preface Openstack组件 keystone(服务名:认证服务): 为访问openstack各组件提供认证和授权功能,认证通过后,提供一个服务列表(存放你有权访问的服务),可以通过该列表访问各个组件。 Horizon(服务名:Dashboard): web方式管理云平台,如建立云主机,分配网络,配安全组等 Nova(服务名:计算): 负责响应虚拟机的创建请求,调度,销毁云主机 Neutron(服务名:网络):实现SDN(software define network),提供一整套API,用户可以基于该API实现自己定义专属的网络,不同的厂商可以基于此API实现自己的产品 swift(服务名:对象存储): REST 的接口和扁平的数据组织结构。RESTful , HTTP, API来保存和访问任意非结构化数据,ring环的方式实现数据自动复制和高度可以扩展架构,保证数据的高度容错和可靠性。 Cinder(服务名:块存储):提供持久化块存储,即为云主机提供附加云盘。 Glance(服务名:镜像服务):为云主机安装操作系统提供不同的镜像选择。 Ceilometer(服务名: 计费服务):收集云平台资源使用数据,用来计费或者性能监控。 Heat(服务名:编排服务):自动化部署应用,自动化管理应用的整个生命周期,主要用于pass
首先我们如果要登陆到Horizon上面,此时Horzion会拿着用户登陆的username和password以及token去keystone里面认证,认证成功后根据用户信息划分对应的权限,然后返回给Horizon,实现登陆。 然后登陆上一看啥都没有,那就创建一个虚拟机吧,创建虚拟机由Nova提供服务,需要注意的是Nova只提供虚拟机的虚拟化,其他网络设备虚拟机由Neutron提供。Nova首先向Glance请求,要求给对应的系统镜像,拿到镜像后开始向Neutron请求,请求相对应的虚拟网络设备(如虚拟交换机,虚拟路由器),网络设备就绪后,最后向块存储设备组件Cinder请求磁盘空间,需要注意的是,Cinder块存储是建立在Swift对象存储之上的。 最终,所有服务就绪后,Nova开始创建虚拟机,虚拟机创建成功后,向Horizon返回创建成功的消息,前台展现出来创建的虚拟机。 keystone内部的知识再次补充 user: openstack service的用户,可以是人,服务,系统,但凡是使用了Openstack service的对象都可以称为User。 Role: 用户划分权限,可以通过User指定Role,使User获得了Role对应的操作权限,Keystone返回给User的Token包含了Role列表,被访问的Services会判断访问它的User和User提供的Token中所包含的Role。系统默认使用管理Role admin和成员Role member 。 Policy:OPenstack对User的验证除了 op的身份验证外,还需要鉴别User对某个service是否有访问权限。Policy机制就是用来控制User对Tenant中的资源(包括service)的操作权限。对于keystone service来说,Policy就是一个json文件默认是/etc/keystone/policy.json。通过配置这个文件,Keystone Service实现了对User基于Role的权限管理。 Token:是一个字符串表示,作为访问资源的令牌。Token包含了在 指定范围和有效时间内 可以被访问的资源。EG. 在Nova中一个tenant可以是一些虚拟机,在Swift和Glance中一个tenant可以是一些镜像存储,在Network中一个tenant可以是一些网络资源。Token一般被User持有。 Gredentials: 用户确认用户身份的凭证 Authentication: 确定用户身份的进程 Service: Openstack service,即Openstack 中运行的组件服务。 EndPoint: 一个可以通过网络来访问和定位某个Openstack service的地址,通常是一个URL。比如,当Nova需要访问Glance服务去获取image 时,Nova通过访问Keystone拿到Glance的endpoint,然后通过访问该endpoint去获取Glance服务。我们可以通过Endpoint的region属性去定义多个region。Endpoint 该使用对象分为三类: keystone内部工作流程。 用户alice登录keystone系统(password 或者 token的方式),获取一个临时的token和catalog服务目录(v3版本登录时,如果没有指定scope,project或者domain,获取的临时token没有任何权限,不能查询project或者catalog) alice通过临时的token获取自己的所有project列表, alice选定一个project,然后在指定的project重新登陆,获取一个正式的token,同时获得服务列表的endpoint,用户选定一个endpoint,在http头部消息头中携带token,然后发送请求(如果用户指定projectname或者project> 消息到达endpoint之后,由服务器端(nova)的keystone中间件了,向keystone发送一个验证token的请求。 keystone 验证token成功之后,将token对应用户的详细信息,例如:role,username,userid等返回给客户端(nova)。 服务端(nova)完成请求,例如创建虚拟机。 服务器返回请求结果给alice 动手安装 Newton 版以上系统都是CentOs 7的系统,内核版本是3.10.0-123.el7.x86_64 所有hosts文件都能够互相解析对方的主机名 关闭selinux和防火墙,确保服务器时间都同步。 我这里使用的是VMware,使用时必须开启cpu虚拟化功能。 网卡命名为eth0,都是单张网卡。 如果是在实验环境,那么linux-node1 内存配置建议4G以上,最好是6G,不然的话,越往后越卡的。CPU最好是双核。linux-node2 内存3G足以,CPU最好是双核。两台机器的硬盘最好是大于等于50G。 两台服务器同时安装Openstack库 下面操作都是linux-node1上操作,控制节点 安装数据库 安装消息队列 Memcached 安装keystone服务 用户认证四个概念: User(用户) 即用户,用一个ID代表Openstack云服务的一个人,系统或服务。 project(项目) tenant(租户) 通俗来说一个用户组,严谨点它就是各个服务中的一些资源可以访问的资源集合或者叫资源组。它是一个容器,用于组织和隔离资源,或标识对象 Token(令牌) 用户认证成功后,keystone发一个令牌给请求者,请求者在这个令牌有效期内可以不在请求keystone了。 Role(角色) 也就是权限,在一个项目里的权限, 租户和用户的关系: 一个租户可以有多个用户 一个用户可以属于一个多个租户 用户对租户和操作权限由用户在租户中担任的角色来决定。 服务目录2个概念 Service(服务) 比如Nova,glance都是服务,在keystone创建一个服务,需要申明是什么服务,什么类型的服务。老的Openstack版本是这样的:创建一个服务后获取这个服务ID去创建endpoint,现在版本是创建一个服务自动创建一个endpoint,所以创建一个服务不能多,不能少,不能错,不然就出错。一个服务可以确认当前用户是否具有访问其资源的权限。但是一个user尝试访问其租户内的service时,他必须知道这个service是否存在以及如何访问这个servic。 Endpoint(端点) 我们可以理解它是一个服务暴露出来的访问点,如果需要访问一个服务,则必须知道他的endpoint。endpoint的每个URL都对应这个服务实例的访问地址,并且具有public,priavte和admin这三种权限。public rul可以完全被全局访问,private url只能被局域网访问,admin url被从常规的访问中分离。 初始化Fernet key 创建域、项目、用户和角色 验证操作 创建Openstack客户端环境脚本:
运维网声明
1、欢迎大家加入本站运维交流群:群②:261659950 群⑤:202807635 群⑦870801961 群⑧679858003运维网
QQ群⑧:
窥视卡
雷达卡
发表于 2017-6-25 09:31:15
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡