Merge "TLS proxy for redis" into stable/pike

Merge "Rabbitmq: Enable Erlang distribution TLS" into stable/pike

Merge "Set mode for ansible written files" into stable/pike

Merge "Escape ceph capabilities for manila client" into stable/pike

Merge "Add support for Dell EMC Isilon Manila  backend" into stable/pike

TLS proxy for redis

Redis does not have TLS out of the box. Let's use a proxy container for
TLS termination.

bp tls-via-certmonger

Co-Authored-By: Juan Antonio Osorio Robles <jaosorior@redhat.com>
Change-Id: Ie2ae0d048a71e1b1b4edb10c74bc0395a1a9d5c9
Depends-On: I078567c831ade540cf704f81564e2b7654c85c0b
Depends-On: Ia50933da9e59268b17f56db34d01dcc6b6c38147
(cherry picked from commit c2a93cf4c5d9d6b5ee0536380751a7a9540927cc)

Merge "Add support for Dell EMC VMAX Manila Backend" into stable/pike

Merge "manila: set "neutron_admin_auth_url" correctly" into stable/pike

Escape ceph capabilities for manila client

Capabilities were not properly escaped and ignored by ceph.

Change-Id: I099c3d9bad95ec69ac85fe406e3e1d4685ede439
Closes: #1713928

Allow upgrade tasks to run when looping through steps

Currently for non controller upgrades we're looping through the
upgrade steps and run the upgrade tasks based on when conditionals
including the step number and the existing upgrade task condition.
Some of tasks fail because the variables used in when conditionals
are not available through all steps. This change adds default values
to these vars where possible or creates them for all steps to avoid
failures.

Related-Bug: 1708115
Change-Id: I5c731043cec8e31fc82ca98972a301baa7294c4f
(cherry picked from commit e2f00ef1dc98140087c81e202a520f549f9a0970)

Add support for Dell EMC Isilon Manila  backend

This change adds support for manila::backend::dellemc_isilon

Change-Id: I92592e4b717d4b1812ccd810ec1daaedd181c3dd
Implements: blueprint dellemc-isilon-manila
(cherry picked from commit f6c9906d51fb3268b7a7d61d53181ab5d3c0d2ec)

Add support for Dell EMC VMAX Manila Backend

This change adds support for manila::backend::dellemc_vmax

Change-Id: I92e189c8741c496ef6c27130f73829c327a99f1b
Implements: blueprint dellemc-vmax-manila
(cherry picked from commit 04daabdc8414e4435dc4cd3ccfea9a62b5631261)

Set mode for ansible written files

Use a more restrictive mode for these files, as some may contain sensitive data
which shouldn't be world readable

Closes-Bug: #1714986
Change-Id: Ib1e79b1d4e25d6e329938402b1ca776bdab81bdd
(cherry picked from commit 94c7752cfae64d96124a32bc36ccd6ec7b4df4a7)

Rabbitmq: Enable Erlang distribution TLS

This will be used for the replication traffic as specified in the
dependent commit.

bp tls-via-certmonger
Change-Id: Ia53b9edaa6c6cdd48bcdde64969ae6c16f57ae41
Depends-On: I265c89cb8898a6da78a606664a22c50f5e57a847
(cherry picked from commit 1b4df60ac780a8388f5421c3c1634d172886595f)

Merge "Remove bgp-vpn from scenario004-multinode-containers" into stable/pike

manila: set "neutron_admin_auth_url" correctly

It was being set using NeutronAdmin endpoint but it is an
authorization url.  Set it using KeystoneInternal endpoint.

Change-Id: I23f4a895628ac909a1fe1f93cecefa84f25858b1
Closes-Bug: #1712908
(cherry picked from commit 7380183cf590b74f5ad84bb40a8afa08979c235b)

Remove bgp-vpn from scenario004-multinode-containers

See full context on https://bugs.launchpad.net/bugs/1713612
but this service isn't containerized yet, so the plan is:

- in Pike, we'll run scenario004 (baremetal) and test bgp-vpn and l2gw
- in Queens, we'll run scenario004 (baremetal at the beginning) but
  scenario004-container will be the default and we'll re-add the 2
  services when containerized.

Change-Id: I04c2a9fb63420b7d8d3616a8ef7a50d2aadc6165
(cherry picked from commit fde4ff2c64f374e109dbb7da87cc7d72da5e0ef5)

Switch manila-share to pacemaker version in scenario004/containers

Change-Id: Iefc0d04b19953ece60cf5c886258ed794e5c795d
Depends-On: Iba97c0a6a4b4b0529c6434d58275a3d362b74947
Related-Bug: #1712070
(cherry picked from commit 02cd34d148d6abf11cc64852f7931cbd4bccf767)

Add clustercheck to service list for scenarios

This service is necessary when we containerized TripleO with
Pacemaker.

The service is added also to non-containerized scenario lists, because
the aim is to get rid of the -containers.yaml variants eventually.
This shouldn't affect any jobs that don't include docker-ha.yaml. The
resource registry entry is mapped to OS::Heat::None by default, and
docker-ha.yaml maps it to actual containerized clustercheck.

Change-Id: I342e29de52cb6ce069a05a2dbfb0501a2da200e6
Partial-Bug: #1712070
(cherry picked from commit 5b805cb37eec3097552314c6ce43c02c2a604d81)

Merge "Stop hardcoding host's config volume path" into stable/pike

Merge "Manually set healthchecks for _cron services" into stable/pike

Merge "Configure Zaqar trust notifier" into stable/pike

Merge "Fix containerized zaqar-api db_sync" into stable/pike

Merge "Use list_concat in place of yaql" into stable/pike

Merge "Updated from global requirements" into stable/pike

Merge "Separate config_volume for ringbuilder" into stable/pike

Merge "Remove tacker from containers scenario001" into stable/pike

Stop hardcoding host's config volume path

Get the path from the CONFIG_VOLUME_PREFIX environment variable.

This is useful for debugging and generate configuration files to
a different directory.

Change-Id: Ib85e3898804312ebb6677a5fa189fbfc357ce27c
(cherry picked from commit 0c62b6cd8d696befb1c0c31bb6e206199ce1edac)

Fix containerized zaqar-api db_sync

Correct the zaqar service name to match the bootstrap host id name

Closes-bug: #1714253

Change-Id: Iced8f3a7e64d9023bd46a50629a56e087d1f6f24
Signed-off-by: Bogdan Dobrelya <bdobreli@redhat.com>
(cherry picked from commit d782f687cb7794e0491c0d0f6dc3d9b28196dc96)

Merge "Add support for Dell EMC VMAX ISCSI Backend" into stable/pike

Add support for Dell EMC VMAX ISCSI Backend

This change adds a new define for cinder::backend::dellemc_vmax_iscsi

Change-Id: I7c685e0a3186da138964f17b487fb0c3533f58c7
Implements: blueprint dellemc-vmax-isci
(cherry picked from commit c77189905525c6fe834e001f2231b9eab788cd01)

Separate config_volume for ringbuilder

Use a separate config_volume for swift_ringbuilder puppet_config tasks.
This is necessary so that the swift_ringbuilder and swift-storage
services don't both rsync files to the same bind mounted directory.

The rsync command from docker-puppet.py uses --delete-after, so when
they both use the same config_volume, they can end up deleting the files
generated by the other (depending on the order of execution).

Even though a separate config_volume is used, the rings must still end up
in /etc/swift for the swift services containers.  An additional
container init task is used to copy the ring files into
/var/lib/config-data/puppet-generated/swift/etc/swift so that they will
be present when the actual swift services containers are started.

Change-Id: I05821e76191f64212704ca8e3b7428cda6b3a4b7
Closes-Bug: #1710952
(cherry picked from commit cba00abb7517efa6a8d9b8fb954563204323ffed)

Configure Zaqar trust notifier

Change-Id: Id7d5967370a5d3fa0183359349f502f32a0109da
(cherry picked from commit e1b1b5654d70c4a38be340070648d0fb7932bcc8)

Manually set healthchecks for _cron services

The docker _cron services show up as (unhealthy) due to
them sharing the containers for the OpenStack services.
As such we need to manually override the health checks
for these services. By setting them to /bin/true
the services should show up has healthy.

Change-Id: I46e12bcec226fbe2768c7fe8f0e7719df46401a9
Closes-bug: #1713183
(cherry picked from commit d1aaf0aadf487ccfcdecb47f3cfbf6087401242b)

Use list_concat in place of yaql

Where applicable, use list_concat instead of yaql to build new lists: it
should be more resilient to errors, easier to debug, and less expensive.

Change-Id: I6d3dbc7ee8eac50f46023a35af4ec7f2d378fd87
Related-Bug: #1714005
(cherry picked from commit 8008089de24437757d3ba10299bb1041b4aa627a)

NetworkDeploymentActions shall be made role specific

In case of an OSP upgrade, some of the roles may require
the reconfiguration of network via os-net-config, especially
with roles having DPDK nics. In order to facilitate this
configuration per role, the THT parameter
'NetworkDeploymentActions' is made role specific.

Change-Id: I17a1812cf9e1c60fb893bf36dc99ab3ec5fc7250
(cherry picked from commit 88711c3b800257f6b333157eb3dfc8f4e7003a46)

Merge "Convert enable-internal-tls.yaml to be generated" into stable/pike

Convert enable-internal-tls.yaml to be generated

All of the other SSL environments were converted, but this one was
missed.  That's an inconsistent user experience and should be
cleaned up.

This environment also exposed a bug in the tool where it did not
include the parameter_defaults section key if all the parameters
were marked static.

Change-Id: I19bc422c22b9f60f781e696ce703b026dc317786
Closes-Bug: 1713761
(cherry picked from commit 7c06db3d1c384773c4abccbce450c259f75e5e4a)

Fix hardcoded references to deprecated *ExtraConfig parameters

These were missed in the previous refactor in role.role.j2.yaml,
we shouldn't reference these via hard-coded values or they become
mandatory in the roles_data.yaml

Change-Id: I014e7d6679c5733b17243d647eaad228c276585a
Closes-Bug: #1711656
(cherry picked from commit 4a4f6783081d9c5b74cda5149bef7655102fcfd8)

Merge "Remove ipv6 specific network templates" into stable/pike

Merge "Add storage backends env files for containerized deployment" into stable/pike

Remove tacker from containers scenario001

The containerized implementation of tacker is incomplete in THT,
and relies on the pre-pike single "tacker" container. Container
builds using the final pike release of kolla build three tacker
containers to have seperate conductor and server containers.

According to this bug[1], tacker does not even work without this
conductor. Our scenario job needs to be updated to actually test
tacker is working.

This will need to be backported to pike, and we can work on
better supporting tacker in containers in queens.

[1] https://bugs.launchpad.net/tripleo/+bug/1710874

Change-Id: I7cab33687a05bf6ba5c6fb70ba21f3250d3ef381
Partial-Bug: 1714270

Remove ipv6 specific network templates

This change renders the IPv6 versions of the isolated
networks using j2. To allow for backward compatibility,
there will be 2 versions of the network definitions,
<network>.yaml and <network>_v6.yaml. If the ip_subnet
contains an IPv6 address, or if ipv6: true is set on the
network definition in network_data.yaml, then the
<network>.yaml version will contain an IPv6 definition,
otherwise the <network>.yaml will be IPv4, and the
<network>_v6.yaml will be IPv6.

In a future follow-up patch, we will probably only
create the required versions of the networks, either
IPv4, IPv6, not both.

The ipv6_subnet, ipv6_allocation_pools, and ipv6_gateway
settings in the network_data.yaml definition file are
used for the <network>_v6.yaml network definition.
Note that these subnet/cidr/gateway definitions only set
the defaults, which can be overridden with parameters
set in an environment file.

Since the parameters for IP and subnet range are the
same (e.g. InternalApiNetCidr applies to both IPv4/v6),
only one version can be used at a time. If an operator
wishes to use dual-stack IPv4/IPv6, then two different
networks should be created, and both networks can be
applied to a single interface.

Note that the workflow for the operator is the same as
before this change, but a new example template has been
added to environments/network-environment-v6.yaml.

Change-Id: I0e674e4b1e43786717ae6416571dde3a0e11a5cc
Partially-Implements: blueprint composable-networks
Closes-bug: 1714115
(cherry picked from commit dd299f08bd6b1df43760148d83ce9b6e09ba6572)

Updated from global requirements

Change-Id: Ie3f8798c2c3f967ffc867b1a55abab13f9f042a1

Merge "Update generated ssl environments" into stable/pike

Merge "Telemetry specific config for scenario001" into stable/pike

Merge "Move deprecated SchedulerHints logic to overcloud.j2.yaml" into stable/pike

Add storage backends env files for containerized deployment

A storage backend has to be selected when deploying manila,
otherwise the manila-share service will fail to start. For this,
we have some environment files specifying the configuration for
different storage backends. We need a dockerized version
for this environment files.

In this patch set we add those environment files.

Change-Id: I9886016b02bec26699af1f8165d7b0702dfe8b9b
Partial-Bug: #1668922
(cherry picked from commit d7d54594410f60ea6ebf1301048d95f64c66f645)

Merge "Add --wsrep-provider=none to the mysql_bootstrap container" into stable/pike

Merge "Remove puppet run and workarounds from tripleo_upgrade_node.sh" into stable/pike

Update generated ssl environments

These were edited manually and the input file was not updated, which
is causing problems when trying to generate new/updated envs.

Change-Id: Ia2e53e52361e35d94e2dedf9b8885498693bc2e0
Partial-Bug: 1713761
(cherry picked from commit 406b1982ba530abdd6c629780130851e8e335ae8)

Remove puppet run and workarounds from tripleo_upgrade_node.sh

For bug 1708115 and the O..P upgrade, and for the upgrade of
'non-controlers' we are now generating ansible playbooks from
collected service upgrade_tasks and these are executed instead
of the legacy tripleo_upgrade_node.sh.

To clarify, by 'non-controllers' it is meant any node for which
the corresponding roles_data.yaml role has the
disable_upgrade_deployment flag set True.

As a first pass, I am removing the workarounds from the script but
keeping its delivery mechanism for now in case it is needed still.
We can either update here to remove it or keep it until next cycle

The most important part for now is that we no longer 'manually'
run puppet here. Instead the post_deploy_steps are also collected
into a playbook and will be executed after the upgrade_tasks
(see the bug for discussion of the mechanism and related reviews)

Change-Id: Ib017b0ab435ca9558cf8659d434489cdf01df955
Related-Bug: 1708115
(cherry picked from commit 4c5b9c5c967105536106fa4a7e1ec2352b14b08c)

Add --wsrep-provider=none to the mysql_bootstrap container

Depending on the version of mariadb/galera installed the mysql_bootstrap
command might fail. With the following unrevealing error:

openstack-mariadb-docker:2017-08-28.10 "bash -ec 'if [ -e /v" 3 hours ago Exited (124) 3 hours ago

The timeout is actually due to the fact that the following snippets does
not complete within 60 seconds:
"""
if [ -e /var/lib/mysql/mysql ]; then exit 0; fi
kolla_start
mysqld_safe --skip-networking --wsrep-on=OFF &
timeout ${DB_MAX_TIMEOUT} /bin/bash -c ''until mysqladmin -uroot -p"${DB_ROOT_PASSWORD}" ping 2>/dev/null; do sleep 1; done''
mysql -uroot -p"${DB_ROOT_PASSWORD}" -e "CREATE USER ''clustercheck''@''localhost'' IDENTIFIED BY '${DB_CLUSTERCHECK_PASSWORD}'';"
mysql -uroot -p"${DB_ROOT_PASSWORD}" -e "GRANT PROCESS ON *.* TO ''clustercheck'
"""

The problem is that with older mariadb versions:
galera-25.3.16-3.el7ost.x86_64
mariadb-5.5.56-2.el7.x86_64

The mysqld_safe process starts in galera mode (as opposed as to single
local mode):
170830 17:03:05 [Note] WSREP: Start replication
170830 17:03:05 [Note] WSREP: GMCast version 0
...
170830 17:03:05 [ERROR] WSREP: wsrep::connect() failed: 7
170830 17:03:05 [ERROR] Aborting

That means that even though we specified --wsrep-on=OFF it is still
starting in cluster mode. Let's add the extra --wsrep-provider=none
which older versions required.

Let's also add a '-x' to this transient container as that
would have helped a bit because we would have understood right away
that it was mysqld_safe that was not starting. I tested this
successfully on an environment that showed the problem. The new
option is still accepted by newer DB versions in any case.

Closes-Bug: #1714057

Change-Id: Icf67fd2fbf520e8a62405b4d49e8d5169ff3925b
Co-Authored-By: Mike Bayer <mbayer@redhat.com>
(cherry picked from commit c19968ca852ab608513fe692aab958af25276220)

Telemetry specific config for scenario001

- Set gnocchi archivepolicy in scenario001 job to high
- Set polling interval to 15 seconds instead of 300

Change-Id: Ie12abe1f03d000824c5fb1a46d74b94ce49d7876
(cherry picked from commit 0855d4c7b12d27721044ab09ca0d6e8f188d2e90)

Remove hard-coded image reference

This patch removes hard-coded reference to ODL related images.
Logic is implemented in TripleO-common to render images
based on the environment file specified.

Change-Id: I9a11072f98e1245dc32d27d0b0e9bc6e9e19399f
Partial-Bug: #1713685
(cherry picked from commit 21a6b66c8bb5377bc1391e3f582467de7f7b5562)

Move deprecated SchedulerHints logic to overcloud.j2.yaml

The changes in puppet/role.role.j2.yaml should have been made
to overcloud.j2.yaml, because we don't want the hard-coded reference
to the deprecated name in the parent template.  Note we need to
pass this value from the parent template so the %index% substitution
works, which is required for predictable placement via *SchedulerHints

Partial-Bug: #1711656
Change-Id: Ided1802daac48d737f53caa7093df814ba101dd0
(cherry picked from commit c6207379db07544240b699ba000537b58d9fb68f)

Merge "Add support for Dell EMC VNX Manila Backend" into stable/pike

Merge "Add support for Dell EMC Unity Manila Backend" into stable/pike

Merge "Remove src_ceph from manila kolla_config" into stable/pike

Merge "Change ManageEventPipeline to true" into stable/pike

Merge "Use switch to containers instead of take over playbook for ceph-ansible" into stable/pike

Merge "Add DockerPuppetProcessCount defaults to 3" into stable/pike

Merge "Add missing Docker service" into stable/pike

Merge "Set docker-puppet --health-cmd = /bin/true" into stable/pike

Merge "container ovs-agent, ensure br-ex exists" into stable/pike

Merge "Use integers for rabbitmq ports" into stable/pike

Add support for Dell EMC VNX Manila Backend

This change adds support for manila::backend::dellemc_vnx

Change-Id: I5fa5c2d6956429d1b9c12a5af6d4a887ed0624d9
Implements: blueprint dellemc-vnx-manila
(cherry picked from commit a3debcfa8b2cbb3acaba292e082b0a3b0ee8ef54)

Add support for Dell EMC Unity Manila Backend

This change adds support for manila::backend::dellemc_unity

Change-Id: Idec67d190b12359e8e6f1c157577088fa84ef41d
Implements: blueprint dellemc-unity-manila
(cherry picked from commit c5ee7b7714c712807f33ca1645186d33103a2264)

Merge "Update UPPER_CONSTRAINTS_FILE for stable/pike" into stable/pike

Merge "Update .gitreview for stable/pike" into stable/pike

Change ManageEventPipeline to true

Since the event pipeline publisher defaults in the heat templates are
different from what puppet sets. We need to have the Manage to true so
override takes effect. Without this we keep defaulting back to puppet
defaults. We can flip this back to false once panko:// is droppped as
a supported option from the pipeline.

Change-Id: I2248c165783dddfb4cb7cf5644884dd8f6e6ed63
(cherry picked from commit 941b5d6797ea54afbc7b822ee045ce1186627e7c)

container ovs-agent, ensure br-ex exists

Currently the container neutron-ovs-agent is stuck in a restart loop
in many environments because the bridge br-ex is missing.

This bridge is created by running the puppet class
neutron::agents::ml2::ovs but limiting that run to tag
neutron::plugins::ovs::bridge.

The hiera neutron::agents::ml2::ovs::bridge_mappings should already
exists to create the bridge with the required settings.

This change should ensure br-ex exists after step 3.

Since br-ex is created regardless of the chosen network config,
environments/docker-network.yaml is not longer required. It can be
deleted once there are no more references to it in CI and
documentation.

Change-Id: Ie425148b0ad0f38e149c5fa0a97d98ec35d0a5bb
Closes-Bug: #1699261
Closes-Bug: #1691403
Closes-Bug: #1689556
(cherry picked from commit 76f130d6e8f7434433b2602af9794f1e9c742e1f)

Remove src_ceph from manila kolla_config

Pacemaker puppet module takes care of mounting /etc/ceph into
manila-share container (I23b6890b4cf7f1e6fe84b6be280dde82218275fc).

Change-Id: I1026b2436275b17cfe3ac85192d42c5268f0a630
Related-To: I23b6890b4cf7f1e6fe84b6be280dde82218275fc
(cherry picked from commit 0d8040ca33d42dbb7e06162f2b659ff6cbc0316f)

Use switch to containers instead of take over playbook for ceph-ansible

On upgrade we need to run a specific playbook for ceph-ansible
to be able to take over the pre-existing Ceph cluster deployed with
puppet-ceph and the migrate it into a containerized deployment.

This changes the playbook we use on upgrade so that it migrates
the cluster in containers in addition to taking over the cluster.

Change-Id: I353c219832c41328f298fa7b65768ecf26c37f29
(cherry picked from commit cab266c9b2b62c0033f8fb66e8e61b7aa46b3e2b)

Use integers for rabbitmq ports

They should be integers as specified in the parameter definition
of the class. Else it'll fail.

Change-Id: I06b6e46c0722516e28e8bff4d481fb4b7a08bd61
Closes-Bug: #1713659
(cherry picked from commit 4bea8cf918463c43c7d5f4e46984ab54271ea3e5)

Add missing Docker service

The example composable roles are missing the docker service declaration
so they currently do not work when trying to deploy with containerized
services.

Change-Id: I986ae561b950e74aacea10bce84673e8d0c9bd97
Closes-Bug: #1713755
(cherry picked from commit 50c975d1590930e6ce453942f99759a25ec08703)

Use Python to compute release notes version

Leave the version fields blank, since the release notes document
applies to all versions.
That will avoid manual changes in the future like we did until now.

Change-Id: Ibb33ade808c9866b5314b7dda60a44000089a467
(cherry picked from commit 4782394044a8f66de63db7772b7a5992a781cc57)

Merge "Support deploying OVN as container services" into stable/pike

Merge "Make archive policy configurable" into stable/pike

Add DockerPuppetProcessCount defaults to 3

docker-puppet.py is very aggressive about running concurrently.
It uses python multiprocessing to run multiple config generating
containers at once. This seems to work well in general, but
in some cases... perhaps when the registry is slow or under
heavy load can cause timeouts to occur. Lately I'm seeing
several 'container did not start before the specified timeout'
errors that always seem to occur when config files are generated
(docker-puppet.py is initially executed.

A couple of things:

 -when config files are generated this is the first time
  most of the containers are pulled to each host machine
  during deployment

 -docker-puppet.py runs many of these processes at once. Some
  of them run faster, other not.

 -docker daemon's pull limit defaults to 3. This would throttle
  the above a bit perhaps contributing the the likelyhood of a timeout.

One solution that seems to work for me is to set the PROCESS_COUNT
in docker-puppet.py to 3. As this matches docker daemon's default
it is probably safer at the cost of being slightly slower in some
cases.

Change-Id: I17feb3abd9d36fe7c95865a064502ce9902a074e
Closes-bug: #1713188
(cherry picked from commit 949d367ddeb42eff913cdbed733ccf6239b4864b)

Set docker-puppet --health-cmd = /bin/true

Change-Id: Idf627a348cad8d5287c82cb393367210f1c760cf
Closes-bug: #1713185
(cherry picked from commit 20e1f0e8c9a2bbc3734f6eec0ee9ac2d5156f166)

manila: set "host" to "hostgroup"

when running manila-share under control of pacemaker, as
is done for cinder-volume service in the same circumstance.

Change-Id: Ic97f01913bae2a388c962a38fa175eb1d763cdcb
Depends-On: Ie31f2d5ccf458f5fcfe8bec5f2c37f45070cfde2
Closes-Bug: #1712842
(cherry picked from commit 8fa6c6e58c7ac0d32bf2f0dfb586683cf006e3bf)

Merge "Enable ceilometer compute agent" into stable/pike

Merge "Handle failure of carrier check in configure_safe_defaults()" into stable/pike

Merge "Add panko publisher in the event pipeline" into stable/pike

Support deploying OVN as container services

This patch adds the support to containerize OVN services for the
base profile.

OVN db servers do not support active-active mode yet. It does support
master-slave mode supported through pacemaker, which will be supported
in a later patch.

Presently the tripleo container framework doesn't allow to start a
container in only controller 0 (or bootstrap node). OVN db servers and
ovn-northd are started on all the controllers, but only the OVN db
servers running in the boot strap controller are configured to listen
on the tcp ports 6641 and 6642. OVN neutron mechanism driver
and ovn-controller's use the ovn_dbs_vip to connect to the OVN db servers.
Haproxy configures all the controllers as back ends, but only OVN db
servers running on controller 0 respond since only they are configured
properly.

The OVN containers running on other controller nodes do not interact
any way, but are wasteful resources.

This patch also adds the scenario007-multinode-containers CI template.

Partial-bug: #1699085
Change-Id: I98b85191cc1fd8c2b166924044d704e79a4c4c8a
(cherry picked from commit e7cd03d2f0fcd8e3069246ced94f1a83869b8bea)

Make archive policy configurable

Change-Id: I603ce6922130fe32aa1a154df8146ee582bf1a45
(cherry picked from commit b1d7887ce710a98f061100e2878a54c06a5d09e2)

Handle failure of carrier check in configure_safe_defaults()

Configure_safe_defaults() should handle carrier check failures
in the same way as the change that was made to
dhcp-all-interfaces.sh in https://review.openstack.org/#/c/419527/.
That is, it should ignore failures when cat'ing the carrier file.

Change-Id: I100a40835d0ccecee9b4851aae6366c6ab4813a5
Closes-Bug: 1712687
(cherry picked from commit ed976d285caab1858f0b6e74e14a723113d27052)

Enable ceilometer compute agent

This service isn't being started by default and it's required in order
to ceilometer collect data about cpu, which is required to run tempest
integration tests

Closes-Bug: #1713038
Change-Id: I79ba7744db78636fba78e041443148c91e06f940
(cherry picked from commit a2ce6d238cd7e72029fdd6e6364a0501f3bfc835)

Add panko publisher in the event pipeline

Even though panko is deprecated, we still enable it by default.
So lets keep it in pipeline as well until its fully dead.

Change-Id: Idac89820a66c59b921551857cccae6dbc38241c3
(cherry picked from commit 3dbd5bfe86c2d6864c5678774fc7f910ab846300)

Containarise Barbican API

This containerises Barbican API in TripleO

Change-Id: Icc5e9841ea48c806af4db61cd6de5e9a7a40a988
Partial-Bug: 1668924
Depends-On: I6b5ec18ccdd51b90ff27ff7d4341260dfba71e4e
(cherry picked from commit 6d338b809accea4d3ba09ca8363b1a97ed79b658)

Update UPPER_CONSTRAINTS_FILE for stable/pike

Change-Id: If1376a7d802d79c2b7533c8f315f47c21f896476

Update .gitreview for stable/pike

Change-Id: I62443317bb2a7fbe84f6bb2aa769053b66edb022

Merge "Remove baremetal cron jobs on docker upgrade"

Merge "Docker: Enable TLS in the internal network for libvirt"

Merge "Specify the start count to 0 for the update step loop"

Merge "Do not install additional CentOS packages via ceph-ansible"

Merge "More fixes for the Ceph docker images url parsing"

Merge "Configure listen_address for libvirtd when TLS is enabled"

Do not install additional CentOS packages via ceph-ansible

EPEL is required by the Ceph RPM repo maintained at ceph.com but
not by the CentOS SIG repo. The other packages should be already
installed in the infra image.

This change overrides the list of required packages in ceph-ansible
so that it does not install epel-release nor additional unneeded
packages [1].

1. https://github.com/ceph/ceph-ansible/blob/master/group_vars/all.yml.sample#L67

Change-Id: I7b6d2794ebfc0df5b3d5ad9de1d1d55740a38ae0
Closes-Bug: #1712599