本节将开始介绍 OpenStack 的核心服务。

一、Keystone

Keystone 完成下面几件事：

管理用户权限

维护 OpenStack Services 的 Endpoint

Authentication（认证）和 Authorization（鉴权）

1. Keystone 中需要理解的概念

User、Role、Credentials、Authentication、Endpoint、Service、Project、Token

User （用户）

User 指任何使用 OpenStack 的实体，可以是真正的用户，其他系统或服务。
在 Horzon 页面 身份管理 -> 用户 中管理用户。

用户

除了 admin 和 demo， OpenStack 也为 nova、cinder、glance、neutron 服务创建了相应的用户。

Credentials （证书）

Credentials 是 User 用来证明自己身份信息的。如：用户名\密码，Token，API Key或其他高级方式。

Authentication （鉴定）

Authentication 是 Keystone 验证 User 身份的过程。
User 访问 OpenStack 时向 Keystone 提交用户名和密码形式的 Credentials，Keystone 验证通过后会给 User 签发一个 Token 作为后续访问的 Credential。

Token （令牌）

Token 用作访问 Service 的 Credential。

Service 会通过 Keystone 验证 Token 的有效性。

Token 的有效期默认是 24 小时。

Project （项目）

Project 用于将 OpenStack 的资源（计算、存储和网络）进行分组和隔离。
Project 可以是一个客户（公有云，也叫租户）、部门或项目组（私有云）。

资源的所有权是属于 Project 的，而不是 User

OpenStack 的界面和文档中， Tenant / Project / Account 这几个术语是通用的。

每个 User （包括 admin）必须挂在 Project 里面才能访问该 Project 的资源。一个 User 可以属于多个 Project。

admin 相当于 root 用户，具有最高权限。

项目

管理成员

管理成员

成员信息

Service（服务）

OpenStack 的 Service 包括 Compute（Nova）、Block Storage（Cinder）、Object Storage（Swift）、Image Service（Glance）、Network Service（Neutron）等。
每个 Service 都会提供若干个 Endpoint，User 通过 Endpoint 访问资源和执行操作。

Endpoint（端点）

Endpoint 是一个网络上可以访问的地址，通常是一个 URL。
Service 通过 Endpoint 暴露自己的 API。
Keystone 负责管理和维护每个 Service 的 Endpoint。

查看所有 Endpoint

root@compute:/opt/stack/devstack# source /opt/stack/devstack/openrc admin admin
root@compute:/opt/stack/devstack# openstack catalog list
+-------------+----------------+----------------------------------------------------------------------------+
| Name        | Type           | Endpoints                                                                  |
+-------------+----------------+----------------------------------------------------------------------------+
| cinderv2    | volumev2       | RegionOne                                                                  |
|             |                |   admin: http://172.16.245.138:8776/v2/9b131afc3b4647d0afceda4ebc513c9f    |
|             |                | RegionOne                                                                  |
|             |                |   public: http://172.16.245.138:8776/v2/9b131afc3b4647d0afceda4ebc513c9f   |
|             |                | RegionOne                                                                  |
|             |                |   internal: http://172.16.245.138:8776/v2/9b131afc3b4647d0afceda4ebc513c9f |
|             |                |                                                                            |
| placement   | placement      | RegionOne                                                                  |
|             |                |   internal: http://172.16.245.138/placement                                |
|             |                | RegionOne                                                                  |
|             |                |   admin: http://172.16.245.138/placement                                   |
|             |                | RegionOne                                                                  |
|             |                |   public: http://172.16.245.138/placement                                  |
|             |                |                                                                            |
| cinderv3    | volumev3       | RegionOne                                                                  |
|             |                |   public: http://172.16.245.138:8776/v3/9b131afc3b4647d0afceda4ebc513c9f   |
|             |                | RegionOne                                                                  |
|             |                |   admin: http://172.16.245.138:8776/v3/9b131afc3b4647d0afceda4ebc513c9f    |
|             |                | RegionOne                                                                  |
|             |                |   internal: http://172.16.245.138:8776/v3/9b131afc3b4647d0afceda4ebc513c9f |
|             |                |                                                                            |
| nova        | compute        | RegionOne                                                                  |
|             |                |   internal: http://172.16.245.138:8774/v2.1                                |
|             |                | RegionOne                                                                  |
|             |                |   public: http://172.16.245.138:8774/v2.1                                  |
|             |                | RegionOne                                                                  |
|             |                |   admin: http://172.16.245.138:8774/v2.1                                   |
|             |                |                                                                            |
| cinder      | volume         | RegionOne                                                                  |
|             |                |   internal: http://172.16.245.138:8776/v1/9b131afc3b4647d0afceda4ebc513c9f |
|             |                | RegionOne                                                                  |
|             |                |   public: http://172.16.245.138:8776/v1/9b131afc3b4647d0afceda4ebc513c9f   |
|             |                | RegionOne                                                                  |
|             |                |   admin: http://172.16.245.138:8776/v1/9b131afc3b4647d0afceda4ebc513c9f    |
|             |                |                                                                            |
| keystone    | identity       | RegionOne                                                                  |
|             |                |   admin: http://172.16.245.138/identity_admin                              |
|             |                | RegionOne                                                                  |
|             |                |   internal: http://172.16.245.138/identity                                 |
|             |                | RegionOne                                                                  |
|             |                |   public: http://172.16.245.138/identity                                   |
|             |                |                                                                            |
| glance      | image          | RegionOne                                                                  |
|             |                |   public: http://172.16.245.138:9292                                       |
|             |                | RegionOne                                                                  |
|             |                |   admin: http://172.16.245.138:9292                                        |
|             |                | RegionOne                                                                  |
|             |                |   internal: http://172.16.245.138:9292                                     |
|             |                |                                                                            |
| nova_legacy | compute_legacy | RegionOne                                                                  |
|             |                |   internal: http://172.16.245.138:8774/v2/9b131afc3b4647d0afceda4ebc513c9f |
|             |                | RegionOne                                                                  |
|             |                |   admin: http://172.16.245.138:8774/v2/9b131afc3b4647d0afceda4ebc513c9f    |
|             |                | RegionOne                                                                  |
|             |                |   public: http://172.16.245.138:8774/v2/9b131afc3b4647d0afceda4ebc513c9f   |
|             |                |                                                                            |
| neutron     | network        | RegionOne                                                                  |
|             |                |   public: http://172.16.245.138:9696/                                      |
|             |                | RegionOne                                                                  |
|             |                |   admin: http://172.16.245.138:9696/                                       |
|             |                | RegionOne                                                                  |
|             |                |   internal: http://172.16.245.138:9696/                                    |
|             |                |                                                                            |
+-------------+----------------+----------------------------------------------------------------------------+

Role（角色）

安全包括两部分 Authentication（认证）和 Authorization（鉴权）。

Authentication 解决的是 “你是谁” 的问题。

Authorization 解决的是 “你能干什么” 的问题。

Keystone 是借助 Role 来实现 Authentication的。Keystone 定义 Role。如下

root@compute:/opt/stack/devstack# openstack role list
+----------------------------------+---------------+
| ID                               | Name          |
+----------------------------------+---------------+
| 12bffd2de4cc41eb8621cb51183e4a70 | Member        |
| 48fec541166b487f86ef0d126880d825 | service       |
| 66263d28f65648768baeb99e254bc4de | ResellerAdmin |
| 841b01f986d04eccbb41b77ab20931df | admin         |
| 9fe2ff9ee4384b1894a90878d3e92bab | _member_      |
| f996de50d8e6443688cd13e654da3826 | anotherrole   |
+----------------------------------+---------------+

每个服务有自己的权限管理文件

/etc/cinder/policy.json
/etc/keystone/policy.json
/etc/glance/policy.json
/etc/neutron/policy.json

在web 可以为用户分配 Role。

用户Role

2. 错误排查

Keystone 主要有两个日志：keystone.log 和 keystone_access.log，文件目录 /var/log/apache2/ 里面。非 devstack 安装，日志目录可能在 /var/log/keystone/ 里面。

二、Glance

虚拟机启动镜像管理模块

提供 REST API，让用户能有查询和获取 image 的元数据和 image 本身。

支持多种方式存储 image，包括普通的文件系统、Swift、Amazon S3等。

对 Instance 执行 Snapshot 创建新的 image。

1. 架构

架构

glance-api

glance-api 是系统后台运行的服务进程，对外提供 REST API，相应 image 查询、获取和存储调用，本身不会真正处理请求。

与 image metadata（元数据）相关的操作，会把请求发给 glance-registry。

与 image 自身存取相关的操作，会把请求发给 image 的 store backend。

查看 glance-api 进程

root@controller:/opt/stack# ps -e | grep glance-api
19551 pts/6    00:01:55 glance-api
19712 pts/6    00:00:03 glance-api
19713 pts/6    00:00:04 glance-api

glance-registry

glance-registry 是系统后台运行的服务进程，负责处理和存取 image 的 metadata，例如 image 的大小和类型。

查看进程

root@controller:/opt/stack# ps -e | grep glance-registry
19212 pts/5    00:00:00 glance-registry
19473 pts/5    00:00:00 glance-registry
19474 pts/5    00:00:00 glance-registry

Glance 支持的 image 格式：如下

类型	说明
raw	非结构化的磁盘映像格式
vhd	一种通用的虚拟机磁盘格式，可用于Vmware、Xen、Microsoft Virtual PC/Virtual Server/Hyper-V、VirtualBox等。
vmdk	Vmware的虚拟机磁盘格式，同样也支持多种Hypervisor
vdi	VirtualBox、QEMU等支持的虚拟机磁盘格式
iso	光盘存档格式
qcow2	一种支持QEMU并且可以动态扩展的磁盘格式
aki	Amazon Kernel 镜像
ari	Amazon Ramdisk 镜像
ami	Amazon 虚拟机镜像

database (db)

image 的 metadata 都保存在 database 中，默认 MySQL。

在控制节点中查看

root@controller:~# su - stack
stack@controller:~$ mysql
mysql> use glance
mysql> show tables;
+----------------------------------+
| Tables_in_glance                 |
+----------------------------------+
| alembic_version                  |
| artifact_blob_locations          |
| artifact_blobs                   |
| artifact_dependencies            |
| artifact_properties              |
| artifact_tags                    |
| artifacts                        |
| image_locations                  |
| image_members                    |
| image_properties                 |
| image_tags                       |
| images                           |
| metadef_namespace_resource_types |
| metadef_namespaces               |
| metadef_objects                  |
| metadef_properties               |
| metadef_resource_types           |
| metadef_tags                     |
| migrate_version                  |
| task_info                        |
| tasks                            |
+----------------------------------+
21 rows in set (0.00 sec)

store backend

Glance 本身不存储 image，image 是放在 backend 中的。
Glance 支持多种 backend，如下：

本地文件存储（默认）

GridFs

Ceph RBD

Amazon S3

Sheepdog

OpenStack Block Storage (Cinder)

OpenStack Object Storage (Swift)

VMware ESX

在测试环境中 image 存放在 /opt/stack/data/glance/images/ 中

root@controller:/opt/stack# cd /opt/stack/data/glance/images/
root@controller:/opt/stack/data/glance/images# ls -l
-rw-r----- 1 stack stack  4979632 Feb 23 20:38 54838be1-d0c5-4989-98a4-aa36fb31d5f0
-rw-r----- 1 stack stack 25165824 Feb 23 20:38 65600cc1-6ac6-4bca-b86a-c6847ddf269e
-rw-r----- 1 stack stack  3740163 Feb 23 20:38 f07c2dc6-3902-40fc-b152-e721d441dee9

查看现有 image

root@controller:/opt/stack/data/glance/images# source /opt/stack/devstack/openrc admin admin
root@controller:/opt/stack/data/glance/images# glance image-list
+--------------------------------------+---------------------------------+
| ID                                   | Name                            |
+--------------------------------------+---------------------------------+
| 65600cc1-6ac6-4bca-b86a-c6847ddf269e | cirros-0.3.4-x86_64-uec         |
| 54838be1-d0c5-4989-98a4-aa36fb31d5f0 | cirros-0.3.4-x86_64-uec-kernel  |
| f07c2dc6-3902-40fc-b152-e721d441dee9 | cirros-0.3.4-x86_64-uec-ramdisk |
+--------------------------------------+---------------------------------+

2. 创建 image

使用 Devstack 目录下 openrc 文件。source openrc 来配置 CLI 的环境变量，出传入两个参数，第一个参数是 OpenStack 用户名 admin，第二个参数是 Project 名也是 admin。

使用 glance image-create 创建镜像
示例：

root@controller:~# source /opt/stack/devstack/openrc admin admin
root@controller:~# glance image-create --name cirros --file cirros-0.3.3-x86_64-disk.img --disk-format qcow2 --container-format bare --progress
[=============================>] 100%
+------------------+--------------------------------------+
| Property         | Value                                |
+------------------+--------------------------------------+
| checksum         | 133eae9fb1c98f45894a4e60d8736619     |
| container_format | bare                                 |
| created_at       | 2019-03-03T06:43:10Z                 |
| disk_format      | qcow2                                |
| id               | 4285de59-74f1-411a-9021-551e85a2039e |
| min_disk         | 0                                    |
| min_ram          | 0                                    |
| name             | cirros                               |
| owner            | 9b131afc3b4647d0afceda4ebc513c9f     |
| protected        | False                                |
| size             | 13200896                             |
| status           | active                               |
| tags             | []                                   |
| updated_at       | 2019-03-03T06:43:10Z                 |
| virtual_size     | None                                 |
| visibility       | shared                               |
+------------------+--------------------------------------+

参数 --progress 查看进度

参数	说明
--name	镜像名
--file	镜像文件位置
--disk-formate	镜像格式
--container-format	图片的容器格式，可以是ami,ari,aki,ovf,bare默认是bare
--progress	显示进度
–-owner	哪个租户可以使用此镜像
–-size	镜像的大小
–-min-disk	镜像启动最小需要的大小；
–-min-ram	启动镜像需要的最小内存；
–-location	在web界面中可以使用url地址上传镜像，目前支持http协议的；
–-checksum	镜像数据验证；
–-is-public [True\|False]	是否共享此镜像；共享后其他用户也可以使用此镜像启动instance；

2. 删除 image

root@controller:~# source /opt/stack/devstack/openrc admin admin
root@controller:~# glance image-list
+--------------------------------------+---------------------------------+
| ID                                   | Name                            |
+--------------------------------------+---------------------------------+
| 4285de59-74f1-411a-9021-551e85a2039e | cirros                          |
| 65600cc1-6ac6-4bca-b86a-c6847ddf269e | cirros-0.3.4-x86_64-uec         |
| 54838be1-d0c5-4989-98a4-aa36fb31d5f0 | cirros-0.3.4-x86_64-uec-kernel  |
| f07c2dc6-3902-40fc-b152-e721d441dee9 | cirros-0.3.4-x86_64-uec-ramdisk |
+--------------------------------------+---------------------------------+
root@controller:~# glance image-delete 4285de59-74f1-411a-9021-551e85a2039e
root@controller:~# glance image-list
+--------------------------------------+---------------------------------+
| ID                                   | Name                            |
+--------------------------------------+---------------------------------+
| 65600cc1-6ac6-4bca-b86a-c6847ddf269e | cirros-0.3.4-x86_64-uec         |
| 54838be1-d0c5-4989-98a4-aa36fb31d5f0 | cirros-0.3.4-x86_64-uec-kernel  |
| f07c2dc6-3902-40fc-b152-e721d441dee9 | cirros-0.3.4-x86_64-uec-ramdisk |
+--------------------------------------+---------------------------------+

3. glance 其他参数

参数	说明
image-list	查看镜像列表
image-create	创建镜像
image-delete	删除镜像
image-update	更新镜像
image-show	镜像详情

4 查看某个操作的帮助文档

glance help image-create

下一节将介绍 OpenStack 最重要的模块 Nova

玩转 OpenStack（四）Keystone、Glance

一、Keystone

1. Keystone 中需要理解的概念

User （用户）

Credentials （证书）

Authentication （鉴定）

Token （令牌）

Project （项目）

Service（服务）

Endpoint（端点）

Role（角色）

2. 错误排查

二、Glance

1. 架构

glance-api

glance-registry

database (db)

store backend

2. 创建 image

2. 删除 image

3. glance 其他参数

4 查看某个操作的帮助文档

你可能感兴趣的:(玩转 OpenStack（四）Keystone、Glance)