openstack云计算平台 1（认证服务、镜像服务）

目录 一、openstack云计算平台1.openstack简介2.openstack的架构3.openstack搭建a.实验环境b.控制节点配置 二、组件1---认证服务1.创建数据库2.创建服务实体和API端点3.创建域、项目、用户和角色4.验证 *** 作5.创建 OpenStack 客户端环境脚本 三、组件2---镜像服务1.简介2.安装和配置3.验证 *** 作

一、openstack云计算平台 1.openstack简介 OpenStack是一个云 *** 作系统，它控制整个数据中心的计算、存储和网络资源的大型池，所有这些都通过具有通用身份验证机制的api进行管理和配置。还提供了一个仪表板，允许管理员控制，同时允许用户通过web界面提供资源。除了标准的基础设施即服务功能外，其他组件还提供编排、故障管理和服务管理等服务，以确保用户应用程序的高可用性。OpenStack 架构由大量开源项目组成。其中包含 6 个稳定可靠的核心服务，用于处理计算、网络、存储、身份和镜像； 同时，还为用户提供了十多种开发成熟度各异的可选服务。OpenStack 的 6 个核心服务主要担纲系统的基础架构，其余项目则负责管理控制面板、编排、裸机部署、信息传递、容器及统筹管理等 *** 作。整个OpenStack是由控制节点，计算节点，网络节点，存储节点四大部分组成。
openstack重要集成组件：
1、Nova - 计算服务，是一个完整的 OpenStack 计算资源管理和访问工具，负责处理规划、创建和删除 *** 作。
2、Neutron-网络服务，是一个完整的 OpenStack 计算资源管理和访问工具，负责处理规划、创建和删除 *** 作。
3、Swift - 对象存储服务， 是一种高度容错的对象存储服务，使用 RESTful API 来存储和检索非结构数据对象。
4、Cinder-块存储服务，通过自助服务 API 访问持久块存储。
5、Glance - 镜像服务，Glance 可存储和检索多个位置的虚拟机磁盘镜像。
6、dashboard - web管理界面。
7、Keystone - 认证服务，认证所有 OpenStack 服务并对其进行授权。同时，它也是所有服务的端点目录。
8、Horizon - UI服务。
9、Ceilometer-监控服务。
10、Heat-集群服务，编排。 2.openstack的架构 基本架构

通过消息队列和数据库，各个组件可以相互调用，互相通信。每个项目都有各自的特性，大而全的架构并非适合每一个用户，如Glance在最早的A、B版本中并没有实际出现应用，Nova可以脱离镜像服务独立运行。当用户的云计算规模大到需要管理多种镜像时，才需要像Glance这样的组件。逻辑架构
3.openstack搭建 a.实验环境

单点部署 all-in-one模式：
rhel7.6虚拟机，至少4G的内存；
双网卡 eth0: 172.25.36.5 访问Horizon使用，eth1:激活但不分配ip，neutron使用，云主机访问外网用；
禁用selinux和firewalld；
虚拟机的cpu需要支持kvm虚拟化，CPU 设为直通模式（ host-passthrough 是为了虚拟机里支持 kvm 硬件虚拟化）



可以参考openstack 的官网来看其相关设置以及配置：点击
选择语言

选择版本

b.控制节点配置

一块网卡eth0给了ip，另一块网卡eth1（用于云主机通信）可以不给ip，但需要激活

网卡配置文件如下


激活eth1网卡，除此之外，记得做所有节点的域名解析/etc/hosts

openstack要求所有节点的时间必须同步，也就是说：所有节点的时间必须与控制节点的时间相同。真机使用Chrony简单配置服务器之间的时间同步

保证宿主机与阿里云服务器时间同步

允许以下网段的NTP客户端访问（也就是允许该网段的主机通过宿主机同步时间）

真机可以上网

server5安装时间同步服务器

修改/etc/chrony.conf配置

设定server5与宿主机同步时间

启动并自启chrony服务

查看是否成功

在真机的apache 发布目录中，将openstack软件包复制到该目录中

server5配置仓库文件

在安装之前，先在server5上升级包

安装 OpenStack 客户端

整个openstack 的数据都会持久化保存到 SQL 数据库中，此处使用mariadb 数据库；
安装软件包

之后，创建并编辑 /etc/my.cnf.d/openstack.cnf，然后在 [mysqld] 部分，设置 bind-address值为控制节点的管理网络IP地址，以使得其它节点可以通过管理网络访问数据库；
设置如下键值来启用一起有用的选项和 UTF-8 字符集；
启动数据库服务，并将其配置为开机自启。

为了保证数据库服务的安全性，运行mysql_secure_installation脚本。需要为数据库的root用户设置一个适当的密码（全选yes）

成功登陆数据库

OpenStack 使用 message queue （消息队列）协调 *** 作和各服务的状态信息。消息队列服务一般运行在控制节点上。OpenStack支持好几种消息队列服务包括 RabbitMQ, Qpid, 和 ZeroMQ。不过，大多数发行版本的OpenStack包支持特定的消息队列服务；
这里安装 RabbitMQ 消息队列服务，因为大部分发行版本都支持它。

启动消息队列服务并将其配置为随系统启动：

添加 openstack 用户，密码也设为openstack（用户名和密码保持一致，便于记忆），前面是用户，后面为密码；
给openstack用户配置写和读权限

查看rabbitmq的插件

激活管理器插件

查看端口，5672为主端口，15672为web端口

登陆页面，默认用户名和密码都是guest

点击admin，可以看到如下三个星号，分别代表：配置、读、写权限（rabbitmq自带的后台图形化管理工具）

认证服务认证缓存使用Memcached缓存令牌。缓存服务memecached运行在控制节点

启动Memcached服务，并且配置它随机启动，端口为11211（可以看到这个端口只监听本机，那么其他主机将无法连接它），因此需要变更一下

编辑如下全局文件，禁用OPTIONS；
重启服务，此时，11211可以监听本机所有接口

我们将server5主机名修改为controller，表示server5为控制节点

修改域名解析文件；
server5为控制节点，server6为计算节点，server7为块存储节点

二、组件1—认证服务 1.创建数据库

接下来在控制节点上安装和配置OpenStack身份认证服务，代码名称keystone。出于性能原因，这个配置部署Fernet令牌和Apache HTTP服务处理请求；
在配置 OpenStack 身份认证服务前，必须创建一个数据库和管理员令牌。

首先，用数据库连接客户端以 root 用户连接到数据库服务器；
创建 keystone 数据库

对keystone数据库授予恰当的权限，保证keystone用户可以从本地和远程登陆数据库（用户名和密码保持一致，便于记忆）

测试登陆

运行以下命令来安装相应包

生成一个随机值在初始的配置中作为管理员的令牌；
编辑文件 /etc/keystone/keystone.conf

在[DEFAULT]部分，定义初始管理令牌的值

在[database]部分，配置数据库访问；
数据库驱动为mysql，使用pymysql（python开发的），使用keystone用户、keystone密码来连接controller节点，访问keystone数据库

在[token]部分，配置Fernet UUID令牌的提供者

初始化身份认证服务的数据库（以keystone用户身份来同步数据库）

登陆数据库，可以看到数据已经同步到了数据库中


初始化Fernet keys

编辑Apache主配置文件/etc/httpd/conf/httpd.conf ，配置ServerName 选项为控制节点

用下面的内容创建文件 /etc/httpd/conf.d/wsgi-keystone.conf

激活两个端口：5000（用于公共连接），35357（用于admin管理员连接）

Listen 5000
Listen 35357

<VirtualHost *:5000>
    WSGIDaemonProcess keystone-public processes=5 threads=1 user=keystone group=keystone display-name=%{GROUP}
    WSGIProcessGroup keystone-public
    WSGIScriptAlias / /usr/bin/keystone-wsgi-public
    WSGIApplicationGroup %{GLOBAL}
    WSGIPassAuthorization On
    ErrorLogFormat "%{cu}t %M"
    ErrorLog /var/log/httpd/keystone-error.log
    CustomLog /var/log/httpd/keystone-access.log combined

    <Directory /usr/bin>
        Require all granted
    </Directory>
</VirtualHost>

<VirtualHost *:35357>
    WSGIDaemonProcess keystone-admin processes=5 threads=1 user=keystone group=keystone display-name=%{GROUP}
    WSGIProcessGroup keystone-admin
    WSGIScriptAlias / /usr/bin/keystone-wsgi-admin
    WSGIApplicationGroup %{GLOBAL}
    WSGIPassAuthorization On
    ErrorLogFormat "%{cu}t %M"
    ErrorLog /var/log/httpd/keystone-error.log
    CustomLog /var/log/httpd/keystone-access.log combined

    <Directory /usr/bin>
        Require all granted
    </Directory>
</VirtualHost>

启动 Apache HTTP 服务并配置其随系统启动

2.创建服务实体和API端点

身份认证服务提供服务的目录和他们的位置。每个添加到OpenStack环境中的服务在目录中需要一个 service 实体和一些 API endpoints ；
默认情况下，身份认证服务数据库不包含支持传统认证和目录服务的信息。必须使用为身份认证服务创建的临时身份验证令牌，来初始化的服务实体和API端点。

配置认证令牌

配置端点URL（v3版本）；
配置认证 API 版本

创建服务实体和身份认证服务

OpenStack使用三个API端点变种代表每种服务：admin，internal和public；
默认情况下，管理API端点允许修改用户和租户而公共和内部APIs不允许这些 *** 作。在生产环境中，处于安全原因，变种为了服务不同类型的用户可能驻留在单独的网络上。对实例而言，公共API网络为了让顾客管理他们自己的云在互联网上是可见的。管理API网络在管理云基础设施的组织中 *** 作也是有所限制的。内部API网络可能会被限制在包含OpenStack服务的主机上。此外，OpenStack支持可伸缩性的多区域。

创建认证服务的 API 端点（外部连接）

创建认证服务的 API 端点（内部连接）

创建认证服务的 API 端点（管理员连接的）

查看所创建的endpoint

3.创建域、项目、用户和角色

身份认证服务为每个OpenStack服务提供认证服务。认证服务使用 T domains， projects (tenants)， :term:users和 :term:roles的组合。

创建域default

为进行管理 *** 作，需要创建管理的项目、用户和角色；
创建 admin 项目：

创建 admin 用户，使用 --password 直接为admin用户设置密码（密码为admin，便于记忆）

创建 admin 角色（基于RBAC角色的访问控制）

添加admin 角色到 admin 项目和用户上，使得admin用户能够以admin管理员角色管理admin项目

每个服务包含独有用户的service 项目；
创建service项目：

创建demo 项目（非管理员的项目）

创建demo 用户

创建 user 角色

添加 user角色到demo 项目和用户（使得demo用户能够以demo角色管理demo项目）

4.验证 *** 作

因为安全性的原因，关闭临时认证令牌机制(此时已经有两个用户–admin和demo)；
作为 admin 用户，请求认证令牌

作为demo 用户，请求认证令牌

此时无法直接看到user，必须加上连接的URL等等，进行身份认证

5.创建 OpenStack 客户端环境脚本

之前使用环境变量和命令选项的组合通过openstack客户端与身份认证服务交互。为了提升客户端 *** 作的效率，OpenStack支持简单的客户端环境变量脚本即OpenRC 文件。这些脚本通常包含客户端所有常见的选项，当然也支持独特的选项。

创建 admin 和 demo 项目和用户创建客户端环境变量脚本。接下来的部分会引用这些脚本，为客户端 *** 作加载合适的的凭证；
编辑文件 admin-openrc 并添加如下内容：

编辑文件 demo-openrc 并添加如下内容

加载admin-openrc文件来身份认证服务的环境变量位置和admin项目和用户证书；
此时，可以列出相应信息(所有的用户、连接端点)

列出角色、项目、服务

加载demo-openrc文件，普通用户没有 *** 作权限，只有admin才能有相应的 *** 作权限

三、组件2—镜像服务 1.简介

镜像服务 (glance) 允许用户发现、注册和获取虚拟机镜像。它提供了一个 REST API，允许您查询虚拟机镜像的 metadata 并获取一个现存的镜像。您可以将虚拟机镜像存储到各种位置，从简单的文件系统到对象存储系统—-例如 OpenStack 对象存储, 并通过镜像服务使用。

OpenStack镜像服务是IaaS的核心服务，它接受磁盘镜像或服务器镜像API请求，和来自终端用户或OpenStack计算组件的元数据定义。它也支持包括OpenStack对象存储在内的多种类型仓库上的磁盘镜像或服务器镜像存储。大量周期性进程运行于OpenStack镜像服务上以支持缓存。同步复制（Replication）服务保证集群中的一致性和可用性。其它周期性进程包括auditors, updaters, 和 reapers。OpenStack镜像服务包括以下组件：
1、glance-api：接收镜像API的调用，诸如镜像发现、恢复、存储。
2、glance-registry：存储、处理和恢复镜像的元数据，元数据包括项诸如大小和类型。注意：glance-registry是私有内部服务，用于服务OpenStack Image服务。不要向用户暴露该服务。
3、数据库：存放镜像元数据，用户是可以依据个人喜好选择数据库的，多数的部署使用MySQL或SQLite。
4、镜像文件的存储仓库：支持多种类型的仓库，它们有普通文件系统、对象存储、RADOS块设备、HTTP、以及亚马逊S3。记住，其中一些仓库仅支持只读方式使用。
5、元数据定义服务：通用的API，是用于为厂商，管理员，服务，以及用户自定义元数据。这种元数据可用于不同的资源，例如镜像，工件，卷，配额以及集合。一个定义包括了新属性的键，描述，约束以及可以与之关联的资源的类型。 2.安装和配置

接下来我们在控制节点上安装和配置镜像服务，即 glance。这个配置将镜像保存在本地文件系统中。安装和配置镜像服务之前，你必须创建创建一个数据库、服务凭证和API端点。

用数据库连接客户端以 root 用户连接到数据库服务器；
创建 glance 数据库；
对glance数据库授予恰当的权限（使得glance用户可以通过本地和远端登陆数据库）。

创建 glance 用户（用于keystone认证）

添加 admin 角色到 glance 用户和 service 项目上;
创建glance服务实体

创建镜像服务的 API 端点（public），这个组件的端口是9292

创建镜像服务的 API 端点（内部）

创建镜像服务的 API 端点（admin）

安装软件包

编辑文件 /etc/glance/glance-api.conf

搜索database

在 [database] 部分，配置数据库访问

在 [keystone_authtoken] 和 [paste_deploy] 部分，配置认证服务访问

启用keystone认证

在 [glance_store] 部分，配置本地文件系统存储和镜像文件位置

编辑文件 /etc/glance/glance-registry.conf

在 [database] 部分，配置数据库访问

在 [keystone_authtoken] 和 [paste_deploy] 部分，配置认证服务访问


写入镜像服务数据库（同步数据库）；
可以忽略输出中任何不推荐使用的信息

进入数据库查看

启动镜像服务、配置他们随机启动

3.验证 *** 作

使用 CirrOS 对镜像服务进行验证，CirrOS是一个小型的Linux镜像可以用来帮助我们进行 OpenStack部署测试；
将宿主机提前下载的镜像传给server5

使用 QCOW2 磁盘格式，bare 容器格式上传镜像到镜像服务并设置公共可见，这样所有的项目都可以访问它

可以看到镜像存储如下；
确认镜像的上传并验证属性（可以看到，ID和镜像名是相同的）