openstack云平台搭建超细教程(云操作系统openstack)

sf2gis@163.com

1 目标:将所有功能抽象为服务,并通过网络接口提供给用户。

云计算(cloud computing)基于互联网相关服务的增加、使用和交付模式,通常涉及通过互联网提供动态、易于扩展和虚拟化的资源。

云是网络和互联网的隐喻。在过去,云经常被用来表示电信网络,后来也被用来表示互联网和底层基础设施的抽象性。因此,云计算甚至可以让你体验每秒10万亿次的计算能力。如此强大的计算能力可以模拟核爆炸,预测气候变化和市场发展趋势。用户通过计算机、笔记本电脑、手机等方式访问数据中心,并根据自己的需要进行计算。

简单地说,将应用程序和数据放在由大量服务器组成的云中,用户需要购买和使用相应的服务。

云计算分为私有云、公有云和混合云。

云计算服务分类:基础设施即服务,平台即服务,软件即服务。

特点:

超大规模。云规模相当大,Google云计算拥有亚马逊、亚马逊、IBM、微软和Yahoo等公司的云都有几十万台服务器。云能给用户前所未有的计算能力。

虚拟化。云计算支持用户在任何位置使用各种终端获取服务。所需的资源来自云,而不是固定的有形实体。应用程序在云中运行,但实际上用户不需要知道应用程序的具体位置,只需要一个笔记本电脑或一个PDA,通过网络服务可以获得各种超能力的服务。

高可靠性。云采用数据多副本容错、计算节点同构可互换等措施,确保服务的高可靠性。使用云计算比使用本地计算机更可靠。

通用性。云计算不是针对特定的应用,可以在云的支持下构建不断变化的应用,同一个云可以同时支持不同的应用运行。

高可伸缩性。云规模可动态伸缩,满足应用和用户规模增长的需要。

按需服务。云是一个巨大的资源池,用户按需购买,如自来水、电和煤气。

极其便宜。云的特殊容错措施可以使用极其便宜的节点构成云;云的自动化管理大大降低了数据中心的管理成本;云的公共性和通用性大大提高了资源的利用率;云设施可建在电力资源丰富的地区,大大降低了能源成本。

2 Openstack

OpenStack它是一个开源云计算管理平台项目,由几个主要组件组合而成。OpenStack支持几乎所有类型的云环境,项目目标是提供简单、大规模扩展、丰富、统一的云计算管理平台。OpenStack基础设施即服务通过各种互补服务提供(IaaS)每项服务提供的解决方案API集成。常见组件:

Dashboard(web又名控制台Horizon)

Keystone(权限管理为各组件提供认证和授权功能)

Nova(管理虚拟机)

Nova-network(Neutron,管理网络流量和ip)

glance(镜像管理,提供安装镜像)

Cinder(磁盘管理,云盘)

Swift(网盘,对象存储)

openstack云平台搭建超细教程(云操作系统openstack)

OpenStack组件介绍

创建虚拟机步骤

openstack云平台搭建超细教程(云操作系统openstack)

openstack组件架构图

1) 通过登录界面或命令行通过RESTful API向keystone获取认证信息。

2) keystone通过用户要求认证信息并生成auth-token返回相应的认证请求。

3) 界面或命令通过RESTful API向nova-api发送一个boot instance请求(携带auth-token)。

4) nova-api接受请求后向keystone发送认证请求,查看token是否为有效用户和token。

5) keystone验证token是否有效,如果有效,返回有效的认证和相应的角色(注:有些操作需要角色权限)。

6) 通过认证后nova-api与数据库通信。

7) 新建虚拟机的初始数据库记录。

8) nova-api通过rpc.call向nova-scheduler请求是否有创建虚拟机的资源(Host ID)。

9) nova-scheduler进程侦听消息队列获取nova-api的请求。

10) nova-scheduler通过查询nova在数据库中计算资源,并通过调度算法计算满足虚拟机创建需要的主机。

11) 有符合虚拟机创建的主机,nova-scheduler在数据库中更新虚拟机对应的物理主机信息。

12) nova-scheduler通过rpc.cast向nova-compute发送创建虚拟机请求的相应信息。

13) nova-compute创建虚拟机请求的消息将从相应的消息队列中获取。

14) nova-compute通过rpc.call向nova-conductor请求获取虚拟机信息。(Flavor)

15) nova-conductor从消息队列中获得nova-compute请求消息。

16) nova-conductor查询虚拟机对应的信息。

17) nova-conductor虚拟机对应的信息从数据库中获取。

18) nova-conductor通过消息将虚拟机信息发送到消息队列。

19) nova-compute从相应的信息队列中获取虚拟机信息。

20) nova-compute通过keystone的RESTfull API拿到认证的token,并通过HTTP请求glance-api获取创建虚拟机所需的镜像。

21) glance-api向keystone认证token是否有效,并返回验证结果。

22) token验证通过,nova-compute获取虚拟机镜像信息(URL)。

23) nova-compute通过keystone的RESTfull API获得认证k的token,并通过HTTP请求neutron-server获取创建虚拟机所需的网络信息。

24) neutron-server向keystone认证token是否有效,并返回验证结果。

25) token验证通过,nova-compute获取虚拟机网络信息。

26) nova-compute通过keystone的RESTfull API拿到认证的token,并通过HTTP请求cinder-api获取创建虚拟机所需的持久存储信息。

27) cinder-api向keystone认证token是否有效,并返回验证结果。

28) token验证通过,nova-compute获取虚拟机持久存储信息。

29) nova-compute根据instance创建虚拟机的信息调用配置的虚拟驱动。

3 原理

用户通过网络终端要求软件服务。该软件在网络平台上开发,并使用该平台提供的基本功能服务。网络平台使用基础设施提供的基本硬件功能服务,如网络底层存储和计算资源。基础设施层使用存储、安全等服务和硬件来构建基本功能。

XaaS概念,X as a Service

S层:software

P层:platform

I层:infrastructure

参考:http://chuansong.me/n/147623

4 整体规划

openstack云平台搭建超细教程(云操作系统openstack)

整体规划

5 controller5.1 基本环境:使用rancher生成容器

(也可使用docker命令如下:

创建容器:## docker run -d –name controller –privileged=true docker.io/sf2gis/centos:ntp /usr/sbin/init

进入容器:# docker exec -it controller /bin/bash)

使用rancher需要在网络中设置IP(10.42.0.10)和主机名(controller),在命令中设置入口为/usr/sbin/init,在安全中选择所有权限。

进入容器,设置IP和域名:/etc/hosts

10.42.0.10 controller

10.42.0.11 compute01

openstack云平台搭建超细教程(云操作系统openstack)

rancher生成容器

5.2 设定时间同步:ntp

启动ntp服务。

完成后yum update 升级系统。

将容器commit为镜像

docker commit -a "sf2gis" -m "centos7.4+ntp server+update" controller sf2gis/openstack:ntp

将镜像push到dockerhub。

docker push sf2gis/openstack:ntp

5.3 MarioDB:安装数据库

参见:..\\DataBase\\mysql\\mysql.docx

5.4 安装信息队列服务rabbitmq5.4.1 安装:yum install rabbitmq-server -y5.4.2 启动:

systemctl enable rabbitmq-server.service、systemctl start rabbitmq-server.service

5.4.3 配置

添加用户:rabbitmqctl add_user openstack abc123

配置权限:rabbitmqctl set_permissions openstack ".*" ".*" ".*"

添加webui:rabbitmq-plugins enable rabbitmq_management

配置完成后重启生效:systemctl restart rabbitmq-server.service

查看监听端口:netstat -anpt | grep beam

server间通信端口:25672

管理端口:15672

client端通信端口:5672

5.4.4 页面访问:IP:15672

初次登录用户名和密码使用guest。

openstack云平台搭建超细教程(云操作系统openstack)

登录页面

5.5 KeyStone:身份认证服务

OpenStack的Identity service为认证管理,授权管理和服务目录服务管理提供单点整合,作为统一API使用。此外,可以整合不在OpenStack项目中的用户信息服务(如LDAP服务)。

其他OpenStack服务在收到来自用户的请求时,询问Identity服务以验证是否具有权限。

keystone包括服务器、中间件及第三方驱动。服务器提供restful的web服务,中间件使组件可以访问到认证服务,第三方驱动用于整合外部用户信息服务。

5.5.1 创建权限数据库

mysql –u root -p

CREATE DATABASE keystone;

GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'localhost' IDENTIFIED BY 'abc123';

GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'%' IDENTIFIED BY 'abc123';

flush privileges;

5.5.2 安装

yum install openstack-keystone httpd mod_wsgi memcached python-memcached -y #这里安装memcached是为了令牌更新用的

systemctl enable memcached.service && systemctl start memcached.service

netstat -tnlp|grep memcached

openssl rand -hex 10 #生成随机数,创建管理员令牌。8115b8656f6eeea723cc

openstack云平台搭建超细教程(云操作系统openstack)

keystone

5.5.3 配置

cd /etc/keystone/

cp keystone.conf keystone.conf.bak

egrep -v "^#|^$" keystone.conf.bak > keystone.conf

vi keystone.conf

[default]

admin_token = 0cfe644113b242e39878 #与上面生成的管理员令牌一致

[database]

connection = mysql+pymysql://keystone:abc123@controller/keystone #配置数据库访问地址

[token]

provider = fernet #配置 fernet token provider

5.5.4 初始化fernet存储库

Fernet 是专为 API token 设计的一种轻量级安全消息格式,不需要存储于数据库,减少了磁盘的 IO,带来了一定的性能提升。使用uuid token偶尔会有莫名其妙认证失败返回401,从而导致web页面log out的情况。而使用fernet token后,则基本没有这种情况的发生。

su -s /bin/sh -c "keystone-manage db_sync" keystone #初始化身份认证服务的数据库

#keystone对自己进行认证:创建自身的用户和组并对其进行授权

keystone-manage fernet_setup –keystone-user keystone –keystone-group keystone

keystone-manage credential_setup –keystone-user keystone –keystone-group keystone

5.5.5 配置 Apache HTTP 服务器

sed -i 's/#ServerName www.example.com:80/ServerName controller/g' /etc/httpd/conf/httpd.conf #修改配置文件中主机名为controller

ln -s /usr/share/keystone/wsgi-keystone.conf /etc/httpd/conf.d/

vi /etc/httpd/conf.d/wsgi-keystone.conf,添加如下内容

Listen 35357

<VirtualHost *:35357>

WSGIDaemonProcess keystone-admin processes=5 threads=1 user=keystone group=keystone display-name=%{GROUP}

WSGIProcessGroup keystone-admin

WSGIScriptAlias / /usr/bin/keystone-wsgi-admin

WSGIApplicationGroup %{GLOBAL}

WSGIPassAuthorization On

LimitRequestBody 114688

<IfVersion >= 2.4>

ErrorLogFormat "%{cu}t %M"

</IfVersion>

ErrorLog /var/log/httpd/keystone.log

CustomLog /var/log/httpd/keystone_access.log combined

<Directory /usr/bin>

<IfVersion >= 2.4>

Require all granted

</IfVersion>

<IfVersion < 2.4>

Order allow,deny

Allow from all

</IfVersion>

</Directory>

</VirtualHost>

Alias /identity_admin /usr/bin/keystone-wsgi-admin

<Location /identity_admin>

SetHandler wsgi-script

Options +ExecCGI

WSGIProcessGroup keystone-admin

WSGIApplicationGroup %{GLOBAL}

WSGIPassAuthorization On

</Location>

systemctl enable httpd.service

systemctl start httpd.service

netstat -anpt | grep http #35357用于管理,5000用于普通用户

openstack云平台搭建超细教程(云操作系统openstack)

apache http

5.5.6 创建服务实体

export OS_TOKEN=8115b8656f6eeea723cc #配置认证令牌,与上面生成的管理员令牌一致

export OS_URL=http://controller:35357/v3 #配置端点URL

export OS_IDENTITY_API_VERSION=3 #配置认证 API 版本

env|grep ^OS #查看设置是否生效

注意:如果Token配置出错,将报HTTP 401错误。

openstack

service create –name keystone –description "OpenStack identity" identity

openstack云平台搭建超细教程(云操作系统openstack)

创建服务实体

创建访问该服务的三个端点:

openstack endpoint create –region RegionOne identity public http://controller:5000/v3

openstack endpoint create –region RegionOne identity internal http://controller:5000/v3

openstack endpoint create –region RegionOne identity admin http://controller:35357/v3

openstack云平台搭建超细教程(云操作系统openstack)

创建端点

为简化操作,可以使用bootstrap进行集中创建,下面的等同于服务实体的创建

keystone-manage bootstrap –bootstrap-password 8115b8656f6eeea723cc \

–bootstrap-admin-url http://controller:35357/v3 \

–bootstrap-internal-url http://controller:5000/v3 \

–bootstrap-public-url http://controller:5000/v3 \

–bootstrap-region-id RegionOne

5.5.7 创建admin管理项目:进行管理操作

组织结构:domain-》project-》role-》user

创建域:openstack domain create –description "default Domain" default

创建项目:openstack project create –domain default –description "admin Project" admin

创建角色:openstack role create admin

创建用户:openstack user create –domain default –password-prompt admin

关联:openstack role add –project admin –user admin admin

可以在keystone数据库assignment中查看记录。

openstack云平台搭建超细教程(云操作系统openstack)

创建admin管理项目

5.5.8 创建service项目:各组件服务使用

openstack project create –domain default –description "service Project" service

5.5.9 创建demo项目:常规业务使用

openstack project create –domain default –description "demo Project" demo

openstack user create –domain default –password-prompt demo

openstack role create user

openstack role add –project demo –user demo user

5.5.10 出于安全考虑,关闭相关环境变量

unset OS_TOKEN OS_URL

5.5.11 请求认证

openstack –os-auth-url http://controller:35357/v3 –os-project-domain-name default –os-user-domain-name default –os-project-name admin –os-username admin token issue

openstack云平台搭建超细教程(云操作系统openstack)

请求认证

可以使用脚本文件简化认证过程:使用openstack token issue直接认证

vi admin-openrc

export OS_PROJECT_DOMAIN_NAME=default

export OS_USER_DOMAIN_NAME=default

export OS_PROJECT_NAME=admin

export OS_USERNAME=admin

export OS_PASSWORD=admin

export OS_AUTH_URL=http://controller:35357/v3

export OS_IDENTITY_API_VERSION=3

export OS_IMAGE_API_VERSION=2

openstack云平台搭建超细教程(云操作系统openstack)

认证

vi demo-openrc

export OS_PROJECT_DOMAIN_NAME=default

export OS_USER_DOMAIN_NAME=default

export OS_PROJECT_NAME=ademo

export OS_USERNAME=demo

export OS_PASSWORD=demo

export OS_AUTH_URL=http://controller:5000/v3

export OS_IDENTITY_API_VERSION=3

export OS_IMAGE_API_VERSION=2

5.6 Glance:镜像服务5.6.1 概述

管理镜像,允许用户发现,注册、恢复虚拟机镜像。

5.6.1.1 组织架构

glance-api:接受用户调用。

glance-registry:管理镜像元数据,内部服务。存储于数据库中。

存储仓库:支持多种仓库。

元数据定义服务:用于自定义元数据。

5.6.2 环境准备5.6.2.1 创建数据库

CREATE DATABASE glance;

GRANT ALL PRIVILEGES ON glance.* TO 'glance'@'localhost' IDENTIFIED BY 'glance';

GRANT ALL PRIVILEGES ON glance.* TO 'glance'@'%' IDENTIFIED BY 'glance';

flush privileges;

5.6.2.2 创建认证服务

创建glance用户(密码输入glance):openstack user create –domain default –password-prompt glance

建立admin角色连接:openstack role add –project service –user glance admin

创建服务实体:

openstack service create –name glance –description "OpenStack Image" image

创建服务的端点:

openstack endpoint create –region RegionOne image public http://controller:9292

openstack endpoint create –region RegionOne image internal http://controller:9292

openstack endpoint create –region RegionOne image admin http://controller:9292

openstack云平台搭建超细教程(云操作系统openstack)

认证服务

生成脚本

vi glance-openrc

export OS_PROJECT_DOMAIN_NAME=default

export OS_USER_DOMAIN_NAME=default

export OS_PROJECT_NAME=service

export OS_USERNAME=glacne

export OS_PASSWORD=glance

export OS_AUTH_URL=http://controller:35357/v3

export OS_IDENTITY_API_VERSION=3

export OS_IMAGE_API_VERSION=2

测试:openstack token issue

openstack云平台搭建超细教程(云操作系统openstack)

测试

5.6.3 安装配置

yum install openstack-glance –y

配置glance-api

cd /etc/glance/

cp glance-api.conf glance-api.conf.bak

egrep -v "^#|^$" glance-api.conf.bak > glance-api.conf

vi glance-api.conf

[DEFAULT]

notification_driver = noop #配置 noop 禁用通知,他们只适合与可选的Telemetry 服务

[database]

connection = mysql+pymysql://glance:glance@controller/glance #配置数据库访问地址

[keystone_authtoken] #配置认证服务访问信息

auth_uri = http://controller:5000

auth_url = http://controller:35357

memcached_servers = controller:11211

auth_type = password

project_domain_name = default

user_domain_name = default

project_name = service

username = glance

password = glance

[paste_deploy] #配置认证服务访问

flavor = keystone

[glance_store] #配置本地文件系统存储和镜像文件位置

stores = file,http

default_store = file

filesystem_store_datadir = /var/lib/glance/images/

配置glance- registry

cp glance-registry.conf glance-registry.conf.bak

egrep -v "^#|^$" glance-registry.conf.bak > glance-registry.conf

vi glance-registry.conf

[database]

connection = mysql+pymysql://glance:glance@controller/glance

[keystone_authtoken]

auth_uri = http://controller:5000

auth_url = http://controller:35357

memcached_servers = controller:11211

auth_type = password

project_domain_name = default

user_domain_name = default

project_name = service

username = glance

password = glance

[paste_deploy]

flavor = keystone

配置写入数据库

su -s /bin/sh -c "glance-manage db_sync" glance #将配置写入镜像服务数据库

启动镜像服务、开机启动

systemctl enable openstack-glance-api.service openstack-glance-registry.service

systemctl start openstack-glance-api.service openstack-glance-registry.service

5.6.4 镜像管理

下载镜像:wget http://download.cirros-cloud.net/0.3.4/cirros-0.3.4-x86_64-disk.img

创建镜像:

openstack image create "cirros" –file cirros-0.3.4-x86_64-disk.img –disk-format qcow2 –container-format bare –public #使用 QCOW2 磁盘格式, bare 容器格式上传镜像到镜像服务并设置公共可见,这样所有的项目都可以访问它

镜像列表:openstack image list #确认镜像的上传并验证属性

openstack云平台搭建超细教程(云操作系统openstack)

镜像列表

5.7 Nova:计算服务5.7.1 概述

OpenStack使用计算服务来托管和管理云计算系统,是IaaS系统的主要部分,模块主要由Python实现。OpenStack组件可以在标准硬件上水平大规模扩展,并且下载磁盘镜像启动虚拟机实例。

openstack云平台搭建超细教程(云操作系统openstack)

Nova架构

5.7.1.1 VNC Proxy的功能:

将公网(public network)和私网(private network)隔离

VNC client运行在公网上,VNCServer运行在私网上,VNC Proxy作为中间的桥梁将二者连接起来

VNC Proxy通过token对VNC Client进行验证

VNC Proxy不仅仅使得私网的访问更加安全,而且将具体的VNC Server的实现分离,可以支持不同Hypervisor的VNC Server但不影响用户体验

5.7.1.2 VNC Proxy的部署

在Controller节点上部署nova-consoleauth 进程,用于Token验证

在Controller节点上部署nova-novncproxy 服务,用户的VNC Client会直接连接这个服务

Controller节点一般有两张网卡,连接到两个网络,一张用于外部访问,我们称为public network,或者API network,这张网卡的IP地址是外网IP,如图中172.24.1.1,另外一张网卡用于openstack各个模块之间的通信,称为management network,一般是内网IP,如图中10.10.10.2

在Compute节点上部署nova-compute,在nova.conf文件中有下面的配置

vnc_enabled=True

vncserver_listen=0.0.0.0 //VNC Server的监听地址

vncserver_proxyclient_address=10.10.10.2 //nova vnc proxy是通过内网IP来访问vnc server的,所以nova-compute会告知vnc proxy用这个IP来连接我。

novncproxy_base_url=http://172.24.1.1:6080/vnc_auto.html //这个url是返回给客户的url,因而里面的IP是外网IP

5.7.2 创建数据库

CREATE DATABASE nova_api;

CREATE DATABASE nova;

CREATE DATABASE nova_cell0;

GRANT ALL PRIVILEGES ON nova_api.* TO 'nova'@'localhost' IDENTIFIED BY 'nova';

GRANT ALL PRIVILEGES ON nova_api.* TO 'nova'@'%' IDENTIFIED BY 'nova';

GRANT ALL PRIVILEGES ON nova.* TO 'nova'@'localhost' IDENTIFIED BY 'nova';

GRANT ALL PRIVILEGES ON nova.* TO 'nova'@'%' IDENTIFIED BY 'nova';

GRANT ALL PRIVILEGES ON nova_cell0.* TO 'nova'@'localhost' IDENTIFIED BY 'nova';

GRANT ALL PRIVILEGES ON nova_cell0.* TO 'nova'@'%' IDENTIFIED BY 'nova';

flush privileges;

5.7.3 创建服务实体

. admin-openrc #获得admin权限

创建用户并添加到admin

openstack user create –domain default –password-prompt nova #创建nova用户,会提示输入密码nova

openstack role add –project service –user nova admin #添加admin 角色到 nova 用户

创建服务实体及端点

openstack service create –name nova –description "OpenStack Compute" compute

openstack endpoint create –region RegionOne compute public http://controller:8774/v2.1/%\(tenant_id\)s

openstack endpoint create –region RegionOne compute internal http://controller:8774/v2.1/%\(tenant_id\)s

openstack endpoint create –region RegionOne compute admin http://controller:8774/v2.1/%\(tenant_id\)s

5.7.4 安装服务

yum install -y \

openstack-nova-api \

openstack-nova-conductor \

openstack-nova-console \

openstack-nova-novncproxy \

openstack-nova-scheduler

5.7.5 配置nova.conf

cd /etc/nova/

cp nova.conf nova.conf.bak

egrep -v "^$|^#" nova.conf.bak > nova.conf

vi nova.conf

[DEFAULT]

enabled_apis = osapi_compute,metadata #禁用EC2 API

transport_url = rabbit://openstack:abc123@controller

auth_strategy = keystone #配置认证服务访问

my_ip = 10.42.0.10 #配置 my_ip使用controller的IP地址

use_neutron = True #启动网络服务支持

firewall_driver = nova.virt.firewall.NoopFirewallDriver #关闭防火墙

[api_database]

connection = mysql+pymysql://nova:nova@controller/nova_api #配置数据库访问

[database]

connection = mysql+pymysql://nova:nova@controller/nova #配置数据库访问

[keystone_authtoken] #配置认证服务访问

auth_uri = http://controller:5000

auth_url = http://controller:35357

memcached_servers = controller:11211

auth_type = password

project_domain_name = default

user_domain_name =default

project_name = service

username = nova

password = nova

[vnc] #配置VNC代理使用控制节点的管理IP地址

vncserver_listen = 0.0.0.0

vncserver_proxyclient_address = $my_ip

[glance]

api_servers = http://controller:9292 #配置镜像服务的位置,域名如果无法解析也可以IP地址

[oslo_concurrency]

lock_path = /var/lib/nova/tmp #配置锁路径

5.7.6 同步数据库

su -s /bin/sh -c "nova-manage api_db sync" nova #同步Compute 数据库,忽略告警信息

su -s /bin/sh -c "nova-manage db sync" nova

su -s /bin/sh -c "nova-manage cell_v2 map_cell0" nova

su -s /bin/sh -c "nova-manage cell_v2 create_cell –name=cell1 –verbose" nova

5.7.7 启动 Compute 服务并将其设置为随系统启动

systemctl enable openstack-nova-api.service \

openstack-nova-consoleauth.service \

openstack-nova-scheduler.service \

openstack-nova-conductor.service \

openstack-nova-novncproxy.service

systemctl start openstack-nova-api.service \

openstack-nova-consoleauth.service \

openstack-nova-scheduler.service \

openstack-nova-conductor.service \

openstack-nova-novncproxy.service

5.7.8 查看服务列表

nova service-list

openstack云平台搭建超细教程(云操作系统openstack)

服务列表

5.8 Nova计算节点

参见:compute01

5.9 Neutron:网络服务5.9.1 概述

Neutron 为整个 OpenStack 环境提供网络支持,包括二层交换,三层路由,负载均衡,防火墙和 *** 等。Neutron 提供了一个灵活的框架,通过配置,无论是开源还是商业软件都可以被用来实现这些功能。

Openstack的设计理念是把所有的组件当做服务来注册的。 Neutron就是网络服务。它将网络、子网、端口和路由器抽象化,之后启动的虚拟主机就可以连接到这个虚拟网络上,最大的好处是这些都可视化的在Horizon里得到了实现,部署或者改变一个SDN变得非常简单。

openstack云平台搭建超细教程(云操作系统openstack)

Neutron结构

客户机连接到网络的流程

1) 租户创建了一个网络,比如net

2) 租户为此网络分配一个子网,比如192.168.56.0/24

3) 租户启动一个客户机,并指明一个网口连接到net

4) Nova通知Neutron并在net上创建一个端口,如port1

5) Neutron选择并分配一个IP给port1

6) 客户机通过port1就连接到了net上

组织架构

openstack云平台搭建超细教程(云操作系统openstack)

组织架构

Neutron 由如下组件构成:

Neutron Server :对外提供 OpenStack 网络 API,接收请求,并调用 Plugin 处理请求。

Plugin:处理 Neutron Server 发来的请求,维护 OpenStack 逻辑网络的状态, 并调用 Agent 处理请求。

Agent :处理 Plugin 的请求,负责在 network provider 上真正实现各种网络功能。

network provider :提供网络服务的虚拟或物理网络设备,例如 Linux Bridge,Open vSwitch 或者其他支持 Neutron 的物理交换机。

Queue :Neutron Server,Plugin 和 Agent 之间通过 Messaging Queue 通信和调用。

Database :存放 OpenStack 的网络状态信息,包括 Network, Subnet, Port, Router 等。

5.9.2 环境准备

docker创建时,注意:

修改/etc/hosts(controller和compute01都要修改)。

5.9.3 创建数据库

CREATE DATABASE neutron;

GRANT ALL PRIVILEGES ON neutron.* TO 'neutron'@'localhost' IDENTIFIED BY 'neutron';

GRANT ALL PRIVILEGES ON neutron.* TO 'neutron'@'%' IDENTIFIED BY 'neutron';

Flush privileges;

5.9.4 创建服务实体

. admin-openrc #获得 admin 凭证来获取只有管理员能执行命令的访问权限

openstack user create –domain default –password-prompt neutron

openstack role add –project service –user neutron admin

openstack service create –name neutron –description "OpenStack Networking" network

openstack endpoint create –region RegionOne network public http://controller:9696

openstack endpoint create –region RegionOne network internal http://controller:9696

openstack endpoint create –region RegionOne network admin http://controller:9696

5.9.5 安装服务

yum install openstack-neutron openstack-neutron-ml2 openstack-neutron-linuxbridge ebtables -y

5.9.6 配置neutron.conf

cd /etc/neutron/

cp neutron.conf neutron.conf.bak

egrep -v "^$|^#" neutron.conf.bak > neutron.conf

vi neutron.conf

[database] #配置数据库访问

connection = mysql+pymysql://neutron:neutron@controller/neutron

[keystone_authtoken] #配置认证服务访问

auth_uri = http://controller:5000

auth_url = http://controller:35357

memcached_servers = controller:11211

auth_type = password

project_domain_name = default

user_domain_name = default

project_name = service

username = neutron

password = neutron

[nova] #配置网络以能够反映计算网络拓扑变化

auth_url = http://controller:35357

auth_type = password

project_domain_name = default

user_domain_name = default

region_name = RegionOne

project_name = service

username = nova

password = nova

[oslo_concurrency]

lock_path = /var/lib/neutron/tmp #配置锁路径

[DEFAULT]

core_plugin = ml2 #启用Layer 2 (ML2)插件模块,路由服务和重叠的IP地址

service_plugins = #故意缺少值,就可以启用多种服务插件

transport_url = rabbit://openstack:abc123@controller #配置 "RabbitMQ"消息队列访问

auth_strategy = keystone #配置认证服务访问

notify_nova_on_port_status_changes = True #配置网络以能够反映计算网络拓扑变化

notify_nova_on_port_data_changes = True

5.9.7 配置m2.conf

cd /etc/neutron/plugins/ml2/

cp ml2_conf.ini ml2_conf.ini.bak

egrep -v "^$|^#" ml2_conf.ini.bak > ml2_conf.ini

vi ml2_conf.ini

[ml2]

type_drivers = flat,vlan #启用flat和VLAN网络

tenant_network_types = #故意缺少值,这样就可以启用多种网络

mechanism_drivers = linuxbridge #启用Linux 桥接

extension_drivers = port_security #启用端口安全扩展驱动

[ml2_type_flat]

flat_networks = provider #配置公共flat提供网络

[securitygroup]

enable_ipset = True #启用 ipset 增加安全组的方便性

5.9.8 配置linuxbridge_agent.ini

cd /etc/neutron/plugins/ml2/

cp linuxbridge_agent.ini linuxbridge_agent.ini.bak

egrep -v "^$|^#" linuxbridge_agent.ini.bak >linuxbridge_agent.ini

vi linuxbridge_agent.ini

[linux_bridge]

physical_interface_mappings = provider:ens33 #映射公共虚拟网络到公共物理网络接口

[vxlan] #禁用VXLAN覆盖网络

enable_vxlan = False

[securitygroup] #启用安全组并配置 Linux 桥接 iptables 防火墙驱动

enable_security_group = True

firewall_driver = neutron.agent.linux.iptables_firewall.IptablesFirewallDriver

5.9.9 配置DHCP

cd /etc/neutron/

cp dhcp_agent.ini dhcp_agent.ini.bak

egrep -v "^$|^#" dhcp_agent.ini.bak > dhcp_agent.ini

vi dhcp_agent.ini

[DEFAULT] #配置Linux桥接网卡驱动,Dnsmasq DHCP驱动并启用隔离元数据,这样在公共网络上的实例就可以通过网络访问元数据

interface_driver = neutron.agent.linux.interface.BridgeInterfaceDriver

dhcp_driver = neutron.agent.linux.dhcp.Dnsmasq

enable_isolated_metadata = True

5.9.10 配置元数据

cd /etc/neutron/

cp metadata_agent.ini metadata_agent.ini.bak

egrep -v "^$|^#" metadata_agent.ini.bak > metadata_agent.ini

vi metadata_agent.ini

[DEFAULT] #配置访问参数

nova_metadata_ip = controller #配置元数据主机

metadata_proxy_shared_secret = mate #配置元数据代理共享密码,自定义

5.9.11 修改nova配置

cd /etc/nova/

cp nova.conf nova.conf.nova

vi nova.conf #新增neutron

[neutron]

url = http://controller:9696

auth_url = http://controller:35357

auth_type = password

project_domain_name = Default

user_domain_name = Default

region_name = RegionOne

project_name = service

username = neutron

password = neutron

service_metadata_proxy = True

metadata_proxy_shared_secret = mate

5.9.12 创建ML2链接

#网络服务初始化脚本需要一个超链接/etc/neutron/plugin.ini指向ML2插件配置文件/etc/neutron/plugins/ml2/ml2_conf.ini

ln -s /etc/neutron/plugins/ml2/ml2_conf.ini /etc/neutron/plugin.ini

5.9.13 同步数据库

su -s /bin/sh -c "neutron-db-manage –config-file /etc/neutron/neutron.conf –config-file /etc/neutron/plugins/ml2/ml2_conf.ini upgrade head" neutron #同步数据库

5.9.14 启动服务

systemctl restart openstack-nova-api.service #重启计算API 服务

配置他们开机自启动(对所有网络选项)

systemctl enable neutron-server.service neutron-linuxbridge-agent.service neutron-dhcp-agent.service neutron-metadata-agent.service

启动网络服务

systemctl start neutron-server.service neutron-linuxbridge-agent.service neutron-dhcp-agent.service neutron-metadata-agent.service

对网络选项2,同样也启用并启动layer-3服务:

systemctl enable neutron-l3-agent.service

systemctl start neutron-l3-agent.service

5.9.15 配置计算节点

参见:安装neutron网络服务

5.10 Horizon:管理端5.10.1 概述

Openstack项目中的Horizon仪表板组件是以Web界面的形式展示各项服务的,Openstack云系统管理员和终端用户可以通过仪表板管理各项资源和服务。

Horizon通过Openstack的APIs与控制节点通信,分配资源和同步状态。

Horizon服务组件允许对其进行定制化的修改,同时,提供一些核心代码类和可重复使用的模板与工具.

5.10.2 安装

yum install -y openstack-dashboard

5.10.3 配置

备份:cp /etc/openstack-dashboard/localsettings /etc/openstack-dashboard/localsettings.bak

修改配置:vi /etc/openstack-dashboard/localsettings

OPENSTACK_HOST = "controller"

ALLOWED_HOSTS = ['*', ]

SESSION_ENGINE = 'django.contrib.sessions.backends.cache'

CACHES = {

'default': {

'BACKEND': 'django.core.cache.backends.memcached.MemcachedCache',

'LOCATION': '127.0.0.1:11211',

}

}

OPENSTACK_KEYSTONE_URL = "http://192.168.71.2:5000/v3"

OPENSTACK_API_VERSIONS = {

'identity': 3,

OPENSTACK_KEYSTONE_DEFAULT_ROLE = "_member_"

}

OPENSTACK_NEUTRON_NETWORK = {

'enable_distributed_router': False,

'enable_firewall': False,

'enable_ha_router': False,

'enable_lb': False,

'enable_quotas': True,

'enable_security_group': True,

'enable_vpn': False,

'profile_support': None,

}

TIME_ZONE = "Asia/Shanghai"

5.10.4 重启服务

systemctl restart httpd.service memcached.service

5.10.5 访问web页面

http://IP/dashboard/

openstack云平台搭建超细教程(云操作系统openstack)

登录页面

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至827202335@qq.com 举报,一经查实,本站将立刻删除。文章链接:https://www.eztwang.com/dongtai/52659.html

(0)
打赏 微信扫一扫 微信扫一扫
上一篇 2022年12月29日 15:37
下一篇 2022年12月29日 15:49

相关推荐

  • 微信头像无法更换怎么办?为什么会出现这样的问题?

    微信作为国内最受欢迎的社交软件之一,用户数量庞大,其功能的多样性也深受用户喜爱。其中,微信头像的更换是用户表达个性和情感的一种方式。然而,有些用户在尝试更换微信头像时,会遇到无法更换的问题。那么,这究竟是怎么回事呢?为什么会出现这样的问题呢?下面我们就来一探究竟。 首先,我们要明确微信头像无法更换可能有以下几种原因: 1. 网络问题:在更换头像的过程中,如果…

    2024年9月2日
    2700
  • 微信拉黑后还能重新加好友吗?如何操作?

    在现代社交生活中,微信成为了不可或缺的一部分。我们通过微信与亲朋好友保持联系,分享生活中的点滴。然而,在某些情况下,我们可能会因为种种原因将某位好友拉黑。那么,问题来了,微信拉黑后还能重新加好友吗?如果可以,又该如何操作呢? 答案是肯定的,微信拉黑后仍然可以重新添加好友。下面,我将为您详细介绍重新添加好友的具体操作步骤。 首先,我们需要明确一点:拉黑好友并不…

    2024年9月1日
    5500
  • 网课优缺点分析:如何选择最适合的学习方式?

    随着科技的发展,网络教育逐渐成为学习的重要方式之一。尤其在疫情期间,网课成为了众多学生和职场人士的主要学习途径。然而,网课既有其独特的优势,也存在一定的不足。面对如此多样化的学习方式,如何选择最适合自己的一款呢?本文将对网课的优缺点进行分析,以帮助大家找到最合适的学习方式。 一、网课的优点 1. 灵活性:网课摆脱了传统课堂时间和地点的限制,学员可以根据自己的…

    2024年8月31日
    1800
  • 多多买菜退款需要门店同意吗?正确流程是怎样的?

    线上购物已经成为我们日常生活的一部分,多多买菜便是其中的佼佼者。然而,在享受便利的同时,我们也可能会遇到退款的问题。那么,在使用多多买菜时,退款是否需要门店同意呢?正确的退款流程又是怎样的呢?接下来,我们就来一步步了解。 首先,我们需要明确一点,多多买菜的退款流程主要分为两类:一是有实体门店的商品,二是无实体门店的商品。 对于有实体门店的商品,退款是否需要门…

    2024年8月30日
    4100
  • 不用手机号可以注册抖音吗?有哪些替代方案?

    在互联网时代,抖音已成为大众娱乐的重要途径。然而,有些人出于隐私保护或其他原因,不愿意使用手机号注册抖音。那么,不用手机号可以注册抖音吗?答案是肯定的。本文将为您介绍几种抖音注册的替代方案。 1. 使用邮箱注册 抖音支持使用邮箱地址进行注册。在注册过程中,选择“邮箱注册”选项,输入您的邮箱地址,设置密码,按照提示完成验证即可。使用邮箱注册的好处是,可以避免手…

    2024年8月30日
    10300
  • 朋友验证消息是什么意思?如何在社交软件中正确处理?

    所谓朋友验证消息,是指当我们在社交软件上收到一个来自陌生人的好友请求时,对方通常会附带一条简短的文字信息,用于说明自己的身份和添加好友的原因。这样做的目的是为了让接收方更容易判断对方是否值得信任,从而决定是否通过好友请求。 在社交软件中正确处理朋友验证消息,以下几点建议或许能帮助你: 1. 审慎对待:在通过好友请求之前,一定要仔细阅读对方发送的朋友验证消息,…

    2024年8月29日
    3200
  • 寻找类似闲鱼的二手交易平台。

    随着互联网的普及和发展,二手交易平台日益受到人们的关注和喜爱。闲鱼作为我国知名的二手交易平台,为广大用户提供了一个便捷、高效的交易环境。然而,除了闲鱼之外,还有许多类似的二手交易平台值得我们去探索和利用。今天,就让我来为大家介绍几款类似的二手交易平台,希望能给大家带来更多的选择。 1. 转转 转转成立于2015年,是58同城旗下的二手交易平台。它依托于58同…

    2024年8月24日
    1400
  • 闲鱼分期付款是否可行?

    闲鱼,作为国内知名的二手交易平台,已经深入到大众的日常生活之中。在这个平台上,买家可以淘到物美价廉的二手商品,卖家则可以处理自己的闲置物品。然而,随着消费方式的多元化,分期付款购物逐渐成为一种趋势。那么,闲鱼分期付款是否可行呢? 首先,我们需要了解闲鱼平台的特点。闲鱼作为一个C2C的交易平台,其核心优势在于低价、多样的商品和便捷的交易流程。然而,分期付款涉及…

    2024年8月23日
    5100

发表回复

登录后才能评论

联系我们

18312384410

在线咨询: QQ交谈

邮件:827202335@qq.com

添加微信