OpenStack云计算(-) 简介与部署Keystone

一.OpenStack简介

什么是云计算:云计算是一种按使用量付费的模式,这种模式提供可用的、便捷的、按需的网络访问,进入可配置的计算资源共享池(资源包括网络,服务器,存储,应用软件,服务)

云计算所包含的几个层次服务：

SaaS ( Software as a Service ) :把在线软件作为一种服务。

Paas ( Platform as a Service ) :把平台作为一种服务。

laas ( Infrastructure as a Service ) :把硬件设备作为一种服务。

1. OpenStack :是由Rackspace和NASA共同开发的云计算平台,是一个开源的IaaS (基础设施及服务)云计算平台,让任何人都可以自行建立和提供云端运算服务,每半年发布一次,用Python语言编写

二.openstack架构及优势

OpenStack为私有云和公有云提供可扩展的弹性的云计算服务，这种服务云必须是简单部署并且扩展性强。

1、模块松耦合

2、组件配置较为灵活

3、二次开发容易

OpenStack共享服务组件：

数据库服务( Database Service ) : MairaDB 及MongoDB

消息传输（Message Queues) : RabbitMQ

缓存( cache ) : Memcached

时间(time sync ) : NTP

存储(storge provider) :ceph,GFS、LVM、 ISICI等

高可用及负载均衡: pacemaker、HAproxy, keepalive、 Ivs等

OpenStack核心组件：

身份服务( Identity Service ) : Keystone

计算( Compute ) : Nova

镜像服务( Image Service ) : Glance

网络&地址管理( Network ) : Neutron

对象存储( Object Storage ): Swift块存储

Block Storage) : CinderUI

界面(Dashboard) : Horizon

测量 (Metering) : Ceilometer

部署编排(Orchestration) : Heat

Glance是Openstack项目中负责镜像管理的模块,其功能包括虚拟机镜像的查找、注册和检索等。Glance提供Restful APl可以查询虚拟机镜像的metadata及获取镜像。Glance可以将镜像保存到多种后端存储上,比如简单的文件存储或者对象存储。

三.RabbitMQ安装过程

• (1)所有node安装rabbtimq和erlang软件包：

yum install -y erlang rabbitmq-server.noarch
 systemctl enable rabbitmq-server.service
 systemctl start rabbitmq-server.service
systemctl status rabbitmq-server.service

查看监听端口

netstat -lantp | grep 5672

配置文件：

vim etc/rabbitmq/rabbitmq.config

(2)node1 :修改guest密码为admin (默认用户为: guest 密码为: guest)

rabbitmqctl change_password guest admin

(3)node1 :添加一个openstack的用户,并设密码为admin。并设置权限和成为管理员

node1:rabbitmqctl add_user openstack admin
rabbitmqctl set_permissions openstack ".*" " *" ".*"
rabbitmqctl set_user_tags openstack administrator

(4)node1:编辑rabbittmq变量文件

vim /etc/rabbitmq/rabbitmq-env.conf
RABBITMQ_NODE_PORT=5672
ulimit-S-n 4096
RABBITMQ_SERVER_ERL_ARGS="+K true +A30 +P 1048576-kernel inet_default_connect_options 
[fnodelay,true),{raw,6,18,<<5000:64/native>>}]-kernel inet_default_listen_options [fraw,6,18, <<5000:64/native>>}]"
RABBITMQ_NODE_IP_ADDRESS=172.16.254.60

(5)node1 :将rabbittmq变量文件拷贝到其他两节点,之后并修改相应节点的ip

scp /etc/rabbitmq/rabbitmq-env.conf con2:/etc/rabbitmq/
scp /etc/rabbitmq/rabbitmq-env.conf con3:/etc/rabbitmq/

查看rabbitmq插件

/usr/lib/rabbitmq/bin/rabbitmq-plugins list

(6)所有node开启rabbitmq的web管理页面

/usr/lib/rabbitmq/bin/rabbitmq-plugins enable rabbitmq_management mochiweb webmachine rabbitmq_web_dispatch amqp_client rabbitmq_management_agent
或者: rabbitmq-plugins enable rabbitmq_management
systemctl restart rabbitmq-server.service
systemctl status rabbitmq-server.service

(7)node1发送erlang.cookie到其他节点配置集群

rabbitmqctl status
scp /var/lib/rabbitmq/.erlang.cookie con2:/var/lib/rabbitmq/.erlang.cookie
scp /var/lib/rabbitmq/.erlang.cookie con3:/var/lib/rabbitmq/.erlang.cookie

(8)node2和node3停止应用，并以ram的方式加入node1节点，之后重启应用

(8)systemctl restart rabbitmq-server.service
nabbitmqctl stop_app
rabbitmqctl join_cluster --ram rabbit@con1
rabbitmqctl start_app

(9)node1检查集群状态

[root@con1 conf]# rabbitmqctl cluster_status
 Cluster status of node rabbit@con1...
[{nodes,[{disc,[rabbit@con1]},{ram,[rabbit@con3,rabbit@con2]}]},
{running_nodes,[rabbit@con3,rabbit@con2,rabbit@con1]},
{cluster_name,<<"rabbit@con1">>},
{partitions,[]},
{alarms,[{rabbit@con3,[]},{rabbit@con2,[]},{rabbit@con1,[]}]}]

(10)登陆验证：http://172.16.254.60:15672/#/guest/admin

其他命令：

• (1)添加管理员：

rabbitmqctl add_user mqadmin mqadmin
rabbitmqctl set_user_tags mqadmin administrator
rabbitmqctl set_permissions -p / mqadmin ".*" " *"".*"

(2)更改节点类型(内存型或磁盘型)

rabbitmqctl stop_app
rabbitmqctl change_cluster_node_type disc 或 rabbitmqctl change_cluster_node_type ram
rabbitmqctl start_app

（3）从集群移除节点(或者重置节点)

rabbitmqctl stop_app
rabbitmqctl reset
rabbitmqctl start_app
rabbitmqctl cluster_status

（4）从某个节点移除集群中其他节点

rabbitmqctl forget_cluster_node rabbit@node3
rabbitmqctl reset
rabbitmqctl start_app
rabbitmqctl cluster_status

1,保证集群中至少有一个磁盘类型的节点以防数据丢失,在更改节点类型时尤其要注意。

• 若整个集群被停掉了,应保证最后一个 down 掉的节点被最先启动,若不能则要使用 forget_cluster_node 命令将其移出集群

• 3,若集群中节点几乎同时以不可控的方式down了此时在其中一个节点使用force_boot命令重启节点

四.Keystone介绍：

• keystone 是OpenStack的组件之一，用于为OpenStack家族中的其它组件成员提供统一的认证服务,包括身份验证、令牌的发放和校验、服务列表、用户权限的定义等等。云环境中所有的服务之间的授权和认证都需要经过keystone,因此keystone是云平台中第一个即需要安装的服务。

  作为OpenStack的基础支持服务, Keystone做下面这几件事情:

• 管理用户及其权限

• 维护OpenStack Services的Endpoint

• Authentication (认证)和Authorization (鉴权)

五.glance介绍：

安装 OpenStack包 的 相关 命令

安装 OpenStack 客户端：

# yum install python-openstackclient

RHEL 和 CentOS 默认启用了 ++++SELinux++++ . 安装 openstack-selinux 软件包以便自动管理 OpenStack 服务的安全策略:

# yum install openstack-selinu

SQL数据库

安全并配置组件

安装软件包：

# yum install mariadb mariadb-server python2-PyMySQL

创建并编辑 /etc/my.cnf.d/openstack.cnf，然后完成如下动作：

1. 在 [mysqld] 部分，设置 ++++``++++bind-address``值为控制节点的管理网络IP地址以使得其它节点可以通过管理网络访问数据库：bind-address 监听地址

[mysqld]...bind-address = 10.0.0.11

在``[mysqld]`` 部分，设置如下键值来启用一起有用的选项和 UTF-8 字符集：

[mysqld]...default-storage-engine = innodbinnodb_file_per_tablemax_connections = 4096collation-server = utf8_general_cicharacter-set-server = utf8

完成安装 ++++¶++++

启动数据库服务，并将其配置为开机自启：

# systemctl enable mariadb.service# systemctl start mariadb.service

为了保证数据库服务的安全性，运行``mysql_secure_installation``脚本。特别需要说明的是，为数据库的root用户设置一个适当的密码。

# mysql_secure_installation

消息队列

安全并配置组件 ++++¶++++

安装包：

# yum install rabbitmq-server

启动消息队列服务并将其配置为随系统启动：

# systemctl enable rabbitmq-server.service# systemctl start rabbitmq-server.service

添加 openstack 用户： openstack为账号 RABBIT_PASS为密码 可以用合适的密码替换 RABBIT_DBPASS。

# rabbitmqctl add_user openstack RABBIT_PASSCreating user "openstack" ......done.

给``openstack``用户配置写和读权限：

# rabbitmqctl set_permissions openstack ".*" ".*" ".*"Setting permissions for user "openstack" in vhost "/" ......done.

Memcached

安全并配置组件 ++++¶++++

安装软件包：

# yum install memcached python-memcached

完成安装

启动Memcached服务，并且配置它随机启动。

# systemctl enable memcached.service# systemctl start memcached.service

六，认证服务

先决条件 ++++¶++++

在你配置 OpenStack 身份认证服务前，你必须创建一个数据库和管理员令牌。

完成下面的步骤以创建数据库：

用数据库连接客户端以 root 用户连接到数据库服务器：

$ mysql -u root -p

创建 keystone 数据库：

CREATE DATABASE keystone;

对``keystone``数据库授予恰当的权限：设置可以从远程或本地登录数据库

GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'localhost' \  IDENTIFIED BY 'KEYSTONE_DBPASS';GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'%' \  IDENTIFIED BY 'KEYSTONE_DBPASS';

用合适的密码替换 KEYSTONE_DBPASS 。

退出数据库客户端。

生成一个随机值在初始的配置中作为管理员的令牌。

$ openssl rand -hex 10

安全并配置组件 ++++¶++++

运行以下命令来安装包。

# yum install openstack-keystone httpd mod_wsgi

编辑文件 /etc/keystone/keystone.conf 并完成如下动作：

在``[DEFAULT]``部分，定义初始管理令牌的值：

[DEFAULT]...admin_token = ADMIN_TOKEN

使用前面步骤生成的随机数替换``ADMIN_TOKEN`` 值。

在 [database] 部分，配置数据库访问：

[database]...connection = mysql+pymysql://keystone:KEYSTONE_DBPASS@controller/keystone

将``KEYSTONE_DBPASS``替换为你为数据库选择的密码。

在``[token]``部分，配置Fernet UUID令牌的提供者。

[token]...provider = fernet

初始化身份认证服务的数据库：

# su -s /bin/sh -c "keystone-manage db_sync" keystone

初始化Fernet keys：设置用户名称为keystone 设置组名称为keystone

# keystone-manage fernet_setup --keystone-user keystone --keystone-group keystone

配置 Apache HTTP 服务器 [++++¶++++](#配置 Apache HTTP 服务器¶)

编辑``/etc/httpd/conf/httpd.conf`` 文件，配置``ServerName`` 选项为控制节点：controller可替换为自己的主机名

ServerName controller

用下面的内容创建文件 /etc/httpd/conf.d/wsgi-keystone.conf。

Listen 5000Listen 35357

<VirtualHost *:5000>

    WSGIDaemonProcess keystone-public processes=5 threads=1 user=keystone group=keystone display-name=%{GROUP}

    WSGIProcessGroup keystone-public

    WSGIScriptAlias / /usr/bin/keystone-wsgi-public

    WSGIApplicationGroup %{GLOBAL}

    WSGIPassAuthorization On

    ErrorLogFormat "%{cu}t %M"

    ErrorLog /var/log/httpd/keystone-error.log

    CustomLog /var/log/httpd/keystone-access.log combined



    <Directory /usr/bin>

        Require all granted

    </Directory></VirtualHost>

<VirtualHost *:35357>

    WSGIDaemonProcess keystone-admin processes=5 threads=1 user=keystone group=keystone display-name=%{GROUP}

    WSGIProcessGroup keystone-admin

    WSGIScriptAlias / /usr/bin/keystone-wsgi-admin

    WSGIApplicationGroup %{GLOBAL}

    WSGIPassAuthorization On

    ErrorLogFormat "%{cu}t %M"

    ErrorLog /var/log/httpd/keystone-error.log

    CustomLog /var/log/httpd/keystone-access.log combined



    <Directory /usr/bin>

        Require all granted

    </Directory></VirtualHost>

完成安装 ++++¶++++

启动 Apache HTTP 服务并配置其随系统启动：

# systemctl enable httpd.service# systemctl start httpd.service

创建服务实体和API端点

配置认证令牌：

$ export OS_TOKEN=ADMIN_TOKEN

将``ADMIN_TOKEN``替换为你在 :doc:++++`++++keystone-install`章节中生成的认证令牌。例如：

$ export OS_TOKEN=294a4c8a8a475f9b9836

配置端点URL：

$ export OS_URL=http://controller:35357/v3

配置认证 API 版本：

$ export OS_IDENTITY_API_VERSION=3

在你的Openstack环境中，认证服务管理服务目录。服务使用这个目录来决定您的环境中可用的服务。

创建服务实体和身份认证服务：

$ openstack service create \

  --name keystone --description "OpenStack Identity" identity

查看项目列表

openstack project list

查看用户列表

openstack user list

创建认证服务的 API 端点：

$ openstack endpoint create --region RegionOne \

  identity public http://controller:5000/v3

$ openstack endpoint create --region RegionOne \

  identity internal http://controller:5000/v3


$ openstack endpoint create --region RegionOne \

  identity admin http://controller:35357/v3

创建域、项目、用户和角色

创建域``default``：

 openstack domain create --description "Default Domain" default

创建 admin 项目：

 openstack project create --domain default \

  --description "Admin Project" admin

创建 admin 用户：

openstack user create --domain default \

  --password-prompt admin

创建 admin 角色：

openstack role create admin

添加``admin`` 角色到 admin 项目和用户上：

$ openstack role add --project admin --user admin admin

这个命令执行后没有输出。

本指南使用一个你添加到你的环境中每个服务包含独有用户的service 项目。创建``service``项目：

 openstack project create --domain default \

  --description "Service Project" service

常规（非管理）任务应该使用无特权的项目和用户。作为例子，本指南创建 demo 项目和用户。

创建``demo`` 项目：

openstack project create --domain default \

  --description "Demo Project" demo

创建``demo`` 用户：

openstack user create --domain default \

  --password-prompt demo

创建 user 角色：

$ openstack role create user

添加 user``角色到 ``demo 项目和用户：

openstack role add --project demo --user demo user