剛剛，OpenStack 第 19 個版本來了，附28項特性詳細解讀！

剛剛，OpenStack 第 19 個版本來了，附28項特性詳細解讀！

OpenStack Stein版本引入了新的多云編排功能，以及幫助實現邊緣計算用例的增強功能。

OpenStack由一系列相互關聯的項目組成，這些項目可以以不同的組合方式組合在一起，以實現完整的云部署。在OpenStack Stein里程碑中，有多個項目集成了新功能和增強功能，以及有益于云運營商的新項目。新項目包括OpenStack Placement服務，使運營商能夠更有效地跟蹤云資源清單。Stein版本中的Heat編排項目得益于支持跨多個OpenStack云編排新的工作負載部署。“OpenStack Stein在穩定性，性能和可用性方面進行了相當多的改進，”Canonical的產品經理Marcin Bednarz告訴eWEEK。“這證明了OpenStack的成熟程度以及它如何發展以應對新的應用場景，例如跨多個OpenStack云的Heat堆棧編排。”

自從2010年由NASA和Rackspace首次推出以來，Stein是OpenStack平臺的第19個版本。Stein更新是2019年首次OpenStack更新，并遵循2018年8月推出的Rocky里程碑。OpenStack是多利益相關方的努力，包括Canonical/Ubuntu，SUSE，VMware和Red Hat等多家供應商，提供商業支持的OpenStack產品。此外，還有多個由OpenStack 提供支持的云服務，包括Oracle，Rackspace，Telefonica，OVH，vScaler和City Network。

當OpenStack開始時，只有兩個項目，Swift存儲和Nova計算。新的OpenStack Placement服務是最初屬于Nova的一部分，但現在已經被分離到了它自己的項目中。根據發布說明，Placement服務的目標是跟蹤云資源清單和用法，以幫助其他服務有效地管理和分配其資源。作為其自己的項目，OpenStack開發人員聲稱，對于常見的調度操作，API的性能提高了50％。

“OpenStack Placement為OpenStack中資源分配的內部機制提供了有趣的可能性，”Bednarz說。“隨著性能的提高和Nova與Placement之間功能的明確劃分，云運營商似乎可以從中受益，尤其是在更容易維護OpenStack服務方面。”

（推薦閱讀：openstack的歷史版本有哪些）

Keystone身份

OpenStack中的Keystone Identity項目受益于Stein版本中的幾項重要增強功能，包括多重身份驗證。SUSE的高級產品經理TR Bosworth告訴 eWEEK，Stein的多因素身份驗證功能真正完成了2017年2月推出的OpenStack Ocata版本的工作。

“這是正確的方法，因為您進行多因素身份驗證-您提供了一種身份驗證，然后您將獲得一個'half-token'，表示您已完成部分身份驗證，然后當您使用身份驗證的第二部分時提供所需要的手機號或key。“博斯沃思說。“這是一個已經實施的挑戰響應機制。”

人工智能與邊緣

對于Red Hat產品管理高級經理Sean Cohen來說，Stein版本中有一些關鍵亮點可用于幫助企業在靈活，可擴展的私有云上提供新的差異化應用程序和服務。

科恩告訴eWEEK，“隨著組織希望從日益數字化的經濟中提取更多的利益，斯坦因增加了專注于支持新工作負載和用例的能力。” “例如，通過Stein，人工智能/機器學習（AI/ML），通過OpenStack和TensorFlow之間的協作簡化了面部識別等工作負載，提供了更加動態，多媒體的用戶體驗。”

新興的Edge Computing概念也得到了OpenStack Stein版本的推動。借助Edge Computing，計算可以擴展到網絡的邊緣，而不是位于中央核心的所有計算資源。Cohen指出，分布式計算增強功能也是Stein的一部分，為用戶提供采用邊緣計算策略的新方法。

“通過推動計算和存儲功能更接近數據源，OpenStack Stein可以更好地分配IT架構，有助于減少關鍵應用程序的延遲，同時降低帶寬和運營成本，”Cohen說。

剛剛，OpenStack 第 19 個版本來了，附28項特性詳細解讀！
Stein 發布亮點詳細介紹

剛剛，OpenStack 第 19 個版本來了，附28項特性詳細解讀！

（推薦閱讀：21版本OpenStack Ussuri以發布，有哪些新變化？）

1. Barbican-密鑰管理器服務

Barbican 是 OpenStack 的密鑰key管理組件，定位在使用 REST API 來安全存儲、提供和管理"密鑰"。

Notes:

對Vault后端進行了一些增強。現在可以指定KV掛載點并使用AppRoles來管理身份驗證。
我們現在運行Barbican特定的Octavia gate來驗證Octavia負載平衡方案。
修改了PKCS＃11插件以允許配置hmac_keywrap_mechanism。通過此更改，Barbican可以與Ultimaco HSM一起部署。
現在可以通過TripleO使用Thales或ATOS HSM部署Barbican和pkcs＃11后端。
此次修復是為了確保用于密鑰輪換的barbican-manage命令適用于PKCS＃11插件。

1. Blazar-資源預訂服務

Blazar的目標是在OpenStack云中為不同的資源類型提供資源預留，包括虛擬（實例，卷等）和物理（主機，存儲等）。

Notes:

引入了新的資源分配API，允許運營商查詢其云資源的保留狀態。
添加了對實例預留的親和性和非親和性策略的支持，允許將同一類預留的多個實例安排調度到同一個虛擬機管理程序（hypervisor)。
添加了一個用于預留浮動IP的新插件。此新功能可作為預覽版提供，并將在下一版本中完整實現。
集成了許多錯誤修復，以提高可靠性。

（推薦閱讀：OpenStack Liberty版本有哪些新突破）

1. Cinder-塊存儲服務

提供 REST API 使用戶能夠查詢和管理 volume、volume snapshot 以及 volume type，提供 scheduler 調度 volume 創建請求，合理優化存儲資源的分配。通過 driver 架構支持多種 back-end（后端）存儲方式，包括 LVM，NFS，Ceph 和其他諸如 EMC、IBM 等商業存儲產品和方案。

Notes:

為RBD驅動程序添加了multiattach和延遲刪除支持。
已經完成了許多錯誤修復來解決穩定性和可靠性問題。
針對驅動程序初始化，卷傳輸期間保留的數據以及命令返回的信息的用戶體驗進行改進。
備份服務的持續改進。

1. Congress-治理服務

Congress是一個基于異構云環境的策略聲明、監控、實施、審計的框架（policy-as-a-service）。Congress從云中不同的服務獲取數據，輸入到congress的策略引擎，從而驗證云中的各服務狀態是否按照設置的策略運行。

Notes:

通過在Nova，Tacker和Monasca的集成中添加多項新功能，實現以及增強NFV故障管理功能。
新的JGress框架通過使JSON API提供的云狀態可用于策略評估來解鎖全新的策略使用類。通過采用JSON查詢語言直接在JSON API數據上表達策略，JGress使部署人員能夠插入新數據源，而不受集成驅動程序可用性的限制。
與每個版本一樣，我們繼續通過錯誤修復和內部改進使congress比以往更加強大和穩定。

1. Cyborg-加速器生命周期管理

提供通用的硬件加速管理框架。加速的硬件包括加密卡，GPU，FPGA，NVMe/NOF SSDs，DPDK/SPDK，eBPF/XDP等等。

添加FPGA編程支持
添加GPU驅動程序
DB重構從而開始與NOVA Placement api策略保持一致

1. Designate-DNS服務

Designate并沒有實現DNS協議，而是管理了實現DNS協議的軟件，例如BIND9，PowerDNS等。Designate將這些軟件與OpenStack連接了起來，通過一套自己提供的API，控制底層的DNS軟件，完成例如創建DNS Zone，寫入Resource Record等DNS操作。所以，Designate本身只是一個軟件框架，一個適配多種DNS軟件的軟件框架。

Notes:

CAA為托管DNS區域添加了CA授權的記錄集類型
添加了NAPTR服務鏈和SIP管理的記錄集類型
更新配額時驗證項目ID
添加了新命令以幫助升級。designate-status upgrade check

1. Heat-編排服務

編排Heat主要功能是自動化部署應用，自動化管理應用的整個生命周期。對于云計算來說，自動化管理是一個必不可少的部分，heat就是這部分功能的實現。AWS的EC2是通過提供CloudFormation格式的模板來實現Orchestration。Heat不僅100%兼容CloudFormation格式，同時支持自己的Hot(heat orchestration template)格式。Heat 可以通常可用于解決客戶Paas層的需求。

Notes:

Heat現在支持在遠程OpenStack云中編排堆棧，同時使用用戶在Barbican中存儲的憑證。
現在，通過嘗試使用與現有資源沖突的版本進行替換當前資源，從而可以更輕松地進行恢復。
Heat中的新資源類型增加了對Neutron Layer 2 Gateways，Blazar和Tap-as-a-Service的支持。
支持通過Glance Web下載Glance鏡像的資源類型，允許從URL獲取鏡像，而無需將其預先加載。

1. Horizon-圖形化管理服務

為所有OpenStack服務提供可擴展的統一的基于Web的用戶界面，從而可以簡化運維管理操作。

Notes:

現在支持Cinder Generic Groups管理面板
增加了緩解漏洞***的選項
添加了upgrade_check管理命令
支持clouds.yaml和openrc文件的自定義模板

1. Ironic-裸機服務

OpenStack Ironic是一個進行裸機部署安裝的項目。所謂裸機，就是指沒有配置操作系統的計算機。 Ironic實現的功能，就是可以很方便的對指定的一臺或多臺裸機，執行以上一系列的操作。例如部署大數據群集需要同時部署多臺物理機，就可以使用Ironic來實現。Ironic可以實現硬件基礎設施資源的快速交付。

Notes:

添加了用于管理硬件的其他接口，包括Redfish BIOS設置，顯式iPXE引導接口選擇選項和其他硬件支持。
增強了用戶的功能和選項，包括部署模板，改進了并行conductor workers和磁盤擦除流程，部署的節點保護和描述，以及使用本地HTTP或HTTPS服務器來提供鏡像。
改進了standalone模式用戶的選項，來請求分配裸機節點并提交配置數據，而不需要預先形成配置驅動器。另外，Ironic允許使用JSON-RPC而不是AMQP消息總線。

1. Karbor-數據保護協調服務

讓各個廠商的數據保護軟件通過標準接口接入OpenStack，為OpenStack提供增強的備份、復制、遷移等數據保護即服務(Data Protection as a Service)能力，Karbor致力于解決虛擬機備份難、無標準備份的接口的現狀。

Notes:

支持將checkpoint重置為指定狀態
使用volume_glance_plugin支持跨站點備份和還原
不同銀行案例中checkpoint管理的優化

1. Keystone-身份認證服務

是OpenStack框架中負責管理身份驗證、服務訪問規則和服務令牌功能的組件。用戶訪問資源需要驗證用戶的身份與權限，服務執行操作也需要進行權限檢測，這些都需要通過 Keystone 來處理。Keystone 類似一個服務總線， 或者說是整個 Openstack 框架的注冊表，OpenStack 服務通過 Keystone 來注冊其 Endpoint（服務訪問的URL），任何服務之間的相互調用，都需要先經過 Keystone 的身份驗證，獲得目標服務的 Endpoint ，然后再調用。

Notes:

此版本引入了多重身份驗證功能（Multi-Factor），這有助于在使用MFA時更加自然順暢以及安全。
限制API現在除了支持Project之外還支持Domain，因此可以將資源配額分配給頂級域并在子項目中分配。
JSON Web令牌作為新的令牌格式與fernet令牌一起添加，支持互聯網標準格式。JSON Web令牌是非對稱簽名的，因此這種令牌格式不再需要在部署keystone服務的服務器之間同步私鑰。
多個keystone API現在支持系統范圍作為策略目標，這減少了對自定義策略的需求，以防止對具有任何項目的管理角色的用戶進行全局訪問。
多個keystone API現在使用默認的reader，member和admin角色而不是catch-all角色，這減少了為特定用戶創建只讀訪問的自定義策略的需要。

1. Kolla-容器化部署

Kolla聚焦于如何使用Docker容器部署 OpenStack服務。Kolla 顯著的特點是「開箱即用」和「簡易升級」，前者由編排工具（Ansible/Kubernetes）提供自動化支撐，后者則完全是 Container 的功勞。Kolla 追求為每一個 OpenStack Service 都構建相應的 Container，將升級/回滾的粒度（隔離依賴關系集）降維到 Service 或 Project 級別，實現升級/回滾的原子性。假若升級失敗，則直接啟動 Old Version Container 完成回滾。

Notes:

為Monasca的OpenStack監控服務完成了容器鏡像和playbooks的添加。
為OpenStack Placement服務添加了一個容器鏡像和playbooks，該服務已從Nova中提取到一個單獨的項目中。
添加了對執行MariaDB數據庫的完整備份和增量備份的支持。

1. Kuryr-容器網絡管理服務

其主要目標是通過該項目來整合 OpenStack 與 Kubernetes 的網絡。該項目在 Kubernetes 中實作了原生Neutron-based的網絡，因此使用Kuryr-Kubernetes可以讓你的OpenStack VM 與Kubernetes Pods 能夠選擇在同一個子網上運作，并且能夠使用 Neutron 的 L3 與 Security Group 來對網絡進行路由，以及阻擋特定來源 Port。

Notes:

添加了對kubernetes處理和響應網絡策略事件的支持，允許Kuryr-Kubernetes根據它們動態來處理安全組規則。
添加了對配置為使用CRI-O的K8s的支持，這是基于Open Container Initiative的Kubernetes Container Runtime Interface實現的容器。
增強readiness健康檢查以驗證處理程序資源的配額，提高整體性能和穩定性，并在需要時將其標記為不健康。
改進了對DPDK和SRIOV支持。

1. Manila-共享文件系統服務

為多租戶云環境中的共享文件系統管理提供一組服務，類似于OpenStack通過Cinder項目提供基于塊的存儲管理的方式。

Notes:

擴展支持對DHSS=True模式的共享和快照的管理/非管理支持，并為共享服務器添加管理/非管理支持。

1. Neutron-網絡服務

允許創建和管理網絡對象, 如網絡、子網和端口, 其他 OpenStack 服務可以使用。插件可以實現, 以適應不同的網絡設備和軟件, 為 OpenStack 的體系結構和部署提供靈活性。neutron, 提供了一個 API, 使您可以定義網絡連接并在云中尋址。網絡服務還提供了一個 API 來配置和管理各種網絡服務, 包括從 L3 轉發和 NAT 到負載平衡、邊界防火墻和虛擬專用網絡。

Notes:

支持嚴格的基于最小帶寬的調度。通過此功能，nova實例可以調度到滿足其端口的QoS策略定義的實例的最低帶寬要求的計算主機上。
網絡段范圍管理。此功能使云管理員能夠通過新的API擴展動態管理網段范圍，而不是之前編輯配置文件的方法。此功能針對StarlingX和邊緣使用的案例，使其易于管理。
加快Neutron端口批量創建。目標是針對containers/k8s用例，其中端口是按組創建的。
（FWaaS）FWaaS v1已被刪除。自Newton發布以來，FWaaS v2可用，它涵蓋了FWaaS v1中的所有功能。提供了一個遷移腳本，用于將現有的FWaaS v1對象轉換為FWaaS v2模型。

1. Nova-計算服務

是OpenStack的核心服務，負責維護和管理云環境的計算資源，同時管理虛擬機生命周期。

Notes:

現在可以使用最新1.0.0版placement服務運行Nova，該服務由其自己的repository托管。請注意，在所有部署工具中尚未完全實現placement服務的安裝/升級。在繼續之前，用戶應檢查其特定的部署工具以獲得支持。有關更多詳細信息，請參閱placement安裝和升級文檔。在Stein，用戶可以選擇繼續使用Nova repository中的集成placement服務，但是應該開始計劃通過在Train版本中遷移到最新的placement服務，因為計劃在Train版本發布中刪除Nova集成placement的部分代碼。
用戶現在可以在創建虛機服務時指定卷類型。
計算API現在可以容忍部署中的瞬態條件，例如部分基礎架構故障，例如無法訪問的單元。
用戶現在可以創建具有Neutron端口的虛擬機，這些端口具有QOS最小帶寬規則。
用戶現在可以使用Nova配置文件或Placement API設置超賣。
計算驅動程序功能現在自動作為展示Placement API中的特性公開，它們可用于通過 flavor extra specs和鏡像屬性進行調度。
現在，VMware驅動程序支持實時遷移。

1. Octavia-負載均衡器服務

是OpenStack LBAAS的支持的一種后臺程序，提供為虛擬機流量的負載均衡。實質是類似于trove，調用 Nova 以及Neutron的api生成一臺安裝好haproxy和keepalived軟件的虛擬機，并連接到目標網路，從而實現高性能的安全負載均衡的功能。

Notes:

Octavia現在支持負載均衡器“flavors”。這允許操作員創建自定義負載均衡器“flavors”，用戶可以在創建負載均衡器時進行選擇。
您現在可以在使用TERMINATED_HTTPS偵聽器時啟用TLS客戶端身份驗證。
Octavia現在支持對成員服務器連接的后端重新加密。
現在可以將元數據標簽分配給Octavia負載均衡器。

1. OpenStack Ansible-針對OpenStack的Ansible playbooks和roles 部署

從源碼中部署OpenStack的方式使其可擴展，同時還易于操作，升級和管理。

Notes:

已經完成工具優化，這將導致更快，更可靠的部署。
添加Ubuntu Bionic支持。
添加Mistral支持。
添加Manila支持。
添加Masakari支持。

1. Oslo-公共庫

生成一組包含OpenStack項目共享代碼的python庫。這些庫提供的API應該是高質量，穩定，一致，記錄和普遍適用的。通過這些公共庫，可以很容易弄出一個完善鑒權、分布式、易配置、帶調用鏈日志的REST服務。

Notes:

添加了Castellan配置驅動程序，允許將密鑰從磁盤配置文件移動到任何與Castellan兼容的密鑰庫。該驅動程序存在于Castellan項目中，因此必須安裝Castellan才能使用它。
添加了一個配置驅動程序來讀取環境變量中的值，這允許在容器中配置服務而無需注入文件。默認情況下，在oslo.config中啟用此驅動程序。
添加了配置驗證工具oslo-config-validator。這使用oslo-config-generator數據查找配置文件中未在服務中定義的選項。

1. Placement-資源跟蹤展示服務

跟蹤云資源清單和使用情況，以幫助其他服務有效地管理和分配其資源。

Notes:

Placement服務是從Nova項目中分離出的，并成為一個名為Placement的新官方OpenStack項目。
添加了定位候選資源提供程序的功能，簡化了指定主機以進行工作負載遷移的功能。
對于常見的調度操作，API性能提高了50％。
通過消除不必要的復雜性簡化代碼，簡化未來的維護。

1. Sahara-大數據處理服務

該項目旨在使用用戶能夠在Openstack平臺上便于創建和管理Hadoop以及其他計算框架集群，實現類似AWS的EMR（Amazon Elastic MapReduce service）服務。用戶只需要提供簡單的參數，如版本信息、集群拓撲、節點硬件信息等，利用Sahara服務能夠在數分鐘時間內快速地部署Hadoop、Spark、Storm集群。Sahara還支持節點的彈性擴展，能夠方便地按需增加或者減少計算節點，實現彈性數據計算服務。它特別適合開發人員或者QA在Openstack平臺上快速部署大數據處理計算集群。

Notes:

Sahara插件將從核心代碼中刪除，以便于維護和升級。
APIv2穩定發布。
從卷功能啟動的改進。

1. Searchlight-搜索服務

在多租戶云資源中提供高級和可擴展的索引和搜索。

Notes:

Searchlight現在可以與Elasticsearch 5.x一起使用
我們發布了一個新的愿景，使Searchlight成為一個多云應用程序
功能測試設置已得到改進
Searchlight現在可以使用Python 3.7進行測試

1. Senlin-集群服務

定義了一套集群管理的框架，以管理由其他OpenStack服務公開的同類對象組。

Notes:

提高性能，使Senlin操作執行速度提高了幾個數量級。
Health policy v1.1版本現在允許用戶指定多種類型的檢測模式。
Senlin API現在在cluster/node鎖定，冷卻效果或操作沖突的情況下發出同步失敗。
操作員現在可以使用senlin-manage工具中的action-purge子命令刪除已完成的操作。這對于在數據庫中累積了大量操作的長時間運行的集群非常有用。

1. Storlets-在對象存儲服務中進行計算

為了在OpenStack Swift中的數據附近執行以存儲為中心的用戶定義函數，實現用戶友好，經濟高效的可擴展和安全方式。

Notes:

支持用戶代碼的Python3運行

1. Swift-對象存儲服務

提供了彈性可伸縮、高可用的分布式對象存儲服務，適合存儲大規模非結構化數據。

Notes:

對S3 API兼容性層進行了大量改進。
對數據加密中間件的一些修復和改進，包括允許多個keymaster中間件。這允許從一個密鑰提供者遷移到另一個。
用戶可以使用新的databases_per_second配置選項更好地控制帳戶和container后臺守護程序I/O使用情況。
現在可以將擦除編碼數據重建為切換節點。當磁盤故障長時間未得到補救時，這可以提高數據持久性。

1. Tripleo-部署服務

開發和維護能夠在生產中部署OpenStack的工具和基礎架構，盡可能使用OpenStack。主要目標就是使用oepnstack來管理openstack，達到安裝、維護、升級的目標。

Notes:

添加了對容器和容器鏡像的podman和buildah的支持。
現在，虛擬網絡（OVN）是默認的網絡配置。
改進的可組合網絡支持，用于創建L3路由網絡和IPV6網絡支持。

1. Vitrage-RCA（根本原因分析）服務

用來組織、分析和擴展openstack的告警和事件，對問題產生的根本原因進行推導，為系統產生推導后的告警或者設置推導后的狀態。

Notes:

新而簡化的模板語言！新模板更短，更容易理解和重用。
添加了一個Trove數據源和一個Zaqar通知程序。
用于查詢Vitrage服務和資源計數的新API。
性能改進和更快的數據檢索。內存簽名和處理運行時間顯著減少。

1. Watcher-基礎結構優化服務

Watcher的目標是為基于OpenStack的多租戶云提供靈活且可擴展的資源優化服務。Watcher提供一個完整的優化循環鏈：從度量接收器，到優化處理器和操作計劃應用程序。Watcher的目標在于提供一個強大的框架，可以實現廣泛的云優化目標，包括減少數據中心運營成本，通過智能虛擬機遷移提高系統性能，提高能源效率等。此外，Watcher可供用戶定制豐富的資源優化目標與策略算法。

Notes:

Watcher支持API微轉換。
Watcher使用Nova通知來更新其內部計算CDM（群集數據模型）。
根據審計范圍構建計算CDM。
將start_time和end_time字段添加到CONTINUOUS審計。
添加了新的配置選項'action_execution_rule'。

最后是前十代碼的貢獻圖

剛剛，OpenStack 第 19 個版本來了，附28項特性詳細解讀！
翻譯自：

1.https://www.eweek.com/cloud/openstack-stein-improves-cloud-identity-and-orchestration

2.https://releases.openstack.org/stein/highlights.html

翻譯整理：祝祥 新鈦云服運維架構師

十年運維經驗，曾任刻通云運維工程師、微燭云和某互聯網金融平臺首席運維架構師。擁有OpenStack、CCIE、阿里云、ZStack等技術認證。有上萬臺云主機，PB級別分布式存儲運維經驗。熟悉各種虛擬化技術，軟硬件，網絡，容器編排等技術，擁有python開發經驗。熱愛各種開源技術。