348d513d6c2750dea2b4c7ab001fb7d2faf36802
[ganeti-github.git] / NEWS
1 News
2 ====
3
4
5 Version 2.15.1
6 --------------
7
8 *(Released Mon, 7 Sep 2015)*
9
10 New features
11 ~~~~~~~~~~~~
12
13 - The ext template now allows userspace-only disks to be used
14
15 Bugfixes
16 ~~~~~~~~
17
18 - Fixed the silently broken 'gnt-instance replace-disks --ignore-ipolicy'
19   command.
20 - User shutdown reporting can now be disabled on Xen using the
21   '--user-shutdown' flag.
22 - Remove falsely reported communication NIC error messages on instance start.
23 - Fix 'gnt-node migrate' behavior when no instances are present on a node.
24 - Fix the multi-allocation functionality for non-DRBD instances.
25
26
27 Version 2.15.0
28 --------------
29
30 *(Released Wed, 29 Jul 2015)*
31
32 Incompatible/important changes
33 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
34
35 - In order to improve allocation efficiency when using DRBD, the cluster
36   metric now takes the total reserved memory into account. A consequence
37   of this change is that the best possible cluster metric is no longer 0.
38   htools(1) interprets minimal cluster scores to be offsets of the theoretical
39   lower bound, so only users interpreting the cluster score directly should
40   be affected.
41 - This release contains a fix for the problem that different encodings in
42   SSL certificates can break RPC communication (issue 1094). The fix makes
43   it necessary to rerun 'gnt-cluster renew-crypto --new-node-certificates'
44   after the cluster is fully upgraded to 2.14.1
45
46 New features
47 ~~~~~~~~~~~~
48
49 - On dedicated clusters, hail will now favour allocations filling up
50   nodes efficiently over balanced allocations.
51
52 New dependencies
53 ~~~~~~~~~~~~~~~~
54
55 - The indirect dependency on Haskell package 'case-insensitive' is now
56   explicit.
57
58
59 Version 2.15.0 rc1
60 ------------------
61
62 *(Released Wed, 17 Jun 2015)*
63
64 This was the first release candidate in the 2.15 series. All important
65 changes are listed in the latest 2.15 entry.
66
67 Known issues:
68 ~~~~~~~~~~~~~
69
70 - Issue 1094: differences in encodings in SSL certificates due to
71   different OpenSSL versions can result in rendering a cluster
72   uncommunicative after a master-failover.
73
74
75 Version 2.15.0 beta1
76 --------------------
77
78 *(Released Thu, 30 Apr 2015)*
79
80 This was the second beta release in the 2.15 series. All important changes
81 are listed in the latest 2.15 entry.
82
83
84 Version 2.14.2
85 --------------
86
87 *(Released Tue, 15 Dec 2015)*
88
89 Important changes and security notes
90 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
91
92 Security release.
93
94 CVE-2015-7944
95
96 Ganeti provides a RESTful control interface called the RAPI. Its HTTPS
97 implementation is vulnerable to DoS attacks via client-initiated SSL
98 parameter renegotiation. While the interface is not meant to be exposed
99 publicly, due to the fact that it binds to all interfaces, we believe
100 some users might be exposing it unintentionally and are vulnerable. A
101 DoS attack can consume resources meant for Ganeti daemons and instances
102 running on the master node, making both perform badly.
103
104 Fixes are not feasible due to the OpenSSL Python library not exposing
105 functionality needed to disable client-side renegotiation. Instead, we
106 offer instructions on how to control RAPI's exposure, along with info
107 on how RAPI can be setup alongside an HTTPS proxy in case users still
108 want or need to expose the RAPI interface. The instructions are
109 outlined in Ganeti's security document: doc/html/security.html
110
111 CVE-2015-7945
112
113 Ganeti leaks the DRBD secret through the RAPI interface. Examining job
114 results after an instance information job reveals the secret. With the
115 DRBD secret, access to the local cluster network, and ARP poisoning,
116 an attacker can impersonate a Ganeti node and clone the disks of a
117 DRBD-based instance. While an attacker with access to the cluster
118 network is already capable of accessing any data written as DRBD
119 traffic is unencrypted, having the secret expedites the process and
120 allows access to the entire disk.
121
122 Fixes contained in this release prevent the secret from being exposed
123 via the RAPI. The DRBD secret can be changed by converting an instance
124 to plain and back to DRBD, generating a new secret, but redundancy will
125 be lost until the process completes.
126 Since attackers with node access are capable of accessing some and
127 potentially all data even without the secret, we do not recommend that
128 the secret be changed for existing instances.
129
130 Minor changes
131 ~~~~~~~~~~~~~
132
133 - Allow disk attachment to diskless instances
134 - Calculate correct affected nodes set in InstanceChangeGroup
135   (Issue 1144)
136 - Do not retry all requests after connection timeouts to prevent
137   repeated job submission
138 - Fix reason trails of expanding opcodes
139 - Make lockConfig call retryable
140 - Extend timeout for gnt-cluster renew-crypto
141 - Return the correct error code in the post-upgrade script
142 - Make OpenSSL refrain from DH altogether
143 - Fix faulty iallocator type check
144 - Improve cfgupgrade output in case of errors
145 - Fix upgrades of instances with missing creation time
146 - Make htools tolerate missing "dtotal" and "dfree" on luxi
147 - Fix default for --default-iallocator-params
148 - Renew-crypto: stop daemons on master node first
149 - Don't warn about broken SSH setup of offline nodes (Issue 1131)
150 - At IAlloc backend guess state from admin state
151 - Set node tags in iallocator htools backend
152 - Only search for Python-2 interpreters
153 - Handle Xen 4.3 states better
154 - Improve xl socat migrations
155 - replace-disks: fix --ignore-ipolicy
156 - Fix disabling of user shutdown reporting
157 - Allow userspace-only disk templates
158 - Fix instance failover in case of DTS_EXT_MIRROR
159 - Fix operations on empty nodes by accepting allocation of 0 jobs
160 - Fix instance multi allocation for non-DRBD disks
161 - Redistribute master key on downgrade
162 - Allow more failover options when using the --no-disk-moves flag
163
164
165 Version 2.14.1
166 --------------
167
168 *(Released Fri, 10 Jul 2015)*
169
170 Incompatible/important changes
171 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
172
173 - The SSH security changes reduced the number of nodes which can SSH into
174   other nodes. Unfortunately enough, the Ganeti implementation of migration
175   for the xl stack of Xen required SSH to be able to migrate the instance,
176   leading to a situation where full movement of an instance around the cluster
177   was not possible. This version fixes the issue by using socat to transfer
178   instance data. While socat is less secure than SSH, it is about as secure as
179   xm migrations, and occurs over the secondary network if present. As a
180   consequence of this change, Xen instance migrations using xl cannot occur
181   between nodes running 2.14.0 and 2.14.1.
182 - This release contains a fix for the problem that different encodings in
183   SSL certificates can break RPC communication (issue 1094). The fix makes
184   it necessary to rerun 'gnt-cluster renew-crypto --new-node-certificates'
185   after the cluster is fully upgraded to 2.14.1
186
187 Other Changes
188 ~~~~~~~~~~~~~
189
190 - The ``htools`` now properly work also on shared-storage clusters.
191 - Instance moves now work properly also for the plain disk template.
192 - Filter-evaluation for run-time data filter was fixed (issue 1100).
193 - Various improvements to the documentation have been added.
194
195
196 Version 2.14.0
197 --------------
198
199 *(Released Tue, 2 Jun 2015)*
200
201 New features
202 ~~~~~~~~~~~~
203
204 - The build system now enforces external Haskell dependencies to lie in
205   a supported range as declared by our new ganeti.cabal file.
206 - Basic support for instance reservations has been added. Instance addition
207   supports a --forthcoming option telling Ganeti to only reserve the resources
208   but not create the actual instance. The instance can later be created with
209   by passing the --commit option to the instance addition command.
210 - Node tags starting with htools:nlocation: now have a special meaning to htools(1).
211   They control between which nodes migration is possible, e.g., during hypervisor
212   upgrades. See hbal(1) for details.
213 - The node-allocation lock as been removed for good, thus speeding up parallel
214   instance allocation and creation.
215 - The external storage interface has been extended by optional ``open``
216   and ``close`` scripts.
217
218 New dependencies
219 ~~~~~~~~~~~~~~~~
220
221 - Building the Haskell part of Ganeti now requires Cabal and cabal-install.
222
223 Known issues
224 ~~~~~~~~~~~~
225
226 - Under certain conditions instance doesn't get unpaused after live
227   migration (issue #1050)
228
229 Since 2.14.0 rc1
230 ~~~~~~~~~~~~~~~~
231
232 - The call to the IAllocator in 'gnt-node evacuate' has been fixed.
233 - In opportunistic locking, only ask for those node resource locks where
234   the node lock is held.
235 - Lock requests are repeatable now; this avoids failure of a job in a
236   race condition with a signal sent to the job.
237 - Various improvements to the QA.
238
239
240 Version 2.14.0 rc2
241 ------------------
242
243 *(Released Tue, 19 May 2015)*
244
245 This was the second release candidate in the 2.14 series. All important
246 changes are listed in the 2.14.0 entry.
247
248 Since 2.14.0 rc1
249 ~~~~~~~~~~~~~~~~
250
251 - private parameters are now properly exported to instance create scripts
252 - unnecessary config unlocks and upgrades have been removed, improving
253   performance, in particular of cluster verification
254 - some rarely occuring file-descriptor leaks have been fixed
255 - The checks for orphan and lost volumes have been fixed to also work
256   correctly when multiple volume groups are used.
257
258
259 Version 2.14.0 rc1
260 ------------------
261
262 *(Released Wed, 29 Apr 2015)*
263
264 This was the first release candidate in the 2.14 series. All important
265 changes are listed in the latest 2.14 entry.
266
267 Since 2.14.0 beta2
268 ~~~~~~~~~~~~~~~~~~
269
270 The following issue has been fixed:
271
272 - A race condition where a badly timed kill of WConfD could lead to
273   an incorrect configuration.
274
275 Fixes inherited from the 2.12 branch:
276
277 - Upgrade from old versions (2.5 and 2.6) was failing (issues 1070, 1019).
278 - gnt-network info outputs wrong external reservations (issue 1068)
279 - Refuse to demote master from master capability (issue 1023)
280
281 Fixes inherited from the 2.13 branch:
282
283 - bugs related to ssh-key handling of master candidate (issues 1045, 1046, 1047)
284
285
286 Version 2.14.0 beta2
287 --------------------
288
289 *(Released Thu, 26 Mar 2015)*
290
291 This was the second beta release in the 2.14 series. All important changes
292 are listed in the latest 2.14 entry.
293
294 Since 2.14.0 beta1
295 ~~~~~~~~~~~~~~~~~~
296
297 The following issues have been fixed:
298
299 - Issue 1018: Cluster init (and possibly other jobs) occasionally fail to start
300
301 The extension of the external storage interface was not present in 2.14.0 beta1.
302
303
304 Version 2.14.0 beta1
305 --------------------
306
307 *(Released Fri, 13 Feb 2015)*
308
309 This was the first beta release of the 2.14 series. All important changes
310 are listed in the latest 2.14 entry.
311
312
313 Version 2.13.3
314 --------------
315
316 *(Released Mon, 14 Dec 2015)*
317
318 Important changes and security notes
319 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
320
321 Security release.
322
323 CVE-2015-7944
324
325 Ganeti provides a RESTful control interface called the RAPI. Its HTTPS
326 implementation is vulnerable to DoS attacks via client-initiated SSL
327 parameter renegotiation. While the interface is not meant to be exposed
328 publicly, due to the fact that it binds to all interfaces, we believe
329 some users might be exposing it unintentionally and are vulnerable. A
330 DoS attack can consume resources meant for Ganeti daemons and instances
331 running on the master node, making both perform badly.
332
333 Fixes are not feasible due to the OpenSSL Python library not exposing
334 functionality needed to disable client-side renegotiation. Instead, we
335 offer instructions on how to control RAPI's exposure, along with info
336 on how RAPI can be setup alongside an HTTPS proxy in case users still
337 want or need to expose the RAPI interface. The instructions are
338 outlined in Ganeti's security document: doc/html/security.html
339
340 CVE-2015-7945
341
342 Ganeti leaks the DRBD secret through the RAPI interface. Examining job
343 results after an instance information job reveals the secret. With the
344 DRBD secret, access to the local cluster network, and ARP poisoning,
345 an attacker can impersonate a Ganeti node and clone the disks of a
346 DRBD-based instance. While an attacker with access to the cluster
347 network is already capable of accessing any data written as DRBD
348 traffic is unencrypted, having the secret expedites the process and
349 allows access to the entire disk.
350
351 Fixes contained in this release prevent the secret from being exposed
352 via the RAPI. The DRBD secret can be changed by converting an instance
353 to plain and back to DRBD, generating a new secret, but redundancy will
354 be lost until the process completes.
355 Since attackers with node access are capable of accessing some and
356 potentially all data even without the secret, we do not recommend that
357 the secret be changed for existing instances.
358
359 Minor changes
360 ~~~~~~~~~~~~~
361
362 - Calculate correct affected nodes set in InstanceChangeGroup
363   (Issue 1144)
364 - Do not retry all requests after connection timeouts to prevent
365   repeated job submission
366 - Fix reason trails of expanding opcodes
367 - Make lockConfig call retryable
368 - Extend timeout for gnt-cluster renew-crypto
369 - Return the correct error code in the post-upgrade script
370 - Make OpenSSL refrain from DH altogether
371 - Fix upgrades of instances with missing creation time
372 - Make htools tolerate missing "dtotal" and "dfree" on luxi
373 - Fix default for --default-iallocator-params
374 - Renew-crypto: stop daemons on master node first
375 - Don't warn about broken SSH setup of offline nodes (Issue 1131)
376 - At IAlloc backend guess state from admin state
377 - Only search for Python-2 interpreters
378 - Handle Xen 4.3 states better
379 - Improve xl socat migrations
380 - replace-disks: fix --ignore-ipolicy
381 - Fix disabling of user shutdown reporting
382 - Fix operations on empty nodes by accepting allocation of 0 jobs
383 - Fix instance multi allocation for non-DRBD disks
384 - Redistribute master key on downgrade
385 - Allow more failover options when using the --no-disk-moves flag
386
387
388 Version 2.13.2
389 --------------
390
391 *(Released Mon, 13 Jul 2015)*
392
393 Incompatible/important changes
394 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
395
396 - This release contains a fix for the problem that different encodings in
397   SSL certificates can break RPC communication (issue 1094). The fix makes
398   it necessary to rerun 'gnt-cluster renew-crypto --new-node-certificates'
399   after the cluster is fully upgraded to 2.13.2
400
401 Other fixes and known issues
402 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~
403
404 Inherited from 2.12:
405
406 - Fixed Issue #1115: Race between starting WConfD and updating the config
407 - Fixed Issue #1114: Binding RAPI to a specific IP makes the watcher
408   restart the RAPI
409 - Fixed Issue #1100: Filter-evaluation for run-time data filter
410 - Better handling of the "crashed" Xen state
411 - The watcher can be instructed to skip disk verification
412 - Reduce amount of logging on successful requests
413 - Prevent multiple communication NICs being created for instances
414 - The ``htools`` now properly work also on shared-storage clusters
415 - Instance moves now work properly also for the plain disk template
416 - Various improvements to the documentation have been added
417
418 Known issues:
419 - Issue #1104: gnt-backup: dh key too small
420
421
422 Version 2.13.1
423 --------------
424
425 *(Released Tue, 16 Jun 2015)*
426
427 Incompatible/important changes
428 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
429
430 - The SSH security changes reduced the number of nodes which can SSH into
431   other nodes. Unfortunately enough, the Ganeti implementation of migration
432   for the xl stack of Xen required SSH to be able to migrate the instance,
433   leading to a situation where full movement of an instance around the cluster
434   was not possible. This version fixes the issue by using socat to transfer
435   instance data. While socat is less secure than SSH, it is about as secure as
436   xm migrations, and occurs over the secondary network if present. As a
437   consequence of this change, Xen instance migrations using xl cannot occur
438   between nodes running 2.13.0 and 2.13.1.
439
440 Other fixes and known issues
441 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~
442
443 Inherited from 2.12:
444
445 - Fixed Issue #1082: RAPI is unresponsive after master-failover
446 - Fixed Issue #1083: Cluster verify reports existing instance disks on
447   non-default VGs as missing
448 - Fixed Issue #1101: Modifying the storage directory for the shared-file disk
449   template doesn't work
450 - Fixed a possible file descriptor leak when forking jobs
451 - Fixed missing private parameters in the environment for OS scripts
452 - Fixed a performance regression when handling configuration
453   (only upgrade it if it changes)
454 - Adapt for compilation with GHC7.8 (compiles with warnings;
455   cherrypicked from 2.14)
456
457 Known issues:
458 - Issue #1094: Mismatch in SSL encodings breaks RPC communication
459 - Issue #1104: Export fails: key is too small
460
461
462 Version 2.13.0
463 --------------
464
465 *(Released Tue, 28 Apr 2015)*
466
467 Incompatible/important changes
468 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
469
470 - Ganeti now internally retries the instance creation opcode if opportunistic
471   locking did not acquire nodes with enough free resources. The internal retry
472   will not use opportunistic locking. In particular, instance creation, even
473   if opportunistic locking is set, will never fail with ECODE_TEMP_NORES.
474 - The handling of SSH security had undergone a significant change. From
475   this version on, each node has an individual SSH key pair instead of
476   sharing one with all nodes of the cluster. From now on, we also
477   restrict SSH access to master candidates. This means that only master
478   candidates can ssh into other cluster nodes and all
479   non-master-candidates cannot. Refer to the UPGRADE notes
480   for further instructions on the creation and distribution of the keys.
481 - Ganeti now checks hypervisor version compatibility before trying an instance
482   migration. It errors out if the versions are not compatible. Add the option
483   --ignore-hvversions to restore the old behavior of only warning.
484 - Node tags starting with htools:migration: or htools:allowmigration: now have
485   a special meaning to htools(1). See hbal(1) for details.
486 - The LXC hypervisor code has been repaired and improved. Instances cannot be
487   migrated and cannot have more than one disk, but should otherwise work as with
488   other hypervisors. OS script changes should not be necessary. LXC version
489   1.0.0 or higher required.
490
491 New features
492 ~~~~~~~~~~~~
493
494 - A new job filter rules system allows to define iptables-like rules for the
495   job scheduler, making it easier to (soft-)drain the job queue, perform
496   maintenance, and rate-limit selected job types. See gnt-filter(8) for
497   details.
498 - Ganeti jobs can now be ad-hoc rate limited via the reason trail.
499   For a set of jobs queued with "--reason=rate-limit:n:label", the job
500   scheduler ensures that not more than n will be scheduled to run at the same
501   time. See ganeti(7), section "Options", for details.
502 - The monitoring daemon has now variable sleep times for the data
503   collectors. This currently means that the granularity of cpu-avg-load
504   can be configured.
505 - The 'gnt-cluster verify' command now has the option
506   '--verify-ssh-clutter', which verifies whether Ganeti (accidentally)
507   cluttered up the 'authorized_keys' file.
508 - Instance disks can now be converted from one disk template to another for many
509   different template combinations. When available, more efficient conversions
510   will be used, otherwise the disks are simply copied over.
511
512 New dependencies
513 ~~~~~~~~~~~~~~~~
514
515 - The monitoring daemon uses the PSQueue library. Be sure to install it
516   if you use Mond.
517 - The formerly optional regex-pcre is now an unconditional dependency because
518   the new job filter rules have regular expressions as a core feature.
519
520 Since 2.13.0 rc1
521 ~~~~~~~~~~~~~~~~~~
522
523 The following issues have been fixed:
524
525 - Bugs related to ssh-key handling of master candidates (issues 1045,
526   1046, 1047)
527
528 Fixes inherited from the 2.12 branch:
529
530 - Upgrade from old versions (2.5 and 2.6) was failing (issues 1070, 1019).
531 - gnt-network info outputs wrong external reservations (issue 1068)
532 - Refuse to demote master from master capability (issue 1023)
533
534
535 Version 2.13.0 rc1
536 ------------------
537
538 *(Released Wed, 25 Mar 2015)*
539
540 This was the first release candidate of the 2.13 series.
541 All important changes are listed in the latest 2.13 entry.
542
543 Since 2.13.0 beta1
544 ~~~~~~~~~~~~~~~~~~
545
546 The following issues have been fixed:
547
548 - Issue 1018: Cluster init (and possibly other jobs) occasionally fail to start
549
550
551 Version 2.13.0 beta1
552 --------------------
553
554 *(Released Wed, 14 Jan 2015)*
555
556 This was the first beta release of the 2.13 series. All important changes
557 are listed in the latest 2.13 entry.
558
559
560 Version 2.12.6
561 --------------
562
563 *(Released Mon, 14 Dec 2015)*
564
565 Important changes and security notes
566 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
567
568 Security release.
569
570 CVE-2015-7944
571
572 Ganeti provides a RESTful control interface called the RAPI. Its HTTPS
573 implementation is vulnerable to DoS attacks via client-initiated SSL
574 parameter renegotiation. While the interface is not meant to be exposed
575 publicly, due to the fact that it binds to all interfaces, we believe
576 some users might be exposing it unintentionally and are vulnerable. A
577 DoS attack can consume resources meant for Ganeti daemons and instances
578 running on the master node, making both perform badly.
579
580 Fixes are not feasible due to the OpenSSL Python library not exposing
581 functionality needed to disable client-side renegotiation. Instead, we
582 offer instructions on how to control RAPI's exposure, along with info
583 on how RAPI can be setup alongside an HTTPS proxy in case users still
584 want or need to expose the RAPI interface. The instructions are
585 outlined in Ganeti's security document: doc/html/security.html
586
587 CVE-2015-7945
588
589 Ganeti leaks the DRBD secret through the RAPI interface. Examining job
590 results after an instance information job reveals the secret. With the
591 DRBD secret, access to the local cluster network, and ARP poisoning,
592 an attacker can impersonate a Ganeti node and clone the disks of a
593 DRBD-based instance. While an attacker with access to the cluster
594 network is already capable of accessing any data written as DRBD
595 traffic is unencrypted, having the secret expedites the process and
596 allows access to the entire disk.
597
598 Fixes contained in this release prevent the secret from being exposed
599 via the RAPI. The DRBD secret can be changed by converting an instance
600 to plain and back to DRBD, generating a new secret, but redundancy will
601 be lost until the process completes.
602 Since attackers with node access are capable of accessing some and
603 potentially all data even without the secret, we do not recommend that
604 the secret be changed for existing instances.
605
606 Minor changes
607 ~~~~~~~~~~~~~
608
609 - Calculate correct affected nodes set in InstanceChangeGroup
610   (Issue 1144)
611 - Do not retry all requests after connection timeouts to prevent
612   repeated job submission
613 - Fix reason trails of expanding opcodes
614 - Make lockConfig call retryable
615 - Return the correct error code in the post-upgrade script
616 - Make OpenSSL refrain from DH altogether
617 - Fix upgrades of instances with missing creation time
618 - Make htools tolerate missing "dtotal" and "dfree" on luxi
619 - Fix default for --default-iallocator-params
620 - At IAlloc backend guess state from admin state
621 - Only search for Python-2 interpreters
622 - Handle Xen 4.3 states better
623 - replace-disks: fix --ignore-ipolicy
624 - Fix disabling of user shutdown reporting
625 - Fix operations on empty nodes by accepting allocation of 0 jobs
626 - Fix instance multi allocation for non-DRBD disks
627 - Allow more failover options when using the --no-disk-moves flag
628
629
630 Version 2.12.5
631 --------------
632
633 *(Released Mon, 13 Jul 2015)*
634
635 Incompatible/important changes
636 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
637
638 - This release contains a fix for the problem that different encodings in
639   SSL certificates can break RPC communication (issue 1094). The fix makes
640   it necessary to rerun 'gnt-cluster renew-crypto --new-node-certificates'
641   after the cluster is fully upgraded to 2.12.5.
642
643 Fixed and improvements
644 ~~~~~~~~~~~~~~~~~~~~~~
645
646 - Fixed Issue #1030: GlusterFS support breaks at upgrade to 2.12 -
647   switches back to shared-file
648 - Fixed Issue #1094 (see the notice in Incompatible/important changes):
649   Differences in encodings of SSL certificates can render a cluster
650   uncommunicative after a master-failover
651 - Fixed Issue #1098: Support for ECDSA SSH keys
652 - Fixed Issue #1100: Filter-evaluation for run-time data filter
653 - Fixed Issue #1101: Modifying the storage directory for the shared-file
654   disk template doesn't work
655 - Fixed Issue #1108: Spurious "NIC name already used" errors during
656   instance creation
657 - Fixed Issue #1114: Binding RAPI to a specific IP makes the watcher
658   restart the RAPI
659 - Fixed Issue #1115: Race between starting WConfD and updating the config
660 - Better handling of the "crashed" Xen state
661 - The ``htools`` now properly work also on shared-storage clusters
662 - Various improvements to the documentation have been added
663
664 Inherited from the 2.11 branch:
665
666 - Fixed Issue #1113: Reduce amount of logging on successful requests
667
668 Known issues
669 ~~~~~~~~~~~~
670
671 - Issue #1104: gnt-backup: dh key too small
672
673
674 Version 2.12.4
675 --------------
676
677 *(Released Tue, 12 May 2015)*
678
679 - Fixed Issue #1082: RAPI is unresponsive after master-failover
680 - Fixed Issue #1083: Cluster verify reports existing instance disks on
681   non-default VGs as missing
682 - Fixed a possible file descriptor leak when forking jobs
683 - Fixed missing private parameters in the environment for OS scripts
684 - Fixed a performance regression when handling configuration
685   (only upgrade it if it changes)
686 - Adapt for compilation with GHC7.8 (compiles with warnings;
687   cherrypicked from 2.14)
688
689 Known issues
690 ~~~~~~~~~~~~
691
692 Pending since 2.12.2:
693
694 - Under certain conditions instance doesn't get unpaused after live
695   migration (issue #1050)
696 - GlusterFS support breaks at upgrade to 2.12 - switches back to
697   shared-file (issue #1030)
698
699
700 Version 2.12.3
701 --------------
702
703 *(Released Wed, 29 Apr 2015)*
704
705 - Fixed Issue #1019: upgrade from 2.6.2 to 2.12 fails. cfgupgrade
706   doesn't migrate the config.data file properly
707 - Fixed Issue 1023: Master master-capable option bug
708 - Fixed Issue 1068: gnt-network info outputs wrong external reservations
709 - Fixed Issue 1070: Upgrade of Ganeti 2.5.2 to 2.12.0 fails due to
710   missing UUIDs for disks
711 - Fixed Issue 1073: ssconf_hvparams_* not distributed with ssconf
712
713 Inherited from the 2.11 branch:
714
715 - Fixed Issue 1032: Renew-crypto --new-node-certificates sometimes does not
716   complete.
717   The operation 'gnt-cluster renew-crypto --new-node-certificates' is
718   now more robust against intermitten reachability errors. Nodes that
719   are temporarily not reachable, are contacted with several retries.
720   Nodes which are marked as offline are omitted right away.
721
722 Inherited from the 2.10 branch:
723
724 - Fixed Issue 1057: master-failover succeeds, but IP remains assigned to
725   old master
726 - Fixed Issue 1058: Python's os.minor() does not support devices with
727   high minor numbers
728 - Fixed Issue 1059: Luxid fails if DNS returns an IPv6 address that does
729   not reverse resolve
730
731 Known issues
732 ~~~~~~~~~~~~
733
734 Pending since 2.12.2:
735
736 - GHC 7.8 introduced some incompatible changes, so currently Ganeti
737   2.12. doesn't compile on GHC 7.8
738 - Under certain conditions instance doesn't get unpaused after live
739   migration (issue #1050)
740 - GlusterFS support breaks at upgrade to 2.12 - switches back to
741   shared-file (issue #1030)
742
743
744 Version 2.12.2
745 --------------
746
747 *(Released Wed, 25 Mar 2015)*
748
749 - Support for the lens Haskell library up to version 4.7 (issue #1028)
750 - SSH keys are now distributed only to master and master candidates
751   (issue #377)
752 - Improved performance for operations that frequently read the
753   cluster configuration
754 - Improved robustness of spawning job processes that occasionally caused
755   newly-started jobs to timeout
756 - Fixed race condition during cluster verify which occasionally caused
757   it to fail
758
759 Inherited from the 2.11 branch:
760
761 - Fix failing automatic glusterfs mounts (issue #984)
762 - Fix watcher failing to read its status file after an upgrade
763   (issue #1022)
764 - Improve Xen instance state handling, in particular of somewhat exotic
765   transitional states
766
767 Inherited from the 2.10 branch:
768
769 - Fix failing to change a diskless drbd instance to plain
770   (issue #1036)
771 - Fixed issues with auto-upgrades from pre-2.6
772   (hv_state_static and disk_state_static)
773 - Fix memory leak in the monitoring daemon
774
775 Inherited from the 2.9 branch:
776
777 - Fix file descriptor leak in Confd client
778
779 Known issues
780 ~~~~~~~~~~~~
781
782 - GHC 7.8 introduced some incompatible changes, so currently Ganeti
783   2.12. doesn't compile on GHC 7.8
784 - Under certain conditions instance doesn't get unpaused after live
785   migration (issue #1050)
786 - GlusterFS support breaks at upgrade to 2.12 - switches back to
787   shared-file (issue #1030)
788
789
790 Version 2.12.1
791 --------------
792
793 *(Released Wed, 14 Jan 2015)*
794
795 - Fix users under which the wconfd and metad daemons run (issue #976)
796 - Clean up stale livelock files (issue #865)
797 - Fix setting up the metadata daemon's network interface for Xen
798 - Make watcher identify itself on disk activation
799 - Add "ignore-ipolicy" option to gnt-instance grow-disk
800 - Check disk size ipolicy during "gnt-instance grow-disk" (issue #995)
801
802 Inherited from the 2.11 branch:
803
804 - Fix counting votes when doing master failover (issue #962)
805 - Fix broken haskell dependencies (issues #758 and #912)
806 - Check if IPv6 is used directly when running SSH (issue #892)
807
808 Inherited from the 2.10 branch:
809
810 - Fix typo in gnt_cluster output (issue #1015)
811 - Use the Python path detected at configure time in the top-level Python
812   scripts.
813 - Fix check for sphinx-build from python2-sphinx
814 - Properly check if an instance exists in 'gnt-instance console'
815
816
817 Version 2.12.0
818 --------------
819
820 *(Released Fri, 10 Oct 2014)*
821
822 Incompatible/important changes
823 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
824
825 - Ganeti is now distributed under the 2-clause BSD license.
826   See the COPYING file.
827 - Do not use debug mode in production. Certain daemons will issue warnings
828   when launched in debug mode. Some debug logging violates some of the new
829   invariants in the system (see "New features"). The logging has been kept as
830   it aids diagnostics and development.
831
832 New features
833 ~~~~~~~~~~~~
834
835 - OS install script parameters now come in public, private and secret
836   varieties:
837
838   - Public parameters are like all other parameters in Ganeti.
839   - Ganeti will not log private and secret parameters, *unless* it is running
840     in debug mode.
841   - Ganeti will not save secret parameters to configuration. Secret parameters
842     must be supplied every time you install, or reinstall, an instance.
843   - Attempting to override public parameters with private or secret parameters
844     results in an error. Similarly, you may not use secret parameters to
845     override private parameters.
846
847 - The move-instance tool can now attempt to allocate an instance by using
848   opportunistic locking when an iallocator is used.
849 - The build system creates sample systemd unit files, available under
850   doc/examples/systemd. These unit files allow systemd to natively
851   manage and supervise all Ganeti processes.
852 - Different types of compression can be applied during instance moves, including
853   user-specified ones.
854 - Ganeti jobs now run as separate processes. The jobs are coordinated by
855   a new daemon "WConfd" that manages cluster's configuration and locks
856   for individual jobs. A consequence is that more jobs can run in parallel;
857   the number is run-time configurable, see "New features" entry
858   of 2.11.0. To avoid luxid being overloaded with tracking running jobs, it
859   backs of and only occasionally, in a sequential way, checks if jobs have
860   finished and schedules new ones. In this way, luxid keeps responsive under
861   high cluster load. The limit as when to start backing of is also run-time
862   configurable.
863 - The metadata daemon is now optionally available, as part of the
864   partial implementation of the OS-installs design. It allows pass
865   information to OS install scripts or to instances.
866   It is also possible to run Ganeti without the daemon, if desired.
867 - Detection of user shutdown of instances has been implemented for Xen
868   as well.
869
870 New dependencies
871 ~~~~~~~~~~~~~~~~
872
873 - The KVM CPU pinning no longer uses the affinity python package, but psutil
874   instead. The package is still optional and needed only if the feature is to
875   be used.
876
877 Incomplete features
878 ~~~~~~~~~~~~~~~~~~~
879
880 The following issues are related to features which are not completely
881 implemented in 2.12:
882
883 - Issue 885: Network hotplugging on KVM sometimes makes an instance
884   unresponsive
885 - Issues 708 and 602: The secret parameters are currently still written
886   to disk in the job queue.
887 - Setting up the metadata network interface under Xen isn't fully
888   implemented yet.
889
890 Known issues
891 ~~~~~~~~~~~~
892
893 - *Wrong UDP checksums in DHCP network packets:*
894   If an instance communicates with the metadata daemon and uses DHCP to
895   obtain its IP address on the provided virtual network interface,
896   it can happen that UDP packets have a wrong checksum, due to
897   a bug in virtio. See for example https://bugs.launchpad.net/bugs/930962
898
899   Ganeti works around this bug by disabling the UDP checksums on the way
900   from a host to instances (only on the special metadata communication
901   network interface) using the ethtool command. Therefore if using
902   the metadata daemon the host nodes should have this tool available.
903 - The metadata daemon is run as root in the split-user mode, to be able
904   to bind to port 80.
905   This should be improved in future versions, see issue #949.
906
907 Since 2.12.0 rc2
908 ~~~~~~~~~~~~~~~~
909
910 The following issues have been fixed:
911
912 - Fixed passing additional parameters to RecreateInstanceDisks over
913   RAPI.
914 - Fixed the permissions of WConfd when running in the split-user mode.
915   As WConfd takes over the previous master daemon to manage the
916   configuration, it currently runs under the masterd user.
917 - Fixed the permissions of the metadata daemon  wn running in the
918   split-user mode (see Known issues).
919 - Watcher now properly adds a reason trail entry when initiating disk
920   checks.
921 - Fixed removing KVM parameters introduced in 2.12 when downgrading a
922   cluster to 2.11: "migration_caps", "disk_aio" and "virtio_net_queues".
923 - Improved retrying of RPC calls that fail due to network errors.
924
925
926 Version 2.12.0 rc2
927 ------------------
928
929 *(Released Mon, 22 Sep 2014)*
930
931 This was the second release candidate of the 2.12 series.
932 All important changes are listed in the latest 2.12 entry.
933
934 Since 2.12.0 rc1
935 ~~~~~~~~~~~~~~~~
936
937 The following issues have been fixed:
938
939 - Watcher now checks if WConfd is running and functional.
940 - Watcher now properly adds reason trail entries.
941 - Fixed NIC options in Xen's config files.
942
943 Inherited from the 2.10 branch:
944
945 - Fixed handling of the --online option
946 - Add warning against hvparam changes with live migrations, which might
947   lead to dangerous situations for instances.
948 - Only the LVs in the configured VG are checked during cluster verify.
949
950
951 Version 2.12.0 rc1
952 ------------------
953
954 *(Released Wed, 20 Aug 2014)*
955
956 This was the first release candidate of the 2.12 series.
957 All important changes are listed in the latest 2.12 entry.
958
959 Since 2.12.0 beta1
960 ~~~~~~~~~~~~~~~~~~
961
962 The following issues have been fixed:
963
964 - Issue 881: Handle communication errors in mcpu
965 - Issue 883: WConfd leaks memory for some long operations
966 - Issue 884: Under heavy load the IAllocator fails with a "missing
967   instance" error
968
969 Inherited from the 2.10 branch:
970
971 - Improve the recognition of Xen domU states
972 - Automatic upgrades:
973   - Create the config backup archive in a safe way
974   - On upgrades, check for upgrades to resume first
975   - Pause watcher during upgrade
976 - Allow instance disks to be added with --no-wait-for-sync
977
978
979 Version 2.12.0 beta1
980 --------------------
981
982 *(Released Mon, 21 Jul 2014)*
983
984 This was the first beta release of the 2.12 series. All important changes
985 are listed in the latest 2.12 entry.
986
987
988 Version 2.11.8
989 --------------
990
991 *(Released Mon, 14 Dec 2015)*
992
993 Important changes and security notes
994 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
995
996 Security release.
997
998 CVE-2015-7944
999
1000 Ganeti provides a RESTful control interface called the RAPI. Its HTTPS
1001 implementation is vulnerable to DoS attacks via client-initiated SSL
1002 parameter renegotiation. While the interface is not meant to be exposed
1003 publicly, due to the fact that it binds to all interfaces, we believe
1004 some users might be exposing it unintentionally and are vulnerable. A
1005 DoS attack can consume resources meant for Ganeti daemons and instances
1006 running on the master node, making both perform badly.
1007
1008 Fixes are not feasible due to the OpenSSL Python library not exposing
1009 functionality needed to disable client-side renegotiation. Instead, we
1010 offer instructions on how to control RAPI's exposure, along with info
1011 on how RAPI can be setup alongside an HTTPS proxy in case users still
1012 want or need to expose the RAPI interface. The instructions are
1013 outlined in Ganeti's security document: doc/html/security.html
1014
1015 CVE-2015-7945
1016
1017 Ganeti leaks the DRBD secret through the RAPI interface. Examining job
1018 results after an instance information job reveals the secret. With the
1019 DRBD secret, access to the local cluster network, and ARP poisoning,
1020 an attacker can impersonate a Ganeti node and clone the disks of a
1021 DRBD-based instance. While an attacker with access to the cluster
1022 network is already capable of accessing any data written as DRBD
1023 traffic is unencrypted, having the secret expedites the process and
1024 allows access to the entire disk.
1025
1026 Fixes contained in this release prevent the secret from being exposed
1027 via the RAPI. The DRBD secret can be changed by converting an instance
1028 to plain and back to DRBD, generating a new secret, but redundancy will
1029 be lost until the process completes.
1030 Since attackers with node access are capable of accessing some and
1031 potentially all data even without the secret, we do not recommend that
1032 the secret be changed for existing instances.
1033
1034 Minor changes
1035 ~~~~~~~~~~~~~
1036
1037 - Make htools tolerate missing "dtotal" and "dfree" on luxi
1038 - Fix default for --default-iallocator-params
1039 - At IAlloc backend guess state from admin state
1040 - replace-disks: fix --ignore-ipolicy
1041 - Fix instance multi allocation for non-DRBD disks
1042 - Trigger renew-crypto on downgrade to 2.11
1043 - Downgrade log-message for rereading job
1044 - Downgrade log-level for successful requests
1045 - Check for gnt-cluster before running gnt-cluster upgrade
1046
1047
1048 Version 2.11.7
1049 --------------
1050
1051 *(Released Fri, 17 Apr 2015)*
1052
1053 - The operation 'gnt-cluster renew-crypto --new-node-certificates' is
1054   now more robust against intermitten reachability errors. Nodes that
1055   are temporarily not reachable, are contacted with several retries.
1056   Nodes which are marked as offline are omitted right away.
1057
1058
1059 Version 2.11.6
1060 --------------
1061
1062 *(Released Mon, 22 Sep 2014)*
1063
1064 - Ganeti is now distributed under the 2-clause BSD license.
1065   See the COPYING file.
1066 - Fix userspace access checks.
1067 - Various documentation fixes have been added.
1068
1069 Inherited from the 2.10 branch:
1070
1071 - The --online option now works as documented.
1072 - The watcher is paused during cluster upgrades; also, upgrade
1073   checks for upgrades to resume first.
1074 - Instance disks can be added with --no-wait-for-sync.
1075
1076
1077 Version 2.11.5
1078 --------------
1079
1080 *(Released Thu, 7 Aug 2014)*
1081
1082 Inherited from the 2.10 branch:
1083
1084 Important security release. In 2.10.0, the
1085 'gnt-cluster upgrade' command was introduced. Before
1086 performing an upgrade, the configuration directory of
1087 the cluster is backed up. Unfortunately, the archive was
1088 written with permissions that make it possible for
1089 non-privileged users to read the archive and thus have
1090 access to cluster and RAPI keys. After this release,
1091 the archive will be created with privileged access only.
1092
1093 We strongly advise you to restrict the permissions of
1094 previously created archives. The archives are found in
1095 /var/lib/ganeti*.tar (unless otherwise configured with
1096 --localstatedir or --with-backup-dir).
1097
1098 If you suspect that non-privileged users have accessed
1099 your archives already, we advise you to renew the
1100 cluster's crypto keys using 'gnt-cluster renew-crypto'
1101 and to reset the RAPI credentials by editing
1102 /var/lib/ganeti/rapi_users (respectively under a
1103 different path if configured differently with
1104 --localstatedir).
1105
1106 Other changes included in this release:
1107
1108 - Fix handling of Xen instance states.
1109 - Fix NIC configuration with absent NIC VLAN
1110 - Adapt relative path expansion in PATH to new environment
1111 - Exclude archived jobs from configuration backups
1112 - Fix RAPI for split query setup
1113 - Allow disk hot-remove even with chroot or SM
1114
1115 Inherited from the 2.9 branch:
1116
1117 - Make htools tolerate missing 'spfree' on luxi
1118
1119
1120 Version 2.11.4
1121 --------------
1122
1123 *(Released Thu, 31 Jul 2014)*
1124
1125 - Improved documentation of the instance shutdown behavior.
1126
1127 Inherited from the 2.10 branch:
1128
1129 - KVM: fix NIC configuration with absent NIC VLAN (Issue 893)
1130 - Adapt relative path expansion in PATH to new environment
1131 - Exclude archived jobs from configuration backup
1132 - Expose early_release for ReplaceInstanceDisks
1133 - Add backup directory for configuration backups for upgrades
1134 - Fix BlockdevSnapshot in case of non lvm-based disk
1135 - Improve RAPI error handling for queries in non-existing items
1136 - Allow disk hot-remove even with chroot or SM
1137 - Remove superflous loop in instance queries (Issue 875)
1138
1139 Inherited from the 2.9 branch:
1140
1141 - Make ganeti-cleaner switch to save working directory (Issue 880)
1142
1143
1144 Version 2.11.3
1145 --------------
1146
1147 *(Released Wed, 9 Jul 2014)*
1148
1149 - Readd nodes to their previous node group
1150 - Remove old-style gnt-network connect
1151
1152 Inherited from the 2.10 branch:
1153
1154 - Make network_vlan an optional OpParam
1155 - hspace: support --accept-existing-errors
1156 - Make hspace support --independent-groups
1157 - Add a modifier for a group's allocation policy
1158 - Export VLAN nicparam to NIC configuration scripts
1159 - Fix gnt-network client to accept vlan info
1160 - Support disk hotplug with userspace access
1161
1162 Inherited from the 2.9 branch:
1163
1164 - Make htools tolerate missing "spfree" on luxi
1165 - Move the design for query splitting to the implemented list
1166 - Add tests for DRBD setups with empty first resource
1167
1168 Inherited from the 2.8 branch:
1169
1170 - DRBD parser: consume initial empty resource lines
1171
1172
1173 Version 2.11.2
1174 --------------
1175
1176 *(Released Fri, 13 Jun 2014)*
1177
1178 - Improvements to KVM wrt to the kvmd and instance shutdown behavior.
1179   WARNING: In contrast to our standard policy, this bug fix update
1180   introduces new parameters to the configuration. This means in
1181   particular that after an upgrade from 2.11.0 or 2.11.1, 'cfgupgrade'
1182   needs to be run, either manually or explicitly by running
1183   'gnt-cluster upgrade --to 2.11.2' (which requires that they
1184   had configured the cluster with --enable-versionfull).
1185   This also means, that it is not easily possible to downgrade from
1186   2.11.2 to 2.11.1 or 2.11.0. The only way is to go back to 2.10 and
1187   back.
1188
1189 Inherited from the 2.10 branch:
1190
1191 - Check for SSL encoding inconsistencies
1192 - Check drbd helper only in VM capable nodes
1193 - Improvements in statistics utils
1194
1195 Inherited from the 2.9 branch:
1196
1197 - check-man-warnings: use C.UTF-8 and set LC_ALL
1198
1199
1200 Version 2.11.1
1201 --------------
1202
1203 *(Released Wed, 14 May 2014)*
1204
1205 - Add design-node-security.rst to docinput
1206 - kvm: use a dedicated QMP socket for kvmd
1207
1208 Inherited from the 2.10 branch:
1209
1210 - Set correct Ganeti version on setup commands
1211 - Add a utility to combine shell commands
1212 - Add design doc for performance tests
1213 - Fix failed DRBD disk creation cleanup
1214 - Hooking up verification for shared file storage
1215 - Fix --shared-file-storage-dir option of gnt-cluster modify
1216 - Clarify default setting of 'metavg'
1217 - Fix invocation of GetCommandOutput in QA
1218 - Clean up RunWithLocks
1219 - Add an exception-trapping thread class
1220 - Wait for delay to provide interruption information
1221 - Add an expected block option to RunWithLocks
1222 - Track if a QA test was blocked by locks
1223 - Add a RunWithLocks QA utility function
1224 - Add restricted migration
1225 - Add an example for node evacuation
1226 - Add a test for parsing version strings
1227 - Tests for parallel job execution
1228 - Fail in replace-disks if attaching disks fails
1229 - Fix passing of ispecs in cluster init during QA
1230 - Move QAThreadGroup to qa_job_utils.py
1231 - Extract GetJobStatuses and use an unified version
1232 - Run disk template specific tests only if possible
1233
1234 Inherited from the 2.9 branch:
1235
1236 - If Automake version > 1.11, force serial tests
1237 - KVM: set IFF_ONE_QUEUE on created tap interfaces
1238 - Add configure option to pass GHC flags
1239
1240
1241 Version 2.11.0
1242 --------------
1243
1244 *(Released Fri, 25 Apr 2014)*
1245
1246 Incompatible/important changes
1247 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
1248
1249 - ``gnt-node list`` no longer shows disk space information for shared file
1250   disk templates because it is not a node attribute. (For example, if you have
1251   both the file and shared file disk templates enabled, ``gnt-node list`` now
1252   only shows information about the file disk template.)
1253 - The shared file disk template is now in the new 'sharedfile' storage type.
1254   As a result, ``gnt-node list-storage -t file`` now only shows information
1255   about the file disk template and you may use ``gnt-node list-storage -t
1256   sharedfile`` to query storage information for the shared file disk template.
1257 - Over luxi, syntactially incorrect queries are now rejected as a whole;
1258   before, a 'SumbmitManyJobs' request was partially executed, if the outer
1259   structure of the request was syntactically correct. As the luxi protocol
1260   is internal (external applications are expected to use RAPI), the impact
1261   of this incompatible change should be limited.
1262 - Queries for nodes, instances, groups, backups and networks are now
1263   exclusively done via the luxi daemon. Legacy python code was removed,
1264   as well as the --enable-split-queries configuration option.
1265 - Orphan volumes errors are demoted to warnings and no longer affect the exit
1266   code of ``gnt-cluster verify``.
1267 - RPC security got enhanced by using different client SSL certificates
1268   for each node. In this context 'gnt-cluster renew-crypto' got a new
1269   option '--renew-node-certificates', which renews the client
1270   certificates of all nodes. After a cluster upgrade from pre-2.11, run
1271   this to create client certificates and activate this feature.
1272
1273 New features
1274 ~~~~~~~~~~~~
1275
1276 - Instance moves, backups and imports can now use compression to transfer the
1277   instance data.
1278 - Node groups can be configured to use an SSH port different than the
1279   default 22.
1280 - Added experimental support for Gluster distributed file storage as the
1281   ``gluster`` disk template under the new ``sharedfile`` storage type through
1282   automatic management of per-node FUSE mount points. You can configure the
1283   mount point location at ``gnt-cluster init`` time by using the new
1284   ``--gluster-storage-dir`` switch.
1285 - Job scheduling is now handled by luxid, and the maximal number of jobs running
1286   in parallel is a run-time parameter of the cluster.
1287 - A new tool for planning dynamic power management, called ``hsqueeze``, has
1288   been added. It suggests nodes to power up or down and corresponding instance
1289   moves.
1290
1291 New dependencies
1292 ~~~~~~~~~~~~~~~~
1293
1294 The following new dependencies have been added:
1295
1296 For Haskell:
1297
1298 - ``zlib`` library (http://hackage.haskell.org/package/base64-bytestring)
1299
1300 - ``base64-bytestring`` library (http://hackage.haskell.org/package/zlib),
1301   at least version 1.0.0.0
1302
1303 - ``lifted-base`` library (http://hackage.haskell.org/package/lifted-base)
1304
1305 - ``lens`` library (http://hackage.haskell.org/package/lens)
1306
1307 Since 2.11.0 rc1
1308 ~~~~~~~~~~~~~~~~
1309
1310 - Fix Xen instance state
1311
1312 Inherited from the 2.10 branch:
1313
1314 - Fix conflict between virtio + spice or soundhw
1315 - Fix bitarray ops wrt PCI slots
1316 - Allow releases scheduled 5 days in advance
1317 - Make watcher submit queries low priority
1318 - Fix specification of TIDiskParams
1319 - Add unittests for instance modify parameter renaming
1320 - Add renaming of instance custom params
1321 - Add RAPI symmetry tests for groups
1322 - Extend RAPI symmetry tests with RAPI-only aliases
1323 - Add test for group custom parameter renaming
1324 - Add renaming of group custom ndparams, ipolicy, diskparams
1325 - Add the RAPI symmetry test for nodes
1326 - Add aliases for nodes
1327 - Allow choice of HTTP method for modification
1328 - Add cluster RAPI symmetry test
1329 - Fix failing cluster query test
1330 - Add aliases for cluster parameters
1331 - Add support for value aliases to RAPI
1332 - Provide tests for GET/PUT symmetry
1333 - Sort imports
1334 - Also consider filter fields for deciding if using live data
1335 - Document the python-fdsend dependency
1336 - Verify configuration version number before parsing
1337 - KVM: use running HVPs to calc blockdev options
1338 - KVM: reserve a PCI slot for the SCSI controller
1339 - Check for LVM-based verification results only when enabled
1340 - Fix "existing" typos
1341 - Fix output of gnt-instance info after migration
1342 - Warn in UPGRADE about not tar'ing exported insts
1343 - Fix non-running test and remove custom_nicparams rename
1344 - Account for NODE_RES lock in opportunistic locking
1345 - Fix request flooding of noded during disk sync
1346
1347 Inherited from the 2.9 branch:
1348
1349 - Make watcher submit queries low priority
1350 - Fix failing gnt-node list-drbd command
1351 - Update installation guide wrt to DRBD version
1352 - Fix list-drbd QA test
1353 - Add messages about skipped QA disk template tests
1354 - Allow QA asserts to produce more messages
1355 - Set exclusion tags correctly in requested instance
1356 - Export extractExTags and updateExclTags
1357 - Document spindles in the hbal man page
1358 - Sample logrotate conf breaks permissions with split users
1359 - Fix 'gnt-cluster' and 'gnt-node list-storage' outputs
1360
1361 Inherited from the 2.8 branch:
1362
1363 - Add reason parameter to RAPI client functions
1364 - Include qa/patch in Makefile
1365 - Handle empty patches better
1366 - Move message formatting functions to separate file
1367 - Add optional ordering of QA patch files
1368 - Allow multiple QA patches
1369 - Refactor current patching code
1370
1371
1372 Version 2.11.0 rc1
1373 ------------------
1374
1375 *(Released Thu, 20 Mar 2014)*
1376
1377 This was the first RC release of the 2.11 series. Since 2.11.0 beta1:
1378
1379 - Convert int to float when checking config. consistency
1380 - Rename compression option in gnt-backup export
1381
1382 Inherited from the 2.9 branch:
1383
1384 - Fix error introduced during merge
1385 - gnt-cluster copyfile: accept relative paths
1386
1387 Inherited from the 2.8 branch:
1388
1389 - Improve RAPI detection of the watcher
1390 - Add patching QA configuration files on buildbots
1391 - Enable a timeout for instance shutdown
1392 - Allow KVM commands to have a timeout
1393 - Allow xen commands to have a timeout
1394 - Fix wrong docstring
1395
1396
1397 Version 2.11.0 beta1
1398 --------------------
1399
1400 *(Released Wed, 5 Mar 2014)*
1401
1402 This was the first beta release of the 2.11 series. All important changes
1403 are listed in the latest 2.11 entry.
1404
1405
1406 Version 2.10.8
1407 --------------
1408
1409 *(Released Fri, 11 Dec 2015)*
1410
1411 Important changes and security notes
1412 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
1413
1414 Security release.
1415
1416 CVE-2015-7944
1417
1418 Ganeti provides a RESTful control interface called the RAPI. Its HTTPS
1419 implementation is vulnerable to DoS attacks via client-initiated SSL
1420 parameter renegotiation. While the interface is not meant to be exposed
1421 publicly, due to the fact that it binds to all interfaces, we believe
1422 some users might be exposing it unintentionally and are vulnerable. A
1423 DoS attack can consume resources meant for Ganeti daemons and instances
1424 running on the master node, making both perform badly.
1425
1426 Fixes are not feasible due to the OpenSSL Python library not exposing
1427 functionality needed to disable client-side renegotiation. Instead, we
1428 offer instructions on how to control RAPI's exposure, along with info
1429 on how RAPI can be setup alongside an HTTPS proxy in case users still
1430 want or need to expose the RAPI interface. The instructions are
1431 outlined in Ganeti's security document: doc/html/security.html
1432
1433 CVE-2015-7945
1434
1435 Ganeti leaks the DRBD secret through the RAPI interface. Examining job
1436 results after an instance information job reveals the secret. With the
1437 DRBD secret, access to the local cluster network, and ARP poisoning,
1438 an attacker can impersonate a Ganeti node and clone the disks of a
1439 DRBD-based instance. While an attacker with access to the cluster
1440 network is already capable of accessing any data written as DRBD
1441 traffic is unencrypted, having the secret expedites the process and
1442 allows access to the entire disk.
1443
1444 Fixes contained in this release prevent the secret from being exposed
1445 via the RAPI. The DRBD secret can be changed by converting an instance
1446 to plain and back to DRBD, generating a new secret, but redundancy will
1447 be lost until the process completes.
1448 Since attackers with node access are capable of accessing some and
1449 potentially all data even without the secret, we do not recommend that
1450 the secret be changed for existing instances.
1451
1452 Minor changes
1453 ~~~~~~~~~~~~~
1454
1455 - Make htools tolerate missing "dtotal" and "dfree" on luxi
1456 - At IAlloc backend guess state from admin state
1457 - replace-disks: fix --ignore-ipolicy
1458 - Fix instance multi allocation for non-DRBD disks
1459 - Check for gnt-cluster before running gnt-cluster upgrade
1460 - Work around a Python os.minor bug
1461 - Add IP-related checks after master-failover
1462 - Pass correct backend params in move-instance
1463 - Allow plain/DRBD conversions regardless of lack of disks
1464 - Fix MonD collector thunk leak
1465 - Stop MonD when removing a node from a cluster
1466 - Finalize backup only if successful
1467 - Fix file descriptor leak in Confd Client
1468 - Auto-upgrade hv_state_static and disk_state_static
1469 - Do not hardcode the Python path in CLI tools
1470 - Use the Python interpreter from ENV
1471 - ganeti.daemon: fix daemon mode with GnuTLS >= 3.3 (Issues 961, 964)
1472 - Ganeti.Daemon: always install SIGHUP handler (Issue 755)
1473 - Fix DRBD version check for non VM capable nodes
1474 - Fix handling of the --online option
1475 - Add warning against hvparam changes with live migrations
1476 - Only verify LVs in configured VG during cluster verify
1477 - Fix network info in case of multi NIC instances
1478 - On upgrades, check for upgrades to resume first
1479 - Pause watcher during upgrade
1480 - Allow instance disks to be added with --no-wait-for-sync
1481
1482
1483 Version 2.10.7
1484 --------------
1485
1486 *(Released Thu, 7 Aug 2014)*
1487
1488 Important security release. In 2.10.0, the
1489 'gnt-cluster upgrade' command was introduced. Before
1490 performing an upgrade, the configuration directory of
1491 the cluster is backed up. Unfortunately, the archive was
1492 written with permissions that make it possible for
1493 non-privileged users to read the archive and thus have
1494 access to cluster and RAPI keys. After this release,
1495 the archive will be created with privileged access only.
1496
1497 We strongly advise you to restrict the permissions of
1498 previously created archives. The archives are found in
1499 /var/lib/ganeti*.tar (unless otherwise configured with
1500 --localstatedir or --with-backup-dir).
1501
1502 If you suspect that non-privileged users have accessed
1503 your archives already, we advise you to renew the
1504 cluster's crypto keys using 'gnt-cluster renew-crypto'
1505 and to reset the RAPI credentials by editing
1506 /var/lib/ganeti/rapi_users (respectively under a
1507 different path if configured differently with
1508 --localstatedir).
1509
1510 Other changes included in this release:
1511
1512 - Fix handling of Xen instance states.
1513 - Fix NIC configuration with absent NIC VLAN
1514 - Adapt relative path expansion in PATH to new environment
1515 - Exclude archived jobs from configuration backups
1516 - Fix RAPI for split query setup
1517 - Allow disk hot-remove even with chroot or SM
1518
1519 Inherited from the 2.9 branch:
1520
1521 - Make htools tolerate missing 'spfree' on luxi
1522
1523
1524 Version 2.10.6
1525 --------------
1526
1527 *(Released Mon, 30 Jun 2014)*
1528
1529 - Make Ganeti tolerant towards differnt openssl library
1530   version on different nodes (issue 853).
1531 - Allow hspace to make useful predictions in multi-group
1532   clusters with one group overfull (isse 861).
1533 - Various gnt-network related fixes.
1534 - Fix disk hotplug with userspace access.
1535 - Various documentation errors fixed.
1536
1537
1538 Version 2.10.5
1539 --------------
1540
1541 *(Released Mon, 2 Jun 2014)*
1542
1543 - Two new options have been added to gnt-group evacuate.
1544   The 'sequential' option forces all the evacuation steps to
1545   be carried out sequentially, thus avoiding congestion on a
1546   slow link between node groups. The 'force-failover' option
1547   disallows migrations and forces failovers to be used instead.
1548   In this way evacuation to a group with vastly differnet
1549   hypervisor is possible.
1550 - In tiered allocation, when looking for ways on how to shrink
1551   an instance, the canoncial path is tried first, i.e., in each
1552   step reduce on the resource most placements are blocked on. Only
1553   if no smaller fitting instance can be found shrinking a single
1554   resource till fit is tried.
1555 - For finding the placement of an instance, the duplicate computations
1556   in the computation of the various cluster scores are computed only
1557   once. This significantly improves the performance of hspace for DRBD
1558   on large clusters; for other clusters, a slight performance decrease
1559   might occur. Moreover, due to the changed order, floating point
1560   number inaccuracies accumulate differently, thus resulting in different
1561   cluster scores. It has been verified that the effect of these different
1562   roundings is less than 1e-12.
1563 - network queries fixed with respect to instances
1564 - relax too strict prerequisite in LUClusterSetParams for DRBD helpers
1565 - VArious improvements to QA and build-time tests
1566
1567
1568 Version 2.10.4
1569 --------------
1570
1571 *(Released Thu, 15 May 2014)*
1572
1573 - Support restricted migration in hbal
1574 - Fix for the --shared-file-storage-dir of gnt-cluster modify (issue 811)
1575 - Fail in replace-disks if attaching disks fails (issue 814)
1576 - Set IFF_ONE_QUEUE on created tap interfaces for KVM
1577 - Small fixes and enhancements in the build system
1578 - Various documentation fixes (e.g. issue 810)
1579
1580
1581 Version 2.10.3
1582 --------------
1583
1584 *(Released Wed, 16 Apr 2014)*
1585
1586 - Fix filtering of pending jobs with -o id (issue 778)
1587 - Make RAPI API calls more symmetric (issue 770)
1588 - Make parsing of old cluster configuration more robust (issue 783)
1589 - Fix wrong output of gnt-instance info after migrations
1590 - Fix reserved PCI slots for KVM hotplugging
1591 - Use runtime hypervisor parameters to calculate bockdevice options for KVM
1592 - Fix high node daemon load during disk sync if the sync is paused manually
1593   (issue 792)
1594 - Improve opportunistic locking during instance creation (issue 791)
1595
1596 Inherited from the 2.9 branch:
1597
1598 - Make watcher submit queries low priority (issue 772)
1599 - Add reason parameter to RAPI client functions (issue 776)
1600 - Fix failing gnt-node list-drbd command (issue 777)
1601 - Properly display fake job locks in gnt-debug.
1602 - small fixes in documentation
1603
1604
1605 Version 2.10.2
1606 --------------
1607
1608 *(Released Mon, 24 Mar 2014)*
1609
1610 - Fix conflict between virtio + spice or soundhw (issue 757)
1611 - accept relative paths in gnt-cluster copyfile (issue 754)
1612 - Introduce shutdown timeout for 'xm shutdown' command
1613 - Improve RAPI detection of the watcher (issue 752)
1614
1615
1616 Version 2.10.1
1617 --------------
1618
1619 *(Released Wed, 5 Mar 2014)*
1620
1621 - Fix incorrect invocation of hooks on offline nodes (issue 742)
1622 - Fix incorrect exit code of gnt-cluster verify in certain circumstances
1623   (issue 744)
1624
1625 Inherited from the 2.9 branch:
1626
1627 - Fix overflow problem in hbal that caused it to break when waiting for
1628   jobs for more than 10 minutes (issue 717)
1629 - Make hbal properly handle non-LVM storage
1630 - Properly export and import NIC parameters, and do so in a backwards
1631   compatible way (issue 716)
1632 - Fix net-common script in case of routed mode (issue 728)
1633 - Improve documentation (issues 724, 730)
1634
1635
1636 Version 2.10.0
1637 --------------
1638
1639 *(Released Thu, 20 Feb 2014)*
1640
1641 Incompatible/important changes
1642 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
1643
1644 - Adding disks with 'gnt-instance modify' now waits for the disks to sync per
1645   default. Specify --no-wait-for-sync to override this behavior.
1646 - The Ganeti python code now adheres to a private-module layout. In particular,
1647   the module 'ganeti' is no longer in the python search path.
1648 - On instance allocation, the iallocator now considers non-LVM storage
1649   properly. In particular, actual file storage space information is used
1650   when allocating space for a file/sharedfile instance.
1651 - When disabling disk templates cluster-wide, the cluster now first
1652   checks whether there are instances still using those templates.
1653 - 'gnt-node list-storage' now also reports storage information about
1654   file-based storage types.
1655 - In case of non drbd instances, export \*_SECONDARY environment variables
1656   as empty strings (and not "None") during 'instance-migrate' related hooks.
1657
1658 New features
1659 ~~~~~~~~~~~~
1660
1661 - KVM hypervisors can now access RBD storage directly without having to
1662   go through a block device.
1663 - A new command 'gnt-cluster upgrade' was added that automates the upgrade
1664   procedure between two Ganeti versions that are both 2.10 or higher.
1665 - The move-instance command can now change disk templates when moving
1666   instances, and does not require any node placement options to be
1667   specified if the destination cluster has a default iallocator.
1668 - Users can now change the soundhw and cpuid settings for XEN hypervisors.
1669 - Hail and hbal now have the (optional) capability of accessing average CPU
1670   load information through the monitoring deamon, and to use it to dynamically
1671   adapt the allocation of instances.
1672 - Hotplug support. Introduce new option '--hotplug' to ``gnt-instance modify``
1673   so that disk and NIC modifications take effect without the need of actual
1674   reboot. There are a couple of constrains currently for this feature:
1675
1676    - only KVM hypervisor (versions >= 1.0) supports it,
1677    - one can not (yet) hotplug a disk using userspace access mode for RBD
1678    - in case of a downgrade instances should suffer a reboot in order to
1679      be migratable (due to core change of runtime files)
1680    - ``python-fdsend`` is required for NIC hotplugging.
1681
1682 Misc changes
1683 ~~~~~~~~~~~~
1684
1685 - A new test framework for logical units was introduced and the test
1686   coverage for logical units was improved significantly.
1687 - Opcodes are entirely generated from Haskell using the tool 'hs2py' and
1688   the module 'src/Ganeti/OpCodes.hs'.
1689 - Constants are also generated from Haskell using the tool
1690   'hs2py-constants' and the module 'src/Ganeti/Constants.hs', with the
1691   exception of socket related constants, which require changing the
1692   cluster configuration file, and HVS related constants, because they
1693   are part of a port of instance queries to Haskell.  As a result, these
1694   changes will be part of the next release of Ganeti.
1695
1696 New dependencies
1697 ~~~~~~~~~~~~~~~~
1698
1699 The following new dependencies have been added/updated.
1700
1701 Python
1702
1703 - The version requirements for ``python-mock`` have increased to at least
1704   version 1.0.1. It is still used for testing only.
1705 - ``python-fdsend`` (https://gitorious.org/python-fdsend) is optional
1706   but required for KVM NIC hotplugging to work.
1707
1708 Since 2.10.0 rc3
1709 ~~~~~~~~~~~~~~~~
1710
1711 - Fix integer overflow problem in hbal
1712
1713
1714 Version 2.10.0 rc3
1715 ------------------
1716
1717 *(Released Wed, 12 Feb 2014)*
1718
1719 This was the third RC release of the 2.10 series. Since 2.10.0 rc2:
1720
1721 - Improved hotplug robustness
1722 - Start Ganeti daemons after ensure-dirs during upgrade
1723 - Documentation improvements
1724
1725 Inherited from the 2.9 branch:
1726
1727 - Fix the RAPI instances-multi-alloc call
1728 - assign unique filenames to file-based disks
1729 - gracefully handle degraded non-diskless instances with 0 disks (issue 697)
1730 - noded now runs with its specified group, which is the default group,
1731   defaulting to root (issue 707)
1732 - make using UUIDs to identify nodes in gnt-node consistently possible
1733   (issue 703)
1734
1735
1736 Version 2.10.0 rc2
1737 ------------------
1738
1739 *(Released Fri, 31 Jan 2014)*
1740
1741 This was the second RC release of the 2.10 series. Since 2.10.0 rc1:
1742
1743 - Documentation improvements
1744 - Run drbdsetup syncer only on network attach
1745 - Include target node in hooks nodes for migration
1746 - Fix configure dirs
1747 - Support post-upgrade hooks during cluster upgrades
1748
1749 Inherited from the 2.9 branch:
1750
1751 - Ensure that all the hypervisors exist in the config file (Issue 640)
1752 - Correctly recognise the role as master node (Issue 687)
1753 - configure: allow detection of Sphinx 1.2+ (Issue 502)
1754 - gnt-instance now honors the KVM path correctly (Issue 691)
1755
1756 Inherited from the 2.8 branch:
1757
1758 - Change the list separator for the usb_devices parameter from comma to space.
1759   Commas could not work because they are already the hypervisor option
1760   separator (Issue 649)
1761 - Add support for blktap2 file-driver (Issue 638)
1762 - Add network tag definitions to the haskell codebase (Issue 641)
1763 - Fix RAPI network tag handling
1764 - Add the network tags to the tags searched by gnt-cluster search-tags
1765 - Fix caching bug preventing jobs from being cancelled
1766 - Start-master/stop-master was always failing if ConfD was disabled. (Issue 685)
1767
1768
1769 Version 2.10.0 rc1
1770 ------------------
1771
1772 *(Released Tue, 17 Dec 2013)*
1773
1774 This was the first RC release of the 2.10 series. Since 2.10.0 beta1:
1775
1776 - All known issues in 2.10.0 beta1 have been resolved (see changes from
1777   the 2.8 branch).
1778 - Improve handling of KVM runtime files from earlier Ganeti versions
1779 - Documentation fixes
1780
1781 Inherited from the 2.9 branch:
1782
1783 - use custom KVM path if set for version checking
1784 - SingleNotifyPipeCondition: don't share pollers
1785
1786 Inherited from the 2.8 branch:
1787
1788 - Fixed Luxi daemon socket permissions after master-failover
1789 - Improve IP version detection code directly checking for colons rather than
1790   passing the family from the cluster object
1791 - Fix NODE/NODE_RES locking in LUInstanceCreate by not acquiring NODE_RES locks
1792   opportunistically anymore (Issue 622)
1793 - Allow link local IPv6 gateways (Issue 624)
1794 - Fix error printing (Issue 616)
1795 - Fix a bug in InstanceSetParams concerning names: in case no name is passed in
1796   disk modifications, keep the old one. If name=none then set disk name to
1797   None.
1798 - Update build_chroot script to work with the latest hackage packages
1799 - Add a packet number limit to "fping" in master-ip-setup (Issue 630)
1800 - Fix evacuation out of drained node (Issue 615)
1801 - Add default file_driver if missing (Issue 571)
1802 - Fix job error message after unclean master shutdown (Issue 618)
1803 - Lock group(s) when creating instances (Issue 621)
1804 - SetDiskID() before accepting an instance (Issue 633)
1805 - Allow the ext template disks to receive arbitrary parameters, both at creation
1806   time and while being modified
1807 - Xen handle domain shutdown (future proofing cherry-pick)
1808 - Refactor reading live data in htools (future proofing cherry-pick)
1809
1810
1811 Version 2.10.0 beta1
1812 --------------------
1813
1814 *(Released Wed, 27 Nov 2013)*
1815
1816 This was the first beta release of the 2.10 series. All important changes
1817 are listed in the latest 2.10 entry.
1818
1819 Known issues
1820 ~~~~~~~~~~~~
1821
1822 The following issues are known to be present in the beta and will be fixed
1823 before rc1.
1824
1825 - Issue 477: Wrong permissions for confd LUXI socket
1826 - Issue 621: Instance related opcodes do not aquire network/group locks
1827 - Issue 622: Assertion Error: Node locks differ from node resource locks
1828 - Issue 623: IPv6 Masterd <-> Luxid communication error
1829
1830
1831 Version 2.9.7
1832 -------------
1833
1834 *(Released Fri, 11 Dec 2015)*
1835
1836 Important changes and security notes
1837 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
1838
1839 Security release.
1840
1841 CVE-2015-7944
1842
1843 Ganeti provides a RESTful control interface called the RAPI. Its HTTPS
1844 implementation is vulnerable to DoS attacks via client-initiated SSL
1845 parameter renegotiation. While the interface is not meant to be exposed
1846 publicly, due to the fact that it binds to all interfaces, we believe
1847 some users might be exposing it unintentionally and are vulnerable. A
1848 DoS attack can consume resources meant for Ganeti daemons and instances
1849 running on the master node, making both perform badly.
1850
1851 Fixes are not feasible due to the OpenSSL Python library not exposing
1852 functionality needed to disable client-side renegotiation. Instead, we
1853 offer instructions on how to control RAPI's exposure, along with info
1854 on how RAPI can be setup alongside an HTTPS proxy in case users still
1855 want or need to expose the RAPI interface. The instructions are
1856 outlined in Ganeti's security document: doc/html/security.html
1857
1858 CVE-2015-7945
1859
1860 Ganeti leaks the DRBD secret through the RAPI interface. Examining job
1861 results after an instance information job reveals the secret. With the
1862 DRBD secret, access to the local cluster network, and ARP poisoning,
1863 an attacker can impersonate a Ganeti node and clone the disks of a
1864 DRBD-based instance. While an attacker with access to the cluster
1865 network is already capable of accessing any data written as DRBD
1866 traffic is unencrypted, having the secret expedites the process and
1867 allows access to the entire disk.
1868
1869 Fixes contained in this release prevent the secret from being exposed
1870 via the RAPI. The DRBD secret can be changed by converting an instance
1871 to plain and back to DRBD, generating a new secret, but redundancy will
1872 be lost until the process completes.
1873 Since attackers with node access are capable of accessing some and
1874 potentially all data even without the secret, we do not recommend that
1875 the secret be changed for existing instances.
1876
1877 Minor changes
1878 ~~~~~~~~~~~~~
1879
1880 - gnt-instance replace-disks no longer crashes when --ignore-policy is
1881   passed to it
1882 - Stop MonD when removing a node from a cluster
1883 - Fix file descriptor leak in Confd client
1884 - Always install SIGHUP handler for Haskell daemons (Issue 755)
1885 - Make ganeti-cleaner switch to a safe working directory (Issue 880)
1886 - Make htools tolerate missing "spfree" on Luxi
1887 - DRBD parser: consume initial empty resource lines (Issue 869)
1888 - KVM: set IFF_ONE_QUEUE on created tap interfaces
1889 - Set exclusion tags correctly in requested instance
1890
1891
1892 Version 2.9.6
1893 -------------
1894
1895 *(Released Mon, 7 Apr 2014)*
1896
1897 - Improve RAPI detection of the watcher (Issue 752)
1898 - gnt-cluster copyfile: accept relative paths (Issue 754)
1899 - Make watcher submit queries low priority (Issue 772)
1900 - Add reason parameter to RAPI client functions (Issue 776)
1901 - Fix failing gnt-node list-drbd command (Issue 777)
1902 - Properly display fake job locks in gnt-debug.
1903 - Enable timeout for instance shutdown
1904 - small fixes in documentation
1905
1906
1907 Version 2.9.5
1908 -------------
1909
1910 *(Released Tue, 25 Feb 2014)*
1911
1912 - Fix overflow problem in hbal that caused it to break when waiting for
1913   jobs for more than 10 minutes (issue 717)
1914 - Make hbal properly handle non-LVM storage
1915 - Properly export and import NIC parameters, and do so in a backwards
1916   compatible way (issue 716)
1917 - Fix net-common script in case of routed mode (issue 728)
1918 - Improve documentation (issues 724, 730)
1919
1920
1921 Version 2.9.4
1922 -------------
1923
1924 *(Released Mon, 10 Feb 2014)*
1925
1926 - Fix the RAPI instances-multi-alloc call
1927 - assign unique filenames to file-based disks
1928 - gracefully handle degraded non-diskless instances with 0 disks (issue 697)
1929 - noded now runs with its specified group, which is the default group,
1930   defaulting to root (issue 707)
1931 - make using UUIDs to identify nodes in gnt-node consistently possible
1932   (issue 703)
1933
1934
1935 Version 2.9.3
1936 -------------
1937
1938 *(Released Mon, 27 Jan 2014)*
1939
1940 - Ensure that all the hypervisors exist in the config file (Issue 640)
1941 - Correctly recognise the role as master node (Issue 687)
1942 - configure: allow detection of Sphinx 1.2+ (Issue 502)
1943 - gnt-instance now honors the KVM path correctly (Issue 691)
1944
1945 Inherited from the 2.8 branch:
1946
1947 - Change the list separator for the usb_devices parameter from comma to space.
1948   Commas could not work because they are already the hypervisor option
1949   separator (Issue 649)
1950 - Add support for blktap2 file-driver (Issue 638)
1951 - Add network tag definitions to the haskell codebase (Issue 641)
1952 - Fix RAPI network tag handling
1953 - Add the network tags to the tags searched by gnt-cluster search-tags
1954 - Fix caching bug preventing jobs from being cancelled
1955 - Start-master/stop-master was always failing if ConfD was disabled. (Issue 685)
1956
1957
1958 Version 2.9.2
1959 -------------
1960
1961 *(Released Fri, 13 Dec 2013)*
1962
1963 - use custom KVM path if set for version checking
1964 - SingleNotifyPipeCondition: don't share pollers
1965
1966 Inherited from the 2.8 branch:
1967
1968 - Fixed Luxi daemon socket permissions after master-failover
1969 - Improve IP version detection code directly checking for colons rather than
1970   passing the family from the cluster object
1971 - Fix NODE/NODE_RES locking in LUInstanceCreate by not acquiring NODE_RES locks
1972   opportunistically anymore (Issue 622)
1973 - Allow link local IPv6 gateways (Issue 624)
1974 - Fix error printing (Issue 616)
1975 - Fix a bug in InstanceSetParams concerning names: in case no name is passed in
1976   disk modifications, keep the old one. If name=none then set disk name to
1977   None.
1978 - Update build_chroot script to work with the latest hackage packages
1979 - Add a packet number limit to "fping" in master-ip-setup (Issue 630)
1980 - Fix evacuation out of drained node (Issue 615)
1981 - Add default file_driver if missing (Issue 571)
1982 - Fix job error message after unclean master shutdown (Issue 618)
1983 - Lock group(s) when creating instances (Issue 621)
1984 - SetDiskID() before accepting an instance (Issue 633)
1985 - Allow the ext template disks to receive arbitrary parameters, both at creation
1986   time and while being modified
1987 - Xen handle domain shutdown (future proofing cherry-pick)
1988 - Refactor reading live data in htools (future proofing cherry-pick)
1989
1990
1991 Version 2.9.1
1992 -------------
1993
1994 *(Released Wed, 13 Nov 2013)*
1995
1996 - fix bug, that kept nodes offline when readding
1997 - when verifying DRBD versions, ignore unavailable nodes
1998 - fix bug that made the console unavailable on kvm in split-user
1999   setup (issue 608)
2000 - DRBD: ensure peers are UpToDate for dual-primary (inherited 2.8.2)
2001
2002
2003 Version 2.9.0
2004 -------------
2005
2006 *(Released Tue, 5 Nov 2013)*
2007
2008 Incompatible/important changes
2009 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
2010
2011 - hroller now also plans for capacity to move non-redundant instances off
2012   any node to be rebooted; the old behavior of completely ignoring any
2013   non-redundant instances can be restored by adding the --ignore-non-redundant
2014   option.
2015 - The cluster option '--no-lvm-storage' was removed in favor of the new option
2016   '--enabled-disk-templates'.
2017 - On instance creation, disk templates no longer need to be specified
2018   with '-t'. The default disk template will be taken from the list of
2019   enabled disk templates.
2020 - The monitoring daemon is now running as root, in order to be able to collect
2021   information only available to root (such as the state of Xen instances).
2022 - The ConfD client is now IPv6 compatible.
2023 - File and shared file storage is no longer dis/enabled at configure time,
2024   but using the option '--enabled-disk-templates' at cluster initialization and
2025   modification.
2026 - The default directories for file and shared file storage are not anymore
2027   specified at configure time, but taken from the cluster's configuration.
2028   They can be set at cluster initialization and modification with
2029   '--file-storage-dir' and '--shared-file-storage-dir'.
2030 - Cluster verification now includes stricter checks regarding the
2031   default file and shared file storage directories. It now checks that
2032   the directories are explicitely allowed in the 'file-storage-paths' file and
2033   that the directories exist on all nodes.
2034 - The list of allowed disk templates in the instance policy and the list
2035   of cluster-wide enabled disk templates is now checked for consistency
2036   on cluster or group modification. On cluster initialization, the ipolicy
2037   disk templates are ensured to be a subset of the cluster-wide enabled
2038   disk templates.
2039
2040 New features
2041 ~~~~~~~~~~~~
2042
2043 - DRBD 8.4 support. Depending on the installed DRBD version, Ganeti now uses
2044   the correct command syntax. It is possible to use different DRBD versions
2045   on different nodes as long as they are compatible to each other. This
2046   enables rolling upgrades of DRBD with no downtime. As permanent operation
2047   of different DRBD versions within a node group is discouraged,
2048   ``gnt-cluster verify`` will emit a warning if it detects such a situation.
2049 - New "inst-status-xen" data collector for the monitoring daemon, providing
2050   information about the state of the xen instances on the nodes.
2051 - New "lv" data collector for the monitoring daemon, collecting data about the
2052   logical volumes on the nodes, and pairing them with the name of the instances
2053   they belong to.
2054 - New "diskstats" data collector, collecting the data from /proc/diskstats and
2055   presenting them over the monitoring daemon interface.
2056 - The ConfD client is now IPv6 compatible.
2057
2058 New dependencies
2059 ~~~~~~~~~~~~~~~~
2060 The following new dependencies have been added.
2061
2062 Python
2063
2064 - ``python-mock`` (http://www.voidspace.org.uk/python/mock/) is now a required
2065   for the unit tests (and only used for testing).
2066
2067 Haskell
2068
2069 - ``hslogger`` (http://software.complete.org/hslogger) is now always
2070   required, even if confd is not enabled.
2071
2072 Since 2.9.0 rc3
2073 ~~~~~~~~~~~~~~~
2074
2075 - Correctly start/stop luxid during gnt-cluster master-failover (inherited
2076   from stable-2.8)
2077 - Improved error messsages (inherited from stable-2.8)
2078
2079
2080 Version 2.9.0 rc3
2081 -----------------
2082
2083 *(Released Tue, 15 Oct 2013)*
2084
2085 The third release candidate in the 2.9 series. Since 2.9.0 rc2:
2086
2087 - in implicit configuration upgrade, match ipolicy with enabled disk templates
2088 - improved harep documentation (inherited from stable-2.8)
2089
2090
2091 Version 2.9.0 rc2
2092 -----------------
2093
2094 *(Released Wed, 9 Oct 2013)*
2095
2096 The second release candidate in the 2.9 series. Since 2.9.0 rc1:
2097
2098 - Fix bug in cfgupgrade that led to failure when upgrading from 2.8 with
2099   at least one DRBD instance.
2100 - Fix bug in cfgupgrade that led to an invalid 2.8 configuration after
2101   downgrading.
2102
2103
2104 Version 2.9.0 rc1
2105 -----------------
2106
2107 *(Released Tue, 1 Oct 2013)*
2108
2109 The first release candidate in the 2.9 series. Since 2.9.0 beta1:
2110
2111 - various bug fixes
2112 - update of the documentation, in particular installation instructions
2113 - merging of LD_* constants into DT_* constants
2114 - python style changes to be compatible with newer versions of pylint
2115
2116
2117 Version 2.9.0 beta1
2118 -------------------
2119
2120 *(Released Thu, 29 Aug 2013)*
2121
2122 This was the first beta release of the 2.9 series. All important changes
2123 are listed in the latest 2.9 entry.
2124
2125
2126 Version 2.8.4
2127 -------------
2128
2129 *(Released Thu, 23 Jan 2014)*
2130
2131 - Change the list separator for the usb_devices parameter from comma to space.
2132   Commas could not work because they are already the hypervisor option
2133   separator (Issue 649)
2134 - Add support for blktap2 file-driver (Issue 638)
2135 - Add network tag definitions to the haskell codebase (Issue 641)
2136 - Fix RAPI network tag handling
2137 - Add the network tags to the tags searched by gnt-cluster search-tags
2138 - Fix caching bug preventing jobs from being cancelled
2139 - Start-master/stop-master was always failing if ConfD was disabled. (Issue 685)
2140
2141
2142 Version 2.8.3
2143 -------------
2144
2145 *(Released Thu, 12 Dec 2013)*
2146
2147 - Fixed Luxi daemon socket permissions after master-failover
2148 - Improve IP version detection code directly checking for colons rather than
2149   passing the family from the cluster object
2150 - Fix NODE/NODE_RES locking in LUInstanceCreate by not acquiring NODE_RES locks
2151   opportunistically anymore (Issue 622)
2152 - Allow link local IPv6 gateways (Issue 624)
2153 - Fix error printing (Issue 616)
2154 - Fix a bug in InstanceSetParams concerning names: in case no name is passed in
2155   disk modifications, keep the old one. If name=none then set disk name to
2156   None.
2157 - Update build_chroot script to work with the latest hackage packages
2158 - Add a packet number limit to "fping" in master-ip-setup (Issue 630)
2159 - Fix evacuation out of drained node (Issue 615)
2160 - Add default file_driver if missing (Issue 571)
2161 - Fix job error message after unclean master shutdown (Issue 618)
2162 - Lock group(s) when creating instances (Issue 621)
2163 - SetDiskID() before accepting an instance (Issue 633)
2164 - Allow the ext template disks to receive arbitrary parameters, both at creation
2165   time and while being modified
2166 - Xen handle domain shutdown (future proofing cherry-pick)
2167 - Refactor reading live data in htools (future proofing cherry-pick)
2168
2169
2170 Version 2.8.2
2171 -------------
2172
2173 *(Released Thu, 07 Nov 2013)*
2174
2175 - DRBD: ensure peers are UpToDate for dual-primary
2176 - Improve error message for replace-disks
2177 - More dependency checks at configure time
2178 - Placate warnings on ganeti.outils_unittest.py
2179
2180
2181 Version 2.8.1
2182 -------------
2183
2184 *(Released Thu, 17 Oct 2013)*
2185
2186 - Correctly start/stop luxid during gnt-cluster master-failover
2187 - Don't attempt IPv6 ssh in case of IPv4 cluster (Issue 595)
2188 - Fix path for the job queue serial file
2189 - Improved harep man page
2190 - Minor documentation improvements
2191
2192
2193 Version 2.8.0
2194 -------------
2195
2196 *(Released Mon, 30 Sep 2013)*
2197
2198 Incompatible/important changes
2199 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
2200
2201 - Instance policy can contain multiple instance specs, as described in
2202   the “Constrained instance sizes” section of :doc:`Partitioned Ganeti
2203   <design-partitioned>`. As a consequence, it's not possible to partially change
2204   or override instance specs. Bounding specs (min and max) can be specified as a
2205   whole using the new option ``--ipolicy-bounds-specs``, while standard
2206   specs use the new option ``--ipolicy-std-specs``.
2207 - The output of the info command of gnt-cluster, gnt-group, gnt-node,
2208   gnt-instance is a valid YAML object.
2209 - hail now honors network restrictions when allocating nodes. This led to an
2210   update of the IAllocator protocol. See the IAllocator documentation for
2211   details.
2212 - confd now only answers static configuration request over the network. luxid
2213   was extracted, listens on the local LUXI socket and responds to live queries.
2214   This allows finer grained permissions if using separate users.
2215
2216 New features
2217 ~~~~~~~~~~~~
2218
2219 - The :doc:`Remote API <rapi>` daemon now supports a command line flag
2220   to always require authentication, ``--require-authentication``. It can
2221   be specified in ``$sysconfdir/default/ganeti``.
2222 - A new cluster attribute 'enabled_disk_templates' is introduced. It will
2223   be used to manage the disk templates to be used by instances in the cluster.
2224   Initially, it will be set to a list that includes plain, drbd, if they were
2225   enabled by specifying a volume group name, and file and sharedfile, if those
2226   were enabled at configure time. Additionally, it will include all disk
2227   templates that are currently used by instances. The order of disk templates
2228   will be based on Ganeti's history of supporting them. In the future, the
2229   first entry of the list will be used as a default disk template on instance
2230   creation.
2231 - ``cfgupgrade`` now supports a ``--downgrade`` option to bring the
2232   configuration back to the previous stable version.
2233 - Disk templates in group ipolicy can be restored to the default value.
2234 - Initial support for diskless instances and virtual clusters in QA.
2235 - More QA and unit tests for instance policies.
2236 - Every opcode now contains a reason trail (visible through ``gnt-job info``)
2237   describing why the opcode itself was executed.
2238 - The monitoring daemon is now available. It allows users to query the cluster
2239   for obtaining information about the status of the system. The daemon is only
2240   responsible for providing the information over the network: the actual data
2241   gathering is performed by data collectors (currently, only the DRBD status
2242   collector is available).
2243 - In order to help developers work on Ganeti, a new script
2244   (``devel/build_chroot``) is provided, for building a chroot that contains all
2245   the required development libraries and tools for compiling Ganeti on a Debian
2246   Squeeze system.
2247 - A new tool, ``harep``, for performing self-repair and recreation of instances
2248   in Ganeti has been added.
2249 - Split queries are enabled for tags, network, exports, cluster info, groups,
2250   jobs, nodes.
2251 - New command ``show-ispecs-cmd`` for ``gnt-cluster`` and ``gnt-group``.
2252   It prints the command line to set the current policies, to ease
2253   changing them.
2254 - Add the ``vnet_hdr`` HV parameter for KVM, to control whether the tap
2255   devices for KVM virtio-net interfaces will get created with VNET_HDR
2256   (IFF_VNET_HDR) support. If set to false, it disables offloading on the
2257   virtio-net interfaces, which prevents host kernel tainting and log
2258   flooding, when dealing with broken or malicious virtio-net drivers.
2259   It's set to true by default.
2260 - Instance failover now supports a ``--cleanup`` parameter for fixing previous
2261   failures.
2262 - Support 'viridian' parameter in Xen HVM
2263 - Support DSA SSH keys in bootstrap
2264 - To simplify the work of packaging frameworks that want to add the needed users
2265   and groups in a split-user setup themselves, at build time three files in
2266   ``doc/users`` will be generated. The ``groups`` files contains, one per line,
2267   the groups to be generated, the ``users`` file contains, one per line, the
2268   users to be generated, optionally followed by their primary group, where
2269   important. The ``groupmemberships`` file contains, one per line, additional
2270   user-group membership relations that need to be established. The syntax of
2271   these files will remain stable in all future versions.
2272
2273
2274 New dependencies
2275 ~~~~~~~~~~~~~~~~
2276 The following new dependencies have been added:
2277
2278 For Haskell:
2279 - The ``curl`` library is not optional anymore for compiling the Haskell code.
2280 - ``snap-server`` library (if monitoring is enabled).
2281
2282 For Python:
2283 - The minimum Python version needed to run Ganeti is now 2.6.
2284 - ``yaml`` library (only for running the QA).
2285
2286 Since 2.8.0 rc3
2287 ~~~~~~~~~~~~~~~
2288 - Perform proper cleanup on termination of Haskell daemons
2289 - Fix corner-case in handling of remaining retry time
2290
2291
2292 Version 2.8.0 rc3
2293 -----------------
2294
2295 *(Released Tue, 17 Sep 2013)*
2296
2297 - To simplify the work of packaging frameworks that want to add the needed users
2298   and groups in a split-user setup themselves, at build time three files in
2299   ``doc/users`` will be generated. The ``groups`` files contains, one per line,
2300   the groups to be generated, the ``users`` file contains, one per line, the
2301   users to be generated, optionally followed by their primary group, where
2302   important. The ``groupmemberships`` file contains, one per line, additional
2303   user-group membership relations that need to be established. The syntax of
2304   these files will remain stable in all future versions.
2305 - Add a default to file-driver when unspecified over RAPI (Issue 571)
2306 - Mark the DSA host pubkey as optional, and remove it during config downgrade
2307   (Issue 560)
2308 - Some documentation fixes
2309
2310
2311 Version 2.8.0 rc2
2312 -----------------
2313
2314 *(Released Tue, 27 Aug 2013)*
2315
2316 The second release candidate of the 2.8 series. Since 2.8.0. rc1:
2317
2318 - Support 'viridian' parameter in Xen HVM (Issue 233)
2319 - Include VCS version in ``gnt-cluster version``
2320 - Support DSA SSH keys in bootstrap (Issue 338)
2321 - Fix batch creation of instances
2322 - Use FQDN to check master node status (Issue 551)
2323 - Make the DRBD collector more failure-resilient
2324
2325
2326 Version 2.8.0 rc1
2327 -----------------
2328
2329 *(Released Fri, 2 Aug 2013)*
2330
2331 The first release candidate of the 2.8 series. Since 2.8.0 beta1:
2332
2333 - Fix upgrading/downgrading from 2.7
2334 - Increase maximum RAPI message size
2335 - Documentation updates
2336 - Split ``confd`` between ``luxid`` and ``confd``
2337 - Merge 2.7 series up to the 2.7.1 release
2338 - Allow the ``modify_etc_hosts`` option to be changed
2339 - Add better debugging for ``luxid`` queries
2340 - Expose bulk parameter for GetJobs in RAPI client
2341 - Expose missing ``network`` fields in RAPI
2342 - Add some ``cluster verify`` tests
2343 - Some unittest fixes
2344 - Fix a malfunction in ``hspace``'s tiered allocation
2345 - Fix query compatibility between haskell and python implementations
2346 - Add the ``vnet_hdr`` HV parameter for KVM
2347 - Add ``--cleanup`` to instance failover
2348 - Change the connected groups format in ``gnt-network info`` output; it
2349   was previously displayed as a raw list by mistake. (Merged from 2.7)
2350
2351
2352 Version 2.8.0 beta1
2353 -------------------
2354
2355 *(Released Mon, 24 Jun 2013)*
2356
2357 This was the first beta release of the 2.8 series. All important changes
2358 are listed in the latest 2.8 entry.
2359
2360
2361 Version 2.7.2
2362 -------------
2363
2364 *(Released Thu, 26 Sep 2013)*
2365
2366 - Change the connected groups format in ``gnt-network info`` output; it
2367   was previously displayed as a raw list by mistake
2368 - Check disk template in right dict when copying
2369 - Support multi-instance allocs without iallocator
2370 - Fix some errors in the documentation
2371 - Fix formatting of tuple in an error message
2372
2373
2374 Version 2.7.1
2375 -------------
2376
2377 *(Released Thu, 25 Jul 2013)*
2378
2379 - Add logrotate functionality in daemon-util
2380 - Add logrotate example file
2381 - Add missing fields to network queries over rapi
2382 - Fix network object timestamps
2383 - Add support for querying network timestamps
2384 - Fix a typo in the example crontab
2385 - Fix a documentation typo
2386
2387
2388 Version 2.7.0
2389 -------------
2390
2391 *(Released Thu, 04 Jul 2013)*
2392
2393 Incompatible/important changes
2394 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
2395
2396 - Instance policies for disk size were documented to be on a per-disk
2397   basis, but hail applied them to the sum of all disks. This has been
2398   fixed.
2399 - ``hbal`` will now exit with status 0 if, during job execution over
2400   LUXI, early exit has been requested and all jobs are successful;
2401   before, exit status 1 was used, which cannot be differentiated from
2402   "job error" case
2403 - Compatibility with newer versions of rbd has been fixed
2404 - ``gnt-instance batch-create`` has been changed to use the bulk create
2405   opcode from Ganeti. This lead to incompatible changes in the format of
2406   the JSON file. It's now not a custom dict anymore but a dict
2407   compatible with the ``OpInstanceCreate`` opcode.
2408 - Parent directories for file storage need to be listed in
2409   ``$sysconfdir/ganeti/file-storage-paths`` now. ``cfgupgrade`` will
2410   write the file automatically based on old configuration values, but it
2411   can not distribute it across all nodes and the file contents should be
2412   verified. Use ``gnt-cluster copyfile
2413   $sysconfdir/ganeti/file-storage-paths`` once the cluster has been
2414   upgraded. The reason for requiring this list of paths now is that
2415   before it would have been possible to inject new paths via RPC,
2416   allowing files to be created in arbitrary locations. The RPC protocol
2417   is protected using SSL/X.509 certificates, but as a design principle
2418   Ganeti does not permit arbitrary paths to be passed.
2419 - The parsing of the variants file for OSes (see
2420   :manpage:`ganeti-os-interface(7)`) has been slightly changed: now empty
2421   lines and comment lines (starting with ``#``) are ignored for better
2422   readability.
2423 - The ``setup-ssh`` tool added in Ganeti 2.2 has been replaced and is no
2424   longer available. ``gnt-node add`` now invokes a new tool on the
2425   destination node, named ``prepare-node-join``, to configure the SSH
2426   daemon. Paramiko is no longer necessary to configure nodes' SSH
2427   daemons via ``gnt-node add``.
2428 - Draining (``gnt-cluster queue drain``) and un-draining the job queue
2429   (``gnt-cluster queue undrain``) now affects all nodes in a cluster and
2430   the flag is not reset after a master failover.
2431 - Python 2.4 has *not* been tested with this release. Using 2.6 or above
2432   is recommended. 2.6 will be mandatory from the 2.8 series.
2433
2434
2435 New features
2436 ~~~~~~~~~~~~
2437
2438 - New network management functionality to support automatic allocation
2439   of IP addresses and managing of network parameters. See
2440   :manpage:`gnt-network(8)` for more details.
2441 - New external storage backend, to allow managing arbitrary storage
2442   systems external to the cluster. See
2443   :manpage:`ganeti-extstorage-interface(7)`.
2444 - New ``exclusive-storage`` node parameter added, restricted to
2445   nodegroup level. When it's set to true, physical disks are assigned in
2446   an exclusive fashion to instances, as documented in :doc:`Partitioned
2447   Ganeti <design-partitioned>`.  Currently, only instances using the
2448   ``plain`` disk template are supported.
2449 - The KVM hypervisor has been updated with many new hypervisor
2450   parameters, including a generic one for passing arbitrary command line
2451   values. See a complete list in :manpage:`gnt-instance(8)`. It is now
2452   compatible up to qemu 1.4.
2453 - A new tool, called ``mon-collector``, is the stand-alone executor of
2454   the data collectors for a monitoring system. As of this version, it
2455   just includes the DRBD data collector, that can be executed by calling
2456   ``mon-collector`` using the ``drbd`` parameter. See
2457   :manpage:`mon-collector(7)`.
2458 - A new user option, :pyeval:`rapi.RAPI_ACCESS_READ`, has been added
2459   for RAPI users. It allows granting permissions to query for
2460   information to a specific user without giving
2461   :pyeval:`rapi.RAPI_ACCESS_WRITE` permissions.
2462 - A new tool named ``node-cleanup`` has been added. It cleans remains of
2463   a cluster from a machine by stopping all daemons, removing
2464   certificates and ssconf files. Unless the ``--no-backup`` option is
2465   given, copies of the certificates are made.
2466 - Instance creations now support the use of opportunistic locking,
2467   potentially speeding up the (parallel) creation of multiple instances.
2468   This feature is currently only available via the :doc:`RAPI
2469   <rapi>` interface and when an instance allocator is used. If the
2470   ``opportunistic_locking`` parameter is set the opcode will try to
2471   acquire as many locks as possible, but will not wait for any locks
2472   held by other opcodes. If not enough resources can be found to
2473   allocate the instance, the temporary error code
2474   :pyeval:`errors.ECODE_TEMP_NORES` is returned. The operation can be
2475   retried thereafter, with or without opportunistic locking.
2476 - New experimental linux-ha resource scripts.
2477 - Restricted-commands support: ganeti can now be asked (via command line
2478   or rapi) to perform commands on a node. These are passed via ganeti
2479   RPC rather than ssh. This functionality is restricted to commands
2480   specified on the ``$sysconfdir/ganeti/restricted-commands`` for security
2481   reasons. The file is not copied automatically.
2482
2483
2484 Misc changes
2485 ~~~~~~~~~~~~
2486
2487 - Diskless instances are now externally mirrored (Issue 237). This for
2488   now has only been tested in conjunction with explicit target nodes for
2489   migration/failover.
2490 - Queries not needing locks or RPC access to the node can now be
2491   performed by the confd daemon, making them independent from jobs, and
2492   thus faster to execute. This is selectable at configure time.
2493 - The functionality for allocating multiple instances at once has been
2494   overhauled and is now also available through :doc:`RAPI <rapi>`.
2495
2496 There are no significant changes from version 2.7.0~rc3.
2497
2498
2499 Version 2.7.0 rc3
2500 -----------------
2501
2502 *(Released Tue, 25 Jun 2013)*
2503
2504 - Fix permissions on the confd query socket (Issue 477)
2505 - Fix permissions on the job archive dir (Issue 498)
2506 - Fix handling of an internal exception in replace-disks (Issue 472)
2507 - Fix gnt-node info handling of shortened names (Issue 497)
2508 - Fix gnt-instance grow-disk when wiping is enabled
2509 - Documentation improvements, and support for newer pandoc
2510 - Fix hspace honoring ipolicy for disks (Issue 484)
2511 - Improve handling of the ``kvm_extra`` HV parameter
2512
2513
2514 Version 2.7.0 rc2
2515 -----------------
2516
2517 *(Released Fri, 24 May 2013)*
2518
2519 - ``devel/upload`` now works when ``/var/run`` on the target nodes is a
2520   symlink.
2521 - Disks added through ``gnt-instance modify`` or created through
2522   ``gnt-instance recreate-disks`` are wiped, if the
2523   ``prealloc_wipe_disks`` flag is set.
2524 - If wiping newly created disks fails, the disks are removed. Also,
2525   partial failures in creating disks through ``gnt-instance modify``
2526   triggers a cleanup of the partially-created disks.
2527 - Removing the master IP address doesn't fail if the address has been
2528   already removed.
2529 - Fix ownership of the OS log dir
2530 - Workaround missing SO_PEERCRED constant (Issue 191)
2531
2532
2533 Version 2.7.0 rc1
2534 -----------------
2535
2536 *(Released Fri, 3 May 2013)*
2537
2538 This was the first release candidate of the 2.7 series. Since beta3:
2539
2540 - Fix kvm compatibility with qemu 1.4 (Issue 389)
2541 - Documentation updates (admin guide, upgrade notes, install
2542   instructions) (Issue 372)
2543 - Fix gnt-group list nodes and instances count (Issue 436)
2544 - Fix compilation without non-mandatory libraries (Issue 441)
2545 - Fix xen-hvm hypervisor forcing nics to type 'ioemu' (Issue 247)
2546 - Make confd logging more verbose at INFO level (Issue 435)
2547 - Improve "networks" documentation in :manpage:`gnt-instance(8)`
2548 - Fix failure path for instance storage type conversion (Issue 229)
2549 - Update htools text backend documentation
2550 - Improve the renew-crypto section of :manpage:`gnt-cluster(8)`
2551 - Disable inter-cluster instance move for file-based instances, because
2552   it is dependant on instance export, which is not supported for
2553   file-based instances. (Issue 414)
2554 - Fix gnt-job crashes on non-ascii characters (Issue 427)
2555 - Fix volume group checks on non-vm-capable nodes (Issue 432)
2556
2557
2558 Version 2.7.0 beta3
2559 -------------------
2560
2561 *(Released Mon, 22 Apr 2013)*
2562
2563 This was the third beta release of the 2.7 series. Since beta2:
2564
2565 - Fix hail to verify disk instance policies on a per-disk basis (Issue 418).
2566 - Fix data loss on wrong usage of ``gnt-instance move``
2567 - Properly export errors in confd-based job queries
2568 - Add ``users-setup`` tool
2569 - Fix iallocator protocol to report 0 as a disk size for diskless
2570   instances. This avoids hail breaking when a diskless instance is
2571   present.
2572 - Fix job queue directory permission problem that made confd job queries
2573   fail. This requires running an ``ensure-dirs --full-run`` on upgrade
2574   for access to archived jobs (Issue 406).
2575 - Limit the sizes of networks supported by ``gnt-network`` to something
2576   between a ``/16`` and a ``/30`` to prevent memory bloat and crashes.
2577 - Fix bugs in instance disk template conversion
2578 - Fix GHC 7 compatibility
2579 - Fix ``burnin`` install path (Issue 426).
2580 - Allow very small disk grows (Issue 347).
2581 - Fix a ``ganeti-noded`` memory bloat introduced in 2.5, by making sure
2582   that noded doesn't import masterd code (Issue 419).
2583 - Make sure the default metavg at cluster init is the same as the vg, if
2584   unspecified (Issue 358).
2585 - Fix cleanup of partially created disks (part of Issue 416)
2586
2587
2588 Version 2.7.0 beta2
2589 -------------------
2590
2591 *(Released Tue, 2 Apr 2013)*
2592
2593 This was the second beta release of the 2.7 series. Since beta1:
2594
2595 - Networks no longer have a "type" slot, since this information was
2596   unused in Ganeti: instead of it tags should be used.
2597 - The rapi client now has a ``target_node`` option to MigrateInstance.
2598 - Fix early exit return code for hbal (Issue 386).
2599 - Fix ``gnt-instance migrate/failover -n`` (Issue 396).
2600 - Fix ``rbd showmapped`` output parsing (Issue 312).
2601 - Networks are now referenced indexed by UUID, rather than name. This
2602   will require running cfgupgrade, from 2.7.0beta1, if networks are in
2603   use.
2604 - The OS environment now includes network information.
2605 - Deleting of a network is now disallowed if any instance nic is using
2606   it, to prevent dangling references.
2607 - External storage is now documented in man pages.
2608 - The exclusive_storage flag can now only be set at nodegroup level.
2609 - Hbal can now submit an explicit priority with its jobs.
2610 - Many network related locking fixes.
2611 - Bump up the required pylint version to 0.25.1.
2612 - Fix the ``no_remember`` option in RAPI client.
2613 - Many ipolicy related tests, qa, and fixes.
2614 - Many documentation improvements and fixes.
2615 - Fix building with ``--disable-file-storage``.
2616 - Fix ``-q`` option in htools, which was broken if passed more than
2617   once.
2618 - Some haskell/python interaction improvements and fixes.
2619 - Fix iallocator in case of missing LVM storage.
2620 - Fix confd config load in case of ``--no-lvm-storage``.
2621 - The confd/query functionality is now mentioned in the security
2622   documentation.
2623
2624
2625 Version 2.7.0 beta1
2626 -------------------
2627
2628 *(Released Wed, 6 Feb 2013)*
2629
2630 This was the first beta release of the 2.7 series. All important changes
2631 are listed in the latest 2.7 entry.
2632
2633
2634 Version 2.6.2
2635 -------------
2636
2637 *(Released Fri, 21 Dec 2012)*
2638
2639 Important behaviour change: hbal won't rebalance anymore instances which
2640 have the ``auto_balance`` attribute set to false. This was the intention
2641 all along, but until now it only skipped those from the N+1 memory
2642 reservation (DRBD-specific).
2643
2644 A significant number of bug fixes in this release:
2645
2646 - Fixed disk adoption interaction with ipolicy checks.
2647 - Fixed networking issues when instances are started, stopped or
2648   migrated, by forcing the tap device's MAC prefix to "fe" (issue 217).
2649 - Fixed the warning in cluster verify for shared storage instances not
2650   being redundant.
2651 - Fixed removal of storage directory on shared file storage (issue 262).
2652 - Fixed validation of LVM volume group name in OpClusterSetParams
2653   (``gnt-cluster modify``) (issue 285).
2654 - Fixed runtime memory increases (``gnt-instance modify -m``).
2655 - Fixed live migration under Xen's ``xl`` mode.
2656 - Fixed ``gnt-instance console`` with ``xl``.
2657 - Fixed building with newer Haskell compiler/libraries.
2658 - Fixed PID file writing in Haskell daemons (confd); this prevents
2659   restart issues if confd was launched manually (outside of
2660   ``daemon-util``) while another copy of it was running
2661 - Fixed a type error when doing live migrations with KVM (issue 297) and
2662   the error messages for failing migrations have been improved.
2663 - Fixed opcode validation for the out-of-band commands (``gnt-node
2664   power``).
2665 - Fixed a type error when unsetting OS hypervisor parameters (issue
2666   311); now it's possible to unset all OS-specific hypervisor
2667   parameters.
2668 - Fixed the ``dry-run`` mode for many operations: verification of
2669   results was over-zealous but didn't take into account the ``dry-run``
2670   operation, resulting in "wrong" failures.
2671 - Fixed bash completion in ``gnt-job list`` when the job queue has
2672   hundreds of entries; especially with older ``bash`` versions, this
2673   results in significant CPU usage.
2674
2675 And lastly, a few other improvements have been made:
2676
2677 - Added option to force master-failover without voting (issue 282).
2678 - Clarified error message on lock conflict (issue 287).
2679 - Logging of newly submitted jobs has been improved (issue 290).
2680 - Hostname checks have been made uniform between instance rename and
2681   create (issue 291).
2682 - The ``--submit`` option is now supported by ``gnt-debug delay``.
2683 - Shutting down the master daemon by sending SIGTERM now stops it from
2684   processing jobs waiting for locks; instead, those jobs will be started
2685   once again after the master daemon is started the next time (issue
2686   296).
2687 - Support for Xen's ``xl`` program has been improved (besides the fixes
2688   above).
2689 - Reduced logging noise in the Haskell confd daemon (only show one log
2690   entry for each config reload, instead of two).
2691 - Several man page updates and typo fixes.
2692
2693
2694 Version 2.6.1
2695 -------------
2696
2697 *(Released Fri, 12 Oct 2012)*
2698
2699 A small bugfix release. Among the bugs fixed:
2700
2701 - Fixed double use of ``PRIORITY_OPT`` in ``gnt-node migrate``, that
2702   made the command unusable.
2703 - Commands that issue many jobs don't fail anymore just because some jobs
2704   take so long that other jobs are archived.
2705 - Failures during ``gnt-instance reinstall`` are reflected by the exit
2706   status.
2707 - Issue 190 fixed. Check for DRBD in cluster verify is enabled only when
2708   DRBD is enabled.
2709 - When ``always_failover`` is set, ``--allow-failover`` is not required
2710   in migrate commands anymore.
2711 - ``bash_completion`` works even if extglob is disabled.
2712 - Fixed bug with locks that made failover for RDB-based instances fail.
2713 - Fixed bug in non-mirrored instance allocation that made Ganeti choose
2714   a random node instead of one based on the allocator metric.
2715 - Support for newer versions of pylint and pep8.
2716 - Hail doesn't fail anymore when trying to add an instance of type
2717   ``file``, ``sharedfile`` or ``rbd``.
2718 - Added new Makefile target to rebuild the whole distribution, so that
2719   all files are included.
2720
2721
2722 Version 2.6.0
2723 -------------
2724
2725 *(Released Fri, 27 Jul 2012)*
2726
2727
2728 .. attention:: The ``LUXI`` protocol has been made more consistent
2729    regarding its handling of command arguments. This, however, leads to
2730    incompatibility issues with previous versions. Please ensure that you
2731    restart Ganeti daemons soon after the upgrade, otherwise most
2732    ``LUXI`` calls (job submission, setting/resetting the drain flag,
2733    pausing/resuming the watcher, cancelling and archiving jobs, querying
2734    the cluster configuration) will fail.
2735
2736
2737 New features
2738 ~~~~~~~~~~~~
2739
2740 Instance run status
2741 +++++++++++++++++++
2742
2743 The current ``admin_up`` field, which used to denote whether an instance
2744 should be running or not, has been removed. Instead, ``admin_state`` is
2745 introduced, with 3 possible values -- ``up``, ``down`` and ``offline``.
2746
2747 The rational behind this is that an instance being “down” can have
2748 different meanings:
2749
2750 - it could be down during a reboot
2751 - it could be temporarily be down for a reinstall
2752 - or it could be down because it is deprecated and kept just for its
2753   disk
2754
2755 The previous Boolean state was making it difficult to do capacity
2756 calculations: should Ganeti reserve memory for a down instance? Now, the
2757 tri-state field makes it clear:
2758
2759 - in ``up`` and ``down`` state, all resources are reserved for the
2760   instance, and it can be at any time brought up if it is down
2761 - in ``offline`` state, only disk space is reserved for it, but not
2762   memory or CPUs
2763
2764 The field can have an extra use: since the transition between ``up`` and
2765 ``down`` and vice-versus is done via ``gnt-instance start/stop``, but
2766 transition between ``offline`` and ``down`` is done via ``gnt-instance
2767 modify``, it is possible to given different rights to users. For
2768 example, owners of an instance could be allowed to start/stop it, but
2769 not transition it out of the offline state.
2770
2771 Instance policies and specs
2772 +++++++++++++++++++++++++++
2773
2774 In previous Ganeti versions, an instance creation request was not
2775 limited on the minimum size and on the maximum size just by the cluster
2776 resources. As such, any policy could be implemented only in third-party
2777 clients (RAPI clients, or shell wrappers over ``gnt-*``
2778 tools). Furthermore, calculating cluster capacity via ``hspace`` again
2779 required external input with regards to instance sizes.
2780
2781 In order to improve these workflows and to allow for example better
2782 per-node group differentiation, we introduced instance specs, which
2783 allow declaring:
2784
2785 - minimum instance disk size, disk count, memory size, cpu count
2786 - maximum values for the above metrics
2787 - and “standard” values (used in ``hspace`` to calculate the standard
2788   sized instances)
2789
2790 The minimum/maximum values can be also customised at node-group level,
2791 for example allowing more powerful hardware to support bigger instance
2792 memory sizes.
2793
2794 Beside the instance specs, there are a few other settings belonging to
2795 the instance policy framework. It is possible now to customise, per
2796 cluster and node-group:
2797
2798 - the list of allowed disk templates
2799 - the maximum ratio of VCPUs per PCPUs (to control CPU oversubscription)
2800 - the maximum ratio of instance to spindles (see below for more
2801   information) for local storage
2802
2803 All these together should allow all tools that talk to Ganeti to know
2804 what are the ranges of allowed values for instances and the
2805 over-subscription that is allowed.
2806
2807 For the VCPU/PCPU ratio, we already have the VCPU configuration from the
2808 instance configuration, and the physical CPU configuration from the
2809 node. For the spindle ratios however, we didn't track before these
2810 values, so new parameters have been added:
2811
2812 - a new node parameter ``spindle_count``, defaults to 1, customisable at
2813   node group or node level
2814 - at new backend parameter (for instances), ``spindle_use`` defaults to 1
2815
2816 Note that spindles in this context doesn't need to mean actual
2817 mechanical hard-drives; it's just a relative number for both the node
2818 I/O capacity and instance I/O consumption.
2819
2820 Instance migration behaviour
2821 ++++++++++++++++++++++++++++
2822
2823 While live-migration is in general desirable over failover, it is
2824 possible that for some workloads it is actually worse, due to the
2825 variable time of the “suspend” phase during live migration.
2826
2827 To allow the tools to work consistently over such instances (without
2828 having to hard-code instance names), a new backend parameter
2829 ``always_failover`` has been added to control the migration/failover
2830 behaviour. When set to True, all migration requests for an instance will
2831 instead fall-back to failover.
2832
2833 Instance memory ballooning
2834 ++++++++++++++++++++++++++
2835
2836 Initial support for memory ballooning has been added. The memory for an
2837 instance is no longer fixed (backend parameter ``memory``), but instead
2838 can vary between minimum and maximum values (backend parameters
2839 ``minmem`` and ``maxmem``). Currently we only change an instance's
2840 memory when:
2841
2842 - live migrating or failing over and instance and the target node
2843   doesn't have enough memory
2844 - user requests changing the memory via ``gnt-instance modify
2845   --runtime-memory``
2846
2847 Instance CPU pinning
2848 ++++++++++++++++++++
2849
2850 In order to control the use of specific CPUs by instance, support for
2851 controlling CPU pinning has been added for the Xen, HVM and LXC
2852 hypervisors. This is controlled by a new hypervisor parameter
2853 ``cpu_mask``; details about possible values for this are in the
2854 :manpage:`gnt-instance(8)`. Note that use of the most specific (precise
2855 VCPU-to-CPU mapping) form will work well only when all nodes in your
2856 cluster have the same amount of CPUs.
2857
2858 Disk parameters
2859 +++++++++++++++
2860
2861 Another area in which Ganeti was not customisable were the parameters
2862 used for storage configuration, e.g. how many stripes to use for LVM,
2863 DRBD resync configuration, etc.
2864
2865 To improve this area, we've added disks parameters, which are
2866 customisable at cluster and node group level, and which allow to
2867 specify various parameters for disks (DRBD has the most parameters
2868 currently), for example:
2869
2870 - DRBD resync algorithm and parameters (e.g. speed)
2871 - the default VG for meta-data volumes for DRBD
2872 - number of stripes for LVM (plain disk template)
2873 - the RBD pool
2874
2875 These parameters can be modified via ``gnt-cluster modify -D …`` and
2876 ``gnt-group modify -D …``, and are used at either instance creation (in
2877 case of LVM stripes, for example) or at disk “activation” time
2878 (e.g. resync speed).
2879
2880 Rados block device support
2881 ++++++++++++++++++++++++++
2882
2883 A Rados (http://ceph.com/wiki/Rbd) storage backend has been added,
2884 denoted by the ``rbd`` disk template type. This is considered
2885 experimental, feedback is welcome. For details on configuring it, see
2886 the :doc:`install` document and the :manpage:`gnt-cluster(8)` man page.
2887
2888 Master IP setup
2889 +++++++++++++++
2890
2891 The existing master IP functionality works well only in simple setups (a
2892 single network shared by all nodes); however, if nodes belong to
2893 different networks, then the ``/32`` setup and lack of routing
2894 information is not enough.
2895
2896 To allow the master IP to function well in more complex cases, the
2897 system was reworked as follows:
2898
2899 - a master IP netmask setting has been added
2900 - the master IP activation/turn-down code was moved from the node daemon
2901   to a separate script
2902 - whether to run the Ganeti-supplied master IP script or a user-supplied
2903   on is a ``gnt-cluster init`` setting
2904
2905 Details about the location of the standard and custom setup scripts are
2906 in the man page :manpage:`gnt-cluster(8)`; for information about the
2907 setup script protocol, look at the Ganeti-supplied script.
2908
2909 SPICE support
2910 +++++++++++++
2911
2912 The `SPICE <http://www.linux-kvm.org/page/SPICE>`_ support has been
2913 improved.
2914
2915 It is now possible to use TLS-protected connections, and when renewing
2916 or changing the cluster certificates (via ``gnt-cluster renew-crypto``,
2917 it is now possible to specify spice or spice CA certificates. Also, it
2918 is possible to configure a password for SPICE sessions via the
2919 hypervisor parameter ``spice_password_file``.
2920
2921 There are also new parameters to control the compression and streaming
2922 options (e.g. ``spice_image_compression``, ``spice_streaming_video``,
2923 etc.). For details, see the man page :manpage:`gnt-instance(8)` and look
2924 for the spice parameters.
2925
2926 Lastly, it is now possible to see the SPICE connection information via
2927 ``gnt-instance console``.
2928
2929 OVF converter
2930 +++++++++++++
2931
2932 A new tool (``tools/ovfconverter``) has been added that supports
2933 conversion between Ganeti and the `Open Virtualization Format
2934 <http://en.wikipedia.org/wiki/Open_Virtualization_Format>`_ (both to and
2935 from).
2936
2937 This relies on the ``qemu-img`` tool to convert the disk formats, so the
2938 actual compatibility with other virtualization solutions depends on it.
2939
2940 Confd daemon changes
2941 ++++++++++++++++++++
2942
2943 The configuration query daemon (``ganeti-confd``) is now optional, and
2944 has been rewritten in Haskell; whether to use the daemon at all, use the
2945 Python (default) or the Haskell version is selectable at configure time
2946 via the ``--enable-confd`` parameter, which can take one of the
2947 ``haskell``, ``python`` or ``no`` values. If not used, disabling the
2948 daemon will result in a smaller footprint; for larger systems, we
2949 welcome feedback on the Haskell version which might become the default
2950 in future versions.
2951
2952 If you want to use ``gnt-node list-drbd`` you need to have the Haskell
2953 daemon running. The Python version doesn't implement the new call.
2954
2955
2956 User interface changes
2957 ~~~~~~~~~~~~~~~~~~~~~~
2958
2959 We have replaced the ``--disks`` option of ``gnt-instance
2960 replace-disks`` with a more flexible ``--disk`` option, which allows
2961 adding and removing disks at arbitrary indices (Issue 188). Furthermore,
2962 disk size and mode can be changed upon recreation (via ``gnt-instance
2963 recreate-disks``, which accepts the same ``--disk`` option).
2964
2965 As many people are used to a ``show`` command, we have added that as an
2966 alias to ``info`` on all ``gnt-*`` commands.
2967
2968 The ``gnt-instance grow-disk`` command has a new mode in which it can
2969 accept the target size of the disk, instead of the delta; this can be
2970 more safe since two runs in absolute mode will be idempotent, and
2971 sometimes it's also easier to specify the desired size directly.
2972
2973 Also the handling of instances with regard to offline secondaries has
2974 been improved. Instance operations should not fail because one of it's
2975 secondary nodes is offline, even though it's safe to proceed.
2976
2977 A new command ``list-drbd`` has been added to the ``gnt-node`` script to
2978 support debugging of DRBD issues on nodes. It provides a mapping of DRBD
2979 minors to instance name.
2980
2981 API changes
2982 ~~~~~~~~~~~
2983
2984 RAPI coverage has improved, with (for example) new resources for
2985 recreate-disks, node power-cycle, etc.
2986
2987 Compatibility
2988 ~~~~~~~~~~~~~
2989
2990 There is partial support for ``xl`` in the Xen hypervisor; feedback is
2991 welcome.
2992
2993 Python 2.7 is better supported, and after Ganeti 2.6 we will investigate
2994 whether to still support Python 2.4 or move to Python 2.6 as minimum
2995 required version.
2996
2997 Support for Fedora has been slightly improved; the provided example
2998 init.d script should work better on it and the INSTALL file should
2999 document the needed dependencies.
3000
3001 Internal changes
3002 ~~~~~~~~~~~~~~~~
3003
3004 The deprecated ``QueryLocks`` LUXI request has been removed. Use
3005 ``Query(what=QR_LOCK, ...)`` instead.
3006
3007 The LUXI requests :pyeval:`luxi.REQ_QUERY_JOBS`,
3008 :pyeval:`luxi.REQ_QUERY_INSTANCES`, :pyeval:`luxi.REQ_QUERY_NODES`,
3009 :pyeval:`luxi.REQ_QUERY_GROUPS`, :pyeval:`luxi.REQ_QUERY_EXPORTS` and
3010 :pyeval:`luxi.REQ_QUERY_TAGS` are deprecated and will be removed in a
3011 future version. :pyeval:`luxi.REQ_QUERY` should be used instead.
3012
3013 RAPI client: ``CertificateError`` now derives from
3014 ``GanetiApiError``. This should make it more easy to handle Ganeti
3015 errors.
3016
3017 Deprecation warnings due to PyCrypto/paramiko import in
3018 ``tools/setup-ssh`` have been silenced, as usually they are safe; please
3019 make sure to run an up-to-date paramiko version, if you use this tool.
3020
3021 The QA scripts now depend on Python 2.5 or above (the main code base
3022 still works with Python 2.4).
3023
3024 The configuration file (``config.data``) is now written without
3025 indentation for performance reasons; if you want to edit it, it can be
3026 re-formatted via ``tools/fmtjson``.
3027
3028 A number of bugs has been fixed in the cluster merge tool.
3029
3030 ``x509`` certification verification (used in import-export) has been
3031 changed to allow the same clock skew as permitted by the cluster
3032 verification. This will remove some rare but hard to diagnose errors in
3033 import-export.
3034
3035
3036 Version 2.6.0 rc4
3037 -----------------
3038
3039 *(Released Thu, 19 Jul 2012)*
3040
3041 Very few changes from rc4 to the final release, only bugfixes:
3042
3043 - integrated fixes from release 2.5.2 (fix general boot flag for KVM
3044   instance, fix CDROM booting for KVM instances)
3045 - fixed node group modification of node parameters
3046 - fixed issue in LUClusterVerifyGroup with multi-group clusters
3047 - fixed generation of bash completion to ensure a stable ordering
3048 - fixed a few typos
3049
3050
3051 Version 2.6.0 rc3
3052 -----------------
3053
3054 *(Released Fri, 13 Jul 2012)*
3055
3056 Third release candidate for 2.6. The following changes were done from
3057 rc3 to rc4:
3058
3059 - Fixed ``UpgradeConfig`` w.r.t. to disk parameters on disk objects.
3060 - Fixed an inconsistency in the LUXI protocol with the provided
3061   arguments (NOT backwards compatible)
3062 - Fixed a bug with node groups ipolicy where ``min`` was greater than
3063   the cluster ``std`` value
3064 - Implemented a new ``gnt-node list-drbd`` call to list DRBD minors for
3065   easier instance debugging on nodes (requires ``hconfd`` to work)
3066
3067
3068 Version 2.6.0 rc2
3069 -----------------
3070
3071 *(Released Tue, 03 Jul 2012)*
3072
3073 Second release candidate for 2.6. The following changes were done from
3074 rc2 to rc3:
3075
3076 - Fixed ``gnt-cluster verify`` regarding ``master-ip-script`` on non
3077   master candidates
3078 - Fixed a RAPI regression on missing beparams/memory
3079 - Fixed redistribution of files on offline nodes
3080 - Added possibility to run activate-disks even though secondaries are
3081   offline. With this change it relaxes also the strictness on some other
3082   commands which use activate disks internally:
3083   * ``gnt-instance start|reboot|rename|backup|export``
3084 - Made it possible to remove safely an instance if its secondaries are
3085   offline
3086 - Made it possible to reinstall even though secondaries are offline
3087
3088
3089 Version 2.6.0 rc1
3090 -----------------
3091
3092 *(Released Mon, 25 Jun 2012)*
3093
3094 First release candidate for 2.6. The following changes were done from
3095 rc1 to rc2:
3096
3097 - Fixed bugs with disk parameters and ``rbd`` templates as well as
3098   ``instance_os_add``
3099 - Made ``gnt-instance modify`` more consistent regarding new NIC/Disk
3100   behaviour. It supports now the modify operation
3101 - ``hcheck`` implemented to analyze cluster health and possibility of
3102   improving health by rebalance
3103 - ``hbal`` has been improved in dealing with split instances
3104
3105
3106 Version 2.6.0 beta2
3107 -------------------
3108
3109 *(Released Mon, 11 Jun 2012)*
3110
3111 Second beta release of 2.6. The following changes were done from beta2
3112 to rc1:
3113
3114 - Fixed ``daemon-util`` with non-root user models
3115 - Fixed creation of plain instances with ``--no-wait-for-sync``
3116 - Fix wrong iv_names when running ``cfgupgrade``
3117 - Export more information in RAPI group queries
3118 - Fixed bug when changing instance network interfaces
3119 - Extended burnin to do NIC changes
3120 - query: Added ``<``, ``>``, ``<=``, ``>=`` comparison operators
3121 - Changed default for DRBD barriers
3122 - Fixed DRBD error reporting for syncer rate
3123 - Verify the options on disk parameters
3124
3125 And of course various fixes to documentation and improved unittests and
3126 QA.
3127
3128
3129 Version 2.6.0 beta1
3130 -------------------
3131
3132 *(Released Wed, 23 May 2012)*
3133
3134 First beta release of 2.6. The following changes were done from beta1 to
3135 beta2:
3136
3137 - integrated patch for distributions without ``start-stop-daemon``
3138 - adapted example init.d script to work on Fedora
3139 - fixed log handling in Haskell daemons
3140 - adapted checks in the watcher for pycurl linked against libnss
3141 - add partial support for ``xl`` instead of ``xm`` for Xen
3142 - fixed a type issue in cluster verification
3143 - fixed ssconf handling in the Haskell code (was breaking confd in IPv6
3144   clusters)
3145
3146 Plus integrated fixes from the 2.5 branch:
3147
3148 - fixed ``kvm-ifup`` to use ``/bin/bash``
3149 - fixed parallel build failures
3150 - KVM live migration when using a custom keymap
3151
3152
3153 Version 2.5.2
3154 -------------
3155
3156 *(Released Tue, 24 Jul 2012)*
3157
3158 A small bugfix release, with no new features:
3159
3160 - fixed bash-isms in kvm-ifup, for compatibility with systems which use a
3161   different default shell (e.g. Debian, Ubuntu)
3162 - fixed KVM startup and live migration with a custom keymap (fixes Issue
3163   243 and Debian bug #650664)
3164 - fixed compatibility with KVM versions that don't support multiple boot
3165   devices (fixes Issue 230 and Debian bug #624256)
3166
3167 Additionally, a few fixes were done to the build system (fixed parallel
3168 build failures) and to the unittests (fixed race condition in test for
3169 FileID functions, and the default enable/disable mode for QA test is now
3170 customisable).
3171
3172
3173 Version 2.5.1
3174 -------------
3175
3176 *(Released Fri, 11 May 2012)*
3177
3178 A small bugfix release.
3179
3180 The main issues solved are on the topic of compatibility with newer LVM
3181 releases:
3182
3183 - fixed parsing of ``lv_attr`` field
3184 - adapted to new ``vgreduce --removemissing`` behaviour where sometimes
3185   the ``--force`` flag is needed
3186
3187 Also on the topic of compatibility, ``tools/lvmstrap`` has been changed
3188 to accept kernel 3.x too (was hardcoded to 2.6.*).
3189
3190 A regression present in 2.5.0 that broke handling (in the gnt-* scripts)
3191 of hook results and that also made display of other errors suboptimal
3192 was fixed; the code behaves now like 2.4 and earlier.
3193
3194 Another change in 2.5, the cleanup of the OS scripts environment, is too
3195 aggressive: it removed even the ``PATH`` variable, which requires the OS
3196 scripts to *always* need to export it. Since this is a bit too strict,
3197 we now export a minimal PATH, the same that we export for hooks.
3198
3199 The fix for issue 201 (Preserve bridge MTU in KVM ifup script) was
3200 integrated into this release.
3201
3202 Finally, a few other miscellaneous changes were done (no new features,
3203 just small improvements):
3204
3205 - Fix ``gnt-group --help`` display
3206 - Fix hardcoded Xen kernel path
3207 - Fix grow-disk handling of invalid units
3208 - Update synopsis for ``gnt-cluster repair-disk-sizes``
3209 - Accept both PUT and POST in noded (makes future upgrade to 2.6 easier)
3210
3211
3212 Version 2.5.0
3213 -------------
3214
3215 *(Released Thu, 12 Apr 2012)*
3216
3217 Incompatible/important changes and bugfixes
3218 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
3219
3220 - The default of the ``/2/instances/[instance_name]/rename`` RAPI
3221   resource's ``ip_check`` parameter changed from ``True`` to ``False``
3222   to match the underlying LUXI interface.
3223 - The ``/2/nodes/[node_name]/evacuate`` RAPI resource was changed to use
3224   body parameters, see :doc:`RAPI documentation <rapi>`. The server does
3225   not maintain backwards-compatibility as the underlying operation
3226   changed in an incompatible way. The RAPI client can talk to old
3227   servers, but it needs to be told so as the return value changed.
3228 - When creating file-based instances via RAPI, the ``file_driver``
3229   parameter no longer defaults to ``loop`` and must be specified.
3230 - The deprecated ``bridge`` NIC parameter is no longer supported. Use
3231   ``link`` instead.
3232 - Support for the undocumented and deprecated RAPI instance creation
3233   request format version 0 has been dropped. Use version 1, supported
3234   since Ganeti 2.1.3 and :doc:`documented <rapi>`, instead.
3235 - Pyparsing 1.4.6 or above is required, see :doc:`installation
3236   documentation <install>`.
3237 - The "cluster-verify" hooks are now executed per group by the
3238   ``OP_CLUSTER_VERIFY_GROUP`` opcode. This maintains the same behavior
3239   if you just run ``gnt-cluster verify``, which generates one opcode per
3240   group.
3241 - The environment as passed to the OS scripts is cleared, and thus no
3242   environment variables defined in the node daemon's environment will be
3243   inherited by the scripts.
3244 - The :doc:`iallocator <iallocator>` mode ``multi-evacuate`` has been
3245   deprecated.
3246 - :doc:`New iallocator modes <design-multi-reloc>` have been added to
3247   support operations involving multiple node groups.
3248 - Offline nodes are ignored when failing over an instance.
3249 - Support for KVM version 1.0, which changed the version reporting format
3250   from 3 to 2 digits.
3251 - TCP/IP ports used by DRBD disks are returned to a pool upon instance
3252   removal.
3253 - ``Makefile`` is now compatible with Automake 1.11.2
3254 - Includes all bugfixes made in the 2.4 series
3255
3256 New features
3257 ~~~~~~~~~~~~
3258
3259 - The ganeti-htools project has been merged into the ganeti-core source
3260   tree and will be built as part of Ganeti (see :doc:`install-quick`).
3261 - Implemented support for :doc:`shared storage <design-shared-storage>`.
3262 - Add support for disks larger than 2 TB in ``lvmstrap`` by supporting
3263   GPT-style partition tables (requires `parted
3264   <http://www.gnu.org/s/parted/>`_).
3265 - Added support for floppy drive and 2nd CD-ROM drive in KVM hypervisor.
3266 - Allowed adding tags on instance creation.
3267 - Export instance tags to hooks (``INSTANCE_TAGS``, see :doc:`hooks`)
3268 - Allow instances to be started in a paused state, enabling the user to
3269   see the complete console output on boot using the console.
3270 - Added new hypervisor flag to control default reboot behaviour
3271   (``reboot_behavior``).
3272 - Added support for KVM keymaps (hypervisor parameter ``keymap``).
3273 - Improved out-of-band management support:
3274
3275   - Added ``gnt-node health`` command reporting the health status of
3276     nodes.
3277   - Added ``gnt-node power`` command to manage power status of nodes.
3278   - Added command for emergency power-off (EPO), ``gnt-cluster epo``.
3279
3280 - Instance migration can fall back to failover if instance is not
3281   running.
3282 - Filters can be used when listing nodes, instances, groups and locks;
3283   see :manpage:`ganeti(7)` manpage.
3284 - Added post-execution status as variables to :doc:`hooks <hooks>`
3285   environment.
3286 - Instance tags are exported/imported together with the instance.
3287 - When given an explicit job ID, ``gnt-job info`` will work for archived
3288   jobs.
3289 - Jobs can define dependencies on other jobs (not yet supported via
3290   RAPI or command line, but used by internal commands and usable via
3291   LUXI).
3292
3293   - Lock monitor (``gnt-debug locks``) shows jobs waiting for
3294     dependencies.
3295
3296 - Instance failover is now available as a RAPI resource
3297   (``/2/instances/[instance_name]/failover``).
3298 - ``gnt-instance info`` defaults to static information if primary node
3299   is offline.
3300 - Opcodes have a new ``comment`` attribute.
3301 - Added basic SPICE support to KVM hypervisor.
3302 - ``tools/ganeti-listrunner`` allows passing of arguments to executable.
3303
3304 Node group improvements
3305 ~~~~~~~~~~~~~~~~~~~~~~~
3306
3307 - ``gnt-cluster verify`` has been modified to check groups separately,
3308   thereby improving performance.
3309 - Node group support has been added to ``gnt-cluster verify-disks``,
3310   which now operates per node group.
3311 - Watcher has been changed to work better with node groups.
3312
3313   - One process and state file per node group.
3314   - Slow watcher in one group doesn't block other group's watcher.
3315
3316 - Added new command, ``gnt-group evacuate``, to move all instances in a
3317   node group to other groups.
3318 - Added ``gnt-instance change-group`` to move an instance to another
3319   node group.
3320 - ``gnt-cluster command`` and ``gnt-cluster copyfile`` now support
3321   per-group operations.
3322 - Node groups can be tagged.
3323 - Some operations switch from an exclusive to a shared lock as soon as
3324   possible.
3325 - Instance's primary and secondary nodes' groups are now available as
3326   query fields (``pnode.group``, ``pnode.group.uuid``, ``snodes.group``
3327   and ``snodes.group.uuid``).
3328
3329 Misc
3330 ~~~~
3331
3332 - Numerous updates to documentation and manpages.
3333
3334   - :doc:`RAPI <rapi>` documentation now has detailed parameter
3335     descriptions.
3336   - Some opcode/job results are now also documented, see :doc:`RAPI
3337     <rapi>`.
3338
3339 - A lockset's internal lock is now also visible in lock monitor.
3340 - Log messages from job queue workers now contain information about the
3341   opcode they're processing.
3342 - ``gnt-instance console`` no longer requires the instance lock.
3343 - A short delay when waiting for job changes reduces the number of LUXI
3344   requests significantly.
3345 - DRBD metadata volumes are overwritten with zeros during disk creation.
3346 - Out-of-band commands no longer acquire the cluster lock in exclusive
3347   mode.
3348 - ``devel/upload`` now uses correct permissions for directories.
3349
3350
3351 Version 2.5.0 rc6
3352 -----------------
3353
3354 *(Released Fri, 23 Mar 2012)*
3355
3356 This was the sixth release candidate of the 2.5 series.
3357
3358
3359 Version 2.5.0 rc5
3360 -----------------
3361
3362 *(Released Mon, 9 Jan 2012)*
3363
3364 This was the fifth release candidate of the 2.5 series.
3365
3366
3367 Version 2.5.0 rc4
3368 -----------------
3369
3370 *(Released Thu, 27 Oct 2011)*
3371
3372 This was the fourth release candidate of the 2.5 series.
3373
3374
3375 Version 2.5.0 rc3
3376 -----------------
3377
3378 *(Released Wed, 26 Oct 2011)*
3379
3380 This was the third release candidate of the 2.5 series.
3381
3382
3383 Version 2.5.0 rc2
3384 -----------------
3385
3386 *(Released Tue, 18 Oct 2011)*
3387
3388 This was the second release candidate of the 2.5 series.
3389
3390
3391 Version 2.5.0 rc1
3392 -----------------
3393
3394 *(Released Tue, 4 Oct 2011)*
3395
3396 This was the first release candidate of the 2.5 series.
3397
3398
3399 Version 2.5.0 beta3
3400 -------------------
3401
3402 *(Released Wed, 31 Aug 2011)*
3403
3404 This was the third beta release of the 2.5 series.
3405
3406
3407 Version 2.5.0 beta2
3408 -------------------
3409
3410 *(Released Mon, 22 Aug 2011)*
3411
3412 This was the second beta release of the 2.5 series.
3413
3414
3415 Version 2.5.0 beta1
3416 -------------------
3417
3418 *(Released Fri, 12 Aug 2011)*
3419
3420 This was the first beta release of the 2.5 series.
3421
3422
3423 Version 2.4.5
3424 -------------
3425
3426 *(Released Thu, 27 Oct 2011)*
3427
3428 - Fixed bug when parsing command line parameter values ending in
3429   backslash
3430 - Fixed assertion error after unclean master shutdown
3431 - Disable HTTP client pool for RPC, significantly reducing memory usage
3432   of master daemon
3433 - Fixed queue archive creation with wrong permissions
3434
3435
3436 Version 2.4.4
3437 -------------
3438
3439 *(Released Tue, 23 Aug 2011)*
3440
3441 Small bug-fixes:
3442
3443 - Fixed documentation for importing with ``--src-dir`` option
3444 - Fixed a bug in ``ensure-dirs`` with queue/archive permissions
3445 - Fixed a parsing issue with DRBD 8.3.11 in the Linux kernel
3446
3447
3448 Version 2.4.3
3449 -------------
3450
3451 *(Released Fri, 5 Aug 2011)*
3452
3453 Many bug-fixes and a few small features:
3454
3455 - Fixed argument order in ``ReserveLV`` and ``ReserveMAC`` which caused
3456   issues when you tried to add an instance with two MAC addresses in one
3457   request
3458 - KVM: fixed per-instance stored UID value
3459 - KVM: configure bridged NICs at migration start
3460 - KVM: Fix a bug where instance will not start with never KVM versions
3461   (>= 0.14)
3462 - Added OS search path to ``gnt-cluster info``
3463 - Fixed an issue with ``file_storage_dir`` where you were forced to
3464   provide an absolute path, but the documentation states it is a
3465   relative path, the documentation was right
3466 - Added a new parameter to instance stop/start called ``--no-remember``
3467   that will make the state change to not be remembered
3468 - Implemented ``no_remember`` at RAPI level
3469 - Improved the documentation
3470 - Node evacuation: don't call IAllocator if node is already empty
3471 - Fixed bug in DRBD8 replace disks on current nodes
3472 - Fixed bug in recreate-disks for DRBD instances
3473 - Moved assertion checking locks in ``gnt-instance replace-disks``
3474   causing it to abort with not owning the right locks for some situation
3475 - Job queue: Fixed potential race condition when cancelling queued jobs
3476 - Fixed off-by-one bug in job serial generation
3477 - ``gnt-node volumes``: Fix instance names
3478 - Fixed aliases in bash completion
3479 - Fixed a bug in reopening log files after being sent a SIGHUP
3480 - Added a flag to burnin to allow specifying VCPU count
3481 - Bugfixes to non-root Ganeti configuration
3482
3483
3484 Version 2.4.2
3485 -------------
3486
3487 *(Released Thu, 12 May 2011)*
3488
3489 Many bug-fixes and a few new small features:
3490
3491 - Fixed a bug related to log opening failures
3492 - Fixed a bug in instance listing with orphan instances
3493 - Fixed a bug which prevented resetting the cluster-level node parameter
3494   ``oob_program`` to the default
3495 - Many fixes related to the ``cluster-merge`` tool
3496 - Fixed a race condition in the lock monitor, which caused failures
3497   during (at least) creation of many instances in parallel
3498 - Improved output for gnt-job info
3499 - Removed the quiet flag on some ssh calls which prevented debugging
3500   failures
3501 - Improved the N+1 failure messages in cluster verify by actually
3502   showing the memory values (needed and available)
3503 - Increased lock attempt timeouts so that when executing long operations
3504   (e.g. DRBD replace-disks) other jobs do not enter 'blocking acquire'
3505   too early and thus prevent the use of the 'fair' mechanism
3506 - Changed instance query data (``gnt-instance info``) to not acquire
3507   locks unless needed, thus allowing its use on locked instance if only
3508   static information is asked for
3509 - Improved behaviour with filesystems that do not support rename on an
3510   opened file
3511 - Fixed the behaviour of ``prealloc_wipe_disks`` cluster parameter which
3512   kept locks on all nodes during the wipe, which is unneeded
3513 - Fixed ``gnt-watcher`` handling of errors during hooks execution
3514 - Fixed bug in ``prealloc_wipe_disks`` with small disk sizes (less than
3515   10GiB) which caused the wipe to fail right at the end in some cases
3516 - Fixed master IP activation when doing master failover with no-voting
3517 - Fixed bug in ``gnt-node add --readd`` which allowed the re-adding of
3518   the master node itself
3519 - Fixed potential data-loss in under disk full conditions, where Ganeti
3520   wouldn't check correctly the return code and would consider
3521   partially-written files 'correct'
3522 - Fixed bug related to multiple VGs and DRBD disk replacing
3523 - Added new disk parameter ``metavg`` that allows placement of the meta
3524   device for DRBD in a different volume group
3525 - Fixed error handling in the node daemon when the system libc doesn't
3526   have major number 6 (i.e. if ``libc.so.6`` is not the actual libc)
3527 - Fixed lock release during replace-disks, which kept cluster-wide locks
3528   when doing disk replaces with an iallocator script
3529 - Added check for missing bridges in cluster verify
3530 - Handle EPIPE errors while writing to the terminal better, so that
3531   piping the output to e.g. ``less`` doesn't cause a backtrace
3532 - Fixed rare case where a ^C during Luxi calls could have been
3533   interpreted as server errors, instead of simply terminating
3534 - Fixed a race condition in LUGroupAssignNodes (``gnt-group
3535   assign-nodes``)
3536 - Added a few more parameters to the KVM hypervisor, allowing a second
3537   CDROM, custom disk type for CDROMs and a floppy image
3538 - Removed redundant message in instance rename when the name is given
3539   already as a FQDN
3540 - Added option to ``gnt-instance recreate-disks`` to allow creating the
3541   disks on new nodes, allowing recreation when the original instance
3542   nodes are completely gone
3543 - Added option when converting disk templates to DRBD to skip waiting
3544   for the resync, in order to make the instance available sooner
3545 - Added two new variables to the OS scripts environment (containing the
3546   instance's nodes)
3547 - Made the root_path and optional parameter for the xen-pvm hypervisor,
3548   to allow use of ``pvgrub`` as bootloader
3549 - Changed the instance memory modifications to only check out-of-memory
3550   conditions on memory increases, and turned the secondary node warnings
3551   into errors (they can still be overridden via ``--force``)
3552 - Fixed the handling of a corner case when the Python installation gets
3553   corrupted (e.g. a bad disk) while ganeti-noded is running and we try
3554   to execute a command that doesn't exist
3555 - Fixed a bug in ``gnt-instance move`` (LUInstanceMove) when the primary
3556   node of the instance returned failures during instance shutdown; this
3557   adds the option ``--ignore-consistency`` to gnt-instance move
3558
3559 And as usual, various improvements to the error messages, documentation
3560 and man pages.
3561
3562
3563 Version 2.4.1
3564 -------------
3565
3566 *(Released Wed, 09 Mar 2011)*
3567
3568 Emergency bug-fix release. ``tools/cfgupgrade`` was broken and overwrote
3569 the RAPI users file if run twice (even with ``--dry-run``).
3570
3571 The release fixes that bug (nothing else changed).
3572
3573
3574 Version 2.4.0
3575 -------------
3576
3577 *(Released Mon, 07 Mar 2011)*
3578
3579 Final 2.4.0 release. Just a few small fixes:
3580
3581 - Fixed RAPI node evacuate
3582 - Fixed the kvm-ifup script
3583 - Fixed internal error handling for special job cases
3584 - Updated man page to specify the escaping feature for options
3585
3586
3587 Version 2.4.0 rc3
3588 -----------------
3589
3590 *(Released Mon, 28 Feb 2011)*
3591
3592 A critical fix for the ``prealloc_wipe_disks`` feature: it is possible
3593 that this feature wiped the disks of the wrong instance, leading to loss
3594 of data.
3595
3596 Other changes:
3597
3598 - Fixed title of query field containing instance name
3599 - Expanded the glossary in the documentation
3600 - Fixed one unittest (internal issue)
3601
3602
3603 Version 2.4.0 rc2
3604 -----------------
3605
3606 *(Released Mon, 21 Feb 2011)*
3607
3608 A number of bug fixes plus just a couple functionality changes.
3609
3610 On the user-visible side, the ``gnt-* list`` command output has changed
3611 with respect to "special" field states. The current rc1 style of display
3612 can be re-enabled by passing a new ``--verbose`` (``-v``) flag, but in
3613 the default output mode special fields states are displayed as follows:
3614
3615 - Offline resource: ``*``
3616 - Unavailable/not applicable: ``-``
3617 - Data missing (RPC failure): ``?``
3618 - Unknown field: ``??``
3619
3620 Another user-visible change is the addition of ``--force-join`` to
3621 ``gnt-node add``.
3622
3623 As for bug fixes:
3624
3625 - ``tools/cluster-merge`` has seen many fixes and is now enabled again
3626 - Fixed regression in RAPI/instance reinstall where all parameters were
3627   required (instead of optional)
3628 - Fixed ``gnt-cluster repair-disk-sizes``, was broken since Ganeti 2.2
3629 - Fixed iallocator usage (offline nodes were not considered offline)
3630 - Fixed ``gnt-node list`` with respect to non-vm_capable nodes
3631 - Fixed hypervisor and OS parameter validation with respect to
3632   non-vm_capable nodes
3633 - Fixed ``gnt-cluster verify`` with respect to offline nodes (mostly
3634   cosmetic)
3635 - Fixed ``tools/listrunner`` with respect to agent-based usage
3636
3637
3638 Version 2.4.0 rc1
3639 -----------------
3640
3641 *(Released Fri,  4 Feb 2011)*
3642
3643 Many changes and fixes since the beta1 release. While there were some
3644 internal changes, the code has been mostly stabilised for the RC
3645 release.
3646
3647 Note: the dumb allocator was removed in this release, as it was not kept
3648 up-to-date with the IAllocator protocol changes. It is recommended to
3649 use the ``hail`` command from the ganeti-htools package.
3650
3651 Note: the 2.4 and up versions of Ganeti are not compatible with the
3652 0.2.x branch of ganeti-htools. You need to upgrade to
3653 ganeti-htools-0.3.0 (or later).
3654
3655 Regressions fixed from 2.3
3656 ~~~~~~~~~~~~~~~~~~~~~~~~~~
3657
3658 - Fixed the ``gnt-cluster verify-disks`` command
3659 - Made ``gnt-cluster verify-disks`` work in parallel (as opposed to
3660   serially on nodes)
3661 - Fixed disk adoption breakage
3662 - Fixed wrong headers in instance listing for field aliases
3663
3664 Other bugs fixed
3665 ~~~~~~~~~~~~~~~~
3666
3667 - Fixed corner case in KVM handling of NICs
3668 - Fixed many cases of wrong handling of non-vm_capable nodes
3669 - Fixed a bug where a missing instance symlink was not possible to
3670   recreate with any ``gnt-*`` command (now ``gnt-instance
3671   activate-disks`` does it)
3672 - Fixed the volume group name as reported by ``gnt-cluster
3673   verify-disks``
3674 - Increased timeouts for the import-export code, hopefully leading to
3675   fewer aborts due network or instance timeouts
3676 - Fixed bug in ``gnt-node list-storage``
3677 - Fixed bug where not all daemons were started on cluster
3678   initialisation, but only at the first watcher run
3679 - Fixed many bugs in the OOB implementation
3680 - Fixed watcher behaviour in presence of instances with offline
3681   secondaries
3682 - Fixed instance list output for instances running on the wrong node
3683 - a few fixes to the cluster-merge tool, but it still cannot merge
3684   multi-node groups (currently it is not recommended to use this tool)
3685
3686
3687 Improvements
3688 ~~~~~~~~~~~~
3689
3690 - Improved network configuration for the KVM hypervisor
3691 - Added e1000 as a supported NIC for Xen-HVM
3692 - Improved the lvmstrap tool to also be able to use partitions, as
3693   opposed to full disks
3694 - Improved speed of disk wiping (the cluster parameter
3695   ``prealloc_wipe_disks``, so that it has a low impact on the total time
3696   of instance creations
3697 - Added documentation for the OS parameters
3698 - Changed ``gnt-instance deactivate-disks`` so that it can work if the
3699   hypervisor is not responding
3700 - Added display of blacklisted and hidden OS information in
3701   ``gnt-cluster info``
3702 - Extended ``gnt-cluster verify`` to also validate hypervisor, backend,
3703   NIC and node parameters, which might create problems with currently
3704   invalid (but undetected) configuration files, but prevents validation
3705   failures when unrelated parameters are modified
3706 - Changed cluster initialisation to wait for the master daemon to become
3707   available
3708 - Expanded the RAPI interface:
3709
3710   - Added config redistribution resource
3711   - Added activation/deactivation of instance disks
3712   - Added export of console information
3713
3714 - Implemented log file reopening on SIGHUP, which allows using
3715   logrotate(8) for the Ganeti log files
3716 - Added a basic OOB helper script as an example
3717
3718
3719 Version 2.4.0 beta1
3720 -------------------
3721
3722 *(Released Fri, 14 Jan 2011)*
3723
3724 User-visible
3725 ~~~~~~~~~~~~
3726
3727 - Fixed timezone issues when formatting timestamps
3728 - Added support for node groups, available via ``gnt-group`` and other
3729   commands
3730 - Added out-of-band framework and management, see :doc:`design
3731   document <design-oob>`
3732 - Removed support for roman numbers from ``gnt-node list`` and
3733   ``gnt-instance list``.
3734 - Allowed modification of master network interface via ``gnt-cluster
3735   modify --master-netdev``
3736 - Accept offline secondaries while shutting down instance disks
3737 - Added ``blockdev_prefix`` parameter to Xen PVM and HVM hypervisors
3738 - Added support for multiple LVM volume groups
3739 - Avoid sorting nodes for ``gnt-node list`` if specific nodes are
3740   requested
3741 - Added commands to list available fields:
3742
3743   - ``gnt-node list-fields``
3744   - ``gnt-group list-fields``
3745   - ``gnt-instance list-fields``
3746
3747 - Updated documentation and man pages
3748
3749 Integration
3750 ~~~~~~~~~~~
3751
3752 - Moved ``rapi_users`` file into separate directory, now named
3753   ``.../ganeti/rapi/users``, ``cfgupgrade`` moves the file and creates a
3754   symlink
3755 - Added new tool for running commands on many machines,
3756   ``tools/ganeti-listrunner``
3757 - Implemented more verbose result in ``OpInstanceConsole`` opcode, also
3758   improving the ``gnt-instance console`` output
3759 - Allowed customisation of disk index separator at ``configure`` time
3760 - Export node group allocation policy to :doc:`iallocator <iallocator>`
3761 - Added support for non-partitioned md disks in ``lvmstrap``
3762 - Added script to gracefully power off KVM instances
3763 - Split ``utils`` module into smaller parts
3764 - Changed query operations to return more detailed information, e.g.
3765   whether an information is unavailable due to an offline node. To use
3766   this new functionality, the LUXI call ``Query`` must be used. Field
3767   information is now stored by the master daemon and can be retrieved
3768   using ``QueryFields``. Instances, nodes and groups can also be queried
3769   using the new opcodes ``OpQuery`` and ``OpQueryFields`` (not yet
3770   exposed via RAPI). The following commands make use of this
3771   infrastructure change:
3772
3773   - ``gnt-group list``
3774   - ``gnt-group list-fields``
3775   - ``gnt-node list``
3776   - ``gnt-node list-fields``
3777   - ``gnt-instance list``
3778   - ``gnt-instance list-fields``
3779   - ``gnt-debug locks``
3780
3781 Remote API
3782 ~~~~~~~~~~
3783
3784 - New RAPI resources (see :doc:`rapi`):
3785
3786   - ``/2/modify``
3787   - ``/2/groups``
3788   - ``/2/groups/[group_name]``
3789   - ``/2/groups/[group_name]/assign-nodes``
3790   - ``/2/groups/[group_name]/modify``
3791   - ``/2/groups/[group_name]/rename``
3792   - ``/2/instances/[instance_name]/disk/[disk_index]/grow``
3793
3794 - RAPI changes:
3795
3796   - Implemented ``no_install`` for instance creation
3797   - Implemented OS parameters for instance reinstallation, allowing
3798     use of special settings on reinstallation (e.g. for preserving data)
3799
3800 Misc
3801 ~~~~
3802
3803 - Added IPv6 support in import/export
3804 - Pause DRBD synchronization while wiping disks on instance creation
3805 - Updated unittests and QA scripts
3806 - Improved network parameters passed to KVM
3807 - Converted man pages from docbook to reStructuredText
3808
3809
3810 Version 2.3.1
3811 -------------
3812
3813 *(Released Mon, 20 Dec 2010)*
3814
3815 Released version 2.3.1~rc1 without any changes.
3816
3817
3818 Version 2.3.1 rc1
3819 -----------------
3820
3821 *(Released Wed, 1 Dec 2010)*
3822
3823 - impexpd: Disable OpenSSL compression in socat if possible (backport
3824   from master, commit e90739d625b, see :doc:`installation guide
3825   <install-quick>` for details)
3826 - Changed unittest coverage report to exclude test scripts
3827 - Added script to check version format
3828
3829
3830 Version 2.3.0
3831 -------------
3832
3833 *(Released Wed, 1 Dec 2010)*
3834
3835 Released version 2.3.0~rc1 without any changes.
3836
3837
3838 Version 2.3.0 rc1
3839 -----------------
3840
3841 *(Released Fri, 19 Nov 2010)*
3842
3843 A number of bugfixes and documentation updates:
3844
3845 - Update ganeti-os-interface documentation
3846 - Fixed a bug related to duplicate MACs or similar items which should be
3847   unique
3848 - Fix breakage in OS state modify
3849 - Reinstall instance: disallow offline secondaries (fixes bug related to
3850   OS changing but reinstall failing)
3851 - plus all the other fixes between 2.2.1 and 2.2.2
3852
3853
3854 Version 2.3.0 rc0
3855 -----------------
3856
3857 *(Released Tue, 2 Nov 2010)*
3858
3859 - Fixed clearing of the default iallocator using ``gnt-cluster modify``
3860 - Fixed master failover race with watcher
3861 - Fixed a bug in ``gnt-node modify`` which could lead to an inconsistent
3862   configuration
3863 - Accept previously stopped instance for export with instance removal
3864 - Simplify and extend the environment variables for instance OS scripts
3865 - Added new node flags, ``master_capable`` and ``vm_capable``
3866 - Added optional instance disk wiping prior during allocation. This is a
3867   cluster-wide option and can be set/modified using
3868   ``gnt-cluster {init,modify} --prealloc-wipe-disks``.
3869 - Added IPv6 support, see :doc:`design document <design-2.3>` and
3870   :doc:`install-quick`
3871 - Added a new watcher option (``--ignore-pause``)
3872 - Added option to ignore offline node on instance start/stop
3873   (``--ignore-offline``)
3874 - Allow overriding OS parameters with ``gnt-instance reinstall``
3875 - Added ability to change node's secondary IP address using ``gnt-node
3876   modify``
3877 - Implemented privilege separation for all daemons except
3878   ``ganeti-noded``, see ``configure`` options
3879 - Complain if an instance's disk is marked faulty in ``gnt-cluster
3880   verify``
3881 - Implemented job priorities (see ``ganeti(7)`` manpage)
3882 - Ignore failures while shutting down instances during failover from
3883   offline node
3884 - Exit daemon's bootstrap process only once daemon is ready
3885 - Export more information via ``LUInstanceQuery``/remote API
3886 - Improved documentation, QA and unittests
3887 - RAPI daemon now watches ``rapi_users`` all the time and doesn't need a
3888   restart if the file was created or changed
3889 - Added LUXI protocol version sent with each request and response,
3890   allowing detection of server/client mismatches
3891 - Moved the Python scripts among gnt-* and ganeti-* into modules
3892 - Moved all code related to setting up SSH to an external script,
3893   ``setup-ssh``
3894 - Infrastructure changes for node group support in future versions
3895
3896
3897 Version 2.2.2
3898 -------------
3899
3900 *(Released Fri, 19 Nov 2010)*
3901
3902 A few small bugs fixed, and some improvements to the build system:
3903
3904 - Fix documentation regarding conversion to drbd
3905 - Fix validation of parameters in cluster modify (``gnt-cluster modify
3906   -B``)
3907 - Fix error handling in node modify with multiple changes
3908 - Allow remote imports without checked names
3909
3910
3911 Version 2.2.1
3912 -------------
3913
3914 *(Released Tue, 19 Oct 2010)*
3915
3916 - Disable SSL session ID cache in RPC client
3917
3918
3919 Version 2.2.1 rc1
3920 -----------------
3921
3922 *(Released Thu, 14 Oct 2010)*
3923
3924 - Fix interaction between Curl/GnuTLS and the Python's HTTP server
3925   (thanks Apollon Oikonomopoulos!), finally allowing the use of Curl
3926   with GnuTLS
3927 - Fix problems with interaction between Curl and Python's HTTP server,
3928   resulting in increased speed in many RPC calls
3929 - Improve our release script to prevent breakage with older aclocal and
3930   Python 2.6
3931
3932
3933 Version 2.2.1 rc0
3934 -----------------
3935
3936 *(Released Thu, 7 Oct 2010)*
3937
3938 - Fixed issue 125, replace hardcoded "xenvg" in ``gnt-cluster`` with
3939   value retrieved from master
3940 - Added support for blacklisted or hidden OS definitions
3941 - Added simple lock monitor (accessible via (``gnt-debug locks``)
3942 - Added support for -mem-path in KVM hypervisor abstraction layer
3943 - Allow overriding instance parameters in tool for inter-cluster
3944   instance moves (``tools/move-instance``)
3945 - Improved opcode summaries (e.g. in ``gnt-job list``)
3946 - Improve consistency of OS listing by sorting it
3947 - Documentation updates
3948
3949
3950 Version 2.2.0.1
3951 ---------------
3952
3953 *(Released Fri, 8 Oct 2010)*
3954
3955 - Rebuild with a newer autotools version, to fix python 2.6 compatibility
3956
3957
3958 Version 2.2.0
3959 -------------
3960
3961 *(Released Mon, 4 Oct 2010)*
3962
3963 - Fixed regression in ``gnt-instance rename``
3964
3965
3966 Version 2.2.0 rc2
3967 -----------------
3968
3969 *(Released Wed, 22 Sep 2010)*
3970
3971 - Fixed OS_VARIANT variable for OS scripts
3972 - Fixed cluster tag operations via RAPI
3973 - Made ``setup-ssh`` exit with non-zero code if an error occurred
3974 - Disabled RAPI CA checks in watcher
3975
3976
3977 Version 2.2.0 rc1
3978 -----------------
3979
3980 *(Released Mon, 23 Aug 2010)*
3981
3982 - Support DRBD versions of the format "a.b.c.d"
3983 - Updated manpages
3984 - Re-introduce support for usage from multiple threads in RAPI client
3985 - Instance renames and modify via RAPI
3986 - Work around race condition between processing and archival in job
3987   queue
3988 - Mark opcodes following failed one as failed, too
3989 - Job field ``lock_status`` was removed due to difficulties making it
3990   work with the changed job queue in Ganeti 2.2; a better way to monitor
3991   locks is expected for a later 2.2.x release
3992 - Fixed dry-run behaviour with many commands
3993 - Support ``ssh-agent`` again when adding nodes
3994 - Many additional bugfixes
3995
3996
3997 Version 2.2.0 rc0
3998 -----------------
3999
4000 *(Released Fri, 30 Jul 2010)*
4001
4002 Important change: the internal RPC mechanism between Ganeti nodes has
4003 changed from using a home-grown http library (based on the Python base
4004 libraries) to use the PycURL library. This requires that PycURL is
4005 installed on nodes. Please note that on Debian/Ubuntu, PycURL is linked
4006 against GnuTLS by default. cURL's support for GnuTLS had known issues
4007 before cURL 7.21.0 and we recommend using the latest cURL release or
4008 linking against OpenSSL. Most other distributions already link PycURL
4009 and cURL against OpenSSL. The command::
4010
4011   python -c 'import pycurl; print pycurl.version'
4012
4013 can be used to determine the libraries PycURL and cURL are linked
4014 against.
4015
4016 Other significant changes:
4017
4018 - Rewrote much of the internals of the job queue, in order to achieve
4019   better parallelism; this decouples job query operations from the job
4020   processing, and it should allow much nicer behaviour of the master
4021   daemon under load, and it also has uncovered some long-standing bugs
4022   related to the job serialisation (now fixed)
4023 - Added a default iallocator setting to the cluster parameters,
4024   eliminating the need to always pass nodes or an iallocator for
4025   operations that require selection of new node(s)
4026 - Added experimental support for the LXC virtualization method
4027 - Added support for OS parameters, which allows the installation of
4028   instances to pass parameter to OS scripts in order to customise the
4029   instance
4030 - Added a hypervisor parameter controlling the migration type (live or
4031   non-live), since hypervisors have various levels of reliability; this
4032   has renamed the 'live' parameter to 'mode'
4033 - Added a cluster parameter ``reserved_lvs`` that denotes reserved
4034   logical volumes, meaning that cluster verify will ignore them and not
4035   flag their presence as errors
4036 - The watcher will now reset the error count for failed instances after
4037   8 hours, thus allowing self-healing if the problem that caused the
4038   instances to be down/fail to start has cleared in the meantime
4039 - Added a cluster parameter ``drbd_usermode_helper`` that makes Ganeti
4040   check for, and warn, if the drbd module parameter ``usermode_helper``
4041   is not consistent with the cluster-wide setting; this is needed to
4042   make diagnose easier of failed drbd creations
4043 - Started adding base IPv6 support, but this is not yet
4044   enabled/available for use
4045 - Rename operations (cluster, instance) will now return the new name,
4046   which is especially useful if a short name was passed in
4047 - Added support for instance migration in RAPI
4048 - Added a tool to pre-configure nodes for the SSH setup, before joining
4049   them to the cluster; this will allow in the future a simplified model
4050   for node joining (but not yet fully enabled in 2.2); this needs the
4051   paramiko python library
4052 - Fixed handling of name-resolving errors
4053 - Fixed consistency of job results on the error path
4054 - Fixed master-failover race condition when executed multiple times in
4055   sequence
4056 - Fixed many bugs related to the job queue (mostly introduced during the
4057   2.2 development cycle, so not all are impacting 2.1)
4058 - Fixed instance migration with missing disk symlinks
4059 - Fixed handling of unknown jobs in ``gnt-job archive``
4060 - And many other small fixes/improvements
4061
4062 Internal changes:
4063
4064 - Enhanced both the unittest and the QA coverage
4065 - Switched the opcode validation to a generic model, and extended the
4066   validation to all opcode parameters
4067 - Changed more parts of the code that write shell scripts to use the
4068   same class for this
4069 - Switched the master daemon to use the asyncore library for the Luxi
4070   server endpoint
4071
4072
4073 Version 2.2.0 beta0
4074 -------------------
4075
4076 *(Released Thu, 17 Jun 2010)*
4077
4078 - Added tool (``move-instance``) and infrastructure to move instances
4079   between separate clusters (see :doc:`separate documentation
4080   <move-instance>` and :doc:`design document <design-2.2>`)
4081 - Added per-request RPC timeout
4082 - RAPI now requires a Content-Type header for requests with a body (e.g.
4083   ``PUT`` or ``POST``) which must be set to ``application/json`` (see
4084   :rfc:`2616` (HTTP/1.1), section 7.2.1)
4085 - ``ganeti-watcher`` attempts to restart ``ganeti-rapi`` if RAPI is not
4086   reachable
4087 - Implemented initial support for running Ganeti daemons as separate
4088   users, see configure-time flags ``--with-user-prefix`` and
4089   ``--with-group-prefix`` (only ``ganeti-rapi`` is supported at this
4090   time)
4091 - Instances can be removed after export (``gnt-backup export
4092   --remove-instance``)
4093 - Self-signed certificates generated by Ganeti now use a 2048 bit RSA
4094   key (instead of 1024 bit)
4095 - Added new cluster configuration file for cluster domain secret
4096 - Import/export now use SSL instead of SSH
4097 - Added support for showing estimated time when exporting an instance,
4098   see the ``ganeti-os-interface(7)`` manpage and look for
4099   ``EXP_SIZE_FD``
4100
4101
4102 Version 2.1.8
4103 -------------
4104
4105 *(Released Tue, 16 Nov 2010)*
4106
4107 Some more bugfixes. Unless critical bugs occur, this will be the last
4108 2.1 release:
4109
4110 - Fix case of MAC special-values
4111 - Fix mac checker regex
4112 - backend: Fix typo causing "out of range" error
4113 - Add missing --units in gnt-instance list man page
4114
4115
4116 Version 2.1.7
4117 -------------
4118
4119 *(Released Tue, 24 Aug 2010)*
4120
4121 Bugfixes only:
4122   - Don't ignore secondary node silently on non-mirrored disk templates
4123     (issue 113)
4124   - Fix --master-netdev arg name in gnt-cluster(8) (issue 114)
4125   - Fix usb_mouse parameter breaking with vnc_console (issue 109)
4126   - Properly document the usb_mouse parameter
4127   - Fix path in ganeti-rapi(8) (issue 116)
4128   - Adjust error message when the ganeti user's .ssh directory is
4129     missing
4130   - Add same-node-check when changing the disk template to drbd
4131
4132
4133 Version 2.1.6
4134 -------------
4135
4136 *(Released Fri, 16 Jul 2010)*
4137
4138 Bugfixes only:
4139   - Add an option to only select some reboot types during qa/burnin.
4140     (on some hypervisors consequent reboots are not supported)
4141   - Fix infrequent race condition in master failover. Sometimes the old
4142     master ip address would be still detected as up for a short time
4143     after it was removed, causing failover to fail.
4144   - Decrease mlockall warnings when the ctypes module is missing. On
4145     Python 2.4 we support running even if no ctypes module is installed,
4146     but we were too verbose about this issue.
4147   - Fix building on old distributions, on which man doesn't have a
4148     --warnings option.
4149   - Fix RAPI not to ignore the MAC address on instance creation
4150   - Implement the old instance creation format in the RAPI client.
4151
4152
4153 Version 2.1.5
4154 -------------
4155
4156 *(Released Thu, 01 Jul 2010)*
4157
4158 A small bugfix release:
4159   - Fix disk adoption: broken by strict --disk option checking in 2.1.4
4160   - Fix batch-create: broken in the whole 2.1 series due to a lookup on
4161     a non-existing option
4162   - Fix instance create: the --force-variant option was ignored
4163   - Improve pylint 0.21 compatibility and warnings with Python 2.6
4164   - Fix modify node storage with non-FQDN arguments
4165   - Fix RAPI client to authenticate under Python 2.6 when used
4166     for more than 5 requests needing authentication
4167   - Fix gnt-instance modify -t (storage) giving a wrong error message
4168     when converting a non-shutdown drbd instance to plain
4169
4170
4171 Version 2.1.4
4172 -------------
4173
4174 *(Released Fri, 18 Jun 2010)*
4175
4176 A small bugfix release:
4177
4178   - Fix live migration of KVM instances started with older Ganeti
4179     versions which had fewer hypervisor parameters
4180   - Fix gnt-instance grow-disk on down instances
4181   - Fix an error-reporting bug during instance migration
4182   - Better checking of the ``--net`` and ``--disk`` values, to avoid
4183     silently ignoring broken ones
4184   - Fix an RPC error reporting bug affecting, for example, RAPI client
4185     users
4186   - Fix bug triggered by different API version os-es on different nodes
4187   - Fix a bug in instance startup with custom hvparams: OS level
4188     parameters would fail to be applied.
4189   - Fix the RAPI client under Python 2.6 (but more work is needed to
4190     make it work completely well with OpenSSL)
4191   - Fix handling of errors when resolving names from DNS
4192
4193
4194 Version 2.1.3
4195 -------------
4196
4197 *(Released Thu, 3 Jun 2010)*
4198
4199 A medium sized development cycle. Some new features, and some
4200 fixes/small improvements/cleanups.
4201
4202 Significant features
4203 ~~~~~~~~~~~~~~~~~~~~
4204
4205 The node deamon now tries to mlock itself into memory, unless the
4206 ``--no-mlock`` flag is passed. It also doesn't fail if it can't write
4207 its logs, and falls back to console logging. This allows emergency
4208 features such as ``gnt-node powercycle`` to work even in the event of a
4209 broken node disk (tested offlining the disk hosting the node's
4210 filesystem and dropping its memory caches; don't try this at home)
4211
4212 KVM: add vhost-net acceleration support. It can be tested with a new
4213 enough version of the kernel and of qemu-kvm.
4214
4215 KVM: Add instance chrooting feature. If you use privilege dropping for
4216 your VMs you can also now force them to chroot to an empty directory,
4217 before starting the emulated guest.
4218
4219 KVM: Add maximum migration bandwith and maximum downtime tweaking
4220 support (requires a new-enough version of qemu-kvm).
4221
4222 Cluster verify will now warn if the master node doesn't have the master
4223 ip configured on it.
4224
4225 Add a new (incompatible) instance creation request format to RAPI which
4226 supports all parameters (previously only a subset was supported, and it
4227 wasn't possible to extend the old format to accomodate all the new
4228 features. The old format is still supported, and a client can check for
4229 this feature, before using it, by checking for its presence in the
4230 ``features`` RAPI resource.
4231
4232 Now with ancient latin support. Try it passing the ``--roman`` option to
4233 ``gnt-instance info``, ``gnt-cluster info`` or ``gnt-node list``
4234 (requires the python-roman module to be installed, in order to work).
4235
4236 Other changes
4237 ~~~~~~~~~~~~~
4238
4239 As usual many internal code refactorings, documentation updates, and
4240 such. Among others:
4241
4242   - Lots of improvements and cleanups to the experimental Remote API
4243     (RAPI) client library.
4244   - A new unit test suite for the core daemon libraries.
4245   - A fix to creating missing directories makes sure the umask is not
4246     applied anymore. This enforces the same directory permissions
4247     everywhere.
4248   - Better handling terminating daemons with ctrl+c (used when running
4249     them in debugging mode).
4250   - Fix a race condition in live migrating a KVM instance, when stat()
4251     on the old proc status file returned EINVAL, which is an unexpected
4252     value.
4253   - Fixed manpage checking with newer man and utf-8 charachters. But now
4254     you need the en_US.UTF-8 locale enabled to build Ganeti from git.
4255
4256
4257 Version 2.1.2.1
4258 ---------------
4259
4260 *(Released Fri, 7 May 2010)*
4261
4262 Fix a bug which prevented untagged KVM instances from starting.
4263
4264
4265 Version 2.1.2
4266 -------------
4267
4268 *(Released Fri, 7 May 2010)*
4269
4270 Another release with a long development cycle, during which many
4271 different features were added.
4272
4273 Significant features
4274 ~~~~~~~~~~~~~~~~~~~~
4275
4276 The KVM hypervisor now can run the individual instances as non-root, to
4277 reduce the impact of a VM being hijacked due to bugs in the
4278 hypervisor. It is possible to run all instances as a single (non-root)
4279 user, to manually specify a user for each instance, or to dynamically
4280 allocate a user out of a cluster-wide pool to each instance, with the
4281 guarantee that no two instances will run under the same user ID on any
4282 given node.
4283
4284 An experimental RAPI client library, that can be used standalone
4285 (without the other Ganeti libraries), is provided in the source tree as
4286 ``lib/rapi/client.py``. Note this client might change its interface in
4287 the future, as we iterate on its capabilities.
4288
4289 A new command, ``gnt-cluster renew-crypto`` has been added to easily
4290 replace the cluster's certificates and crypto keys. This might help in
4291 case they have been compromised, or have simply expired.
4292
4293 A new disk option for instance creation has been added that allows one
4294 to "adopt" currently existing logical volumes, with data
4295 preservation. This should allow easier migration to Ganeti from
4296 unmanaged (or managed via other software) instances.
4297
4298 Another disk improvement is the possibility to convert between redundant
4299 (DRBD) and plain (LVM) disk configuration for an instance. This should
4300 allow better scalability (starting with one node and growing the
4301 cluster, or shrinking a two-node cluster to one node).
4302
4303 A new feature that could help with automated node failovers has been
4304 implemented: if a node sees itself as offline (by querying the master
4305 candidates), it will try to shutdown (hard) all instances and any active
4306 DRBD devices. This reduces the risk of duplicate instances if an
4307 external script automatically failovers the instances on such nodes. To
4308 enable this, the cluster parameter ``maintain_node_health`` should be
4309 enabled; in the future this option (per the name) will enable other
4310 automatic maintenance features.
4311
4312 Instance export/import now will reuse the original instance
4313 specifications for all parameters; that means exporting an instance,
4314 deleting it and the importing it back should give an almost identical
4315 instance. Note that the default import behaviour has changed from
4316 before, where it created only one NIC; now it recreates the original
4317 number of NICs.
4318
4319 Cluster verify has added a few new checks: SSL certificates validity,
4320 /etc/hosts consistency across the cluster, etc.
4321
4322 Other changes
4323 ~~~~~~~~~~~~~
4324
4325 As usual, many internal changes were done, documentation fixes,
4326 etc. Among others:
4327
4328 - Fixed cluster initialization with disabled cluster storage (regression
4329   introduced in 2.1.1)
4330 - File-based storage supports growing the disks
4331 - Fixed behaviour of node role changes
4332 - Fixed cluster verify for some corner cases, plus a general rewrite of
4333   cluster verify to allow future extension with more checks
4334 - Fixed log spamming by watcher and node daemon (regression introduced
4335   in 2.1.1)
4336 - Fixed possible validation issues when changing the list of enabled
4337   hypervisors
4338 - Fixed cleanup of /etc/hosts during node removal
4339 - Fixed RAPI response for invalid methods
4340 - Fixed bug with hashed passwords in ``ganeti-rapi`` daemon
4341 - Multiple small improvements to the KVM hypervisor (VNC usage, booting
4342   from ide disks, etc.)
4343 - Allow OS changes without re-installation (to record a changed OS
4344   outside of Ganeti, or to allow OS renames)
4345 - Allow instance creation without OS installation (useful for example if
4346   the OS will be installed manually, or restored from a backup not in
4347   Ganeti format)
4348 - Implemented option to make cluster ``copyfile`` use the replication
4349   network
4350 - Added list of enabled hypervisors to ssconf (possibly useful for
4351   external scripts)
4352 - Added a new tool (``tools/cfgupgrade12``) that allows upgrading from
4353   1.2 clusters
4354 - A partial form of node re-IP is possible via node readd, which now
4355   allows changed node primary IP
4356 - Command line utilities now show an informational message if the job is
4357   waiting for a lock
4358 - The logs of the master daemon now show the PID/UID/GID of the
4359   connected client
4360
4361
4362 Version 2.1.1
4363 -------------
4364
4365 *(Released Fri, 12 Mar 2010)*
4366
4367 During the 2.1.0 long release candidate cycle, a lot of improvements and
4368 changes have accumulated with were released later as 2.1.1.
4369
4370 Major changes
4371 ~~~~~~~~~~~~~
4372
4373 The node evacuate command (``gnt-node evacuate``) was significantly
4374 rewritten, and as such the IAllocator protocol was changed - a new
4375 request type has been added. This unfortunate change during a stable
4376 series is designed to improve performance of node evacuations; on
4377 clusters with more than about five nodes and which are well-balanced,
4378 evacuation should proceed in parallel for all instances of the node
4379 being evacuated. As such, any existing IAllocator scripts need to be
4380 updated, otherwise the above command will fail due to the unknown
4381 request. The provided "dumb" allocator has not been updated; but the
4382 ganeti-htools package supports the new protocol since version 0.2.4.
4383
4384 Another important change is increased validation of node and instance
4385 names. This might create problems in special cases, if invalid host
4386 names are being used.
4387
4388 Also, a new layer of hypervisor parameters has been added, that sits at
4389 OS level between the cluster defaults and the instance ones. This allows
4390 customisation of virtualization parameters depending on the installed
4391 OS. For example instances with OS 'X' may have a different KVM kernel
4392 (or any other parameter) than the cluster defaults. This is intended to
4393 help managing a multiple OSes on the same cluster, without manual
4394 modification of each instance's parameters.
4395
4396 A tool for merging clusters, ``cluster-merge``, has been added in the
4397 tools sub-directory.
4398
4399 Bug fixes
4400 ~~~~~~~~~
4401
4402 - Improved the int/float conversions that should make the code more
4403   robust in face of errors from the node daemons
4404 - Fixed the remove node code in case of internal configuration errors
4405 - Fixed the node daemon behaviour in face of inconsistent queue
4406   directory (e.g. read-only file-system where we can't open the files
4407   read-write, etc.)
4408 - Fixed the behaviour of gnt-node modify for master candidate demotion;
4409   now it either aborts cleanly or, if given the new "auto_promote"
4410   parameter, will automatically promote other nodes as needed
4411 - Fixed compatibility with (unreleased yet) Python 2.6.5 that would
4412   completely prevent Ganeti from working
4413 - Fixed bug for instance export when not all disks were successfully
4414   exported
4415 - Fixed behaviour of node add when the new node is slow in starting up
4416   the node daemon
4417 - Fixed handling of signals in the LUXI client, which should improve
4418   behaviour of command-line scripts
4419 - Added checks for invalid node/instance names in the configuration (now
4420   flagged during cluster verify)
4421 - Fixed watcher behaviour for disk activation errors
4422 - Fixed two potentially endless loops in http library, which led to the
4423   RAPI daemon hanging and consuming 100% CPU in some cases
4424 - Fixed bug in RAPI daemon related to hashed passwords
4425 - Fixed bug for unintended qemu-level bridging of multi-NIC KVM
4426   instances
4427 - Enhanced compatibility with non-Debian OSes, but not using absolute
4428   path in some commands and allowing customisation of the ssh
4429   configuration directory
4430 - Fixed possible future issue with new Python versions by abiding to the
4431   proper use of ``__slots__`` attribute on classes
4432 - Added checks that should prevent directory traversal attacks
4433 - Many documentation fixes based on feedback from users
4434
4435 New features
4436 ~~~~~~~~~~~~
4437
4438 - Added an "early_release" more for instance replace disks and node
4439   evacuate, where we release locks earlier and thus allow higher
4440   parallelism within the cluster
4441 - Added watcher hooks, intended to allow the watcher to restart other
4442   daemons (e.g. from the ganeti-nbma project), but they can be used of
4443   course for any other purpose
4444 - Added a compile-time disable for DRBD barriers, to increase
4445   performance if the administrator trusts the power supply or the
4446   storage system to not lose writes
4447 - Added the option of using syslog for logging instead of, or in
4448   addition to, Ganeti's own log files
4449 - Removed boot restriction for paravirtual NICs for KVM, recent versions
4450   can indeed boot from a paravirtual NIC
4451 - Added a generic debug level for many operations; while this is not
4452   used widely yet, it allows one to pass the debug value all the way to
4453   the OS scripts
4454 - Enhanced the hooks environment for instance moves (failovers,
4455   migrations) where the primary/secondary nodes changed during the
4456   operation, by adding {NEW,OLD}_{PRIMARY,SECONDARY} vars
4457 - Enhanced data validations for many user-supplied values; one important
4458   item is the restrictions imposed on instance and node names, which
4459   might reject some (invalid) host names
4460 - Add a configure-time option to disable file-based storage, if it's not
4461   needed; this allows greater security separation between the master
4462   node and the other nodes from the point of view of the inter-node RPC
4463   protocol
4464 - Added user notification in interactive tools if job is waiting in the
4465   job queue or trying to acquire locks
4466 - Added log messages when a job is waiting for locks
4467 - Added filtering by node tags in instance operations which admit
4468   multiple instances (start, stop, reboot, reinstall)
4469 - Added a new tool for cluster mergers, ``cluster-merge``
4470 - Parameters from command line which are of the form ``a=b,c=d`` can now
4471   use backslash escapes to pass in values which contain commas,
4472   e.g. ``a=b\\c,d=e`` where the 'a' parameter would get the value
4473   ``b,c``
4474 - For KVM, the instance name is the first parameter passed to KVM, so
4475   that it's more visible in the process list
4476
4477
4478 Version 2.1.0
4479 -------------
4480
4481 *(Released Tue, 2 Mar 2010)*
4482
4483 Ganeti 2.1 brings many improvements with it. Major changes:
4484
4485 - Added infrastructure to ease automated disk repairs
4486 - Added new daemon to export configuration data in a cheaper way than
4487   using the remote API
4488 - Instance NICs can now be routed instead of being associated with a
4489   networking bridge
4490 - Improved job locking logic to reduce impact of jobs acquiring multiple
4491   locks waiting for other long-running jobs
4492
4493 In-depth implementation details can be found in the Ganeti 2.1 design
4494 document.
4495
4496 Details
4497 ~~~~~~~
4498
4499 - Added chroot hypervisor
4500 - Added more options to xen-hvm hypervisor (``kernel_path`` and
4501   ``device_model``)
4502 - Added more options to xen-pvm hypervisor (``use_bootloader``,
4503   ``bootloader_path`` and ``bootloader_args``)
4504 - Added the ``use_localtime`` option for the xen-hvm and kvm
4505   hypervisors, and the default value for this has changed to false (in
4506   2.0 xen-hvm always enabled it)
4507 - Added luxi call to submit multiple jobs in one go
4508 - Added cluster initialization option to not modify ``/etc/hosts``
4509   file on nodes
4510 - Added network interface parameters
4511 - Added dry run mode to some LUs
4512 - Added RAPI resources:
4513
4514   - ``/2/instances/[instance_name]/info``
4515   - ``/2/instances/[instance_name]/replace-disks``
4516   - ``/2/nodes/[node_name]/evacuate``
4517   - ``/2/nodes/[node_name]/migrate``
4518   - ``/2/nodes/[node_name]/role``
4519   - ``/2/nodes/[node_name]/storage``
4520   - ``/2/nodes/[node_name]/storage/modify``
4521   - ``/2/nodes/[node_name]/storage/repair``
4522
4523 - Added OpCodes to evacuate or migrate all instances on a node
4524 - Added new command to list storage elements on nodes (``gnt-node
4525   list-storage``) and modify them (``gnt-node modify-storage``)
4526 - Added new ssconf files with master candidate IP address
4527   (``ssconf_master_candidates_ips``), node primary IP address
4528   (``ssconf_node_primary_ips``) and node secondary IP address
4529   (``ssconf_node_secondary_ips``)
4530 - Added ``ganeti-confd`` and a client library to query the Ganeti
4531   configuration via UDP
4532 - Added ability to run hooks after cluster initialization and before
4533   cluster destruction
4534 - Added automatic mode for disk replace (``gnt-instance replace-disks
4535   --auto``)
4536 - Added ``gnt-instance recreate-disks`` to re-create (empty) disks
4537   after catastrophic data-loss
4538 - Added ``gnt-node repair-storage`` command to repair damaged LVM volume
4539   groups
4540 - Added ``gnt-instance move`` command to move instances
4541 - Added ``gnt-cluster watcher`` command to control watcher
4542 - Added ``gnt-node powercycle`` command to powercycle nodes
4543 - Added new job status field ``lock_status``
4544 - Added parseable error codes to cluster verification (``gnt-cluster
4545   verify --error-codes``) and made output less verbose (use
4546   ``--verbose`` to restore previous behaviour)
4547 - Added UUIDs to the main config entities (cluster, nodes, instances)
4548 - Added support for OS variants
4549 - Added support for hashed passwords in the Ganeti remote API users file
4550   (``rapi_users``)
4551 - Added option to specify maximum timeout on instance shutdown
4552 - Added ``--no-ssh-init`` option to ``gnt-cluster init``
4553 - Added new helper script to start and stop Ganeti daemons
4554   (``daemon-util``), with the intent to reduce the work necessary to
4555   adjust Ganeti for non-Debian distributions and to start/stop daemons
4556   from one place
4557 - Added more unittests
4558 - Fixed critical bug in ganeti-masterd startup
4559 - Removed the configure-time ``kvm-migration-port`` parameter, this is
4560   now customisable at the cluster level for both the KVM and Xen
4561   hypervisors using the new ``migration_port`` parameter
4562 - Pass ``INSTANCE_REINSTALL`` variable to OS installation script when
4563   reinstalling an instance
4564 - Allowed ``@`` in tag names
4565 - Migrated to Sphinx (http://sphinx.pocoo.org/) for documentation
4566 - Many documentation updates
4567 - Distribute hypervisor files on ``gnt-cluster redist-conf``
4568 - ``gnt-instance reinstall`` can now reinstall multiple instances
4569 - Updated many command line parameters
4570 - Introduced new OS API version 15
4571 - No longer support a default hypervisor
4572 - Treat virtual LVs as inexistent
4573 - Improved job locking logic to reduce lock contention
4574 - Match instance and node names case insensitively
4575 - Reimplemented bash completion script to be more complete
4576 - Improved burnin
4577
4578
4579 Version 2.0.6
4580 -------------
4581
4582 *(Released Thu, 4 Feb 2010)*
4583
4584 - Fix cleaner behaviour on nodes not in a cluster (Debian bug 568105)
4585 - Fix a string formatting bug
4586 - Improve safety of the code in some error paths
4587 - Improve data validation in the master of values returned from nodes
4588
4589
4590 Version 2.0.5
4591 -------------
4592
4593 *(Released Thu, 17 Dec 2009)*
4594
4595 - Fix security issue due to missing validation of iallocator names; this
4596   allows local and remote execution of arbitrary executables
4597 - Fix failure of gnt-node list during instance removal
4598 - Ship the RAPI documentation in the archive
4599
4600
4601 Version 2.0.4
4602 -------------
4603
4604 *(Released Wed, 30 Sep 2009)*
4605
4606 - Fixed many wrong messages
4607 - Fixed a few bugs related to the locking library
4608 - Fixed MAC checking at instance creation time
4609 - Fixed a DRBD parsing bug related to gaps in /proc/drbd
4610 - Fixed a few issues related to signal handling in both daemons and
4611   scripts
4612 - Fixed the example startup script provided
4613 - Fixed insserv dependencies in the example startup script (patch from
4614   Debian)
4615 - Fixed handling of drained nodes in the iallocator framework
4616 - Fixed handling of KERNEL_PATH parameter for xen-hvm (Debian bug
4617   #528618)
4618 - Fixed error related to invalid job IDs in job polling
4619 - Fixed job/opcode persistence on unclean master shutdown
4620 - Fixed handling of partial job processing after unclean master
4621   shutdown
4622 - Fixed error reporting from LUs, previously all errors were converted
4623   into execution errors
4624 - Fixed error reporting from burnin
4625 - Decreased significantly the memory usage of the job queue
4626 - Optimised slightly multi-job submission
4627 - Optimised slightly opcode loading
4628 - Backported the multi-job submit framework from the development
4629   branch; multi-instance start and stop should be faster
4630 - Added script to clean archived jobs after 21 days; this will reduce
4631   the size of the queue directory
4632 - Added some extra checks in disk size tracking
4633 - Added an example ethers hook script
4634 - Added a cluster parameter that prevents Ganeti from modifying of
4635   /etc/hosts
4636 - Added more node information to RAPI responses
4637 - Added a ``gnt-job watch`` command that allows following the ouput of a
4638   job
4639 - Added a bind-address option to ganeti-rapi
4640 - Added more checks to the configuration verify
4641 - Enhanced the burnin script such that some operations can be retried
4642   automatically
4643 - Converted instance reinstall to multi-instance model
4644
4645
4646 Version 2.0.3
4647 -------------
4648
4649 *(Released Fri, 7 Aug 2009)*
4650
4651 - Added ``--ignore-size`` to the ``gnt-instance activate-disks`` command
4652   to allow using the pre-2.0.2 behaviour in activation, if any existing
4653   instances have mismatched disk sizes in the configuration
4654 - Added ``gnt-cluster repair-disk-sizes`` command to check and update
4655   any configuration mismatches for disk sizes
4656 - Added ``gnt-master cluste-failover --no-voting`` to allow master
4657   failover to work on two-node clusters
4658 - Fixed the ``--net`` option of ``gnt-backup import``, which was
4659   unusable
4660 - Fixed detection of OS script errors in ``gnt-backup export``
4661 - Fixed exit code of ``gnt-backup export``
4662
4663
4664 Version 2.0.2
4665 -------------
4666
4667 *(Released Fri, 17 Jul 2009)*
4668
4669 - Added experimental support for stripped logical volumes; this should
4670   enhance performance but comes with a higher complexity in the block
4671   device handling; stripping is only enabled when passing
4672   ``--with-lvm-stripecount=N`` to ``configure``, but codepaths are
4673   affected even in the non-stripped mode
4674 - Improved resiliency against transient failures at the end of DRBD
4675   resyncs, and in general of DRBD resync checks
4676 - Fixed a couple of issues with exports and snapshot errors
4677 - Fixed a couple of issues in instance listing
4678 - Added display of the disk size in ``gnt-instance info``
4679 - Fixed checking for valid OSes in instance creation
4680 - Fixed handling of the "vcpus" parameter in instance listing and in
4681   general of invalid parameters
4682 - Fixed http server library, and thus RAPI, to handle invalid
4683   username/password combinations correctly; this means that now they
4684   report unauthorized for queries too, not only for modifications,
4685   allowing earlier detect of configuration problems
4686 - Added a new "role" node list field, equivalent to the master/master
4687   candidate/drained/offline flags combinations
4688 - Fixed cluster modify and changes of candidate pool size
4689 - Fixed cluster verify error messages for wrong files on regular nodes
4690 - Fixed a couple of issues with node demotion from master candidate role
4691 - Fixed node readd issues
4692 - Added non-interactive mode for ``ganeti-masterd --no-voting`` startup
4693 - Added a new ``--no-voting`` option for masterfailover to fix failover
4694   on two-nodes clusters when the former master node is unreachable
4695 - Added instance reinstall over RAPI
4696
4697
4698 Version 2.0.1
4699 -------------
4700
4701 *(Released Tue, 16 Jun 2009)*
4702
4703 - added ``-H``/``-B`` startup parameters to ``gnt-instance``, which will
4704   allow re-adding the start in single-user option (regression from 1.2)
4705 - the watcher writes the instance status to a file, to allow monitoring
4706   to report the instance status (from the master) based on cached
4707   results of the watcher's queries; while this can get stale if the
4708   watcher is being locked due to other work on the cluster, this is
4709   still an improvement
4710 - the watcher now also restarts the node daemon and the rapi daemon if
4711   they died
4712 - fixed the watcher to handle full and drained queue cases
4713 - hooks export more instance data in the environment, which helps if
4714   hook scripts need to take action based on the instance's properties
4715   (no longer need to query back into ganeti)
4716 - instance failovers when the instance is stopped do not check for free
4717   RAM, so that failing over a stopped instance is possible in low memory
4718   situations
4719 - rapi uses queries for tags instead of jobs (for less job traffic), and
4720   for cluster tags it won't talk to masterd at all but read them from
4721   ssconf
4722 - a couple of error handling fixes in RAPI
4723 - drbd handling: improved the error handling of inconsistent disks after
4724   resync to reduce the frequency of "there are some degraded disks for
4725   this instance" messages
4726 - fixed a bug in live migration when DRBD doesn't want to reconnect (the
4727   error handling path called a wrong function name)
4728
4729
4730 Version 2.0.0
4731 -------------
4732
4733 *(Released Wed, 27 May 2009)*
4734
4735 - no changes from rc5
4736
4737
4738 Version 2.0 rc5
4739 ---------------
4740
4741 *(Released Wed, 20 May 2009)*
4742
4743 - fix a couple of bugs (validation, argument checks)
4744 - fix ``gnt-cluster getmaster`` on non-master nodes (regression)
4745 - some small improvements to RAPI and IAllocator
4746 - make watcher automatically start the master daemon if down
4747
4748
4749 Version 2.0 rc4
4750 ---------------
4751
4752 *(Released Mon, 27 Apr 2009)*
4753
4754 - change the OS list to not require locks; this helps with big clusters
4755 - fix ``gnt-cluster verify`` and ``gnt-cluster verify-disks`` when the
4756   volume group is broken
4757 - ``gnt-instance info``, without any arguments, doesn't run for all
4758   instances anymore; either pass ``--all`` or pass the desired
4759   instances; this helps against mistakes on big clusters where listing
4760   the information for all instances takes a long time
4761 - miscellaneous doc and man pages fixes
4762
4763
4764 Version 2.0 rc3
4765 ---------------
4766
4767 *(Released Wed, 8 Apr 2009)*
4768
4769 - Change the internal locking model of some ``gnt-node`` commands, in
4770   order to reduce contention (and blocking of master daemon) when
4771   batching many creation/reinstall jobs
4772 - Fixes to Xen soft reboot
4773 - No longer build documentation at build time, instead distribute it in
4774   the archive, in order to reduce the need for the whole docbook/rst
4775   toolchains
4776
4777
4778 Version 2.0 rc2
4779 ---------------
4780
4781 *(Released Fri, 27 Mar 2009)*
4782
4783 - Now the cfgupgrade scripts works and can upgrade 1.2.7 clusters to 2.0
4784 - Fix watcher startup sequence, improves the behaviour of busy clusters
4785 - Some other fixes in ``gnt-cluster verify``, ``gnt-instance
4786   replace-disks``, ``gnt-instance add``, ``gnt-cluster queue``, KVM VNC
4787   bind address and other places
4788 - Some documentation fixes and updates
4789
4790
4791 Version 2.0 rc1
4792 ---------------
4793
4794 *(Released Mon, 2 Mar 2009)*
4795
4796 - More documentation updates, now all docs should be more-or-less
4797   up-to-date
4798 - A couple of small fixes (mixed hypervisor clusters, offline nodes,
4799   etc.)
4800 - Added a customizable HV_KERNEL_ARGS hypervisor parameter (for Xen PVM
4801   and KVM)
4802 - Fix an issue related to $libdir/run/ganeti and cluster creation
4803
4804
4805 Version 2.0 beta2
4806 -----------------
4807
4808 *(Released Thu, 19 Feb 2009)*
4809
4810 - Xen PVM and KVM have switched the default value for the instance root
4811   disk to the first partition on the first drive, instead of the whole
4812   drive; this means that the OS installation scripts must be changed
4813   accordingly
4814 - Man pages have been updated
4815 - RAPI has been switched by default to HTTPS, and the exported functions
4816   should all work correctly
4817 - RAPI v1 has been removed
4818 - Many improvements to the KVM hypervisor
4819 - Block device errors are now&