッジ環境に展開できるようになります。
• Octavia amphora ドライバーは、コントロール プレーンの回復力を向上させるテクノロジー プレビュー機能を追加します。ロード バランサの構成操作中にコントロール プレーン ホストに障害が発生した場合、スタンバイ コントローラは進行中の構成を再開し、要求を完了できます。
• ユーザーは、リスナーとプールに対して許容される TLS キーを指定できるようになりました。これにより、ロード バランサーはセキュリティ コンプライアンス要件を適用できるようになります。

配置

リソース プロバイダーは、コンピューティング ノード、共有ストレージ プール、または IP 割り当てプールになります。配置サービスは、各サプライヤーの在庫と使用状況を追跡します。たとえば、コンピューティング ノード上にインスタンスを作成すると、コンピューティング ノード リソース プロバイダーからの CPU やメモリ、外部共有ストレージ プール リソース プロバイダーからのディスク、外部 IP リソース プロバイダーからの IP アドレスなどのリソースが消費される可能性があります。

注:

• 設定可能な再試行回数を設定することで、ビジーなクラスター ハイパーバイザーなどの一般的な高レベルの同時書き込み割り当てシナリオに対する堅牢性が向上しました。

Puppet Openstack - OpenStack Puppet インストール モジュール

OpenStack 用の Puppet モジュールは、OpenStack クラウド デプロイメントにスケーラブルで信頼性の高い IT 自動化をもたらします。

注:

• Puppet OpenStack は、従来の管理者トークンの代わりに管理者パスワードを使用して Keystone をブートストラップできるようになりました。

Swift - オブジェクトストレージ

Swift はファイルシステムやリアルタイムデータストレージシステムではなく、永続的なタイプの静的データを長期保存するためのオブジェクトストレージシステムです。これらのデータは必要に応じて取得、調整、更新できます。 Swift は、仮想マシンのイメージ、画像、電子メール、アーカイブされたバックアップなどのデータを保存するのに最適です。

注:

• Swift コンテナとオブジェクト用の新しいシステム名前空間を追加しました。
• 新しい名前空間を使用して、新しい Swift オブジェクト バージョン管理 API が追加されました。
• 新しい API を使用した S3 バージョン管理のサポートが追加されました。
• SIGUSR1 を使用して「シームレスな」リロードを実行する機能が追加されました。これにより、WSGI サーバー ソケットは接続の受け入れを停止しません。
• SIGUSR1 を使用して「シームレスな」リロードを実行する機能が追加されました。これにより、WSGI サーバー ソケットは接続の受け入れを停止しません。

Vitrage - プラットフォーム問題箇所分析サービス

Vitrage は、OpenStack のアラートとイベントを整理、分析、拡張して、実際の問題が発生する前に根本原因を見つける OpenStack RCA (根本原因分析) サービスです。

注:

• より簡潔で使いやすいテンプレート バージョン 3 構文が追加されました。

Watcher - リソース最適化サービス

Watcher は、メトリック レシーバーから最適化プロセッサ、アクション プラン アプリケーションまで、完全な最適化ループ チェーンを提供します。 Watcher は、データセンターの運用コストの削減、インテリジェントな仮想マシンの移行によるシステム パフォーマンスの向上、エネルギー効率の向上など、幅広いクラウド最適化の目標を達成できる強力なフレームワークを提供することを目指しています。さらに、Watcher を使用すると、ユーザーはさまざまなリソース最適化の目標と戦略アルゴリズムをカスタマイズできます。

注:

• 新しい Webhook API と新しい監査タイプ EVENT が追加されました。現在、Watcher ユーザーは、Webhook API によってトリガーされる EVENT タイプを使用して監査を作成できるようになりました。
• 計算 (Nova) データ モデルの構築は、意思決定エンジン スレッド プールを使用して行われるため、モデルの構築に必要な全体的な時間が大幅に短縮されます。

Zaqar - メッセージング サービス

Zaqar は、OpenStack 内のマルチテナント クラウド メッセージング サービス コンポーネントであり、Amazon SQS メッセージング コンポーネントの実装に匹敵し、その実装を活用しています。 Openstack 内でスケーラブルで信頼性が高く、高性能なクラウド アプリケーションを構築するためのチャネルを提供します。 Zaqar サービスは、プロデューサー/コンシューマー モデルとパブリッシャー/サブスクライバー モデルを使用してメッセージを送信する完全な RESTful API を備えています。さまざまな通信モードを使用することで、開発者は SaaS およびモバイル アプリケーション上のさまざまなコンポーネント間でメッセージを送信できます。

注:

• キューの数を返す「with_count」を使用してキューをクエリすることをサポートします。ユーザーがキューの正確な合計数をすばやく取得するのに役立ちます。
• SNSの概念であるトピックと呼ばれる新しいリソースを紹介します。ユーザーはトピックにメッセージを送信でき、サブスクライバーはさまざまなプロトコル (http、電子メール、SMS など) に基づいてメッセージを受け取ります。

Zun - コンテナサービス

コンテナ管理サービスを提供するコンポーネントとして、Zun を使用すると、管理サーバーやクラスターを介さずに管理コンテナを迅速に起動および操作できます。 Neutron、Cinder、Keystone などのコア OpenStack サービスを統合し、コンテナの急速な普及を可能にします。このようにして、OpenStack のネイティブ ネットワーク、ストレージ、認証ツールがすべてコンテナ システムに適用され、コンテナがセキュリティとコンプライアンスの要件を満たすことができるようになります。 Zun は、Docker、Rkt、クリア コンテナーなど、複数のコンテナー テクノロジをサポートする予定です。これで、Docker テクノロジーのサポートが完了しました。

注:

• このバージョンから、Zun は CRI 互換ランタイムのサポートを追加します。 Zun は CRI ランタイムを使用してポッドの概念を実装します。したがって、ユーザーは Zun API を使用して、CRI ランタイムを通じて Kata コンテナー内にポッドを作成できます。

devstackを使用して素早くインストールしてテストする

DevStack は、git マスターの最新バージョンに基づいて完全な OpenStack 環境を迅速にインストールするための拡張可能なスクリプトのコレクションです。これは、開発環境として、また OpenStack プロジェクトの機能テストの基盤としてインタラクティブに使用されます。

Linuxをインストールする

まず、クリーンかつ最小限の Linux システムを準備します。 DevStack は、Ubuntu の最新の 2 つの LTS バージョン、最新の現在の Fedora バージョン、CentOS/RHEL 7、Debian、OpenSUSE をサポートするよう努めています。

こだわりがある場合、Ubuntu 18.04 (Bionic Beaver) が最もテスト済みであり、おそらく最もスムーズに動作するでしょう。

スタックユーザーの追加

DevStack は、sudo が有効になっている非 root ユーザーとして実行する必要があります (通常は、「ubuntu」や「cloud-user」などのクラウド イメージへの通常のログイン)。

クラウドイメージを使用していない場合は、DevStackを実行するための別のスタックユーザーを作成できます。

 $ sudo useradd -s /bin/bash -d /opt/stack -m スタック

このユーザーはシステムに変更を加えるので、sudo 権限を持っている必要があります。

$ echo "スタック ALL=(ALL) NOPASSWD: ALL" | sudo tee /etc/sudoers.d/stack$ sudo su - スタック

DevStackをダウンロード

$ echo "スタック ALL=(ALL) NOPASSWD: ALL" | sudo tee /etc/sudoers.d/stack
 $ sudo su -スタック

ストレージ devstack リポジトリには、主に OpenStack のインストールに使用されるスクリプトと構成ファイルのテンプレートが含まれています。

local.conf を作成する

devstack git リポジトリのルートに 4 つのパスワードを含む local.conf ファイルを作成します。

 [[ローカル|localrc ]]
 ADMIN_PASSWORD=シークレット
データベースパスワード=$ADMIN_PASSWORD
 RABBIT_PASSWORD=$ADMIN_PASSWORD
 SERVICE_PASSWORD=$ADMIN_PASSWORD

これは、DevStack を開始するために必要な最小限の構成です。

インストールを開始

$ ./stack.sh

これには、ネットワーク速度に応じて 15 ～ 20 分かかります。このプロセス中に多くのパッケージがインストールされます。

やっと！

これで、DevStack が機能するようになりました。

デフォルトでは、devstack は keystone、glance、nova、placement、cinder、neutron、horizo​​n をインストールします。フローティング IP が使用可能になり、テスト アカウントはクラウド外のシステムにアクセスできるようになります。

• Horizo​​n にアクセスして OpenStack Web インターフェースを体験し、そこから VM、ネットワーク、ボリューム、イメージを管理できます。
• シェル内のコマンドライン ツールを使用して devstack を管理できます。ソース openrc openstack
• devstack で使用するために構成された tempest テストを実行することが可能です。 cd /opt/stack/tempest
• OpenStack にコード変更を加えて検証することができます。

もちろんインストールされているツールはdevstackだけではなく、packstack、kollaなどもありますので、みなさんもいろいろ試してみて下さい。私は OpenStack がさらに発展していくことを心から願っています。