OpenStack 核心知识点总结
一、整体架构与基础原理
1. 核心定位与设计理念
- 定位:开源、可扩展的云计算管理平台,覆盖 IaaS 层核心服务,支持公有云、私有云、混合云部署模式。
- 设计理念:模块化架构(松耦合组件)、多租户隔离(数据与资源隔离)、API 标准化(REST API 统一接口)、后端可替换(支持多种虚拟化 / 存储 / 网络技术)。
- 核心目标:实现 "基础设施即服务(IaaS)",提供计算、存储、网络、认证等一站式资源管理。
2. 整体架构组件
-
控制平面:包含核心服务的管理组件(如 Keystone、Nova-API、Neutron-API),负责接收请求、调度资源、维护元数据。
-
数据平面:包含计算节点(Nova-Compute)、存储节点(Cinder-Volume、Swift 存储节点)、网络节点(Neutron L2/L3/DHCP Agent),负责实际数据处理与资源提供。
-
共享组件
:
- 消息队列(RabbitMQ):组件间异步通信的核心,实现跨节点服务调用。
- 数据库(MySQL/MariaDB):存储所有服务的元数据(用户、实例、网络、卷等信息)。
- 缓存(可选,如 Memcached):提升认证 Token、配置信息的访问效率。
3. 核心通信流程
- 组件间通信:通过 RPC(远程过程调用,基于 RabbitMQ)实现跨节点组件交互(如 Nova-API 调用 Nova-Scheduler)。
- 用户访问流程:用户→Horizon/CLI→REST API→服务组件→数据平面→资源响应。
- 认证流程:用户提交凭证→Keystone 认证→发放 Token→用户携带 Token 访问其他服务→服务向 Keystone 验证 Token→授权访问。
二、核心服务模块深度解析
1. 认证与权限管理服务(Keystone)
1.1 核心概念
-
核心实体
:
- Domain(域):顶层隔离单元,对应大型组织 / 数据中心,可包含多个 Project。
- Project(项目 / 租户):资源隔离单元,所有资源(实例、卷、网络)归属 Project。
- User(用户):访问 OpenStack 的实体(人、系统、服务),需关联 Project 才能使用资源。
- Group(用户组):用户的集合,简化批量权限分配。
- Role(角色):权限的集合(如 admin、member),通过 "用户 - 角色 - 项目" 三元组实现权限控制。
- Token(令牌):认证通过后的临时访问凭证,包含用户身份、角色、有效期等信息。
- Service(服务):OpenStack 核心服务(如 Nova、Glance),需在 Keystone 注册。
- Endpoint(端点):Service 的网络访问地址(分 public/internal/admin 三类 URL),由 Keystone 统一管理。
-
凭证类型:用户名 / 密码、Token、API Key、应用程序凭证(Application Credentials)。
1.2 核心功能与流程
-
认证流程
:
- 用户提交 Credentials(如用户名密码)到 Keystone。
- Keystone 验证通过,生成 Token 并返回给用户。
- 用户后续请求携带 Token,目标服务向 Keystone 验证 Token 有效性与权限。
-
权限控制
:
- 基于 Policy.json 配置细粒度权限(如 "只有 admin 角色可删除实例")。
- 支持域级、项目级权限隔离,不同角色拥有不同操作权限(如 admin 可管理所有资源,_member_仅能管理本项目资源)。
-
关键操作:域 / 项目 / 用户 / 组 / 角色的创建、删除、关联;Token 发放与验证;服务与 Endpoint 注册。
2. 镜像管理服务(Glance)
2.1 核心概念
-
镜像分类
:
- 按可见性:公有镜像(所有用户可用)、私有镜像(仅创建者可用)、共享镜像(指定项目可用)、市场镜像(第三方提供的预装镜像)。
- 按来源:基础镜像(系统镜像)、快照镜像(基于实例 / 卷创建)、导入镜像(外部镜像文件导入)。
-
核心格式
:
- 磁盘格式:QCOW2(推荐,支持动态扩展、写时复制、压缩)、RAW(无格式,性能好)、ISO(光盘镜像)、VMDK(VMware)、VHD(Xen/Microsoft)、aki/ari/ami(AWS 镜像格式)。
- 容器格式:bare(无容器)、ovf(开放虚拟化格式)、docker(Docker 容器格式)。
-
核心组件
:
- Glance-API:接收用户请求(上传、查询、删除镜像),提供 REST API 接口。
- Glance Store:存储镜像数据,支持多种后端(本地文件系统、Swift、Ceph、S3、Sheepdog)。
- 数据库:存储镜像元数据(名称、格式、大小、状态、所有者等)。
-
镜像状态机
:
- 生命周期:queued(已注册 ID,未上传数据)→saving(数据上传中)→active(可用)→deactivated(非管理员不可访问)/deleted(标记删除,待清理)/killed(上传失败,不可用)。
- 任务状态(镜像导入 / 导出):pending(挂起)→processing(处理中)→success(成功)→failure(失败)。
2.2 核心功能与操作
- 镜像操作:上传(本地文件 / URL 导入)、注册(仅创建元数据)、查询(列表 / 详情)、更新(名称、可见性、保护状态)、共享(授权给其他项目)、导出(下载镜像文件)、删除。
- 镜像快照:基于运行中的实例创建镜像,保留实例当前系统状态与数据。
- 镜像元数据:支持自定义元数据(如操作系统类型、架构、最小内存要求),用于调度匹配(如 ImagePropertiesFilter 过滤)。
- 后端存储配置 :通过
glance-api.conf的stores参数指定支持的存储后端,default_store设置默认存储。
3. 计算管理服务(Nova)
3.1 核心概念
-
核心组件
:
- Nova-API:请求入口,支持 OpenStack 原生 API 与 EC2 兼容 API,处理实例创建、查询等请求。
- Nova-Scheduler:调度器,负责将实例调度到合适的计算节点,核心是 "过滤 + 权重" 机制。
- Nova-Compute:运行在计算节点,调用 Hypervisor API 管理实例生命周期(创建、启动、停止)。
- Nova-Conductor:数据库代理,避免 Nova-Compute 直接访问数据库,提升安全性与并发性能;处理复杂流程(如实例重建、冷迁移)。
- Nova-CLI/Horizon:命令行与 Web 管理接口。
-
核心实体
:
- Instance(实例):虚拟机,运行在计算节点,基于镜像创建,拥有独立的 CPU、内存、网络、存储资源。
- Flavor(实例规格):定义实例的资源配置,包括 vCPU 数量、内存大小、根磁盘大小、临时磁盘大小、Swap 大小、RX/TX 带宽因子。
- Host Aggregate(主机聚合):将计算节点按特性(如 GPU、高性能存储)分组,实现实例定向调度。
- Hypervisor(虚拟化层):底层虚拟化技术,支持 KVM(默认)、VMware vSphere、Xen、Hyper-V、LXC 等。
- Server Group(服务器组):实例的逻辑分组,支持亲和性(同一组实例部署在同一节点)/ 反亲和性(同一组实例部署在不同节点)策略。
- Key Pair(密钥对):用于实例 SSH 登录,替代密码认证,提升安全性。
3.2 核心机制与功能
-
调度机制
:
- 过滤阶段(Filter):按规则筛选符合条件的计算节点,默认过滤规则包括:
- AvailabilityZoneFilter(可用域过滤)、ComputeFilter(计算服务正常)、ComputeCapabilitiesFilter(节点特性匹配)、ImagePropertiesFilter(镜像属性匹配)、RamFilter(内存满足)、DiskFilter(磁盘满足)、ServerGroupAffinityFilter/ServerGroupAntiAffinityFilter(服务器组策略)。
- 权重阶段(Weighting):对过滤后的节点打分,得分最高的节点被选中,默认按 "空闲内存" 加权(空闲内存越多,权重越高)。
- 配置项:通过
nova.conf的enabled_filters指定启用的过滤器,scheduler_default_weighers指定权重算法。
- 过滤阶段(Filter):按规则筛选符合条件的计算节点,默认过滤规则包括:
-
实例生命周期管理
:
- 基础操作:创建、启动、停止、重启(软重启:操作系统重启;硬重启:实例强制重启)。
- 状态管理:暂停(暂停实例,状态保存在内存)/ 挂起(状态保存在磁盘)/ 恢复;废弃(Shelve,实例转为镜像,释放资源)/ 解废弃(Unshelve);锁定(防止误删除)/ 解锁。
- 高级操作:快照(创建镜像)、重建(基于镜像重新创建实例)、调整规格(Resize,修改 vCPU / 内存 / 磁盘)、冷迁移(跨节点迁移,实例关机)、热迁移(跨节点迁移,实例运行中)。
-
资源管理
:
- 资源超分:支持 vCPU(
cpu_allocation_ratio,默认 16)、内存(ram_allocation_ratio,默认 1.5)、磁盘(disk_allocation_ratio,默认 1)的超分配,提升资源利用率。 - 配额控制:限制项目的实例数量、vCPU、内存、磁盘等资源使用上限。
- 主机聚合与可用域:将计算节点分组,实现资源隔离与定向调度(如 GPU 实例部署到 GPU 节点组)。
- 资源超分:支持 vCPU(
3.3 关键配置与运维
- 核心配置文件:
/etc/nova/nova.conf(指定数据库连接、消息队列地址、Hypervisor 驱动、调度规则等)。 - 日志路径:
/var/log/nova/(包含 nova-api.log、nova-scheduler.log、nova-compute.log 等)。 - 常用命令:
openstack server list/create/start/stop/reboot、openstack flavor list/create、openstack hypervisor list/show。
4. 块存储管理服务(Cinder)
4.1 核心概念
-
核心实体
:
- Volume(块存储卷):持久化块存储设备,独立于实例生命周期,实例删除后卷数据保留;可挂载到实例,作为数据盘使用。
- Volume Snapshot(卷快照):卷在某一时刻的状态备份,支持基于快照创建新卷。
- Volume Type(卷类型):卷的分类(如高性能卷、大容量卷),可关联 QoS 规则与后端存储。
- QoS(服务质量):定义卷的性能指标,如 IOPS 上限、带宽限制,保障业务性能。
- Backup(卷备份):将卷数据备份到后端存储(如 Swift、Ceph),支持恢复。
-
核心组件
:
- Cinder-API:接收用户请求(卷创建、挂载、删除等),提供 REST API。
- Cinder-Scheduler:卷调度器,选择合适的存储节点创建卷(支持过滤与权重调度)。
- Cinder-Volume:运行在存储节点,调用存储驱动管理卷数据(创建、删除、快照)。
- Cinder-Backup:卷备份组件,处理卷备份与恢复请求。
- 存储驱动:对接不同存储后端,支持 LVM(默认)、Ceph RBD、SAN(EMC、华为)、NFS、Swift 等。
4.2 核心功能与操作
-
卷操作
:
- 创建:空白卷、基于镜像创建(可启动卷)、基于快照创建。
- 生命周期管理:挂载(到实例)/ 卸载、扩容(增大卷容量)、更新(名称、描述、类型)、删除。
- 快照与备份:创建快照、基于快照创建卷;创建备份、从备份恢复卷。
-
卷类型与 QoS
:
- 卷类型创建:可指定后端存储(
volume_backend_name),实现不同存储资源的隔离。 - QoS 配置:创建 QoS 规格(如
openstack volume qos create --min-iops 100 --max-iops 1000 qos-high),关联到卷类型。
- 卷类型创建:可指定后端存储(
-
后端存储配置
:
- LVM 后端:使用物理卷(PV)、卷组(VG)管理存储,配置
volume_group指定卷组名称。 - Ceph 后端:通过 RBD(RADOS Block Device)提供块存储,支持高可用与弹性扩展。
- NFS 后端:挂载 NFS 共享目录作为存储后端,适合大容量、低性能需求。
- LVM 后端:使用物理卷(PV)、卷组(VG)管理存储,配置
4.3 关键流程
- 卷创建流程:用户请求→Cinder-API→Cinder-Scheduler→选择存储节点→Cinder-Volume→调用驱动创建卷→更新数据库状态。
- 卷挂载流程:用户请求→Cinder-API→验证卷与实例状态→Cinder-Volume→配置存储访问权限→Nova-API→Nova-Compute→将卷挂载到实例。
5. 网络管理服务(Neutron)
5.1 核心概念
-
核心实体
:
- Network(网络):二层广播域,实现实例间网络隔离,支持多种类型:
- Local(本地网络,仅同一节点实例通信)、Flat(无 VLAN 标签,共享物理网络)、VLAN(802.1Q 标签,二层隔离,跨节点)、VXLAN/GRE(Overlay 隧道网络,跨物理网络,适合大规模部署)。
- Subnet(子网):IPv4/IPv6 地址段,包含网关、DHCP 范围、DNS 服务器等配置,为实例分配 IP 地址。
- Port(端口):虚拟交换机的端口,关联 MAC 地址、IP 地址、安全组,实例的虚拟网卡(VIF)绑定到 Port。
- Router(路由器):三层网络设备,连接不同子网,实现跨子网通信;支持 NAT(网络地址转换),实现私有网络实例访问外网。
- Floating IP(浮动 IP):公网可路由的 IP 地址,绑定到实例的私有 IP,实现外网访问实例。
- Security Group(安全组):基于 iptables 的访问控制列表,限制实例的入站 / 出站流量(如允许 SSH、ICMP、HTTP 流量)。
- DHCP Agent(DHCP 代理):提供 DHCP 服务,为子网分配 IP 地址、DNS 配置。
- L3 Agent(三层代理):实现路由器、NAT、浮动 IP 功能。
- Network(网络):二层广播域,实现实例间网络隔离,支持多种类型:
-
核心组件
:
- Neutron-API:接收网络相关请求,提供 REST API。
- ML2 Plugin(模块化二层插件):Neutron 核心插件,统一管理二层网络,支持多种 Type Driver(网络类型驱动)与 Mechanism Driver(机制驱动)。
- Type Driver:处理特定网络类型(如 VLAN、VXLAN)的配置与状态维护。
- Mechanism Driver:将网络配置应用到实际网络设备(如 Linux Bridge、Open vSwitch)。
- 虚拟交换机:Linux Bridge(简单,支持 Local/Flat/VLAN/VXLAN)、Open vSwitch(OVS,支持所有网络类型,功能丰富)。
5.2 核心功能与操作
-
网络配置操作
:
- 网络创建(指定类型、名称、共享属性)、子网创建(关联网络,配置 IP 段)、路由器创建(添加子网接口,绑定外网网关)。
- 端口管理:创建端口、绑定安全组、配置 IP 地址。
- 浮动 IP 操作:分配浮动 IP、绑定到实例端口、释放浮动 IP。
- 安全组操作:创建安全组、添加规则(协议、端口范围、源 IP)、关联实例。
-
网络连通性实现
:
- 同一子网实例通信:通过虚拟交换机二层转发。
- 跨子网实例通信:通过路由器三层转发。
- 实例访问外网:路由器 NAT 转换(私网 IP→公网 IP)。
- 外网访问实例:浮动 IP 绑定(公网 IP→私网 IP)+ 安全组允许对应端口。
-
高级网络功能
:
- 负载均衡(LBaaS):分发流量到多个实例,支持 HTTP/HTTPS/TCP 负载均衡。
- 防火墙(FWaaS):网络级防火墙,限制子网间流量。
- VPN(VPNaaS):实现企业数据中心与云平台的加密通信。
5.3 核心架构与流程
-
架构模式
:
- 控制节点 + 计算节点模式:控制节点部署 Neutron-API、ML2 Plugin、L3/DHCP Agent;计算节点部署 L2 Agent。
- 控制节点 + 网络节点 + 计算节点模式:网络节点部署 L3/DHCP Agent,分担网络流量处理压力,适合大规模部署。
-
实例网络接入流程
:
- 实例创建时,Neutron 创建 Port,分配 IP 与 MAC 地址。
- L2 Agent 在计算节点创建虚拟交换机端口,绑定实例 VIF。
- DHCP Agent 为实例分配 IP 地址与网络配置。
- 实例通过虚拟交换机接入网络,实现通信。
6. 对象存储服务(Swift)
6.1 核心概念
-
核心实体
:
- Account(账户):对应 OpenStack 的 Project,顶层存储隔离单元。
- Container(容器):对象的组织单元,类似文件夹,可设置访问权限(私有、公共读、公共读写)。
- Object(对象):存储的基本单元,包含数据(文件内容)、元数据(文件属性、自定义属性)、名称(唯一标识)。
-
核心特性
:
- 无中心架构:无单点故障,支持水平扩展。
- 多副本冗余:默认 3 副本,数据分散存储在不同节点,保证数据可靠性。
- 一致性模型:最终一致性,支持并发读写。
- 支持大文件存储:通过分片(Segment)机制存储大文件。
-
核心组件
:
- Swift-Proxy(代理服务器):接收用户请求,路由到存储节点,处理认证、授权、负载均衡。
- Storage Node(存储节点):存储对象数据与元数据,包含 Account Server、Container Server、Object Server 三个服务。
- Ring(环):维护 Account/Container/Object 与存储节点的映射关系,包含 Account Ring、Container Ring、Object Ring。
- Replication(复制服务):保证数据副本一致性,检测并修复丢失 / 损坏的副本。
6.2 核心操作与配置
-
对象存储操作
:
- 容器操作:创建、查询、更新权限、删除。
- 对象操作:上传、下载、查询元数据、更新、删除。
- 账户操作:查询账户信息、容器列表、使用量统计。
-
关键配置
:
- Ring 配置:通过
swift-ring-builder工具创建、添加存储节点、平衡数据分布。 - 存储节点配置:指定存储目录、副本数、磁盘类型等。
- Ring 配置:通过
-
适用场景:海量静态数据存储(如虚拟机镜像、备份文件、日志数据、图片视频)、数据归档、跨区域数据共享。
7. 编排管理服务(Heat)
7.1 核心概念
-
核心定位:基于模板的基础设施编排服务,实现多资源(实例、网络、卷、安全组等)的自动化部署与生命周期管理。
-
核心实体
:
- HOT Template(Heat Orchestration Template):基于 YAML 的声明性模板,定义资源组合、依赖关系、输入参数、输出结果。
- Stack(堆栈):模板实例化后的资源集合,作为编排单元,统一管理资源的创建、更新、删除。
- Resource(资源):模板中定义的 OpenStack 资源(如 OS::Nova::Server、OS::Neutron::Network、OS::Cinder::Volume)。
-
核心组件
:
- Heat-API:接收编排请求(创建堆栈、查询状态),提供 REST API 与 CFN 兼容 API。
- Heat-API-CFN:提供 AWS CloudFormation 兼容 API,支持 CFN 模板。
- Heat-Engine:核心组件,解析模板、处理资源依赖、调用其他服务 API 创建资源、维护堆栈状态。
7.2 核心功能与模板
-
模板结构
:
- 必选字段:
heat_template_version(模板版本)、resources(资源定义)。 - 可选字段:
description(模板描述)、parameters(输入参数)、outputs(输出结果)、conditions(条件判断)、groups(资源分组)。
- 必选字段:
-
核心操作
:
- 堆栈操作:创建(基于模板)、更新(修改模板 / 参数)、删除(删除所有资源)、查询(状态、资源列表)。
- 资源依赖:通过
depends_on指定资源创建顺序。 - 参数与输出:支持动态输入参数(如镜像 ID、网络 ID),输出资源属性(如实例 IP、密钥对)。
-
适用场景
:
- 复杂应用部署(如 Web 服务 + 数据库 + 负载均衡集群)。
- 环境标准化部署(通过模板快速复制相同环境)。
- 资源批量管理(统一创建 / 删除多个关联资源)。
8. 其他重要服务
8.1 仪表盘服务(Horizon)
- 基于 Web 的图形化管理界面,提供所有核心服务的可视化操作。
- 支持用户认证、资源管理(实例、网络、卷、镜像等)、集群监控、模板编排。
- 可自定义主题、扩展功能模块。
8.2 计量服务(Ceilometer)
- 收集 OpenStack 资源的使用数据(如实例 CPU 使用率、内存占用、网络流量、卷 IO)。
- 支持数据存储(如 MongoDB、MySQL)、数据导出,为计费、监控提供数据支持。
8.3 监控服务(Aodh)
- 基于 Ceilometer 的数据提供告警功能,支持阈值告警(如 CPU 使用率超过 80%)、事件告警(如实例删除)。
- 支持多种告警通知方式(邮件、短信、WebHook)。
8.4 裸金属服务(Ironic)
- 提供裸金属服务器(物理机)的生命周期管理,支持 PXE 部署、IPMI 控制。
- 与 Nova 集成,可通过 Nova API 管理裸金属实例,适合高性能计算、虚拟化宿主机场景。
三、关键技术与底层依赖
1. 虚拟化技术
- KVM:基于 Linux 内核的虚拟化技术,默认推荐,性能接近物理机。
- VMware vSphere:商业虚拟化平台,支持与 OpenStack 集成。
- Xen:开源虚拟化技术,支持半虚拟化与全虚拟化。
- Hyper-V:Microsoft 的虚拟化平台,支持 Windows 实例。
- 容器虚拟化:LXC/Docker,轻量级虚拟化,适合微服务部署。
2. 网络虚拟化技术
- Linux Bridge:Linux 原生虚拟交换机,简单轻量,支持基础二层功能。
- Open vSwitch(OVS):功能丰富的开源虚拟交换机,支持 VLAN、VXLAN、GRE、流表控制,适合复杂网络场景。
- Network Namespace:Linux 网络隔离技术,实现独立的网络栈(路由表、网卡、iptables),用于路由器、DHCP 服务器的隔离。
- 隧道技术:VXLAN(基于 UDP,适合跨三层网络)、GRE(基于 IP,简单灵活),用于 Overlay 网络部署。
3. 存储虚拟化技术
- LVM:逻辑卷管理,将物理磁盘抽象为逻辑卷,支持动态扩容、快照。
- Ceph:统一存储系统,支持块存储(RBD)、对象存储(RGW)、文件存储(CephFS),适合大规模部署。
- NFS:网络文件系统,支持文件共享,部署简单,适合中小规模存储需求。
- iSCSI:块存储网络协议,将远程存储设备映射为本地磁盘。
四、运维与故障排查
1. 核心配置文件与日志路径
| 服务 | 核心配置文件路径 | 日志路径 |
|---|---|---|
| Keystone | /etc/keystone/keystone.conf | /var/log/keystone/keystone.log |
| Glance | /etc/glance/glance-api.conf | /var/log/glance/api.log |
| Nova | /etc/nova/nova.conf | /var/log/nova/(scheduler/compute 等) |
| Cinder | /etc/cinder/cinder.conf | /var/log/cinder/(volume/scheduler 等) |
| Neutron | /etc/neutron/neutron.conf | /var/log/neutron/server.log |
| Swift | /etc/swift/swift.conf | /var/log/swift/(proxy/account 等) |
| Heat | /etc/heat/heat.conf | /var/log/heat/engine.log |
2. 常见故障排查方法
- 日志排查 :开启
debug=True参数获取详细日志,定位认证失败、资源创建失败、网络不通等问题。 - 服务状态检查 :
systemctl status openstack-<服务名>-*,确保核心服务正常运行。 - 资源状态检查 :
openstack <资源类型> list/show(如openstack server show <实例ID>),查看资源状态与配置。 - 网络排查 :检查虚拟交换机端口、路由表、安全组规则、DHCP 配置,使用
ping、traceroute、tcpdump工具排查连通性。 - 数据库检查:验证数据库连接正常,表结构完整,无数据损坏。
- 消息队列检查 :
rabbitmqctl list_queues查看队列状态,确保消息无堆积。
3. 高可用与扩展性部署
- 控制节点高可用:多节点部署核心服务(Keystone、Nova-API、Neutron-API),通过 HAProxy 实现负载均衡,Pacemaker/Corosync 实现服务高可用。
- 计算节点扩展:新增计算节点后,自动注册到 OpenStack,通过 Nova-Scheduler 调度实例到新节点。
- 存储节点扩展:Swift/Ceph 支持新增存储节点,自动平衡数据分布;Cinder 支持新增存储后端,扩展块存储容量。
- 网络高可用:多网络节点部署 L3/DHCP Agent,实现网络服务冗余;OVS 支持跨节点隧道,避免单点故障。
五、关键约束与最佳实践
1. 关键约束
- 网络配置复杂,需重点关注 VLAN 标签、隧道封装、安全组规则,避免网络不通。
- 存储性能直接影响实例与应用性能,需根据业务选择合适的存储后端(如高性能业务选 Ceph,大容量存储选 Swift)。
- 资源超分需合理配置,避免过度超分导致性能下降。
- 多节点部署时,需保证时钟同步(NTP)、网络互通、权限配置一致。
2. 最佳实践
- 权限管理:遵循最小权限原则,普通用户分配
_member_角色,管理员使用admin角色。 - 镜像管理:使用精简镜像(如 Cirros、最小化 Linux 镜像),开启镜像压缩,定期清理无用镜像。
- 网络安全:默认拒绝所有入站流量,仅开放必要端口(如 SSH、HTTP);使用浮动 IP 而非直接暴露实例公网 IP。
- 存储管理:定期备份卷数据,合理规划卷类型(高性能卷用于数据库,大容量卷用于数据存储)。
- 监控告警:部署 Ceilometer+Aodh,监控资源使用率、服务状态,设置关键指标告警。
- 备份策略:定期备份数据库、关键镜像、配置文件,制定灾难恢复计划