Merge "Support for Dell EMC VMAX ISCSI Cinder Driver"

Merge "Allow configuring multiple insecure registries"

Merge "Add TLS for nova metadata service"

Merge "Enable TLS in the internal network for horizon"

Merge "Create separate resource for HAProxy horizon endpoint"

Merge "Move barbican's database creation to mysql profile"

Merge "Release Pike rc1 - 7.3.0"

Add TLS for nova metadata service

This adds a TLS proxy in front of it so it serves TLS in the internal
network.

bp tls-via-certmonger

Change-Id: I97ac2da29be468c75713fe2fae7e6d84cae8f67c

Merge "Remove extra keystone admin haproxy listen and allow TLS"

Allow configuring multiple insecure registries

If we're using local registries, we may want to use different
registries e.g. for Ceph and for OpenStack. We allow multiple
registries in general for this purpose, and we should also allow it in
the insecure registry configuration.

Change-Id: I5cddd20a123a85516577bde1b793a30d43171285
Related-Bug: #1709310

Merge "HAProxy: Set listen options for internal services too"

Merge "Add logrotate-crond configuration"

Enable TLS in the internal network for horizon

This enables the usage of TLS by the apache vhost that hosts horizon.

bp tls-via-certmonger

Change-Id: I7f2e11eb60c7b075e8a59f28682ecc50eeb95c3e

Create separate resource for HAProxy horizon endpoint

This removes clutter from the main haproxy manifest and allows TLS in
the internal network as well. Trying to keep the previous behavior.

bp tls-via-certmonger-containers
Change-Id: I1a68771cc7be7fb2b32abbad81db7890bd2c5502

Release Pike rc1 - 7.3.0

Change-Id: Id3277c97052e1dd88e6d2de6c5f92b32b95fa210

Move barbican's database creation to mysql profile

This makes sure that the database creation is only executed on the mysql
profile (or container if that's enabled), and stops the conflicts and
errors that were happening when barbican was deployed in containerized
environments.

Change-Id: Ib5c99482f62397fc5fb79a9dc537dfb06ee7f4df
Closes-Bug: #1710928

Add logrotate-crond configuration

Generate a cron job and a config for logrotate
to be run against containerized services logs.

Related-bug: #1700912

Change-Id: Ib9d5d8ca236296179182613e1ff625deea168614
Signed-off-by: Bogdan Dobrelya <bdobreli@redhat.com>

Remove extra keystone admin haproxy listen and allow TLS

The current code exposes an unused public listen directive in HAProxy
for the keystone admin endpoint. This is not ideal and should be
removed, as it exposes the service unnecessarily. We should stick to
just exposing it to the ctlplane network as is the default.

If folks really need to expose it to the public network, they can do so
by modifying the ServiceNetMap through t-h-t and setting the keystone
admin endpoint's network to external.

Now, for "single" or "internal" haproxy endpoints, this adds the ability
to detect if they're using the external network, and thus use TLS on it.
Which is something a deployer would want if they exposed the keystone
admin endpoint in such a way.

Change-Id: I79563f62fd49a4f7654779157ebda3c239d6dd22
Closes-Bug: #1710909
Closes-Bug: #1639996

Merge "Replace enabled languages with excluded languages in UI"

Merge "Enable TLS configuration for containerized HAProxy"

Merge "Use rabbitmq ipv6 flag"

Merge "Fix legacy nova/cinder encryption key manager configuration"

Use rabbitmq ipv6 flag

The internal details of enabling IPv6 have moved upstream[1], so just
set the ipv6 flag when desired and don't worry about the details
anymore!

[1] https://github.com/puppetlabs/puppetlabs-rabbitmq/pull/552

Closes-Bug: #1710658

Change-Id: Ib22507c4d02f0fae5c0189ab7e040efac3df7e2f

Support for Dell EMC VMAX ISCSI Cinder Driver

This changes adds Dell EMC VMAX ISCSI backend as composable service
and matches the tripleo-heat-templates.

Change-Id: Ifc169c60994856e382b76b72e020624ca64eef9f
Implements: blueprint dellemc-vmax-isci

Merge "Run online_data_migrations for Ironic on upgrade"

Merge "Enable TLS configuration for containerized Galera"

Merge "Do not include manila ceph key resource twice"

Merge "Modify resource dependencies of certmonger_user resources"

HAProxy: Set listen options for internal services too

This was missed from a previous commit, as described in the bug report.
We need to set this variable in this case as well, else it will use the
undefined variable, thus ignoring anything that the user had set.

Change-Id: I6810e7bb3eed16a6478974ac759c3f720a41120a
Closes-Bug: #1709332

Modify resource dependencies of certmonger_user resources

In a containerized environment the haproxy class might not be defined,
so this was made optional. On the other hand, this also retrieves the
CRL before any certmonger_certificate resources are created.

bp tls-via-certmonger-containers
Change-Id: I2078da7757ff3af1d05d36315fcebd54bb4ca3ec

Do not include manila ceph key resource twice

When mds creates manila key [1], then manila manifest needs to check
first if this resource already exists otherwise puppet fails.

[1] I6308a317ffe0af244396aba5197c85e273e69f68

Change-Id: I3f18bbe476c4f43fa4e162cc66c5df443122cd0c

Merge "Enable TLS configuration for containerized RabbitMQ"

Merge "Use clustercheck credentials to poll galera state in container"

Enable TLS configuration for containerized HAProxy

In non-containerized deployments, HAProxy can be configured to use TLS
for proxying internal services.

Fix the creation of the of the haproxy bundle resource to enable TLS
when configured. The keys and certs files, as well as the crl file are
all passed as configuration files and must be copied by Kolla at
container startup.

Change-Id: I4b72739446c63f0f0ac9f859314a4d6746e20255
Partial-Bug: #1709563

Merge "Enable innodb_buffer_pool_size configuration"

Enable TLS configuration for containerized RabbitMQ

In non-containerized deployments, RabbitMQ can be configured to use TLS for
serving and mirroring traffic.

Fix the creation of the rabbitmq bundle resource to enable TLS when configured.
The key and cert are passed as other configuration files and must be copied by
Kolla at container startup.

Change-Id: Ia64d79462de7012e5bceebf0ffe478a1cccdd6c9
Partial-Bug: #1709558

Merge "Update swift-proxy unit tests for puppet5"

Run online_data_migrations for Ironic on upgrade

This only enables correct offline upgrade for now, proper rolling
upgrade support will follow in the Queens release.

Change-Id: Iebbd0c6dfc704ba2e0b5176d607354dd31f13a0d
Depends-On: I548c80cf138b661ba3a5e45a6dfe8711f3322ed0
Partial-Bug: #1708149

Merge "Update link addresses in README.md"

Update swift-proxy unit tests for puppet5

The latest version of puppet now require the class dependencies included
in the unit tests.

Change-Id: I0b6462f697f2d8012f8a785660c004f3efb13fdc

Enable TLS configuration for containerized Galera

In non-containerized deployments, Galera can be configured to use TLS
for gcomm group communication when enable_internal_tls is set to true.

Fix the creation of the mysql bundle resource to enable TLS when
configured. The key and cert are passed as other configuration files
and must be copied by Kolla at container startup.

Change-Id: If845baa7b0a437c28148c817b7f94d540ca15814
Partial-Bug: #1708135

Merge "Enable encryption of pacemaker traffic by default"

Merge "Update openstackdocstheme>=1.16.0"

Merge "Configure dockerd with --iptables=false"

Merge "Ensure directory exists for certificates for haproxy"

Enable innodb_buffer_pool_size configuration

Adds a hiera-enabled setting for mysql.pp to
allow configuration of innodb_buffer_pool_size, a key
configurational element for MySQL performance tuning.

Change-Id: Iabdcb6f76510becb98cba35c95db550ffce44ff3
Closes-bug: #1704978

Configure dockerd with --iptables=false

This change defaults --iptables=false for dockerd to avoid
having Docker create its own FORWARD iptables rules. These
rules can interact with normal OS networking rules and disable
communications between hosts on reboot.

Change-Id: I875fa14f7d810c7f0aba3b3a1b04b60a19470f0f
Closes-bug: #1708279

Update link addresses in README.md

Change-Id: I0ad611bd669e9fb5f119237034dca347641c74b5

Use normal socket file permissions instead of polkit

The default (on RHEL/CentOS) is to use polkit but this is only useful
for GUI support or for fine grained API access control.  As we don't
require either we can achieve identical control using plain old unix
filesystem permissions.

I've merged Sven's changes from https://review.openstack.org/484979
and https://review.openstack.org/487150.

As we need to be careful with the libvirtd option quoting I think it's
best to do this in puppet-tripleo instead of t-h-t yaml.

The option to override the settings from t-h-t remains.

Co-Authored-By: Sven Anderson <sven@redhat.com>
Reverts I91be1f1eacf8eed9017bbfef393ee2d66771e8d6

Closes-bug: 1696504

Change-Id: I507bdd8e3a461091562177403a2a55fcaf6694d2
Depends-On: I17f6c9b5a6e2120a53bae296042ece492210597a

Merge "Support for Dell EMC Unity Cinder Driver"

Ensure directory exists for certificates for haproxy

We used to rely on a standard directory for the certificates and keys
that are requested by certmonger. However, given the approach we plan to
take for containers that's described in the blueprint, we need to use
service-specific directories for the certs/keys, since we plan to
bind-mount these into the containers, and we don't want to bind mount
any keys/certs from other services.

Thus, we start by creating this directories if they don't exist in the
filesystem and adding the proper selinux labels.

bp tls-via-certmonger-containers

Change-Id: Iba3adb9464a755e67c6f87d1233b3affa8be565a

Enable encryption of pacemaker traffic by default

We already are setting a pre-shared key by default for the pacemaker
cluster. This was done in order to communicate with TLS-PSK with
pacemaker-remote clusters. This key is also useful for us to enable
encrypted traffic for the regular cluster traffic, which we enable by
default with this patch.

Change-Id: I349b8bf79eeeaa4ddde1c17b7014603913f184cf

Merge "Enable TLS for the HAProxy stats interface"

Use clustercheck credentials to poll galera state in container

The clustercheck service currently connects to mysql as root
to poll the state of the galera cluster.

Update the generated config to use clustercheck credentials.

Depends-On: If8e0b3f9e4f317fde5328e71115aab87a5fa655f
Closes-Bug: #1707683

Change-Id: I4ee6e1f56a7880ccf456f5c08d26a267fb810361

Merge "Prevent haproxy to run iptables during docker-puppet configuration"

Enable TLS for the HAProxy stats interface

This creates a new class for the stats interface and furtherly
configures it to also use the certificates that are provided by
certmonger (via the internal_certificates_specs variable).

Note that the already existing haproxy_stats_certificate still works and
will take precedence if it's set.

bp tls-via-certmonger

Change-Id: Iea65d91648ab13dbe6ec20241a1a7c95ce856e3e

Update openstackdocstheme>=1.16.0

Change-Id: I69f9af4191cf7148d517f56c77da739c1a06b49f

Fix legacy nova/cinder encryption key manager configuration

Recent changes in Nova [0] and Cinder [1] result in Barbican being selected
as the default encryption key manager, even when TripleO is not deploying
Barbican.

This change ensures the legacy key manager is enabled when no key manager
(such as Barbican) has been specified. This restores the previous behavior,
where the legacy key manager was enabled by default.

[0] https://review.openstack.org/484501
[1] https://review.openstack.org/485322

Closes-Bug: #1706389
Change-Id: Idc92f7a77cde757538eaac51c4ad8dc397f9c3d3

Support for Dell EMC Unity Cinder Driver

This changes adds Dell EMC Unity backend as composable service
and matches the tripleo-heat-templates.

Change-Id: I015f7dfec4bedf72332d91b91cda3ef1dc8caf8c

Replace enabled languages with excluded languages in UI

Change-Id: I14d2c8d11abb1df17759e2a9d4ae6b9ccebbe30f
Depends-On: Idf5a3314c19be18ca6cabbae1e94bc7cb1d1fe94

Handle SSL options for Zaqar

This allows running Zaqar with SSL under Apache.

Change-Id: I4c68a662c2433398249f770ac50ba0791449fe71

Prevent haproxy to run iptables during docker-puppet configuration

When docker-puppet runs module tripleo::haproxy to generate haproxy
configuration file, and tripleo::firewall::manage_firewall is true,
iptables is called to set up firewall rules for the proxied services
and fails due to lack of NET_ADMIN capability.

Make the generation of firewall rule configurable by exposing a
new argument to the puppet module. That way, firewall management can
be temporarily disabled when being run through docker-puppet.

Change-Id: I2d6274d061039a9793ad162ed8e750bd87bf71e9
Partial-Bug: #1697921

Fix nova and selinux unit tests

The unit tests jobs are failing because of missing pre conditions for
the new shared class introduced by
Ib233689fdcdda391596d01a21f77bd8e1672ae04.  Additionally this change
moved some classes around so that the tests are now failing due to
duplicate class declarations for nova::compute::libvirt::services. This
change moves the include that pulls in the declaration first prior to
the include that exists in tripleo::profile::base::nova::libvirt.

The selinux test was also failing due to a type issue with the fact
being used (boolean vs string)

Change-Id: I5bd4b61d6008820729d58f7743e7e61955dd6f51
Closes-Bug: #1707034

Merge "Move gnocchi::api resource to run with wsgi setup"

Merge "Configure redis as incoming storage driver in gnocchi"

Move gnocchi::api resource to run with wsgi setup

Having this run in step 4 causes a refresh (restart) for httpd, which
in turn is problematic for the gnocchi db upgrade command, since when
it runs httpd is not available at that point. This fixes the issue,
since the API configuration is now ran at the same time as the wsgi
bits.

Change-Id: Ie0ab389a4450bb940757e34d1964423911885fa3

Pass 'false' docroot to vhost for tls_proxy

passing undef causes a failure since due to a recent commit [1] the
resource now does proper validation of the parameters.

[1] https://github.com/puppetlabs/puppetlabs-apache/commit/d6952b21ec66d7ce8b69dd0c2f2a0debca54e18f

Change-Id: I6dc1e5820a1f4fe449d254d301738e1073f4b82b
Closes-Bug: #1706026

Configure redis as incoming storage driver in gnocchi

puppet support for this is added in Id8d4d091da2611de75390e045ebd473caf2a8909

Change-Id: I3354b54571a1b9d0a9187698217628d273cd7d7e

Merge "Puppet module to deploy Manila Share bundle for HA"

Merge "Release pike-3"

Merge "Deprecates using exec workaround for ODL clustering"

Merge "Fix lint issues to upgrade to puppet-lint 2.3"

Release pike-3

Change-Id: I317efb369dc0a6cd4ec9eefb6678d14caba784f9

Merge "Make calls to nova::compute::rbd from libvirt profile"

Deprecates using exec workaround for ODL clustering

Previously we had used an exec defined in puppet-tripleo to do
clustering with OpenDaylight docker containers.  The clustering issue is
now fixed in puppet-opendaylight by:
https://git.opendaylight.org/gerrit/#/c/60491

So removing the custom function and class workaround.  Also,
'ha_node_index' is deprecated for configuring clustering with
puppet-opendaylight so that is also removed.

Depends-On: I21c1eb2eff6d4cb855eff4a1122f55ad625d84cc

Change-Id: I7693b692c74071945fdcc08292542e9b458a540b
Signed-off-by: Tim Rozet <trozet@redhat.com>

Fix lint issues to upgrade to puppet-lint 2.3

2017-07-20 15:09:38.571317 | manifests/glance/nfs_mount.pp:65:WARNING: arrow should be on the right operand's line
2017-07-20 15:09:38.571430 | manifests/pacemaker/haproxy_with_vip.pp:107:WARNING: arrow should be on the right operand's line
2017-07-20 15:09:38.571473 | manifests/pacemaker/haproxy_with_vip.pp:108:WARNING: arrow should be on the right operand's line
2017-07-20 15:09:38.571511 | manifests/pacemaker/haproxy_with_vip.pp:109:WARNING: arrow should be on the right operand's line
2017-07-20 15:09:38.571551 | manifests/pacemaker/resource_restart_flag.pp:44:WARNING: arrow should be on the right operand's line
2017-07-20 15:09:38.571590 | manifests/profile/base/cinder/volume/nfs.pp:72:WARNING: arrow should be on the right operand's line
2017-07-20 15:09:38.571625 | manifests/profile/base/docker.pp:188:WARNING: arrow should be on the right operand's line
2017-07-20 15:09:38.571661 | manifests/profile/base/docker.pp:210:WARNING: arrow should be on the right operand's line
2017-07-20 15:09:38.571699 | manifests/profile/base/logging/fluentd.pp:79:WARNING: arrow should be on the right operand's line
2017-07-20 15:09:38.571735 | manifests/profile/base/pacemaker.pp:107:WARNING: arrow should be on the right operand's line
2017-07-20 15:09:38.571773 | manifests/profile/base/swift/ringbuilder.pp:97:WARNING: arrow should be on the right operand's line
2017-07-20 15:09:38.571811 | manifests/profile/base/swift/ringbuilder.pp:125:WARNING: arrow should be on the right operand's line
2017-07-20 15:09:38.571850 | manifests/profile/base/swift/ringbuilder.pp:130:WARNING: arrow should be on the right operand's line
2017-07-20 15:09:38.571889 | manifests/profile/pacemaker/ceph/rbdmirror.pp:79:WARNING: arrow should be on the right operand's line
2017-07-20 15:09:38.571927 | manifests/profile/pacemaker/cinder/backup.pp:66:WARNING: arrow should be on the right operand's line
2017-07-20 15:09:38.571965 | manifests/profile/pacemaker/ovn_northd.pp:96:WARNING: arrow should be on the right operand's line

Change-Id: I9393c5e04310cf84695531df9bb16f33e7e15abb

Fix up the control-port for rabbitmq bundles

Mistakenly this was set to 3121 which is the same port that pacemaker
remote uses. Move this to 3122 which was the plan all along.

Also fix a wrong port comment in redis and mysql at the same time.

Change-Id: Iccca6a53a769570443091577c7d86f47119d9cbb

Merge "PS Cinder: Added support for password less login"

Make calls to nova::compute::rbd from libvirt profile

Some of the tasks carried by nova::compute::rbd class apply libvirt.

Change-Id: Ib233689fdcdda391596d01a21f77bd8e1672ae04
Depends-On: I28557deb13b75922932cd3e86c3467a541c988d0

Puppet module to deploy Manila Share bundle for HA

This module is used by tripleo-heat-templates to configure and deploy
Kolla-based manila-share containers managed by pacemaker.

We use short-lived containers that call pcs via puppet to create
the needed pacemaker resources, properties and constraints.

Based on work done in fc5bc07b3be401694681420ba453af29b95a9fcf

Change-Id: I89f65e8a34a3a88029498463942016a9f5285f1c
Partial-Bug: #1668922

PS Cinder: Added support for password less login

Added missing san_private_key parameter used for password less SSH
authentication.

Change-Id: Ia9857064692681172573e9092b53a352cd776cbd
Depends-On: 0743d42ed1ed66e08ab7f4355145b4c06c589801

Merge "Create a Mesh of qdrouterd links for messaging high availability"

Merge "Allow disabling udev usage by LVM"

Merge "Retry ceilometer-upgrade"

Merge "Update resource references for dependencies"

Merge "Add option for innodb_flush_log_at_trx_commit = 2 for Galera only"

Merge "Modified glance stores parameter values"

Create a Mesh of qdrouterd links for messaging high availability

For multi-node deployments of the dispatch router, a mesh of
inter-router links is created. Note that bi-directional links must
not be configured.

Example: For nodes A, B, C
  Node    Inter-Router Link
   A:           []
   B:           [A]
   C:           [A,B]

Change-Id: If43beea7a53c1f8f1dff062341c7ea81751c3122

Retry ceilometer-upgrade

When the ceilometer-upgrade command is run in step5, it talks to gnocchi
and keystone on all the controllers. Since these other nodes might have
httpd restarted mid-upgrade we should retry if we get a failure.

Change-Id: I874cf9c34b41d055a258704dabe9150eab0f7968
Closes-Bug: #1703444

Update resource references for dependencies

The latest version of puppet now reports these as catalog failures so
this change removes the unnecessary references and the references
should be updated.

Closes-Bug: #1702964
Change-Id: Iebc547aa92f9f40e4a633c57d79e6c9cddb5dd28

Merge "Add new profile for the Veritas HyperScale's cinder backend."

Merge "Contrail: Fix controlplane/dataplane network asignments & enable optional dpdk"

Merge "Fix typo in haproxy bundle"

Merge "Add insecure_registry_address to docker profile"

Modified glance stores parameter values

The stores parameter should be set with the new parameters
as they are going to be deprecated in the old method.

Change-Id: If272345e96988778ceccb8f2f624db1c38aea365
Closes-Bug: 1704327

Add new profile for the Veritas HyperScale's cinder backend.

Add new hook in the keystone profile for Veritas HyperScale.
Add new hook in the rabbitmq profile for Veritas HyperScale.
Add new hook in the mysql profile for Veritas HyperScale.

Change-Id: I9168bffa5c73a205d1bb84b831b06081c40af549
Depends-On: I316b22f4f7f9f68fe5c46075dc348a70e437fb1d
Depends-On: Id188af5e2f7bf628a97a70b8f20bef28e42b372d
Signed-off-by: abhishek.kane <abhishek.kane@veritas.com>
Signed-off-by: Dnyaneshwar Pawar <dnyaneshwar.pawar@veritas.com>

Merge "Refactor iscsi initiator-name reset into separate profile"

Merge "Fix mysql client config generation with containerized environment"

Fix typo in haproxy bundle

Change I6f4d3a5abae8f1781cfe6f69ff960aad500061e3 slipped in a typo
and it removed the '$' character from a puppet manifest. Which causes
a deployment to fail with:
INFO: running container haproxy-bundle-docker-0 for the first time
ERROR: /usr/bin/docker-current: Error response from daemon: Invalid bind mount spec "deployed_ssl_cert_path:deployed_ssl_cert_path:ro": Invalid volume destination path: 'deployed_ssl_cert_path' mount path must be absolute.. See '/usr/bin/docker-current run --help'.
ERROR: docker failed to launch container

Change-Id: Ic602fd443d38482bf1f924531561b2174dc38293

Add insecure_registry_address to docker profile

This patch adds a new insecure_registry_address parameter
to the docker profile. This parameter is meant to replace two
deprecated parameters which did the same thing.

Co-Authored-By: Ian Main <imain@redhat.com>
Change-Id: I729fa00175cb36b02b882d729aae5ff06d0e3fbc