Особенности обновления с прошлой версии

• Обеспечена поддержка совместимости системы со срочным оперативным обновлением 1.7.4.UU.1 (БЮЛЛЕТЕНЬ No 2023-0630SE17MD) ОС Astra Linux Special Edition;
• Обновлены версии программных пакетов подсистемы виртуализации, управления, хранилищ данных, файловых, сетевых и других подсистем, обеспечивается поддержка современного оборудования и драйверов, ядра ОС версии 5.15;
• Реализована возможность бесшовного обновления с версии 3.2 до 3.3. Для наших Клиентов, у которых уже установлена версия 3.2, можно обновить систему до версии 3.3. Для этого был проработан механизм миграции и подготовлена инструкция;
• Переименовано название БД в "Brest";
• Добавлены проверки на граничные условия в ядре системы.

В настоящее время обновление находится на сертификации в ФСТЭК России, ОАЦ РБ, Минобороны России. Начало серийного производства и реализация (продажа) будут осуществляться по завершении сертификации, окончание работ запланировано на IV квартал 2023 — I квартал 2024 года.

Что нового

• Разработан новый программный компонент - приложение с графическим интерфейсом для конфигурирования и установки системы - Консоль управления ПК СВ "Брест" (КУБ). Он позволяет администратору дистанционно из единого интерфейса управления развернуть полноценную систему на необходимом количестве серверов, указывая их роли и применяя необходимые настройки для каждого из них. Разработка находится на этапе бета-версии, будет дорабатываться и пока не предназначена для эксплуатации в продуктивных системах, но может быть использована для ознакомления с его основными возможностями;
• Реализована возможность создания сервисов (SaaS) и группы виртуальных машин с автомасштабированием. Механизм создания сервисов представляет собой многозвенное (multi-tier) приложение, каждое звено (tier) которого представляет собой обособленное приложение, функционирующее на отдельной ВМ, с зависимостями развертывания между ними. Каждая группа виртуальных машин создаётся и управляется как единое целое, при этом обеспечивается автоматическая перенастройка сервиса в соответствии с заданными правилами (политиками) эластичности, т.е. автоматическое изменение количества виртуальных машин с заданной ролью;
• Реализован механизм дедупликации памяти, основанный на исключении копий повторяющихся данных в ОЗУ, что позволяет ядру системы проверять две или более уже запущенные ВМ и побитово сравнивать используемые ими страницы памяти, и если какие-либо страницы идентичны, например общие библиотеки, то сводить их к одной, что позволяет оптимизировать объем общей используемой виртуальными машинами памяти. Это повышает производительность некоторых приложений и эффективность использования имеющихся ресурсов, однако в некоторых случаях может немного снизить общую производительность системы;
• Выполнены программные доработки для соответствия требованиям ФСТЭК к средствам виртуализации, которые включают в себя добавление в зависимости модуля (astra-kvm-secure) для реализации ролевого контроля доступа, создание новых групп по-умолчанию в КД FreeIPA, отключение сервиса firewalld при установке системы и ряд других.

Исправленные ошибки

RAFT

• Некорректная работа RAFT после обновления с предыдущих версий системы;
• Ошибка при повторном добавлении сервера в кластер (после смены лидера RAFT);
• При подключении к ВМ через virt-viewer различается пароль на подключение (при использовании RAFT);
• Неверный SSL-сертификат для RAFT на портах 2616 и 29876.

Планировщика действий с ВМ

• Восстановлена работа механизма создания резервных копий ВМ по расписанию;
• Меню действий, поле выбора действия теперь функционируют корректно;
• Создание запланированного действия с ВМ в прошлом;
• Работа поля счетчика времени.

Проблемы в работе хранилищ, дисков ВМ, резервного копирования

• Уничтожение временного диска после отключения ВМ;
• После запуска ВМ с постоянным диском появляется сообщение "Timeout expired";
• Увеличение диска более 1 ТБ на Ceph;
• Не рабоКлонирование образов и миграция ВМ между хранилищами LVM_LVM;
• Не работает удаление снимков образа диска в хранилищах Ceph и OCFS2;
• Выравнивание снимков образа;
• Ошибка "Invalid DISK_TYPE" при попытке создать хранилище LVM_LVM, LVM_THIN, FS_LVM типа SYSTEM на странице веб-интерфейса "Создание хранилища";
• Ошибка оффлайн миграции ВМ на другой узел и диска на другое хранилище LVM_LVM;
• Не работает функция размещения на своем узле после остановки ВМ в хранилище LVM_LVM;
• Миграция ВМ на другой узел, если в шаблоне кроме основного диска задан дополнительный временный LVM_LVM;
• Горячее изменение размера диска LVM_thin;
• При смене владельца и группы в "Магазине приложений" появляется дубль приложения;
• После удаления образа остается занятое место на хранилище. 

Интерфейса и локализации

• Многократное разворачивание и сворачивание панели управления;
• Исправлена работа фильтра поиска ВМ на вкладке "Экземпляры ВМ";
• Не происходит обновление информации на вкладке "Сменить группу";
• Кнопка "Добавить действие" создает ВМ;
• При нажатии кнопка "свернуть/развернуть" закрашивает свою текстовую область;
• Чек-бокс "Создать и поставить на паузу" реагирует на нажатие в пустой области;
• Локализовано окно "Восстановить";
• Локализована вкладка "Действия";
• Локализована кнопка закрытия всплывающих сообщений;
• Локализован раздел "Сеть";
• Унифицирована локализация вкладки "Квоты";
• Откорректирован перевод выпадающего списка "Политика PIN-кода", исправлено на "Политика закрепления";
• Локализована подсказка у параметра "Скрипт инициализации";
• Откорректировано название кнопки "Закачать", исправлено на "Загрузить";
• Откорректирован перевод вкладки "QoS";
• Локализована функция "Автоматический выбор";
• Локализована вкладка "Группы ВМ";
• Унификация просмотра и масштабирования графиков загрузки ЦПУ и ОЗУ узла виртуализации;
• Ошибка создания пользователя из интерфейса ПК СВ в пространстве FreeIPA;
• Ошибка создания пользователя в КД FreeIPA через интерфейс ПК СВ, если пользователю вторично не добавлена его родительская группа;
• Откорректирован перевод функций "Уничтожить жестко", "Отменить размещение жестко" и "Отключить питание жестко", исправлено на "Уничтожить немедленно", "Отменить размещение немедленно" и "Отключить питание немедленно".

Безопасности

• Ошибка применения изменения параметра "Модель PARSEC";
• Ошибка запуска ВМ с динамической и статической метками от пользователя с соответствующим уровнем конфиденциальности;
• Некорректный проброс SSH-ключа при создании узла;
• Назначение максимальных меток LVM разделам после выключения и включения сервера (при использовании конфигурации всё-в-одном: один сервер с ролью управления и виртуализации + ВМ c Freeipa + локальное хранилище LVM);
• При назначении статической метки принимаются любые специальные символы для разделения параметров МРД;
• При создании токена аутентификации в веб-интерфейсе не обновляется токен в файле /var/lib/one/homes/brestadm/one_auth.

Другие

• Работа UEFI в ВМ;
• "Падение" ядра при использовании одного и того же IP-адреса для 2-х создаваемых ВМ;
• Игнорирование настроек файла vmm_exec_kvm.conf;
• Ошибка БД при объединении нескольких серверов управления в одну федерацию (при выполнении скрипта brestcloud-federation-configure);
• Ошибка создания приложения из ВМ через CLI в "Магазине приложений";
• Корректировка CLI в части команд onehost и их опций;
• При настройке прав контроля доступа не работает управление ресурсами;
• После перезагрузки ВМ с ALSE и установленным spice-vdagent нет громкости;
• Ошибка в плейбуке Ansible (если фронтальных машин больше одной, то обмен ключами не производится).

Изменения и удаления

Изменения в механизме ограничения размера и ротации log-файлов

• Размер одного лог-файла (журнала) теперь ограничен 100 Мегабайтами (ранее ограничения не было), при достижении этого предела или по истечении периода ротации, журнал будет "сдвинут", т.е. старый лог-файл будет теперь в другом файле;
• Ротация (сдвиг) до 5 файлов (было 52), т.е. суммарно они могут занимать до 500 МБ (если ротация каждый раз происходит по размеру, а не по периоду).

Удалены следующие команды из CLI

• oneuser key;
• oneuser encode;
• oneimage dockerfile.

Изменения в документации

Изменения в методической документации

• Доработана Общая инструкция по развертыванию ПК СВ "Брест";
• Переработан раздел по настройке хранилищ — он разделён на типы, и включает в себя:
  • Общие сведения о хранилищах в ПК СВ "Брест";
  • Хранилища на базе файловой технологии хранения;
  • Хранилища LVM;
  • Хранилища Ceph;
  • Хранилище образов Raw Device Mapping;
  • Возможности хранилищ в ПК СВ "Брест".
• Обновлена инструкция по контекстуализации гостевых MS Windows и Unix-подобных ОС;
• Новые инструкции:
  • Настройка виртуальной сети;
  • Интеграция в единый ЦОХД ("Федерация");
  • Настройка механизма дедупликации памяти (KSM);
  • Топология NUMA и её настройка;
  • Межсетевые экраны в ПК СВ "Брест";
  • Восстановление ВМ в ПК СВ "Брест";
  • Статусы ВМ в ПК СВ "Брест";
  • Механизм работы Алиас в ПК СВ "Брест";
  • Настройка и управление сервисами;
  • Настройка ротации журналов;
  • Программные компоненты ПК СВ "Брест";
    • Служба OneFlow;
    • Служба сервера OneGate.

Изменения в эксплуатационной документации (Руководство администратора)

• Дополнен раздел "Управление квотами";

• Переработан раздел Планировщик, добавлен новый пункт "Настройка стратегии использования сетей";

• Дополнен раздел "Управление VDC";

• Зафиксирован и описан список служебных пользователей ПК СВ "Брест";

• С учетом замечаний и пожеланий существенно скорректировано описание хранилищ CEPH, LVM, LVM_thin;

• В раздел по хранилищам добавлено описание параметра COMPATIBLE_SYS_DS, который позволяет явно указывать используемое системное хранилище для хранилища образов;

• Скорректированы названия основных ролей системы для приведения их к единой терминологии в рамках всех типов документации:

  • "Фронтальный сервер", "Фронтальная машина" → "Сервер управления";

  • "Хост виртуализации", "Узел виртуализации" → "Сервер виртуализации";

  • "Облачное хранилище" → "Хранилище";

  • "Облачная сеть" → "Сеть".