本节将开始介绍 OpenStack 的核心服务。
一、Keystone
Keystone 完成下面几件事:
- 管理用户权限
- 维护 OpenStack Services 的 Endpoint
- Authentication(认证) 和 Authorization(鉴权)
1. Keystone 中需要理解的概念
User、Role、Credentials、Authentication、Endpoint、Service、Project、Token
-
User (用户)
User 指任何使用 OpenStack 的实体,可以是真正的用户,其他系统或服务。
在 Horzon 页面 身份管理 -> 用户 中管理用户。
用户
除了 admin 和 demo, OpenStack 也为 nova、cinder、glance、neutron 服务创建了相应的用户。
-
Credentials (证书)
Credentials 是 User 用来证明自己身份信息的。如:用户名\密码,Token,API Key或其他高级方式。
-
Authentication (鉴定)
Authentication 是 Keystone 验证 User 身份的过程。
User 访问 OpenStack 时向 Keystone 提交用户名和密码形式的 Credentials,Keystone 验证通过后会给 User 签发一个 Token 作为后续访问的 Credential。
-
Token (令牌)
- Token 用作访问 Service 的 Credential。
- Service 会通过 Keystone 验证 Token 的有效性。
- Token 的有效期默认是 24 小时。
-
Project (项目)
Project 用于将 OpenStack 的资源(计算、存储和网络)进行分组和隔离。
Project 可以是一个客户(公有云,也叫租户)、部门或项目组(私有云)。
- 资源的所有权是属于 Project 的,而不是 User
- OpenStack 的界面和文档中, Tenant / Project / Account 这几个术语是通用的。
- 每个 User (包括 admin)必须挂在 Project 里面才能访问该 Project 的资源。一个 User 可以属于多个 Project。
- admin 相当于 root 用户,具有最高权限。
项目
管理成员
管理成员
成员信息
-
Service(服务)
OpenStack 的 Service 包括 Compute(Nova)、Block Storage(Cinder)、Object Storage(Swift)、Image Service(Glance)、Network Service(Neutron)等。
每个 Service 都会提供 若干个 Endpoint,User 通过 Endpoint 访问资源和执行操作。
-
Endpoint(端点)
Endpoint 是一个网络上可以访问的地址,通常是一个 URL。
Service 通过 Endpoint 暴露自己的 API。
Keystone 负责管理和维护每个 Service 的 Endpoint。
查看所有 Endpoint
root@compute:/opt/stack/devstack# source /opt/stack/devstack/openrc admin admin
root@compute:/opt/stack/devstack# openstack catalog list
+-------------+----------------+----------------------------------------------------------------------------+
| Name | Type | Endpoints |
+-------------+----------------+----------------------------------------------------------------------------+
| cinderv2 | volumev2 | RegionOne |
| | | admin: http://172.16.245.138:8776/v2/9b131afc3b4647d0afceda4ebc513c9f |
| | | RegionOne |
| | | public: http://172.16.245.138:8776/v2/9b131afc3b4647d0afceda4ebc513c9f |
| | | RegionOne |
| | | internal: http://172.16.245.138:8776/v2/9b131afc3b4647d0afceda4ebc513c9f |
| | | |
| placement | placement | RegionOne |
| | | internal: http://172.16.245.138/placement |
| | | RegionOne |
| | | admin: http://172.16.245.138/placement |
| | | RegionOne |
| | | public: http://172.16.245.138/placement |
| | | |
| cinderv3 | volumev3 | RegionOne |
| | | public: http://172.16.245.138:8776/v3/9b131afc3b4647d0afceda4ebc513c9f |
| | | RegionOne |
| | | admin: http://172.16.245.138:8776/v3/9b131afc3b4647d0afceda4ebc513c9f |
| | | RegionOne |
| | | internal: http://172.16.245.138:8776/v3/9b131afc3b4647d0afceda4ebc513c9f |
| | | |
| nova | compute | RegionOne |
| | | internal: http://172.16.245.138:8774/v2.1 |
| | | RegionOne |
| | | public: http://172.16.245.138:8774/v2.1 |
| | | RegionOne |
| | | admin: http://172.16.245.138:8774/v2.1 |
| | | |
| cinder | volume | RegionOne |
| | | internal: http://172.16.245.138:8776/v1/9b131afc3b4647d0afceda4ebc513c9f |
| | | RegionOne |
| | | public: http://172.16.245.138:8776/v1/9b131afc3b4647d0afceda4ebc513c9f |
| | | RegionOne |
| | | admin: http://172.16.245.138:8776/v1/9b131afc3b4647d0afceda4ebc513c9f |
| | | |
| keystone | identity | RegionOne |
| | | admin: http://172.16.245.138/identity_admin |
| | | RegionOne |
| | | internal: http://172.16.245.138/identity |
| | | RegionOne |
| | | public: http://172.16.245.138/identity |
| | | |
| glance | image | RegionOne |
| | | public: http://172.16.245.138:9292 |
| | | RegionOne |
| | | admin: http://172.16.245.138:9292 |
| | | RegionOne |
| | | internal: http://172.16.245.138:9292 |
| | | |
| nova_legacy | compute_legacy | RegionOne |
| | | internal: http://172.16.245.138:8774/v2/9b131afc3b4647d0afceda4ebc513c9f |
| | | RegionOne |
| | | admin: http://172.16.245.138:8774/v2/9b131afc3b4647d0afceda4ebc513c9f |
| | | RegionOne |
| | | public: http://172.16.245.138:8774/v2/9b131afc3b4647d0afceda4ebc513c9f |
| | | |
| neutron | network | RegionOne |
| | | public: http://172.16.245.138:9696/ |
| | | RegionOne |
| | | admin: http://172.16.245.138:9696/ |
| | | RegionOne |
| | | internal: http://172.16.245.138:9696/ |
| | | |
+-------------+----------------+----------------------------------------------------------------------------+
-
Role(角色)
安全包括两部分 Authentication(认证) 和 Authorization(鉴权)。
- Authentication 解决的是 “你是谁” 的问题。
- Authorization 解决的是 “你能干什么” 的问题。
Keystone 是借助 Role 来实现 Authentication的。Keystone 定义 Role。如下
root@compute:/opt/stack/devstack# openstack role list
+----------------------------------+---------------+
| ID | Name |
+----------------------------------+---------------+
| 12bffd2de4cc41eb8621cb51183e4a70 | Member |
| 48fec541166b487f86ef0d126880d825 | service |
| 66263d28f65648768baeb99e254bc4de | ResellerAdmin |
| 841b01f986d04eccbb41b77ab20931df | admin |
| 9fe2ff9ee4384b1894a90878d3e92bab | _member_ |
| f996de50d8e6443688cd13e654da3826 | anotherrole |
+----------------------------------+---------------+
每个服务有自己的权限管理文件
/etc/cinder/policy.json
/etc/keystone/policy.json
/etc/glance/policy.json
/etc/neutron/policy.json
在web 可以为用户分配 Role。
用户Role
2. 错误排查
Keystone 主要有两个日志:keystone.log 和 keystone_access.log,文件目录 /var/log/apache2/ 里面。非 devstack 安装,日志目录可能在 /var/log/keystone/ 里面。
二、Glance
虚拟机启动镜像管理模块
- 提供 REST API,让用户能有查询和获取 image 的元数据和 image 本身。
- 支持多种方式存储 image,包括普通的文件系统、Swift、Amazon S3等。
- 对 Instance 执行 Snapshot 创建新的 image。
1. 架构
架构
-
glance-api
glance-api 是系统后台运行的服务进程,对外提供 REST API,相应 image 查询、获取和存储调用,本身不会真正处理请求。
- 与 image metadata(元数据)相关的操作,会把请求发给 glance-registry。
- 与 image 自身存取相关的操作,会把请求发给 image 的 store backend。
查看 glance-api 进程
root@controller:/opt/stack# ps -e | grep glance-api
19551 pts/6 00:01:55 glance-api
19712 pts/6 00:00:03 glance-api
19713 pts/6 00:00:04 glance-api
-
glance-registry
glance-registry 是系统后台运行的服务进程,负责处理和存取 image 的 metadata,例如 image 的大小和类型。
查看进程
root@controller:/opt/stack# ps -e | grep glance-registry
19212 pts/5 00:00:00 glance-registry
19473 pts/5 00:00:00 glance-registry
19474 pts/5 00:00:00 glance-registry
Glance 支持的 image 格式:如下
| 类型 | 说明 |
|---|---|
| raw | 非结构化的磁盘映像格式 |
| vhd | 一种通用的虚拟机磁盘格式, 可用于Vmware、Xen、Microsoft Virtual PC/Virtual Server/Hyper-V、VirtualBox等。 |
| vmdk | Vmware的虚拟机磁盘格式, 同样也支持多种Hypervisor |
| vdi | VirtualBox、QEMU等支持的虚拟机磁盘格式 |
| iso | 光盘存档格式 |
| qcow2 | 一种支持QEMU并且可以动态扩展的磁盘格式 |
| aki | Amazon Kernel 镜像 |
| ari | Amazon Ramdisk 镜像 |
| ami | Amazon 虚拟机镜像 |
-
database (db)
image 的 metadata 都保存在 database 中,默认 MySQL。
在控制节点中查看
root@controller:~# su - stack
stack@controller:~$ mysql
mysql> use glance
mysql> show tables;
+----------------------------------+
| Tables_in_glance |
+----------------------------------+
| alembic_version |
| artifact_blob_locations |
| artifact_blobs |
| artifact_dependencies |
| artifact_properties |
| artifact_tags |
| artifacts |
| image_locations |
| image_members |
| image_properties |
| image_tags |
| images |
| metadef_namespace_resource_types |
| metadef_namespaces |
| metadef_objects |
| metadef_properties |
| metadef_resource_types |
| metadef_tags |
| migrate_version |
| task_info |
| tasks |
+----------------------------------+
21 rows in set (0.00 sec)
-
store backend
Glance 本身不存储 image,image 是放在 backend 中的。
Glance 支持多种 backend,如下:
- 本地文件存储(默认)
- GridFs
- Ceph RBD
- Amazon S3
- Sheepdog
- OpenStack Block Storage (Cinder)
- OpenStack Object Storage (Swift)
- VMware ESX
在测试环境中 image 存放在 /opt/stack/data/glance/images/ 中
root@controller:/opt/stack# cd /opt/stack/data/glance/images/
root@controller:/opt/stack/data/glance/images# ls -l
-rw-r----- 1 stack stack 4979632 Feb 23 20:38 54838be1-d0c5-4989-98a4-aa36fb31d5f0
-rw-r----- 1 stack stack 25165824 Feb 23 20:38 65600cc1-6ac6-4bca-b86a-c6847ddf269e
-rw-r----- 1 stack stack 3740163 Feb 23 20:38 f07c2dc6-3902-40fc-b152-e721d441dee9
查看现有 image
root@controller:/opt/stack/data/glance/images# source /opt/stack/devstack/openrc admin admin
root@controller:/opt/stack/data/glance/images# glance image-list
+--------------------------------------+---------------------------------+
| ID | Name |
+--------------------------------------+---------------------------------+
| 65600cc1-6ac6-4bca-b86a-c6847ddf269e | cirros-0.3.4-x86_64-uec |
| 54838be1-d0c5-4989-98a4-aa36fb31d5f0 | cirros-0.3.4-x86_64-uec-kernel |
| f07c2dc6-3902-40fc-b152-e721d441dee9 | cirros-0.3.4-x86_64-uec-ramdisk |
+--------------------------------------+---------------------------------+
2. 创建 image
使用 Devstack 目录下
openrc文件。source openrc来配置 CLI 的环境变量,出传入两个参数 ,第一个参数是 OpenStack 用户名 admin,第二个参数是 Project 名也是 admin。
- 使用
glance image-create创建镜像
示例:
root@controller:~# source /opt/stack/devstack/openrc admin admin
root@controller:~# glance image-create --name cirros --file cirros-0.3.3-x86_64-disk.img --disk-format qcow2 --container-format bare --progress
[=============================>] 100%
+------------------+--------------------------------------+
| Property | Value |
+------------------+--------------------------------------+
| checksum | 133eae9fb1c98f45894a4e60d8736619 |
| container_format | bare |
| created_at | 2019-03-03T06:43:10Z |
| disk_format | qcow2 |
| id | 4285de59-74f1-411a-9021-551e85a2039e |
| min_disk | 0 |
| min_ram | 0 |
| name | cirros |
| owner | 9b131afc3b4647d0afceda4ebc513c9f |
| protected | False |
| size | 13200896 |
| status | active |
| tags | [] |
| updated_at | 2019-03-03T06:43:10Z |
| virtual_size | None |
| visibility | shared |
+------------------+--------------------------------------+
参数 --progress 查看进度
| 参数 | 说明 |
|---|---|
| --name | 镜像名 |
| --file | 镜像文件位置 |
| --disk-formate | 镜像格式 |
| --container-format | 图片的容器格式,可以是ami,ari,aki,ovf,bare默认是bare |
| --progress | 显示进度 |
| –-owner | 哪个租户可以使用此镜像 |
| –-size | 镜像的大小 |
| –-min-disk | 镜像启动最小需要的大小; |
| –-min-ram | 启动镜像需要的最小内存; |
| –-location | 在web界面中可以使用url地址上传镜像,目前支持http协议的; |
| –-checksum | 镜像数据验证; |
| –-is-public [True|False] | 是否共享此镜像;共享后其他用户也可以使用此镜像启动instance; |
2. 删除 image
root@controller:~# source /opt/stack/devstack/openrc admin admin
root@controller:~# glance image-list
+--------------------------------------+---------------------------------+
| ID | Name |
+--------------------------------------+---------------------------------+
| 4285de59-74f1-411a-9021-551e85a2039e | cirros |
| 65600cc1-6ac6-4bca-b86a-c6847ddf269e | cirros-0.3.4-x86_64-uec |
| 54838be1-d0c5-4989-98a4-aa36fb31d5f0 | cirros-0.3.4-x86_64-uec-kernel |
| f07c2dc6-3902-40fc-b152-e721d441dee9 | cirros-0.3.4-x86_64-uec-ramdisk |
+--------------------------------------+---------------------------------+
root@controller:~# glance image-delete 4285de59-74f1-411a-9021-551e85a2039e
root@controller:~# glance image-list
+--------------------------------------+---------------------------------+
| ID | Name |
+--------------------------------------+---------------------------------+
| 65600cc1-6ac6-4bca-b86a-c6847ddf269e | cirros-0.3.4-x86_64-uec |
| 54838be1-d0c5-4989-98a4-aa36fb31d5f0 | cirros-0.3.4-x86_64-uec-kernel |
| f07c2dc6-3902-40fc-b152-e721d441dee9 | cirros-0.3.4-x86_64-uec-ramdisk |
+--------------------------------------+---------------------------------+
3. glance 其他参数
| 参数 | 说明 |
|---|---|
| image-list | 查看镜像列表 |
| image-create | 创建镜像 |
| image-delete | 删除镜像 |
| image-update | 更新镜像 |
| image-show | 镜像详情 |
4 查看某个操作的帮助文档
glance help image-create
