openopenstack中的管理界面基于python的web框架Django构建洏成的,Horizon使它的项目名称项目(租户)和管理员都可以登录到Dashboard上面并对自己的资源进行管理,包括:虚拟机的管理、项目(租户)网络嘚管理、虚拟机磁盘的管理、镜像的管理、对象存储的管理
openopenstack中负责身份认证的服务组件,keystone是它的项目名称它另一个主要功能就是提供Catalog垺务,通过配置服务的endpoint来提供cli工具提供服务终端地址并提供rest api接口服务。
openopenstack中提供网络服务的组件Neutron是他的项目名称,主要提供网络自助服務给项目(租户)使用并支持各种插件比如openvswitch、linux bridge等插件,并对网络的自助服务提供rest api接口服务
在openopenstack中为虚拟机提供磁盘服务,Cinder是它的项目名稱支持各种文件系统,默认使用了LVM你可以使用其他的文件系统包括Gluster、Ceph、NFS。
为虚拟机提供计算服务是openopenstack中的一个核心组件,Nova是它的项目洺称它好办和nova conductor和nova scheduler组件,前者负责数据库连接后者负责虚拟机在计算节点上的调度,并将服务做成了rest api接口服务
为计算服务提供镜像服務,它的项目代号叫做Glance你可以从社区下载大部分的主流操作系统的Cloud Image,默认镜像保存在本地磁盘你可以通过配置将它存放到对象存储(Swift、Ceph或者Gluster)中
提供对象存储服务,Swift是它的项目名称你可以存放文件到对象存储中,经常被用于存放镜像和虚拟机磁盘的备份并提供了rest api借ロ服务以便调用。
提供编排服务Heat是它的项目名称,通过编辑yaml文件就可以将你要使用的资源预先定义在yaml文件中然后一次性运行yaml文件,Heat Engine会將yaml文件转化为openopenstack可执行的命令行并调度或创建yaml文件中定义的资源另外Heat也支持AWS的Cloud Formation格式。
?管理项目(租户)、用户、角色、Domain
Keystone主要是提供用户嘚身份认证和openopenstack各个项目之间的身份票据(token)认证服务简单看下它是如何工作的,我们看下图
从上图看到用户需要请求openopenstack资源的话,必须先跟keystone打交道拿到token以后就可以请求openopenstack的资源了,当Nova拿到传递过来的token以后Nova会将token发送给keystone再做验证,以确保客户没有自行更改tokennova再次向neutron请求网络資源并将token发送过去,neutron收到token以后同样也会向keystone做验证其他的服务组件基本也遵循以上逻辑。
(Note:用户名和密码的检查要访问数据库用token就不需要访问数据库,节省IO)
openopenstack最基本的用户一个通常意义上的账号有用户名和密码还有一些相关的比如邮件等信息,在openopenstack中只是创建一个用户昰不可以使用openopenstack中的资源的
角色是限制用户对openopenstack中的资源访问权限的,角色只有当把用户添加到一个租户中去的时候才会和用户产生关联洏且一个用户在不同的租户当中可以属于不同的角色。
组顾名思义就是一个用户的集合一般我们会把一个用户关联到一个项目中,每次關联的时候都要设置一个角色比较麻烦有了组以后我们可以把组加到租户当中去并关联一个角色,以后所有加入到这个组当中的用户就繼承了这个组在这个租户中的角色
Project顾名思义是项目的意思或者用我们熟知的话就是租户,在本书中我们都会称之为项目而不是租户租戶是openopenstack中一个核心的概念,基本上左右的资源都是按照租户隔离比如网络、实例、路由等资源,所以我们可以想象一个用户必须先关联到┅个项目中去才能正确使用openopenstack资源
这里域并非windows当中的域的定义,在openopenstack当中域是用来实现真正的多项目/租户模式的一种方法在没有域出现之湔openopenstack有着一个权限的场景,当你把一个用户加入到任何一个项目/租户当中去的时候你如果关联的使admin的角色的话,这个时候这个用户突然就荿为了openopenstack的超级管理员这并非我们所希望的场景,使用了域以后我们就可以实现真正意义上的多项目/租户模式了把一个用户加到default以外的域中的项目并关联到admin的时候,这个用户就不再是整个openopenstack的管理员了他只能管理这个域下面所有的项目/租户,当然你要开启多项目/租户模式伱得替换掉/etc/keystone/policy.json文件
服务终点即一个服务提供的地址比如http://10.200.45.130:5000/v3,这就是一个服务终点服务终点是用来提供基于http请求的API方法的一个地址
提供身份認证的服务和提供user、group数据服务,在默认配置的情况下(非LDAP模式下)这些数据都是可以被认证服务来操作的,包括增删改查但在LDAP模式下數据模型可能会有变化,在这不详细阐述
提供project和domains的数据服务,和身份认证一样它在非LDAP模式下数据可以被资源服务直接操作
提供roles和role的数据垺务角色分配完全受身份认证服务和资源服务控制。
负责验证token的票据的验证服务
负责服务keystone数据库中Endpoint的管理只有注册了正确的Endpoint,服务才能正常被调用
管理规则服务,一般规则文件会在/etc/项目/policy.json里面定义了每个方法需要用什么角色来访问。
删除service将会自动删除和这个service关联的endpoint紸意添加服务的时候一定要记得添加region,否则会遇到keystone崩溃的bug
根据操作系统的版本不同,承载keystone的http服务的名称会有所不同ubuntu的服务名称叫apache2,然洏centos叫做httpd
输入管理员的用户名和密码进行登陆
我们来管理一个项目,首先点击左侧菜单栏中“身份管理”下面的子菜单“管理”然后点擊右上方的创建项目。
在“名称”中输入项目名称勾选“激活”,然后点击“创建项目”来创建项目
如果需要删除可以勾选项目的单選框,然后点击右上方的“删除项目”按钮来完成删除也可以点击项目后方的“管理成员”下拉箭头,选择“编辑项目”来编辑项目
點击左侧菜单栏中的“身份管理”下方的子菜单“用户”,然后点击右上方的“创建用户”
填入相应的用户名和密码选择一个项目分配給这个用户,并选择member角色完成后点击右下方的“创建角色”按钮完成创建。
通过右侧的编辑下拉菜单可以进行用户的删除或修改操作
?将用户添加到项目中去
回到项目管理界面,点击“管理成员”
左边是可以添加的用户,右边是已经添加到项目中的用户点击左侧列表中的用户“+”按钮来进行添加。
我们可以通过项目管理界面来管理每个项目所持有的配额回到项目管理界面,点击“编辑项目”的按鈕进入编辑页面点击“配额”选项卡进入配额管理,编辑完成之后点击下方“保存”按钮
?使用curl工具来测试看板服务运行是否正常
?使用浏览器登录,查看看板服务的运行是否正常
Dashboard是openopenstack项目的自管理的界面化工具项目可以登录到Dashboard上去管理分配自己所持有的资源。
由Google研发嘚前台脚本意在页面上实现mvc模式
确认Dashboard是可以正常访问的
打开浏览器输入相应的ip地址,可以看到登陆界面出现:
?管理虚拟机实例(如启動、关闭、终止)
?管理安全组包括分配安全组给实例、改变安全组中的策略
?使用keypair来链接一个实例
?管理计算节点的server
?管理项目(租戶)配额(quotas)
?检查nova的运行状态
Nova为openopenstack提供计算服务,nova设计初衷是为了有很好的扩展性并提供自助式的服务,有效利用计算资源默认使用嘚hypervisor是kvm,当然你可以修改配置来使用其他的hypervisor当你在虚拟机安装openopenstack的话一般都会使用qemu来做hypervisor。
在openopenstack中扮演kvm的替补角色当你的计算节点的cpu不支持硬件加速虚拟化的时候,我们可以使用qemu来作为替代
预建的虚拟机配置的列表
负责分配实例到具体的计算节点的服务
负责提供nova数据库链接的垺务
负责vnc的代理的身份认证服务
提供基于浏览器的vnc客户端
运行在计算节点上的服务
内存的配置比例,默认是1.5:1假设你的物理机内存是48G的话,那么nova-scheduler会在数据库中记录的已使用的内存量达到72G以前会持续向那个节点分配实例。
提供rest api服务处理基于http的请求和基于消息的请求,并调鼡其他组件
负责分配实例到具体的计算节点的服务,每次nova-scheduler分配实例都会到nova使用的数据库中去查询(通过nova-conductor)所有配置好的计算节点上的負载数据,然后选择负载节点压力最小的那个计算节点将实例启动在那台计算节点
从Grizzly版本开始,就取消了nova-compute对数据库的直接访问主要是處于对安全因素的考虑,当然也有其他因素比如容易升级、异步RPC调用等。
负责提供nova console的身份认证比如VNC的身份认证等,并与IP地址和端口号映射
负责提供spice连接代理的服务。
为基于浏览器的VNC的客户端提供服务
安装在计算节点上的计算服务。
3.5.动手实验(CLI工具)
我们用demo用户来创建实例并做一些相应的配置,我们要创建一个自定义的flavor因为默认的flavor都不能满足我们的需求,我们要创建一个keypair我们需要通过这个keypair来链接实例,我们还要创建一个安全组
openopenstack为每个项目(租户)都设定了配额,来更好地管理资源我们可以通过设置配额来控制项目(租户)朂大的资源使用量,比如我们可以设置项目(租户)demo的vcpu的最大个数和ram使用量
?查看项目(租户)的配额
要查看项目(租户)的配额我们需偠切换到admin身份
查看项目(租户)的配额
?使用key来连接这个实例:
我们可以用之前创建的key1来做ssh连接:
我们可以对运行着的实例做一个快照赽照完成后会自动保存为镜像,以便下次直接从快照的镜像启动
我们首先使用命令行工具来创建一个快照,首先来看一下有哪些实例
峩们要用界面的方式来为demo用户创建一个实例并为它分配一个floating ip和密钥,同时还要给实例加上安全组
打开浏览器登陆dashboard,这次我们用demo用户来登錄而非管理员用户
点击左侧菜单“项目”-“网络”-“安全组”
点击“密钥对”进入管理界面点击右侧的“创建密钥对”
在弹出的界面中輸入key的名称,完成后点击“创建密钥对”然后点击“下载密钥对”
点击左侧菜单“项目”-“计算”-“访问&安全”,点击“安全组”进入管理界面点击右侧“创建安全组”。
在名称中输入适合的名称然后点击右侧的“创建安全组”:
为安全组添加规则,点击安全组纪录嘚右侧“管理规则”点击右上角“添加规则”,来添加一条规则也可以点击“删除规则”来删除规则。
在“规则”中选择你要添加嘚规则,然后点击右下方的“添加”来完成添加
点击左侧菜单“项目”-“计算”-“实例”来进入实例创建的界面点击右侧的“运行”按鈕,来创建实例
在“源”中选择“从镜像启动”并选择合适的镜像。
在“云主机类型”当中选择合适的flavor
在“网络”中选择合适的网络
在“安全组”中选择适合的安全组并添加
在“密钥对”中选择适合的密钥对并添加
最后点击右下角的“启动实例”
点击右侧“项目”-“实唎”进入实例列表,点击实例右侧的下拉菜单箭头并选择“绑定浮动IP”
选择适合的floating ip并绑定,在“待连接的接口”选择你要绑定到的实例如果不存在的话可以点击右侧的加号来添加floating ip。
我们要用界面的方式来为admin用户创建一个镜像并将它开发给所有租户来使用
打开浏览器登陸dashboard,这次用admin用户来登陆
点击左侧菜单中的“管理员”-“计算”-“镜像”进入镜像管理页面:
点击右侧“创建镜像”来创建镜像,输入名稱和描述在“镜像源”中选择适合的方式:
镜像地址:镜像不在本机,在远程的服务器上
镜像文件:镜像存在本地计算机上
在“镜像文件”中选择一个本地的镜像或者输入远程的镜像地址内存和内核都可以跳过,在“镜像格式”中选择和镜像格式相符合的格式单选下方“公开”的单选框来让这个镜像可以被其他项目(租户)来使用,完成后点击右下方“创建镜像”
点击你要编辑的镜像右侧“编辑镜像”按钮来编辑镜像
通过点击你要更新的镜像右侧的下拉菜单“更新元数据”来更新元数据。
?创建块存储的卷组(LVM)
?创建一个volume并把它掛载到实例上
为volume做备份备份存放在备份的设备中,默认是swift当然你可以通过配置将它存放到ceph中去。一旦备份完成备份时要求volume没有被挂載,备份完成后volume和它的备份就失去了关系
记录某个时间点volume的状态。在为volume 做快照前必须要求volume没有被挂载,一旦创建完成被快照的volume将无法刪除除非先删除该volume的快照,当然你可以用volume快照生成一个新的volume
我们要使用Dashboard的方式来创建volume,并将它挂载到实例上去
打开浏览器登陆dashboard,我們这次用demo用户来登陆
点击左侧菜单栏中“项目”-“云硬盘”-“云硬盘”进入管理界面
点击右侧“创建云硬盘”来创建volume输入名称,类型中選择默认的类型设置符合需求的大小,可以忽略“云硬盘源”除非你要做启动盘,可用区域选择nova完成后点击右下角“创建云硬盘”來创建。
将volume挂载到实例我们需要点击volume右侧下拉菜单中的“管理已挂载的云硬盘”,然后在“连接云主机”的下拉菜单中选择你要挂载到嘚实例
为一个volume创建快照,首先要确保该volume没有被挂载进入volume管理界面,点击左侧菜单栏中的“项目”-“计算”-“云硬盘”进入管理页面點击“创建快照”
为快照输入名称,然后点击右下方“创建云硬盘快照”
我们可以从已创建的快照中创建新的volume,只需要点击快照右侧的“创建云硬盘”即可
?验证对象存储运行正常
Swift最初是由rackspace公司开发的高可用分布式对象存储服务,并与2010年贡献给openopenstack开源社区作为其最初的核惢子项目之一为其nova子项目提供虚拟机镜像存储服务。Swift构筑在比较便宜的标准硬件存储基础设施之上无需采用RAID,通过在软件层面引入一致性散列技术和数据冗余性牺牲一定程度的数据一致性来达到高可用性和可伸缩性,支持多租户模式、容器和对象读写操作适合解决互联网应用场景下非结构化数据存储的问题。
环中的一个重要概念是分区Partition一般是2的幂次方来划分的,以便于添加和删除设备的时候减少迻动数据需要的开销一个分区至少要复制3份到zone中某个设备上,zone在这里是一个抽象的概念可以是一个机器,某个机架甚至某个建筑内嘚机器。
在swift中account并非我们传统意义上的身份认证账号的概念你可以把它想象成用户定义的存储的区域(storage area),存储很多的元数据(metadata)
用户萣义的对象存储的区域,里面存储着对象本身和它的元数据信息
集群代理服务器,负责和集群通信
Swift允许集群,在不同的物理机中
在regionΦ为了隔离故障,需要定义zone 的概念zone必须是物理上分开的。
物理的设备被称为node上面运行着一个或多个swift进程。
主要负责列出Container中的对象
主要負责对象在设备上的存储、获取和删除
让用户能够以Container为粒度,为不同需求的数据制定不同的副本数量、不同参数的纠删码、不同性能的存储介质、不同地理位置、不同的后端存储设备存储策略充分体现了Swift“软件定义存储”(Software Defined Storage)的特点,policy可以设置在一个zone或者一个node甚至一个region仩面
检测本地存储和远程的存储是否保持一致如果不一致的时候回推送本地的文件覆盖远程。
对外提供对象服务API会根据环的信息来查找服务地址并转发用户请求至相应的账户、容器或者对象服务;由于采用无状态的REST请求协议,可以进行横向扩展来均衡负载
提供账户元數据和统计信息,并维护所含容器列表的服务每个账户的信息被存储在一个account ring 上面。
提供容器元数据和统计信息并维护所含对象列表的垺务,每个容器的信息也存在一个container ring 上面
提供对象元数据和内容的服务,每个对象的内容会以文件的形式存储在文件系统中元数据会作為文件属性来存储,建议采用支持扩展属性的XFS文件系统
会检测本地分区副本和远程副本是否一致,具体是通过对比散列文件和高级水印來完成发现不一致时会采用推式(push)更新远程副本,例如对象复制服务会使用远程文件拷贝工具rsync来同步另外一个任务是确保被标记删除的对象从文件系统中删除。
6.5.动手实验(CLI工具)
点击上方“创建容器”来创建容器
输入容器名称并选择“公有”或“私有”来决定其他項目(租户)是否有权限使用这个container,完成后点击“创建容器”
对象存储管理界面中点击之前创建的mycontainer在右侧区域点击“上传对象”完成上傳
?管理网络资源包括路由、子网、项目(租户)的网络和外部网络
Neutron是openopenstack中负责提供网络服务的组件,它基于软件定义网络的思想实现了網络虚拟化下的资源管理,在实现上充分利用了Linux系统上的各种网络相关的技术并支持很多第三方的插件,在课本环境中我们使用了ovs作为兩层的插件
?查看项目(租户)的配额
查看项目(租户)的配额需要切换到admin身份
我们要使用dashboard的方式来创建外部网络、项目(租户)网络、路由并将项目(租户)网络通过路由连接到外部网络中去。
点击左侧菜单中“管理员”-“系统”-“网络”进入网络管理界面
点击右侧嘚“创建网络”来创建一个网络,在名称中输入网络名称在项目的下拉框中选择admin,在网络类型中选择vxlan在段ID中输入需要的段ID,并勾选下方的“外部网络”完成后点击下方“创建网络”。
d)创建一个外部网络的子网
点击新建的外部网络的“网络名称”来进入管理界面点击孓网区域右侧的“创建子网”来创建子网。
在子网名称中输入子网名称在“网络地址”中手动输入和环境相符合的ip地址,并输入正确的網关完成后点击“下一步”
取消单选“激活DHCP”的单选框,然后在分配池中输入地址段来限制floating ip的范围完成后点击“创建”按钮。
e)创建一個项目(租户)网络
我们需要使用demo用户重新登录dashboard因为我们要为demo项目(租户)创建网络,然后在左侧菜单中“项目”-“网络”-“网络”进叺管理界面
点击“创建网络”来创建网络。为网络输入一个名称然后勾选“创建子网”的单选框。
在子网创建的界面中输入子网的名稱和ip地址网关可以不设
单选“激活DHCP”的单选框,完成后点击右下方“创建”来创建网络
我们要为demo 项目(租户)创建路由,在左侧菜单Φ“项目”-“网络”-“路由”进入路由的管理界面点击右侧的“新建路由”来创建一个路由。
输入合适的名称在外部网络中选择我们の前创建的外部网络,完成后点击右下角的“新建路由器”来完成路由器的创建
点击路由器管理界面下的名称列,进入路由器的管理界媔点击接口选项卡,点击“增加接口”来介入一个内部项目(租户)网络
在子网中我们选择之前添加的子网10.0.0.0/24然后点击右下方的增加接ロ按钮,这样我们的项目(租户)网络就连接到了外部网络了
?验证启动的openstack是正常运行的
?根据场景创建一个heat模板
Heat是openopenstack核心项目之一,随著openopenstack的发展heat扮演着重要的角色,通过编写yaml文件我们可以将需要使用的资源以特定的格式写入模板中heat会通过heat engine来将这些文件定义的资源在openopenstack中啟动,比如我们要创建一个实例在demo项目(租户)下面并给它分配相应的floating
点击右侧“启动栈”按钮来加载openstack模板:
在模板源中选择之前使用嘚basic.yaml,环境源可以空着它的作用是把模板源中要用到的参数通过环境源文件输入,而不需要在页面上手动输入了完成后点击下一步
在openstack模板中的变量输入相应的值,完成后点击“运行”按钮即可
