部署环境概述与架构设计思路
本次部署采用先进的三节点分布式架构,构建高可用、可扩展的OpenStack云平台基础环境。该架构充分考虑了服务分离和负载均衡的设计原则,确保整个云平台具备良好的性能表现和故障隔离能力。
- Euler01 - 主控节点:作为集群的大脑,承担控制平面核心功能,负责API服务、调度决策、身份认证和服务发现等关键任务。该节点部署了MySQL数据库、RabbitMQ消息队列、Keystone认证服务等基础组件,为整个云平台提供统一的管理入口和协调机制
- Euler02 - 计算节点:专用于提供计算资源,运行虚拟机实例。该节点配备充足的CPU、内存和存储资源,通过Libvirt虚拟化技术为上层应用提供弹性可扩展的计算能力
- Euler03 - 计算节点:作为第二个计算节点,不仅扩展了集群的计算容量,还提供了资源冗余和负载均衡能力,确保在单个节点故障时业务仍能持续运行
这种架构设计充分体现了云计算的分布式特性,各节点各司其职又协同工作,为后续OpenStack各组件的部署奠定了坚实的架构基础。
Placement资源调度服务部署实施
服务安装与初始系统配置
1、Placement软件包安装
Placement服务作为OpenStack的核心组件,负责资源的跟踪、库存管理和分配决策。在开始安装前,需要确保系统已正确配置OpenStack软件源。
执行Placement服务安装命令:
yum -y install openstack-placement-api
安装说明 :该命令在openEuler系统上安装OpenStack Placement API服务包,-y参数自动确认安装过程中所有的提示,确保安装流程无人值守顺利完成。安装过程会自动解析并安装所有依赖包,包括Python客户端库、WSGI中间件等必要组件。
安装完成后,系统会自动创建专用的服务账户和用户组,这是OpenStack安全架构的重要部分,确保每个服务都以最小权限原则运行。
验证服务账户创建:
cat /etc/passwd | grep placement
cat /etc/group | grep placement
服务账户的创建是OpenStack安全模型的基础,确保Placement服务以独立的身份运行,避免权限混淆和安全风险。
2、数据库创建与权限配置
Placement服务需要持久化存储资源库存信息和分配状态,因此需要配置专用的数据库。我们选择MariaDB作为数据库后端,确保数据的一致性和可靠性。
接入MariaDB数据库管理系统:
mysql -uroot -p903213
创建Placement专用数据库:
create database placement;
数据库命名遵循OpenStack的最佳实践,使用服务名称作为数据库名,便于识别和管理。数据库字符集默认采用utf8,支持多语言环境。
配置数据库访问权限是确保服务安全性的关键步骤。我们需要为Placement服务创建专用的数据库用户,并授予适当的权限:
grant all privileges on placement.* to 'placement'@'localhost' identified by '903213';
grant all privileges on placement.* to 'placement'@'%' identified by '903213';
权限配置说明:第一条授权语句允许Placement服务从本地主机访问数据库,第二条授权语句允许从任何网络位置访问。这种配置既保证了生产环境的安全性,又提供了部署的灵活性。密码'903213'采用了强密码策略,确保数据库访问安全。
退出数据库管理界面:
quit
3、服务配置文件定制
配置文件是Placement服务运行的核心,它定义了服务的各种参数和行为。在修改配置前,良好的实践是创建配置文件的备份,以便在出现问题时快速恢复。
创建配置文件备份:
cp /etc/placement/placement.conf /etc/placement/placement.conf.bak
编辑Placement主配置文件:
vim /etc/placement/placement.conf
配置文件核心内容详细说明:
[DEFAULT]
debug = false
bind_port = 8778
public_endpoint = http://euler01:8778
[api]
auth_strategy = keystone
[keystone_authtoken]
www_authenticate_uri = http://euler01:5000/v3
auth_url = http://euler01:5000/v3
memcached_servers = euler01:11211
auth_type = password
project_domain_name = Default
user_domain_name = Default
project_name = service
username = placement
password = 903213
[placement_database]
connection = mysql+pymysql://placement:903213@euler01/placement
max_pool_size = 10
max_retries = 10
retry_interval = 1配置深度解析:
[DEFAULT]部分设置了服务的基本参数,debug = false确保生产环境不会输出过多调试信息,bind_port = 8778定义了服务监听的网络端口,这是Placement服务的标准端口。[api]部分的auth_strategy = keystone配置表明服务使用Keystone进行身份认证,这是OpenStack标准的安全实践。[keystone_authtoken]部分详细配置了与Keystone服务的交互参数,包括认证端点、缓存配置和凭证信息。这种配置确保了Placement服务能够正确验证API请求的合法性。[placement_database]部分配置了数据库连接参数,使用MySQL PyMySQL驱动,包含了连接池大小、重试次数等优化参数,确保数据库连接的稳定性和性能。
调整配置文件权限是安全部署的重要环节:
chown placement:placement /etc/placement/placement.conf
chmod 644 /etc/placement/placement.conf
权限设置确保只有placement用户和root用户能够读取配置文件,同时防止未授权修改,符合安全最佳实践。
4、数据库结构初始化
数据库初始化是部署过程中的关键步骤,它创建了Placement服务运行所需的表结构和初始数据。
执行数据库结构同步:
su placement -s /bin/sh -c "placement-manage db sync"
此命令以placement用户身份执行数据库迁移操作,-s /bin/sh指定了shell环境,-c参数后面是要执行的命令。该操作会读取Placement服务的模型定义,在数据库中创建相应的表结构、索引和约束。
验证数据库表结构创建是确保初始化成功的重要步骤:
mysql -uroot -p903213
use placement;
show tables;
数据库初始化成功后,应该看到12张系统表,这些表分别用于存储资源提供者、库存信息、资源类别、分配记录等关键数据。这些表共同构成了Placement服务的核心数据模型,支撑着资源调度的各项功能。
Keystone身份认证集成与服务注册
1、环境变量初始化
在OpenStack环境中,服务之间的通信需要正确的身份认证。环境变量文件包含了访问Keystone服务所需的认证信息。
导入管理员权限环境配置:
source admin-openrc
环境变量文件通常包含以下关键信息:
OS_USERNAME和OS_PASSWORD:管理员凭据OS_PROJECT_NAME:项目名称OS_AUTH_URL:Keystone认证端点OS_USER_DOMAIN_NAME和OS_PROJECT_DOMAIN_NAME:域配置
这些环境变量为后续的OpenStack客户端命令提供了必要的认证上下文。
2、服务用户创建与权限分配
在OpenStack生态中,每个服务都需要在Keystone中注册专用的用户账户,遵循最小权限原则。
创建Placement服务用户:
openstack user create --domain default --password 903213 placement
此命令在Keystone中创建了一个名为'placement'的用户,隶属于默认域,使用指定的密码。用户创建成功后,系统会返回用户的唯一标识符,这是一个全局唯一的UUID。
分配管理员角色权限:
openstack role add --project service --user placement admin
角色分配操作将'admin'角色授予placement用户在'service'项目中的权限。这种权限模型确保了Placement服务能够执行其职责所需的管理操作,同时不会获得超出其功能范围的权限。
3、服务注册与访问端点配置
服务注册是让OpenStack生态系统知道Placement服务存在的重要步骤。每个服务都需要在Keystone中注册,以便其他服务能够发现和调用它。
注册Placement服务实体:
openstack service create --name placement placement
服务注册命令创建了一个类型为'placement'的服务实体,这是OpenStack服务目录的一部分。服务类型必须准确指定,因为其他组件(如Nova)会基于服务类型来查找对应的服务端点。
端点配置是服务发现机制的核心。OpenStack支持三种类型的端点,每种都有特定的用途:
配置公共访问端点:
openstack endpoint create --region RegionOne placement public http://euler01:8778
公共端点面向外部用户和应用程序,通常通过公共网络可访问。它用于处理来自云平台外部的API请求。
配置内部通信端点:
openstack endpoint create --region RegionOne placement internal http://euler01:8778
内部端点用于OpenStack服务之间的内部通信,通常位于管理网络或内部网络中,不对外部暴露。
配置管理访问端点:
openstack endpoint create --region RegionOne placement admin http://euler01:8778
管理端点用于系统管理操作,通常具有更高的权限级别,仅限于管理员访问。
启动Placement服务并验证运行状态
1、Placement服务启动
在现代OpenStack版本中,Placement API通常通过Apache HTTP服务器托管,而不是作为独立的systemd服务运行。这种架构提供了更好的性能和安全性。
重启HTTP服务承载Placement API:
systemctl restart httpd
Apache HTTP服务器作为WSGI容器运行Placement应用程序,提供了连接处理、进程管理和SSL终止等功能。重启HTTP服务会使新的配置生效,并启动Placement API应用程序。
2、服务运行状态验证
服务启动后,需要进行全面的状态检查,确保所有组件都正常运行。
检查服务端口监听状态:
netstat -tnlup | grep 8778
端口监听检查确认Placement服务正在正确的端口上监听连接请求。netstat命令显示8778端口已被httpd进程监听,表明服务已成功启动并准备好接收请求。
测试API服务可访问性:
curl http://euler01:8778
API连通性测试是验证服务功能的关键步骤。curl命令向Placement API根端点发送HTTP请求,成功的响应表明服务不仅正在运行,而且能够正确处理API请求。响应中包含了API的版本信息和支持的媒体类型,这些都是服务正常工作的标志。
部署完成总结
本次实战成功在openEuler三节点集群上完成了OpenStack Placement资源调度服务的完整部署。通过系统化的安装配置流程,建立了一个专门化的资源库存管理与调度服务,这个服务将成为整个OpenStack云平台的智能资源调度核心
部署过程中,严格遵循了OpenStack的最佳实践,包括:
- 安全的服务账户管理,确保最小权限原则
- 可靠的数据库配置,保证数据持久化和一致性
- 完善的身份认证集成,与Keystone服务无缝对接
- 多层次的服务端点配置,支持不同的访问场景
- 严格的权限控制,确保系统安全性
如果您正在寻找面向未来的开源操作系统,不妨看看DistroWatch 榜单中快速上升的 openEuler:https://distrowatch.com/table-mobile.php?distribution=openeuler ,一个由开放原子开源基金会孵化、支持"超节点"场景的Linux 发行版。 openEuler官网:https://www.openeuler.openatom.cn/zh/