Pause Cloud & DevOps

logo RockyPause Cloud & DevOps spéciale : Rocky sur le ring d’OpenStack

Après ce dimanche mouvementé de changement d’heure et d’annonce fracassante, revenons aux basiques et prenons un peu le temps de faire un tour des nouveautés de la version Rocky d’OpenStack.

Rocky intègre officiellement plusieurs nouveaux projets très intéressants ainsi que des améliorations sur les projets existants.

Les nouveaux projets

Cyborg

Lancé le 30 août dernier, Rocky inclut le projet Cyborg pour la gestion du cycle de vie des accélérateurs matériels comme par exemple le GPU et FPGA. Jonathan Bryce, directeur exécutif de la fondation OpenStack, est très enthousiaste concernant ce projet. Cyborg permet de gérer et d’allouer à différentes machines les différents types d’accélérateurs matériels présents dans l’écosystème afin d’être plus élastique.

Le projet Cyborg sur le wiki OpenStack

Masakari

Un autre projet intègre la Big Tent, juste avant son démantèlement : Masakari permet de créer des machines virtuelles hautement disponibles. Masakari recrée automatiquement des instances en cas de processus défaillant ou de compute node en état critique ou éteint.

Cette fonctionnalité est demandée depuis les débuts d’OpenStack, afin de mieux supporter les applications non-cloud.

Le project Masakari sur le wiki OpenStack

Des améliorations attendues

Le service d’authentification, Keystone

La gestion du contrôle d’accès basé sur les rôles (RBAC) dans OpenStack est l’un des points les plus difficiles à gérer pour les opérateurs. L’implémentation initiale d’OpenStack était simple et fonctionnait pour des déploiements élémentaires. OpenStack a évolué au fur et à mesure que les déploiements devenaient plus importants et plus complexes. La mise en œuvre de la solution RBAC n’a pas réussi à évoluer en conséquence.

OpenStack se devrait d’offrir une implémentation RBAC simple et facile à comprendre ; c’est pourquoi de nouveaux rôles ont été implémentés par défaut.

  • reader : les utilisateurs ayant ce rôle ne peuvent que voir les ressources, pas de création ni de mise à jour
  • member : sert de rôle « do-er » à usage général. Il introduit une granularité entre l’administrateur et les autres utilisateurs
  • admin : ce rôle ne sera considéré comme approprié que pour les opérations jugées trop sensibles

Vous pouvez retrouver un exemple d’utilisation sur le site officiel d’OpenStack. Ces nouveaux rôles ne sont utilisables que pour Keystone pour le moment, le support pour les autres composants devrait arriver dans les prochaines versions.

Parmi d’autres évolutions, Keystone a déprécié l’utilisation du port 35357 pour son API d’administration, toutes les communications peuvent maintenant être faites sur le port 5000.

Attention : n’oubliez pas ce changement dans vos configurations !

Glance

Le service d’images a ajouté le support des images cachées.

Une pratique commune et recommandée pour les administrateurs OpenStack est de fournir des images Glance à jour, sans failles de sécurité. Ces images sont généralement référencées par leur nom, et les anciennes images sont supprimées lors de la mise à disposition d’une nouvelle image. Avec cette méthode les références aux anciennes images sont perdues. Grâce aux images cachées seule la denière image, à jour, apparaît dans le listing, mais les références des anciennes images existent toujours.

Cette version implémente également la prise en charge de l’algorithme de hashage sécurisé Hash, et ajoute une propriété de vérification d’image dite « checksum ». L’algorithme sécurisé par défaut est SHA-512. Avec cette nouveauté, l’image pourra être vêtue d’une propriété supplémentaire de vérification de l’intégrité des données, afin d’éviter l’utilisation d’images corrompues.

Pour terminer avec Glance, le projet a ajouté la possibilité d’avoir plusieurs types de backends de stockage d’images, permettant différentes qualités de stockage pour les utilisateurs (spécification).

Cloudkitty

Le projet s’améliore et devient encore plus stable !

Il peut maintenant collecter des nouvelles métriques ne venant pas d’OpenStack.

Avec le nouveau backend V2 de CloudKitty, les données peuvent être récupérées et exploitées avec plus de finesse, et visualisées dans Grafana.

La release note est visible ici : https://docs.openstack.org/releasenotes/cloudkitty/rocky.html

Neutron

La partie réseau, avec Neutron, apporte une nouveauté sur le transfert de port TCP/UDP sur les IP flottantes. Pour une meilleure gestion du trafic ou pour des entreprises qui ont des petits pool d’adresses IP, Neutron permet d’associer une IP flottante avec plusieurs ports TCP, et par conséquent de lier une IP flottante à plusieurs instances. L’option utilisée est port_forwarding.

Les nouvelles fonctionnalités de Neutron sont à voir ici : https://docs.openstack.org/releasenotes/neutron/rocky.html

Barbican

Barbican offre une API REST pour le stockage sécurisé, l’approvisionnement et la gestion de secrets tels que les mots de passe, les clés de chiffrement et les certificats X.509. HashiCorp Vault est désormais supporté comme backend de stockage en chiffrement.

Nova

Des améliorations ont été apportées sur Nova afin de minimiser les coupures réseau pendant les migrations de VM à chaud. Cela permet d’avoir moins de perte de paquets réseaux au moment de la migration finale de l’instance d’un compute à l’autre. L’utilisateur aura ainsi moins d’impact sur son application.

De plus, le pilote libvirt est maintenant capable de migrer en direct entre différents types de plugin réseau (linuxbridge vers OVS). Dans un environnement qui comprend différents types de réseau, cette fonctionnalité simplifie la migration des VMs pour les administrateurs.

Octavia

Octavia, le projet de load balancing, propose également une nouveauté avec la prise en charge des paquets UDP : c’est une fonctionnalité intéressante pour le support de projets IoT par exemple.

Magnum

Au cours des dernières années, Kubernetes a été largement adopté par la communauté. Afin d’assurer une cohérence dans les différents déploiements, la communauté et la Cloud Native Computing Foundation (CNCF) ont créé un programme de conformité certified Kubernetes. Ce programme donne aux utilisateurs l’assurance que lorsqu’ils utilisent un produit certifié Kubernetes, ils peuvent compter sur un niveau élevé de fonctionnalités communes.

Le projet Magnum, qui permet l’orchestration de conteneurs à la demande sur OpenStack, vient d’être certifié installateur Kubernetes, une belle avancée !

 

Mais encore ?OpenStack Summit Berlin

D’autres informations sont à retrouver sur nos articles écrits lors de l’OpenStack Summit à Vancouver sur notre blog.

Et n’oubliez pas, rendez-vous à Berlin du 13 au 16 novembre !

 

En savoir plus sur la version Rocky :

https://www.openstack.org/software/rocky/