关于CAS的neutron插件向CVM重复下发ACL规则问题的公告

【产品型号】

CAS openstack-neutron-cas-agent插件

【涉及版本】

CAS openstack-neutron-cas-agent插件3.5.5-3.5.7版本，对应CAS版本：CAS E0306H07到CAS E0306H16版本。

CAS openstack-neutron-cas-agent插件3.6.1-3.7.1版本，对应CAS版本：CAS E0501到CAS E0503版本。

【问题描述】

在CAS配合H3Cloud OS的场景下，在CVM的操作日志中，每隔10分钟出现登录名为admin@VMC-RS的用户删除、添加ACL规则的操作记录。在H3Cloud OS操作日志中无相关的记录。该现象可能极小概率影响对网络质量非常敏感的虚拟机业务。

【原因分析】

CAS的openstack-neutron-cas-agent插件的定时器，会每10分钟通过插件向CVM同步虚拟机的安全组（ACL）规则，此时无论CVM上ACL规则是否一致，插件都会下发删除、重新添加ACL的任务。在任务下发的过程中可能瞬间有一两个丢包，极小概率影响对网络质量非常敏感的虚拟机业务。

【规避措施／解决方案】

规避措施：

对于涉及该问题的插件，可以通过修改插件配置规避解决。由于插件是安装在H3Cloud OS的计算节点中，参考如下步骤：

1、登录H3Cloud OS后台，进入compute容器；

2、使用vi编辑/usr/lib/python2.7/site-packages/neutron/agent/casagent/plugin.py文件；

3、对于3.6.1-3.7.1版本的neutron插件注释掉下面的代码，停止同步ACL规则动作。

#for secgroupId in set(acl_list) & set(secgroupIds):

#    try:

#        self._update_acl_policy(context,secgroupId)

#    except Exception:

#        LOG.error(_("fail to update security_group[%s] when daemon loop.") % secgroupId)

对于3.5.5-3.5.7版本的neutron插件注释下述代码（对应423和424行）。

if check:

  try:

     for secgroupId in(set(secgroupIds) - self._secgroupIds):

         self._prepare_security_group(adminContext, secgroupId)

     #for secgroupId in secgroupIds:

     #    self._update_acl_policy(adminContext,secgroupId)

      for networkId in(set(networkIds) - self._networkIds):

          self._prepare_network_policy(adminContext, networkId)

4、重启openstack-neutron-cas-agent服务：

systemctl restart openstack-neutron-cas-agent

5、以上4步只是在容器内本次运行生效。长久有效需要固化，详细固化步骤参考KMS案例：201801180015。

注：上述操作不影响CAS虚拟机业务。

解决方案：其他版本的CAS插件不涉及此问题，具体如下。

CAS E0306H06（插件3.5.4）及以前版本不涉及。

CAS E0306H17（插件3.5.8）及以后版本已解决。

CAS E0506（插件3.8.1）及以后版本已解决。

升级CAS插件，需要符合大云整体解决方案配套关系。

 该公告已归档到知识案例库，归档ID号为KMS：201801190021。

【参考资料】

无

如有问题，请联系新华三技术有限公司服务热线：4008100504