Openstack Glance 组件部署
- 镜像服务概述
- 镜像服务功能
- images API的版本
- 镜像格式
- 镜像文件容器格式
- 镜像状态
- 访问权限
- Glance 架构图
- Glance 工作流程:
- OpenStack-Glance组件部署
- 1.创建数据库实例和数据库用户[root@ct ~]# mysql -u root -p
- 2.创建用户、修改配置文件
- 创建镜像服务 API 端点
- 安装 openstack-glance 软件包
- 修改glance配置文件
- 添加glance-api.conf配置
- 修改glance-registry.conf 配置
- 初始化glance数据库,生成相关表结构
- 开启glance服务
- 查看端口
- 赋予openstack-glance-api.service服务对存储设备的可写权限
- 镜像导入
- 查看镜像的两种方式
- 小结
镜像服务概述
它在OpenStack中的项目名称为
Glance,在早期的OpenStack版本中,Glance只有管理镜像的功能,并不具备镜像存储功能。现在, Glance已发展成为集镜像上传、检索、管理和存储等多种功能的OpenStack核心服务。镜像的英文为
image,又译为映象,通常是指一系列文件或一个磁盘驱动器的精确副本。镜像文件其实和ZIP压缩包类似,它将特定的一系列文件按照一定的格式制作成单一的文件,以方便用户下载和使用。
镜像服务功能
镜服务镜像服务就是用来管理镜像的,让用户能够发现、获取和保存镜像在OpenStack中提供镜像服务的是
Glance,其主要功能如下:
1.查询和获取镜像的元数据和镜像本身
2.注册和上传虚拟机镜像,包括镜像的创建、上传、下载和管理
3.维护镜像信息,包括元数据和镜像本身。
4.支持多种方式存储镜像,包括普通的文件系统、Swift. Amazon s3等
5.对虚拟机实例执行创建快照命令来创建新的镜像,或者备份虚拟机的状态
images API的版本
Glance提供的
RESTful API目前有两个版本:API v1和API v2
v1只提供基本的镜像和成员操作功能,包括镜像创建、删除、下载、列表、详田信息查询、更新,以及镜像租户成员的创建、删除和列表。v2除了支持v1的所有功能外,主要增加了镜像位置的添加、删除、修改元数据和名称空间操作,以及镜像标记操作。两个版本对镜像存储支持相同, v1从N版开始已经过时,迁移路径使用v2进行替代
镜像格式
虚拟机镜像文件磁盘格式
1.raw:无结构的磁盘格式vhd:该格式通用于VMware,Xen, VirtualBox以及其他虚机管理程序2.vhdx:vhd格式的增强版本,支持更大的磁盘尺寸
3.vmdk:一种比较通用的虚拟机磁盘格式
4.vdi:由VirtualBox虚拟机监控程序和QEMU仿真器支持的磁盘格式
5.iso:用于光盘(CD-ROM)数据内容的档案格式
6.ploop:由Virtuozzo支持,用于运行OS容器的磁盘格式7.qcow2:由QEMU仿真支持,可动态扩展,支持写时复制(Copy on Write)的磁盘格式
8.aki:在Glance中存储的Amazon内核格式
9.ari:在Glance中存储的Amazon虚拟内存盘(Ramdisk)格式
10.ami:在Glance中存储的Amazon机器格式
镜像文件容器格式
1.bare:没有容器或元数据"信封"的镜像2.ovf:开放虚拟化格式
3.ova:在Glance中存储的开放虚拟化设备格式
5.aki:在Glance中存储的Amazon内核格式
6.ari:在Glance中存储的Amazon虚拟内存盘(Ramdisk)格式
7.Docker:在Glance中存储的容器文件系统的Dockerd的tar档案
如果不能确定选择哪种容器格式,那么简单地容器格式指定为bare是安全
镜像状态
queued:这是一种初始化状态,镜像文件刚被创建,在Glance数据库只有其元数据,镜像数据还没有上传至数据库中
saving:是镜像的原始数据在上传到数据库中的一种过渡状态,表示正在上传镜像
uploading:指示已进行导入数据提交调用,此状态下不允许调用PUT/filesaving状态会执行PUT/file,这是另外一种上传的方法)
importing:指示已经完成导入调用,但是镜像还未准备好使用
active:表示当镜像数据成功上传完毕,成为Glance中可用的镜像
deactivated:表示任何非管理员用户都无权访问镜像数据,禁止下载镜像,也禁止镜像导出和镜像克隆之类的操作(只有管理员可以操作,维护)
killed:表示镜像上传过程中发生错误,镜像不可读
deleted:镜像将在不久后被自动删除,该镜像不可再用,但是目前Glance仍然保留该镜像的相关信息和原始数据
pending_delete:与deleted相似, Glance还没有清除镜像数据,但处于该状态的镜像不可恢复
访问权限
Public(公共的)可以被所有的项目使用
Private (私有的):只有被镜像所有者所在的项目使用
Shared (共享的):一个非共有的镜像可以共享给其他项目,这是通过项目成员(member-*)操作来实现的
Protected (受保护的):这种镜像不能被删除
Glance 架构图
客户端是Glance服务应用程序使用者,是OpenStack命令行工具、Horizon或Nova服务
glance-api是系统后台运行的服务进程,是进入Glance的入口。它对外提供REST API,负责接收用户的RESTful请求,响应镜像查询、获取和存储的调用。
glance-registry是系统后台运行的glance注册服务进程,负责处理与镜像元数据相关的RESTfu请求,元数据包括镜像大小、类型等信息。Glance-api接收的请求如果是与镜像的元数据相关的操作, glance-api会把请求转发给glance-registry.glance-registry会解析请求内容,并与数据库交互,存储、处理、检索镜像的元数据。glance-api对外提供API,而glance-registry的API只由glance-api使用Glance的
DB模块存储的是镜像的元数据,可以选用MYSQL, MariaDB, SQLite等数据库。镜像的元数据通过glance-registry存放在数据库中。注意,镜像本身(chunk数据)是通过glance存储驱动存放到各种存储后端中的。
存储后端(Store Backend) Glance自身并不存储镜像,它将镜像存放在后端存储系统中。镜像本身的数据通过glance_store存放在各种后端,并可从中获取。支持本地存储、对象存储、RBD块设备、Sheepdog分布式存储、Cinder块存储、VMware数据存储。具体使用哪种backend,是在/etc/glance/glance-api.conf中配置的
Glance 工作流程:
OpenStack的操作都需经Keystone进行身份认证(AuthN)并授权(AuthZ), Glance也不例外。Glance是个C/S架构,提供一个REST API,用户就通过RESTAPI来执行镜像的各种操作。
Glance Domain Controller是一个主要的中间件,相当于调度器,作用是将Glance内部服务的操作分发到以下各个功能层
Auth(授权):用来控制镜像的访问权限,决定镜像自己或者它的属性是否可以被修改,只有管理员或镜像的拥有者才可以执行修改操作。roperty Protection(属性保护):这是个可选层,要在Glance配置文件中设置property_protection file参数才会生效。它提.供两种类型的镜像属性,一种是核心属性,在镜像参数中指定;另一种是元数据属性,可以被附加到一个镜像上的任一键值对。该层通过调用Glance的public API管理对meta属性的访问,也可以在配置文件中限制该访问。
Notifier(消息通知):将镜像变化的消息和使用镜像时发生的错误和警告添加到消息队列中。
Registry Layer(注册层):是一个可选层,通过使用单独的服务控制Glance Domain Controller与GlanceDB之间的安全交互。
Glance DB:是Glance服务使用的核心库,该库对Glance内部所有依赖数据库的组件是共享的。(这个库是存一些元数据信息的,不是真正存镜像的数据库)
Glance Store:用来组织处理Glance和各种存储后端的交互,提供了一个统一的接口来访问后端的存储,。所有的镜像文件操作都是通过调用Glance Store库来执行的,它负责与外部存储端或本地文件存储系统的交互。
OpenStack-Glance组件部署
1.创建数据库实例和数据库用户[root@ct ~]# mysql -u root -p
mysql -uroot -p密码
CREATE DATABASE glance;
GRANT ALL PRIVILEGES ON glance.* TO 'glance'@'localhost' IDENTIFIED BY 'GLANCE_DBPASS';
GRANT ALL PRIVILEGES ON glance.* TO 'glance'@'%' IDENTIFIED BY 'GLANCE_DBPASS';
flush privileges;
quit
2.创建用户、修改配置文件
创建OpenStack的Glance用户创建用户前,需要首先执行管理员环境变量脚本(配置keystone 组件定义过)
openstack user create --domain default --password GLANCE_PASS glance #创建glance用户
openstack role add --project service --user glance admin #将glance用户添加到service项目中,并且针对这个项目拥有admin权限;注册glance的API,需要对service项目有admin权限
openstack service create --name glance --description "OpenStack Image" image #创建一个service服务,service名称为glance,类型为image;创建完成后可以通过 openstack service list 查看
创建镜像服务 API 端点
OpenStack使用三种API端点代表三种服务:admin(管理员)、internal(内部的)、public(公共的)
openstack endpoint create --region RegionOne image public http://ct:9292
openstack endpoint create --region RegionOne image internal http://ct:9292
openstack endpoint create --region RegionOne image admin http://ct:9292
安装 openstack-glance 软件包
yum -y install openstack-glance
修改glance配置文件
glance有两个配置文件:
/etc/glance/glance-api.conf/etc/glance/glance-registry.conf
cp -a /etc/glance/glance-api.conf{,.bak} #备份文件
cp -a /etc/glance/glance-registry.conf{,.bak} #备份文件
grep -Ev '^$|#' /etc/glance/glance-api.conf.bak > /etc/glance/glance-api.conf #查看
grep -Ev '^$|#' /etc/glance/glance-registry.conf.bak > /etc/glance/glance-registry.conf #查看添加glance-api.conf配置
openstack-config --set /etc/glance/glance-api.conf database connection mysql+pymysql://glance:GLANCE_DBPASS@ct/glance
openstack-config --set /etc/glance/glance-api.conf keystone_authtoken www_authenticate_uri http://ct:5000
openstack-config --set /etc/glance/glance-api.conf keystone_authtoken auth_url http://ct:5000
openstack-config --set /etc/glance/glance-api.conf keystone_authtoken memcached_servers ct:11211
openstack-config --set /etc/glance/glance-api.conf keystone_authtoken auth_type password
openstack-config --set /etc/glance/glance-api.conf keystone_authtoken project_domain_name Default
openstack-config --set /etc/glance/glance-api.conf keystone_authtoken user_domain_name Default
openstack-config --set /etc/glance/glance-api.conf keystone_authtoken project_name service
openstack-config --set /etc/glance/glance-api.conf keystone_authtoken username glance
openstack-config --set /etc/glance/glance-api.conf keystone_authtoken password GLANCE_PASS
openstack-config --set /etc/glance/glance-api.conf paste_deploy flavor keystone
openstack-config --set /etc/glance/glance-api.conf glance_store stores file,http
openstack-config --set /etc/glance/glance-api.conf glance_store default_store file
openstack-config --set /etc/glance/glance-api.conf glance_store filesystem_store_datadir /var/lib/glance/images/
[root@ct glance]# cat glance-api.conf
[DEFAULT]
[cinder]
[cors]
[database]
connection = mysql+pymysql://glance:GLANCE_DBPASS@ct/glance
[file]
[glance.store.http.store]
[glance.store.rbd.store]
[glance.store.sheepdog.store]
[glance.store.swift.store]
[glance.store.vmware_datastore.store]
[glance_store]
stores = file,http #存储类型,file:文件,http:基于api调用的方式,把镜像放到其他存储上
default_store = file #默认存储方式
filesystem_store_datadir = /var/lib/glance/images/ ##指定镜像存放的本地目录
[image_format]
[keystone_authtoken]
www_authenticate_uri = http://ct:5000 ##指定认证的keystone的URI
auth_url = http://ct:5000
memcached_servers = ct:11211
auth_type = password
project_domain_name = Default
user_domain_name = Default
project_name = service #glance用户针对service项目拥有admin权限
username = glance
password = GLANCE_PASS
[oslo_concurrency]
[oslo_messaging_amqp]
[oslo_messaging_kafka]
[oslo_messaging_notifications]
[oslo_messaging_rabbit]
[oslo_middleware]
[oslo_policy]
[paste_deploy]
flavor = keystone #指定提供认证的服务器为keystone
[profiler]
[store_type_location_strategy]
[task]
[taskflow_executor]
修改glance-registry.conf 配置
openstack-config --set /etc/glance/glance-registry.conf database connection mysql+pymysql://glance:GLANCE_DBPASS@t/glance
openstack-config --set /etc/glance/glance-registry.conf keystone_authtoken www_authenticate_uri http://ct:5000
openstack-config --set /etc/glance/glance-registry.conf keystone_authtoken auth_url http://ct:5000
openstack-config --set /etc/glance/glance-registry.conf keystone_authtoken memcached_servers ct:11211
openstack-config --set /etc/glance/glance-registry.conf keystone_authtoken auth_type password
openstack-config --set /etc/glance/glance-registry.conf keystone_authtoken project_domain_name Default
openstack-config --set /etc/glance/glance-registry.conf keystone_authtoken user_domain_name Default
openstack-config --set /etc/glance/glance-registry.conf keystone_authtoken project_name service
openstack-config --set /etc/glance/glance-registry.conf keystone_authtoken username glance
openstack-config --set /etc/glance/glance-registry.conf keystone_authtoken password GLANCE_PASS
openstack-config --set /etc/glance/glance-registry.conf paste_deploy flavor keystone
[root@ct glance]# cat glance-registry.conf
[DEFAULT]
[database]
connection = mysql+pymysql://glance:GLANCE_DBPASS@ct/glance
[keystone_authtoken]
www_authenticate_uri = http://ct:5000
auth_url = http://ct:5000
memcached_servers = ct:11211
auth_type = password
project_domain_name = Default
user_domain_name = Default
project_name = service
username = glance
password = GLANCE_PASS
[oslo_messaging_amqp]
[oslo_messaging_kafka]
[oslo_messaging_notifications]
[oslo_messaging_rabbit]
[oslo_policy]
[paste_deploy]
flavor = keystone
[profiler]
初始化glance数据库,生成相关表结构
不管有多少个controler,只需要初始化一次即可
su -s /bin/sh -c "glance-manage db_sync" glance
开启glance服务
此处开启之后会生成存放镜像的目录/var/lib/glance/image
systemctl enable openstack-glance-api.service
systemctl start openstack-glance-api.service
查看端口
lsof -i:9292 (最小化安装需要下载 yum -y install lsof)
或者
netstat -natp | grep 9292
赋予openstack-glance-api.service服务对存储设备的可写权限
-h:值对符号连接/软链接的文件修改
chown -hR glance:glance /var/lib/glance/
镜像导入
先上传cirros镜像到控制节点的/root,然后导入/var/lib/glance/,最后查看是否创建成功
openstack image create --file cirros-0.3.5-x86_64-disk.img --disk-format qcow2 --container-format bare --public cirros
查看镜像的两种方式
openstack image list
小结
OpenStack上创建虚拟机需要镜像支持,所以先行进行部署
部署思路:
1、创建数据库、授权
2、创建openstack用户、授权、管理
3、修改配置文件(glance-api.conf、glance-registry.conf)
4、初始化数据库、上传实例镜像
