CloudStack数据源密码更新机制失效问题分析

问题背景

在CloudStack云平台环境中，当用户通过平台重置虚拟机root密码后，新密码无法在虚拟机重启后生效。这个问题源于Cloud-init项目中一个关于缓存处理的变更，影响了CloudStack数据源获取最新密码的能力。

技术原理

CloudStack平台通过Cloud-init数据源提供了一种密码更新机制：当管理员在CloudStack控制台重置虚拟机密码时，新的密码会通过元数据服务传递给虚拟机。Cloud-init负责在每次启动时获取这个最新密码并应用到系统中。

该机制依赖于两个关键点：

1. 每次启动时Cloud-init都能获取最新的元数据
2. 密码重置模块(set_passwords)能够基于最新元数据更新系统密码

问题根源

问题的直接原因是Cloud-init项目中的PR 4997修改了缓存处理逻辑。原先的设计会在每次启动时删除缓存文件(obj.pkl)，强制Cloud-init重新获取元数据。变更后的逻辑变为：

1. 在"init --local"阶段不会删除缓存文件
2. 当数据源有网络依赖时，首次运行可能无法获取数据
3. 后续运行会直接使用缓存数据而不更新
4. 密码重置模块虽然每次都会运行，但使用的是缓存中的旧密码

这种变化使得obj.pkl从临时缓存变成了持久化配置，违背了CloudStack密码更新机制的设计初衷。

影响范围

该问题影响所有使用CloudStack数据源并且：

• 依赖CloudStack密码重置功能的系统
• 运行在修改后的Cloud-init版本上的虚拟机
• 特别是RHEL 8/9及其衍生发行版(如Rocky Linux、AlmaLinux)

解决方案

官方修复方案是通过PR 5499修改CloudStack数据源，使其在每次启动时(BOOT事件)强制获取最新元数据。该方案已合并到Cloud-init主分支，并包含在：

• RHEL 8的cloud-init-23.4-7.el8_10.7及更高版本
• RHEL 9的cloud-init-23.4-7.el9_4.6及更高版本
• Ubuntu 24.04的24.3.1版本

临时解决方案

对于无法立即升级的用户，可采用的临时方案是创建一个systemd drop-in文件，在每次cloud-final服务完成后删除缓存文件：

[Service]
ExecStartPost=/bin/sh -c "/bin/rm -f /var/lib/cloud/instance/obj.pkl || true"

将此内容保存到/etc/systemd/system/cloud-final.service.d/delete-object-file.conf，然后执行systemctl daemon-reload使配置生效。

最佳实践建议

1. 及时更新Cloud-init到包含修复的版本
2. 对于生产环境，建议测试密码重置功能是否正常工作
3. 避免直接操作Cloud-init内部缓存文件，可能导致不可预期的问题
4. 关注发行版的更新公告，获取官方修复的发布时间

该问题的解决展示了开源社区协作的力量，从问题报告到修复方案讨论再到最终解决，体现了开源软件维护的典型流程。