OpenStack Liberty 中新增的 53 个功能

又一个秋天，又一个 OpenStack 版本。OpenStack 的第 12 个版本 Liberty 将于 10 月 15 日发布，并且候选版本已经在发布中。那么，在过去六个月的开发中，我们可以期待什么？

App 开发者：第一个 OpenStack 教程需要您

指导新开发者将其第一个应用程序部署到 OpenStack 的教程已经完成，适用于 Apache Libcloud，需要帮助支持新的语言和 SDK。

通往东京之路

• OpenStack Summit 东京即将售罄！立即注册！
• 请求注册转移和退款的截止日期是 10 月 12 日。请将任何请求或问题发送到 [email protected]
• OpenStack Summit 东京的日程和移动应用程序现已发布
• 演讲者、赞助商和 ATC 注册码将于 10 月 19 日 失效，请立即注册！

社区反馈

OpenStack 一直对反馈和社区贡献感兴趣，如果您希望在 OpenStack 每周社区新闻通讯 中看到新的部分，或者对内容呈现方式有想法，请与我们联系：[email protected].

之前活动的报告 

• 本周没有

截止日期和贡献者通知

• Liberty 版本发布日期：2015 年 10 月 15 日

安全公告和通知 

• [openstack-announce] [OSSA 2015-020] Glance 存储溢出 (CVE-2015-5286)

技巧 ‘n 窍门 

• 由 Augustina Ragwitz：Hack hack hack 通往您的第一个 OpenStack 补丁
• 由 Scott Lowe：使用 Docker Machine 与 OpenStack

即将举行的活动 

• 2015年10月04 – 08日 Gartner SymposiumITxpo 佛罗里达州奥兰多，美国
• 2015年10月06日 十月悉尼聚会
• 2015年10月07日 休斯顿 OpenStack 聚会 德克萨斯州休斯顿，美国
• 2015年10月07 – 08日 OpenStack Liberty 版本 德克萨斯州理查德森，美国
• 2015年10月07 – 08日 OpenStack 101 德克萨斯州休斯顿，美国
• 2015 年 10 月 8 日 7. Meetup, Konu：Murano – OpenStack 应用目录 安卡拉，土耳其
• 2015 年 10 月 8 日 – 9 日 Neutron apollozza！新日期！新地点！ 奥斯汀，德克萨斯州，美国
• 2015 年 10 月 10 日 OpenStack 印度 Meetup, Pune, IN
• 10 月 12 日 2015 年 OpenStack Cinder 深入探讨 Stockholm, SE

开发者列表中的重要信息

PTL 选举结果公布！

• https://wiki.openstack.org/wiki/PTL_Elections_September_2015#Results

拟议的设计峰会轨道/房间/时间分配

• http://tinyurl.com/mitaka-design-summit
• 如果有人发现任何明显的问题，他们应该联系 Thierry Carrez。

注册 OpenStack Summit Tokyo 2015

全面访问注册价格将于 9 月 29 日太平洋时间晚上 11:59 提高

这堆用户故事突出了人们在 OpenStack 中想要的东西

产品工作组最近启动了一个 Git 仓库，用于收集从加密存储到滚动升级的需求。

容器中的存储工作原理

FICO 云服务工程高级总监 Nick Gerasimatos 深入探讨了容器缺乏持久存储的问题，以及 Docker 卷和数据容器如何提供解决方案。

通往东京之路

• 获取 OpenStack Summit 东京签证的五个步骤：签证邀请申请截止日期为 10 月 1 日
• OpenStack Summit 东京的日程和移动应用程序现已发布

社区反馈

OpenStack 一直对反馈和社区贡献感兴趣，如果您希望在 OpenStack 每周社区新闻通讯 中看到新的部分，或者对内容呈现方式有想法，请与我们联系：[email protected].

之前活动的报告 

• OpenStack 加热硅谷
• OpenStack Day Benelux

截止日期和贡献者通知

• Liberty 版本发布日期：2015 年 10 月 15 日

安全公告和通知 

• [openstack-announce] [OSSA 2015-019] Glance 镜像状态操作 (CVE-2015-5251)

技巧 ‘n 窍门 

• 由Swapnil Kulkarni：[OpenStack][RDO] Liberty 测试日

即将举行的活动 

• 2015 年 9 月 28 日 – 2016 年 1 月 3 日 在 PyCon 上演讲（征稿） 波特兰，俄勒冈州，美国
• 2015 年 9 月 29 日 – 30 日 OpenStack 中的云存储
• 2015年10月1日 OpenStack Meetup Cluj 罗马尼亚克卢日-纳波卡市
• 2015年10月1日 南湾 OpenStack Meetup，初学者轨道 美国加利福尼亚州旧金山
• 2015年10月1日 – 2日 十月 OpenStack Meetup – SDN 和容器 美国伊利诺伊州芝加哥市
• 2015年10月04 – 08日 Gartner SymposiumITxpo 佛罗里达州奥兰多，美国
• 2015年10月06日 十月悉尼聚会
• 2015年10月07日 休斯顿 OpenStack 聚会 德克萨斯州休斯顿，美国
• 2015年10月07 – 08日 OpenStack Liberty 版本 德克萨斯州理查德森，美国
• 2015年10月07 – 08日 OpenStack 101 德克萨斯州休斯顿，美国

开发者列表中的重要信息

处理没有 PTL 候选人的项目

• 技术委员会将任命一个 PTL [1]，如果没有已识别的合格候选人。
• 任命的 PTL
  • Robert Clark 提名安全 PTL
  • Serg Melikyan 提名 Murano PTL
  • Douglas Mendizabal 提名 Barbican PTL
  • Magnum PTL 选举在 Adrian Otto 和 Hongbin Lu 之间进行
• MagnetoDB 被放弃，没有选择 PTL。相反，它将加速从 OpenStack 官方项目列表中移除 [2]。

需要发布帮助 – 我们彼此不兼容

• Robert Collins 指出，我们用来识别不兼容组件的约束系统正在工作，但发布团队需要社区的帮助来修复现有的不兼容性，以便我们可以切断完整的 Liberty 版本。
• 存在的问题
  • OpenStack 客户端无法创建镜像。
    • 补丁已合并 [3]。

Semver 和依赖关系更改

• Robert Collins 说，目前我们没有提供关于当项目的唯一更改是依赖关系更改时会发生什么情况的指导。
  • 今天发布团队将依赖关系更改视为“功能”而不是错误修复。（例如，如果之前的版本是 1.2.3，需求同步发生，下一个版本是 1.3.0。）
  • 背后的原因很复杂，需要一些指导来回答问题
    • 此需求更改是 API 中断吗？
    • 此需求更改是功能工作吗？
    • 此需求更改是错误修复吗？
  • 所有这些问题都可能是真的。一些例子
    • 如果库 X 将库 Y 作为其 API 的一部分公开，并且库 Y 的依赖关系从 Y>=1 更改为 Y>=2。X 这样做是因为它需要 Y==2 的功能。
    • 库 Y 未在库 X 的 API 中公开，但是，X 的 Y 依赖关系的变化会影响独立使用 Y 的用户。（忽略此处围绕 PIP 的复杂性。）
  • 提议
    • 无 -> 需求 -> 主要版本更改
    • 1.x.y -> 2.0.0 -> 主要版本更改
    • 1.2.y -> 1.3.0 -> 次要版本更改
    • 1.2.3. -> 1.2.4 -> 补丁版本更改
  • Thierry Carrez 同意最后两个建议。默认情况下进行主要版本升级似乎有些过头了。
  • Doug Hellmann 提醒我们不能假设依赖关系本身使用 semver。我们需要其他东西来确定 API 是否实际上发生了中断。
  • 由于这个问题非常复杂，Doug 宁愿过度简化需求更新的分析，直到我们更好地识别自己的 API 中断更改并区分功能和错误修复。这将使我们保持一致，即使不是 100% 正确。

应用漏洞：managed 标签的标准

• 几个月前，漏洞管理流程被带到“大帐篷” [4]。
• 最初，我们列出了漏洞管理团队 (VMT) 跟踪漏洞的仓库。
  • TC 决定将此从仓库更改为交付物，因为根据仓库的标签被认为是不合适的。
• Jeremy Stanley 提供了关于交付物如何获得此标签的透明度
  • 给定交付物中的所有仓库都必须符合条件。如果有一个仓库不符合，那么在给定的交付物中它们都不符合。
  • 联系人
    • 交付物必须有一个指定的联系人。
      • VMT 将与此联系人联系以处理报告。
    • 核心审查员小组应成为 <project>-corsec 团队的一部分，并将
      • 确认错误是否准确/适用。
      • 提供与报告相关的补丁的预先批准。
  • 交付物的 PTL 应同意充当（或委托）漏洞管理联络人，以供 VMT 升级。
  • 交付物仓库中的错误跟踪器应配置为最初向 VMT 提供对私有报告的漏洞的访问权限。
    • VMT 将确定漏洞是否报告在正确的交付物上，并在可能的情况下重定向。
  • 交付物仓库应经过第三方审查/审计，以查找不安全的设计或风险实施的明显迹象。
    • 这旨在减少 VMT 的工作量。
    • 尚未确定谁将执行此审查。也许是 OpenStack 安全项目团队？
• 此提案的审查已发布 [5]。

所有 API 上一致支持 SSL 终止代理

• 在调试一个错误 [6] 时，发现一个问题，即位于执行 SSL 终止的代理后面的 API 将不会生成正确的重定向（http 而不是 https）。
  • 已经给出审查 [7]，提供了一个配置选项“secure_proxy_ssl_header”，允许 API 服务根据标头 X-Forwarded-Proto 检测 ssl 终止。
• 2014 年还有一个相同的错误 [8]。
  • 几个项目应用了补丁来修复此问题，但并不一致
    • Glance 添加了 public_endpoint 配置
    • Cinder 添加了 public_endpoint 配置
    • Heat 添加了 secure_proxy_ssl_header 配置（通过 heat.api.openstack:sslmiddleware_filter）
    • Nova 添加了 secure_proxy_ssl_header 配置
    • Manila 添加了 secure_proxy_ssl_header 配置（通过 oslo_middleware.ssl:SSLMiddleware.factory）
    • Ironic 添加了 public_endpoint 配置
    • Keystone 添加了 secure_proxy_ssl_header 配置
• Ben Nemec 评论说，在服务级别解决这个问题是错误的，因为这需要在许多不同的 API 服务中进行更改。相反，应该在将流量转换为 http 的代理中修复。
  • Sean Dague 指出，这应该在服务目录中完成。服务发现是所有服务在相互通信时都应使用的基本功能。有一个 OpenStack 规范 [9]，试图解决这个问题
  • Mathieu Gagné 指出这行不通。服务目录中存在“拆分视图”，其中内部管理节点具有特定的目录，而公共节点（供用户使用）具有不同的目录。
    • 建议使用 oslo 中间件 SSL 来支持“secure_proxy_ssl_header”配置，以解决问题，代码量很少。
    • Sean 同意需要考虑拆分视图，但是，不应该让另一层工作决定服务目录是否是跟踪我们的服务 URL 的好方法。我们不应该推动一个 Keystone 是可选的模型。
    • Sean 指出，虽然“secure_proxy_ssl_header”配置解决方案支持存在一个 HA 代理与 SSL 终止到 1 个 API 服务的情况，但它可能不适用于 1 个 API 服务到 N 个 HA 代理的情况
      • 客户端需要正确理解“Location:”标头。
      • 像 request/phatomjs 这样的库可以遵循 REST 文档中提供的链接，并且它们是正确的。
      • 少数几个可以选择“不依赖关键组件”运行的服务能够正常工作。
    • ZZelle 提到，当服务本身充当代理（例如 nova image-list）时，此解决方案不起作用。
    • 此解决方案是否适用于 HA Proxy 的情况，即多个后端服务器对应一个终止地址？
      • 是的，通过尊重 HTTP 代理设置的 X-Forwarded-Host 和 X-Forwarded-Port 头部，使 WSGI 应用程序不知道它们前面存在请求。
• Jamie Lennox 说，同样的问题出现在 Devstack 补丁中，目的是在 gate 中使用 HA Proxy 进行 TLS 测试，从而导致阻塞。
  • 更长期的解决方案是，将服务过渡到使用相对链接。
    • 这是一个相当重要的改变。我们一直返回绝对 URL，因此假设所有客户端代码都会使用相对代码是一个很大的假设。这绝对是主要版本。
• Sean 同意，我们已经具备了足够的组件，可以在 Mitaka 中使用代理头部获得更好的效果。如果清理服务目录的使用，我们可以处理剩余的边缘情况。

[1] – http://governance.openstack.org/resolutions/20141128-elections-process-for-leaderless-programs.html

[2] – https://review.openstack.org/#/c/224743/

[3] – https://review.openstack.org/#/c/225443/

[4] – http://governance.openstack.org/reference/tags/vulnerability_managed.html

[5] – https://review.openstack.org/#/c/226869/

[6] – https://bugs.launchpad.net/python-novaclient/+bug/1491579

[7] – https://review.openstack.org/#/c/206479/

[8] – https://bugs.launchpad.net/glance/+bug/1384379

[9] – https://review.openstack.org/#/c/181393/

运行 OpenStack？您有权影响路线图

请在 9 月 25 日之前完成用户调查

呼吁 Outreachy 导师 

如果您是全职贡献者，请考虑分享您的时间和知识，让我们的社区更加多样化，您将有机会结识新的优秀人才。请在 Freenode 上的 #OpenStack-opw 寻求进一步的指导。

DefCore 的入门指南，OpenStack 的互操作性项目

DefCore 委员会联合主席 Rob Hirschfeld 分享了更多关于 DefCore 的信息，DefCore 定义了功能、代码和必须通过的测试，为标记为 OpenStack 的产品创建了最低标准

通往东京之路

• 立即注册：完全访问权限的注册价格将于 9 月 29 日太平洋时间晚上 11:59 提高
• 非营利组织/政府/学生优惠注册截止日期为 9 月 25 日
• 获取 OpenStack Summit 东京签证的五个步骤：签证邀请申请截止日期为 10 月 1 日
• OpenStack Summit 东京的日程和移动应用程序现已发布

之前活动的报告 

• 本周没有

截止日期和贡献者通知

• Liberty 版本发布日期：2015 年 10 月 15 日

安全公告和通知 

• 本周没有

技巧 ‘n 窍门 

• 由 Nicole Martinelli：对 OpenStack 发布周期感到困惑？请查看这张方便的图表
• 由 Superuser：如何从 VMware 和 Hyper-V 迁移到 OpenStack
• 由 Miguel Grinberg：使用 OpenStack-Ansible 项目进行 Keystone 到 Keystone 联合身份验证
• 由 Nicholas Cammorato：使用 PackStack 在 AWS 和 Google Cloud 上从头开始构建 OpenStack 实验室 – 通过 PackStack 安装 OpenStack
• 由 Miguel Grinberg：使用 OpenStack-Ansible 项目进行 Keystone 到 Keystone 联合身份验证

即将举行的活动 

• 2015 年 9 月 21 日 – 24 日 存储开发者大会 圣克拉拉，加利福尼亚州，美国
• 2015 年 9 月 29 日 – 30 日 OpenStack 中的云存储
• 2015年10月1日 OpenStack Meetup Cluj 罗马尼亚克卢日-纳波卡市
• 2015年10月1日 南湾 OpenStack Meetup，初学者轨道 美国加利福尼亚州旧金山
• 2015年10月1日 – 2日 十月 OpenStack Meetup – SDN 和容器 美国伊利诺伊州芝加哥市
• 2015年10月04 – 08日 Gartner SymposiumITxpo 佛罗里达州奥兰多，美国
• 2015年10月06日 十月悉尼聚会
• 2015年10月07日 休斯顿 OpenStack 聚会 德克萨斯州休斯顿，美国
• 2015年10月07 – 08日 OpenStack Liberty 版本 德克萨斯州理查德森，美国
• 2015年10月07 – 08日 OpenStack 101 德克萨斯州休斯顿，美国
• 10 月 10 日 2015 年 OpenStack India Meetup, Pune Pune, IN
• 10 月 12 日 2015 年 OpenStack Cinder 深入探讨 Stockholm, SE
• 10 月 13 日 2015 年 Pub Gathering Manchester, GB
• 10 月 15 日 2015 年 OpenStack Howto part 7 – Data Processing Prague, CZ
• 2015 年 10 月 15 日 – 16 日 即将举行的活动，敬请期待 美国华盛顿特区，DC
• 2015 年 10 月 16 日 OpenStack PDX Meetup
• 2015 年 10 月 16 日 SFBay OpenStack Hackathon #OSSFO

开发者列表中的重要信息

PTL 提名结束，开始选举！

• 五个项目没有候选人。根据 OpenStack 管理，TC 将 任命新的 PTL [1]。
  •   Barbican
  •   MagnetoDB
  •   Magnum
  •   Murano
  •   Security
• 七个项目将进行选举
  •   Cinder
  •   Glance
  •   Ironic
  •   Keystone
  •   Mistral
  •   Neutron
  •   Oslo   
•  存在关于 UTC 的混淆，以及如何通过 Gerrit 提交提名，但 TC 将与 Magnum、Barbican、Murano、Security 中的那些候选人合作。 
• Doug Hellmann 说 MagnetoDB 将因不活动而被讨论删除。[1]

Glance 提出的优先级

• 来自 Ops 中期会议的讨论和关于 Glance 问题的电子邮件线程，Doug Hellmann 整理了一份 Glance 团队提出的优先级列表
  • 关注 DefCore：
    • DefCore 目标：确保所有 OpenStack 部署在 REST 级别上是可互操作的（用户可以为 OpenStack 云编写软件，并在不更改代码的情况下迁移到另一个云）。
    • 提供一个文档完善的 API，其参数不会根据部署选择而更改。
    • Tempest 中的集成测试，直接测试 Glance 的 API，除了当前通过 Nova 和 Cinder 代理的测试。
    • 一旦合并到 DefCore 中，API 需要在一段时间内保持稳定，并遵循 Nova 和 Cinder 中完全采用 V2 的弃用时间表。
  • 在 Nova 中，一些规范没有在 Liberty 中实现。双方团队需要共同努力。
  • 在 Cinder 中，工作已经完成得比较好，但需要审查 API 是否使用正确。
  • 安全审计和错误修复
    • 最近的 18 份安全报告中有 5 份与 Glance 相关 [2]
• 两种将镜像上传到 Glance V2 的方式
  • 将镜像位发布到 Glance API 服务器。
    • 部署不广泛。潜在的 DOS 向量。
  • 任务 API，让 Glance 异步下载它。
    • 部署不广泛。
    • 假设您知道哪些云支持哪些“任务”类型，以及预期的参数（例如，Glance 文档给出了一个源的 URL，但 Rackspace 给出了 Swift 位置作为源）。

新的提议的“默认”网络模型

• Monty Taylor 讨厌浮动 IP。
  • 观察了 5 个公共云，需要您使用浮动 IP 才能获得出站地址。其他云直接将您连接到公共网络。
  • 一些允许您创建一个私有网络并将虚拟机连接到它，创建一个带有网关的路由器。
•  Monty 希望有一种更简单的方法，让虚拟机位于云的面向外部的网络上。用户不应该 学习如何使用浮动提示使其工作。这应该是在公共云中的一致行为。Mitaka 将努力解决 Monty 的请求 [3]。这将 适用于“nova boot”并与多个网络一起工作。
  •  如果您有更复杂的网络设置，此规范不适用于您。

 基本功能弃用策略

• Thierry Carrez 提出了一种标准方法来传达和执行用户可见的行为和功能的删除。
  • 我们现在有一些东西，但没有写成“要删除一个功能，您需要在 n 个版本中将其标记为已弃用，然后将其删除”。
  • 提出的标签 [4]。
• 我们需要调查现有项目，看看它们的弃用策略是什么。
• 弃用周期的建议选项
  • n+2 用于功能和能力，n+1 用于配置选项
  • n+1 用于所有内容
  • n+2 用于所有内容
• Ben Swartzlander 认为此讨论还需要涵盖长期支持 (LTS)。
  • Fungi 认为现在还为时过早。Icehouse 稳定分支在停止使用之前持续了 14 个月 ，因为没有付出足够的努力来使其正常工作。
• 一致认为“配置选项和功能必须在至少一个稳定分支中标记为已弃用，并且至少 3 个月”。​

team:danger-not-diverse 标签

• Josh Harlow 担心大多数项目一开始规模小且不多样化，并且此标签 [5] 将为这些项目创建负面含义。
• Thierry 提出重要的是要了解标签的意图，而不是它的名称。
  • 标签系统旨在帮助我们的生态系统通过 提供一些信息来浏览大帐篷。
  • 信息示例：投资给定项目有多大风险？
    • 一些项目依赖于一家公司，并且可能在一天之内因 CEO 的决定而消失。
• 因此，Thierry 支持描述* 极其脆弱的项目团队。
• 因此，大帐篷更具包容性。另一方面，我们需要告知我们的生态系统，有些项目不太成熟。否则，您就是在隐藏此信息。

[1] – http://lists.openstack.org/pipermail/openstack-dev/2015-September/074837.html 

[2] – https://security.openstack.org/search.html?q=glance&check_keywords=yes&area=default

[3] – https://blueprints.launchpad.net/neutron/+spec/get-me-a-network

[4] – https://review.openstack.org/#/c/207467/

[5] – https://review.openstack.org/#/c/218725/

其他新闻 

• 跟踪 OpenStack 革命
• OpenStack Liberty 中的 Python 3 状态

OpenStack 反馈

 

当人们说他们部署了一个完整的、Active:Active、HA OpenStack 时

 

使用 logstash.openstack.org 和单元测试日志来查找阻止 gate 的竞争条件