docs/sections/release-notes.rst

   1 .. This work is licensed under a Creative Commons Attribution 4.0 International License.
   2 .. http://creativecommons.org/licenses/by/4.0
   3 .. Copyright © 2017 AT&T Intellectual Property. All rights reserved.
   4 .. _release_notes:
   5
   6 Release Notes
   7 =============
   8
   9 Version: 2.1.23 (Frankfurt, 6.0.0)
  10 ---------------------------------------------
  11
  12 :Release Date: 2020-06-05
  13
  14 **New Features**
  15 Certificate Management Protocol Version 2 (CMPv2) support was added to retrieve X.509 certificates from servers which supports CMPv2 over HTTP. SDNC as first ONAP component was integrated to enroll certificate from CMPv2 server to protect traffic between SDNC and Network Functions (xNFs).
  16 More details about CMPv2 support in ONAP can be found on a dedicated page.
  17
  18
  19 **Bug Fixes**
  20         - `AAF-383 <https://jira.onap.org/browse/AAF-383>`_ AAF aaf-sms chart should use nodePortPrefix variable
  21         - `AAF-783 <https://jira.onap.org/browse/AAF-783>`_ Consul container is outdated
  22     - `AAF-784 <https://jira.onap.org/browse/AAF-784>`_ Vault container is outdated
  23     - `AAF-1102 <https://jira.onap.org/browse/AAF-1102>`_ Pods still run as root
  24
  25 **Known Issues - solve in Guilin**
  26     - `AAF-1087 <https://jira.onap.org/browse/AAF-1087>`_ AAF init containers init with exit 0 even if failing
  27
  28 Version: 2.1.15 (El Alto, 5.0.1)
  29 ---------------------------------------------
  30
  31 :Release Date: 2019-08-12
  32
  33 **New Features**
  34 El Alto is a consolidation release.  New Features are not Added.
  35 However, for El Alto, ONAP is propagating the AAF Auto-Configuration and Certificate Generation feature from Dublin, see below
  36
  37 An important change, however, is that the AAF Locator requires internal K8s Apps to use
  38         internal-to-K8s Service URL tags as (example) "onap.org.osaaf.aaf.service:2.1"
  39         external-to-K8s Service URL tags as (example) "org.osaaf.aaf.service.2.1"
  40
  41         IF you are using previous configurations, you may need to clear the existing directory
  42
  43         - Login to your Init Container
  44         - cd /opt/app/osaaf/local
  45         - CAREFULLY rm *.*, and have it regenerate
  46
  47 **Bug Fixes**
  48         - `AAF-859 <https://jira.onap.org/browse/AAF-859>`_ Images hardcoded in AAF helm deployment yamls
  49
  50 **Known Issues - solve in Frankfurt**
  51         - `AAF-962 <https://jira.onap.org/browse/AAF-962>`_ AAF Certs could not generate...
  52
  53 Version: 2.1.13 (Dublin, 4.0.0-ONAP)
  54 ---------------------------------------
  55
  56 :Release Date: 2019-06-06
  57
  58 **New Features**
  59
  60 Note: In general, Infrastructure must be accomplished in the release PRIOR to general usage.  This is the case for most of the features included here.
  61
  62         - AAF has built the required features to automatically generate all Certificates and Configurations real-time.  This will be utilized by ONAP MSs in El Alto
  63         - AAF has the ability to publish both Public and Internal Private K8s Service information (Locator)
  64         - Greatly Reduced size of Docker Images
  65         - Greatly enhanced startup procedures in K8s, to more cleanly start, with Certificate, Property Generation every time
  66         - Ability to run internally as non-root (fully setup K8s in El Alto)
  67         - Removal of unused classes in Batch
  68         - Large improvement in Batch and methodology, to be used in El Alto
  69
  70 **Bug Fixes**
  71         - `AAF-797 <https://jira.onap.org/browse/AAF-797>`_ Update IP address for aaf-onap-test.osaaf.org
  72         - `AAF-794 <https://jira.onap.org/browse/AAF-794>`_ Misleading error message in agent.sh
  73         - `AAF-773 <https://jira.onap.org/browse/AAF-773>`_ aaf-cass timing issues
  74         - `AAF-769 <https://jira.onap.org/browse/AAF-769>`_ AAF CSIT not working
  75         - `AAF-727 <https://jira.onap.org/browse/AAF-727>`_ Cert Subject Check confused by Email
  76         - `AAF-722 <https://jira.onap.org/browse/AAF-722>`_ aaf continues to be available to aai-resources even though aaf database appears to be down
  77         - `AAF-720 <https://jira.onap.org/browse/AAF-720>`_ Docker Images not passing Signal -1
  78         - `AAF-645 <https://jira.onap.org/browse/AAF-645>`_ Fix "Null" string for fetching path inside CADI API enforcement filter
  79         - `AAF-522 <https://jira.onap.org/browse/AAF-522>`_ rsa 4096 signing fails with TPM
  80         - `AAF-813 <https://jira.onap.org/browse/AAF-813>`_ Missing Role for dmaap-bc Identity
  81         - `AAF-514 <https://jira.onap.org/browse/AAF-514>`_ TPM Plugin: Remove global structure used for storing session data
  82         - `AAF-785 <https://jira.onap.org/browse/AAF-785>`_ non STAGING version on master
  83         - `AAF-822 <https://jira.onap.org/browse/AAF-822>`_ Startup issues with K8S, Certs
  84
  85 **Usage Notes**
  86         - AAF Core and SMS elements have consistently started from scratch. The one case where this didn't happen for SMS,
  87                 it was found that incompatible data was left in volume.  Removal of old data for SMS (See SMS notes) should resolve
  88         - On the same instance, one AAF Core component had a similar scenario.  A simple bounce of aaf-locator resolved.
  89         - Existing Cassandra
  90                 - For each release, AAF maintains the authz/auth/auth-cass/cass_init/init.cql which is used to setup Keyspaces from scratch
  91                 - Any changes are also done in small CQL files, you MIGHT need authz/auth/auth-cass/cass_init/init2_10.cql for Dublin
  92
  93
  94 Version: 2.1.8 (Casablanca, 3.0.0-ONAP, Casablanca Maintenance Release)
  95 --------------------------------------------------------------------------
  96
  97 Note: AAF did not create new artifacts for Casablanca Maintenance Release.
  98
  99
 100 :Release Date: 2018-11-30
 101
 102 **New Features**
 103
 104  - AAF created a local CA and CA Strategy to be utilized for ONAP Test Environments that can instantiated daily, yet have continuity over time and environments. (REAL ONAP instantiations should use their *own* CAs outside of initial tests.)
 105  - AAF has auto-creation of configurations and certificates.  This is expected to be done inside an "agent" container, and used by Apps.
 106  - AAF stores and creates "Bootstrap Data" for all users of AAF in ONAP.  This simplifies the efforts of ONAP components to organize their Authorizations, and so that various Test Environments can start with correct data every time.
 107  - Refactored all of AAF instantiations to use the above, and have consistency between the 5 ways to start AAF.
 108  - Ability for CADI Clients to map previous User/Password combinations to current credentials for migration purposes. This is applied to Shiro Plugin as well
 109  - CADI Coarse Grain Enforcement Point (Authorize API access).
 110  - Created Backward compatibility features, both for DB (Cassandra) and for API access.
 111
 112
 113 **Bug Fixes**
 114         - AAF in OOM was not stable coming out of Beijing.  AAF OOM was refactored using above Container based Configurations.
 115         - `AAF-617 <https://jira.onap.org/browse/AAF-617>`_ LOCATE Proxy DELETE not working
 116         - `AAF-605 <https://jira.onap.org/browse/AAF-605>`_ DB Stoppage not causing Reset of Connection
 117         - `AAF-601 <https://jira.onap.org/browse/AAF-601>`_ Agent "showpass" errors on optional "chal" file, when not exists
 118         - `AAF-600 <https://jira.onap.org/browse/AAF-600>`_ Bad Data for APPC in AAF Test Evironment
 119         - `AAF-598 <https://jira.onap.org/browse/AAF-598>`_ Inconsistent Startup with truly persistent Cass Data
 120         - `AAF-597 <https://jira.onap.org/browse/AAF-597>`_ Please change default appc@appc.onap.org permission
 121         - `AAF-592 <https://jira.onap.org/browse/AAF-592>`_ SDNC not able to authenticate with BAth username/password
 122         - `AAF-530 <https://jira.onap.org/browse/AAF-530>`_ AAF inside Kubernetes inaccessible for clients from outside
 123
 124 **Known Issues**
 125    N/A
 126
 127 **Other**
 128    - REAL ONAP versus ONAP Test Environment
 129      - CA used in ONAP Test Environment should (of course) NOT be used by individual companies in REAL deployments.
 130      - Cassandra Instance in Kubernetes ONAP Test environment is a single instance.  REAL deployments should follow global, multi-datacenter deployment strategies per Cassandra recommendations.
 131    - AAF team organized all the Identities, all the Credentials, etc, on behalf of ONAP Apps.
 132
 133 **Security Notes**
 134  - AAF has achieved clean scans for everything in authz.git repo
 135  - In the cadi.git (used for Adaptors), there is a Shiro adapter.  Shiro itself has security flags, *NOT* the adapter, so understand the security issues of Shiro before use.
 136
 137  - AAF code has been formally scanned during build time using NexusIQ and all Critical vulnerabilities have been addressed, items that remain open have been assessed for risk and determined to be false positive. The AAF open Critical security vulnerabilities and their risk assessment have been documented as part of the `project <https://wiki.onap.org/pages/viewpage.action?pageId=43386201>`_.
 138
 139
 140 **Upgrade Notes**
 141   NA
 142
 143 **Deprecation Notes**
 144
 145 Version: 2.1.1 (Beijing, 2.0.0-ONAP)
 146 --------------------------------------
 147
 148 :Release Date: 2017-06-05
 149
 150
 151 **New Features:**
 152
 153  - Service (primary) – All the Authorization information (more on that in a bit)
 154  - Locate – how to find ANY OR ALL AAF instances across any geographic distribution
 155  - OAuth 2.0 – new component providing Tokens and Introspection (no time to discuss here)
 156  - GUI – Tool to view and manage Authorization Information, and create Credentials
 157  - Certman – Certificate Manger, create and renew X509 with Fine-Grained Identity
 158  - FS – File Server to provide access to distributable elements (like well known certs)
 159  - Hello - Test your client access (certs, OAuth 2.0, etc)
 160
 161 **Bug Fixes**
 162    - `AAF-290 <https://jira.onap.org/browse/AAF-290>`_ Fix aaf truststore
 163    - `AAF-270 <https://jira.onap.org/browse/AAF-270>`_ AAF fails health check on HEAT deployment
 164    - `AAF-286 <https://jira.onap.org/browse/AAF-286>`_ SMS fails health check on OOM deployment
 165    - `AAF-273 <https://jira.onap.org/browse/AAF-273>`_ Cassandra pod running over 8G heap - or 10% of ONAP ram (for 135 other pods on 256G 4 node cluster)
 166
 167
 168 **Known Issues**
 169    N/A
 170
 171 **Other**
 172    - REAL ONAP versus ONAP Test Environment
 173      - Cassandra Instance in Kubernetes ONAP Test environment is a single instance.  REAL deployments should follow global, multi-datacenter deployment strategies per Cassandra recommendations.
 174
 175
 176 ================
 177 Quick Links
 178 ================
 179         - `AAF project page <https://wiki.onap.org/display/DW/Application+Authorization+Framework+Project>`_
 180         - `CII Best Practices Silver Badge information for AAF <https://bestpractices.coreinfrastructure.org/en/projects/2303?criteria_level=1>`_
 181         - `CII Best Practices Passing Badge information for AAF <https://bestpractices.coreinfrastructure.org/en/projects/2303?criteria_level=0>`_
 182         - `Project Vulnerability Review Table for AAF <https://wiki.onap.org/pages/viewpage.action?pageId=43386201>`_
 183
 184
 185