目录
- 一、openstack云计算平台
- 1.openstack简介
- 2.openstack的架构
- 3.openstack搭建
- a.实验环境
- b.控制节点配置
- 二、组件1---认证服务
- 1.创建数据库
- 2.创建服务实体和API端点
- 3.创建域、项目、用户和角色
- 4.验证操作
- 5.创建 OpenStack 客户端环境脚本
- 三、组件2---镜像服务
- 1.简介
- 2.安装和配置
- 3.验证操作
一、openstack云计算平台
1.openstack简介
- OpenStack是一个云操作系统,它控制整个数据中心的计算、存储和网络资源的大型池,所有这些都通过具有通用身份验证机制的api进行管理和配置。还提供了一个仪表板,允许管理员控制,同时允许用户通过web界面提供资源。除了标准的基础设施即服务功能外,其他组件还提供编排、故障管理和服务管理等服务,以确保用户应用程序的高可用性。
- OpenStack 架构由大量开源项目组成。其中包含 6 个稳定可靠的核心服务,用于处理计算、网络、存储、身份和镜像; 同时,还为用户提供了十多种开发成熟度各异的可选服务。OpenStack 的 6 个核心服务主要担纲系统的基础架构,其余项目则负责管理控制面板、编排、裸机部署、信息传递、容器及统筹管理等操作。
- 整个OpenStack是由控制节点,计算节点,网络节点,存储节点四大部分组成。
openstack重要集成组件:
1、Nova - 计算服务,是一个完整的 OpenStack 计算资源管理和访问工具,负责处理规划、创建和删除操作。
2、Neutron-网络服务,是一个完整的 OpenStack 计算资源管理和访问工具,负责处理规划、创建和删除操作。
3、Swift - 对象存储服务, 是一种高度容错的对象存储服务,使用 RESTful API 来存储和检索非结构数据对象。
4、Cinder-块存储服务,通过自助服务 API 访问持久块存储。
5、Glance - 镜像服务,Glance 可存储和检索多个位置的虚拟机磁盘镜像。
6、dashboard - web管理界面。
7、Keystone - 认证服务,认证所有 OpenStack 服务并对其进行授权。同时,它也是所有服务的端点目录。
8、Horizon - UI服务。
9、Ceilometer-监控服务。
10、Heat-集群服务,编排。
2.openstack的架构
- 基本架构
通过消息队列和数据库,各个组件可以相互调用,互相通信。每个项目都有各自的特性,大而全的架构并非适合每一个用户,如Glance在最早的A、B版本中并没有实际出现应用,Nova可以脱离镜像服务独立运行。当用户的云计算规模大到需要管理多种镜像时,才需要像Glance这样的组件。 - 逻辑架构
3.openstack搭建
a.实验环境
单点部署 all-in-one模式:
rhel7.6虚拟机,至少4G的内存;
双网卡 eth0: 172.25.36.5 访问Horizon使用,eth1:激活但不分配ip,neutron使用,云主机访问外网用;
禁用selinux和firewalld;
虚拟机的cpu需要支持kvm虚拟化,CPU 设为直通模式( host-passthrough 是为了虚拟机里支持 kvm 硬件虚拟化)
可以参考openstack 的官网来看其相关设置以及配置:点击 选择语言
选择版本
b.控制节点配置
一块网卡eth0给了ip,另一块网卡eth1(用于云主机通信)可以不给ip,但需要激活
网卡配置文件如下
激活eth1网卡,除此之外,记得做所有节点的域名解析/etc/hosts
openstack要求所有节点的时间必须同步,也就是说:所有节点的时间必须与控制节点的时间相同。真机使用Chrony简单配置服务器之间的时间同步
保证宿主机与阿里云服务器时间同步
允许以下网段的NTP客户端访问(也就是允许该网段的主机通过宿主机同步时间)
真机可以上网
server5安装时间同步服务器
修改/etc/chrony.conf配置
设定server5与宿主机同步时间
启动并自启chrony服务
查看是否成功
在真机的apache 发布目录中,将openstack软件包复制到该目录中
server5配置仓库文件
在安装之前,先在server5上升级包
安装 OpenStack 客户端
整个openstack 的数据都会持久化保存到 SQL 数据库中,此处使用mariadb 数据库;
安装软件包
之后,创建并编辑 /etc/my.cnf.d/openstack.cnf,然后在 [mysqld] 部分,设置 bind-address值为控制节点的管理网络IP地址,以使得其它节点可以通过管理网络访问数据库;
设置如下键值来启用一起有用的选项和 UTF-8 字符集;
启动数据库服务,并将其配置为开机自启。
为了保证数据库服务的安全性,运行mysql_secure_installation脚本。需要为数据库的root用户设置一个适当的密码(全选yes)
成功登陆数据库
OpenStack 使用 message queue (消息队列)协调操作和各服务的状态信息。消息队列服务一般运行在控制节点上。OpenStack支持好几种消息队列服务包括 RabbitMQ, Qpid, 和 ZeroMQ。不过,大多数发行版本的OpenStack包支持特定的消息队列服务;
这里安装 RabbitMQ 消息队列服务,因为大部分发行版本都支持它。
启动消息队列服务并将其配置为随系统启动:
添加 openstack 用户,密码也设为openstack(用户名和密码保持一致,便于记忆),前面是用户,后面为密码;
给openstack用户配置写和读权限
查看rabbitmq的插件
激活管理器插件
查看端口,5672为主端口,15672为web端口
登陆页面,默认用户名和密码都是guest
点击admin,可以看到如下三个星号,分别代表:配置、读、写权限(rabbitmq自带的后台图形化管理工具)
认证服务认证缓存使用Memcached缓存令牌。缓存服务memecached运行在控制节点
启动Memcached服务,并且配置它随机启动,端口为11211(可以看到这个端口只监听本机,那么其他主机将无法连接它),因此需要变更一下
编辑如下全局文件,禁用OPTIONS;
重启服务,此时,11211可以监听本机所有接口
我们将server5主机名修改为controller,表示server5为控制节点
修改域名解析文件;
server5为控制节点,server6为计算节点,server7为块存储节点
二、组件1—认证服务
1.创建数据库
接下来在控制节点上安装和配置OpenStack身份认证服务,代码名称keystone。出于性能原因,这个配置部署Fernet令牌和Apache HTTP服务处理请求;
在配置 OpenStack 身份认证服务前,必须创建一个数据库和管理员令牌。
首先,用数据库连接客户端以 root 用户连接到数据库服务器;
创建 keystone 数据库
对keystone数据库授予恰当的权限,保证keystone用户可以从本地和远程登陆数据库(用户名和密码保持一致,便于记忆)
测试登陆
运行以下命令来安装相应包
生成一个随机值在初始的配置中作为管理员的令牌;
编辑文件 /etc/keystone/keystone.conf
在[DEFAULT]部分,定义初始管理令牌的值
在[database]部分,配置数据库访问;
数据库驱动为mysql,使用pymysql(python开发的),使用keystone用户、keystone密码来连接controller节点,访问keystone数据库
在[token]部分,配置Fernet UUID令牌的提供者
初始化身份认证服务的数据库(以keystone用户身份来同步数据库)
登陆数据库,可以看到数据已经同步到了数据库中
初始化Fernet keys
编辑Apache主配置文件/etc/httpd/conf/httpd.conf ,配置ServerName 选项为控制节点
用下面的内容创建文件 /etc/httpd/conf.d/wsgi-keystone.conf
激活两个端口:5000(用于公共连接),35357(用于admin管理员连接)
Listen 5000
Listen 35357
<VirtualHost *:5000>
WSGIDaemonProcess keystone-public processes=5 threads=1 user=keystone group=keystone display-name=%{GROUP}
WSGIProcessGroup keystone-public
WSGIScriptAlias / /usr/bin/keystone-wsgi-public
WSGIApplicationGroup %{GLOBAL}
WSGIPassAuthorization On
ErrorLogFormat "%{cu}t %M"
ErrorLog /var/log/httpd/keystone-error.log
CustomLog /var/log/httpd/keystone-access.log combined
<Directory /usr/bin>
Require all granted
</Directory>
</VirtualHost>
<VirtualHost *:35357>
WSGIDaemonProcess keystone-admin processes=5 threads=1 user=keystone group=keystone display-name=%{GROUP}
WSGIProcessGroup keystone-admin
WSGIScriptAlias / /usr/bin/keystone-wsgi-admin
WSGIApplicationGroup %{GLOBAL}
WSGIPassAuthorization On
ErrorLogFormat "%{cu}t %M"
ErrorLog /var/log/httpd/keystone-error.log
CustomLog /var/log/httpd/keystone-access.log combined
<Directory /usr/bin>
Require all granted
</Directory>
</VirtualHost>
启动 Apache HTTP 服务并配置其随系统启动
2.创建服务实体和API端点
身份认证服务提供服务的目录和他们的位置。每个添加到OpenStack环境中的服务在目录中需要一个 service 实体和一些 API endpoints ;
默认情况下,身份认证服务数据库不包含支持传统认证和目录服务的信息。必须使用为身份认证服务创建的临时身份验证令牌,来初始化的服务实体和API端点。
配置认证令牌
配置端点URL(v3版本);
配置认证 API 版本
创建服务实体和身份认证服务
OpenStack使用三个API端点变种代表每种服务:admin,internal和public;
默认情况下,管理API端点允许修改用户和租户而公共和内部APIs不允许这些操作。在生产环境中,处于安全原因,变种为了服务不同类型的用户可能驻留在单独的网络上。对实例而言,公共API网络为了让顾客管理他们自己的云在互联网上是可见的。管理API网络在管理云基础设施的组织中操作也是有所限制的。内部API网络可能会被限制在包含OpenStack服务的主机上。此外,OpenStack支持可伸缩性的多区域。
创建认证服务的 API 端点(外部连接)
创建认证服务的 API 端点(内部连接)
创建认证服务的 API 端点(管理员连接的)
查看所创建的endpoint
3.创建域、项目、用户和角色
身份认证服务为每个OpenStack服务提供认证服务。认证服务使用 T domains, projects (tenants), :term:users<user>和 :term:roles<role>的组合。
创建域default
为进行管理操作,需要创建管理的项目、用户和角色;
创建 admin 项目:
创建 admin 用户,使用 --password 直接为admin用户设置密码(密码为admin,便于记忆)
创建 admin 角色(基于RBAC角色的访问控制)
添加admin 角色到 admin 项目和用户上,使得admin用户能够以admin管理员角色管理admin项目
每个服务包含独有用户的service 项目;
创建service项目:
创建demo 项目(非管理员的项目)
创建demo 用户
创建 user 角色
添加 user角色到demo 项目和用户(使得demo用户能够以demo角色管理demo项目)
4.验证操作
因为安全性的原因,关闭临时认证令牌机制(此时已经有两个用户–admin和demo);
作为 admin 用户,请求认证令牌
作为demo 用户,请求认证令牌
此时无法直接看到user,必须加上连接的URL等等,进行身份认证
5.创建 OpenStack 客户端环境脚本
之前使用环境变量和命令选项的组合通过
openstack客户端与身份认证服务交互。为了提升客户端操作的效率,OpenStack支持简单的客户端环境变量脚本即OpenRC 文件。这些脚本通常包含客户端所有常见的选项,当然也支持独特的选项。
创建 admin 和 demo 项目和用户创建客户端环境变量脚本。接下来的部分会引用这些脚本,为客户端操作加载合适的的凭证;
编辑文件 admin-openrc 并添加如下内容:
编辑文件 demo-openrc 并添加如下内容
加载admin-openrc文件来身份认证服务的环境变量位置和admin项目和用户证书;
此时,可以列出相应信息(所有的用户、连接端点)
列出角色、项目、服务
加载demo-openrc文件,普通用户没有操作权限,只有admin才能有相应的操作权限
三、组件2—镜像服务
1.简介
镜像服务 (glance) 允许用户发现、注册和获取虚拟机镜像。它提供了一个 REST API,允许您查询虚拟机镜像的 metadata 并获取一个现存的镜像。您可以将虚拟机镜像存储到各种位置,从简单的文件系统到对象存储系统—-例如 OpenStack 对象存储, 并通过镜像服务使用。
- OpenStack镜像服务是IaaS的核心服务,它接受磁盘镜像或服务器镜像API请求,和来自终端用户或OpenStack计算组件的元数据定义。它也支持包括OpenStack对象存储在内的多种类型仓库上的磁盘镜像或服务器镜像存储。
- 大量周期性进程运行于OpenStack镜像服务上以支持缓存。同步复制(Replication)服务保证集群中的一致性和可用性。其它周期性进程包括auditors, updaters, 和 reapers。
- OpenStack镜像服务包括以下组件:
1、glance-api:接收镜像API的调用,诸如镜像发现、恢复、存储。
2、glance-registry:存储、处理和恢复镜像的元数据,元数据包括项诸如大小和类型。注意:glance-registry是私有内部服务,用于服务OpenStack Image服务。不要向用户暴露该服务。
3、数据库:存放镜像元数据,用户是可以依据个人喜好选择数据库的,多数的部署使用MySQL或SQLite。
4、镜像文件的存储仓库:支持多种类型的仓库,它们有普通文件系统、对象存储、RADOS块设备、HTTP、以及亚马逊S3。记住,其中一些仓库仅支持只读方式使用。
5、元数据定义服务:通用的API,是用于为厂商,管理员,服务,以及用户自定义元数据。这种元数据可用于不同的资源,例如镜像,工件,卷,配额以及集合。一个定义包括了新属性的键,描述,约束以及可以与之关联的资源的类型。
2.安装和配置
接下来我们在控制节点上安装和配置镜像服务,即 glance。这个配置将镜像保存在本地文件系统中。安装和配置镜像服务之前,你必须创建创建一个数据库、服务凭证和API端点。
用数据库连接客户端以 root 用户连接到数据库服务器;
创建 glance 数据库;
对glance数据库授予恰当的权限(使得glance用户可以通过本地和远端登陆数据库)。
创建 glance 用户(用于keystone认证)
添加 admin 角色到 glance 用户和 service 项目上;
创建glance服务实体
创建镜像服务的 API 端点(public),这个组件的端口是9292
创建镜像服务的 API 端点(内部)
创建镜像服务的 API 端点(admin)
安装软件包
编辑文件 /etc/glance/glance-api.conf
搜索database
在 [database] 部分,配置数据库访问
在 [keystone_authtoken] 和 [paste_deploy] 部分,配置认证服务访问
启用keystone认证
在 [glance_store] 部分,配置本地文件系统存储和镜像文件位置
编辑文件 /etc/glance/glance-registry.conf
在 [database] 部分,配置数据库访问
在 [keystone_authtoken] 和 [paste_deploy] 部分,配置认证服务访问
写入镜像服务数据库(同步数据库);
可以忽略输出中任何不推荐使用的信息
进入数据库查看
启动镜像服务、配置他们随机启动
3.验证操作
使用 CirrOS 对镜像服务进行验证,CirrOS是一个小型的Linux镜像可以用来帮助我们进行 OpenStack部署测试;
将宿主机提前下载的镜像传给server5
使用 QCOW2 磁盘格式,bare 容器格式上传镜像到镜像服务并设置公共可见,这样所有的项目都可以访问它
可以看到镜像存储如下;
确认镜像的上传并验证属性(可以看到,ID和镜像名是相同的)
