前言:
openstack是一個開源的云計算管理平臺架構,是一系列開源的軟體專案的組合,由NASA(美國國家航空航天局)和Rackspace合作研發并發起,以Apache許可證(Apache軟體基金會發布的一個自由軟體許可證)授權的開源代碼專案,
它為私有云和公有云的建設與管理提供了開源軟體專案,在傳統的運維管理服務器資源的基礎上,有了openstack架構之后,才可在其之上部署云平臺的服務,進行運維和管理,
一、云計算概述
1.1 云計算概念
云計算管理的是網路資源、存盤資源、服務器資源等物理硬體資源,可以使客戶在任何時間任何地點,通過網路,獲取所需要的資源或服務,并且按需分配,按用量進行收費,
1.2 云計算服務型別
1.2.1 IAAS(基礎架構即服務)
提供底層IT基礎設施服務,包括處理能力,存盤空間、網路資源,一般面對物件是IT管理人員,
用戶可獲取的是硬體或虛擬硬體,包括裸機或虛擬機,可以自行安裝作業系統或其他應用程式,
1.2.2 PAAS(平臺即服務)
把安裝好開發環境的系統平臺作為一種服務通過互聯網提供給用戶,一般面對物件是開發人員,
用戶可獲取的是安裝了作業系統以及支撐應用程式運行所需要的資源庫等軟體的物理機或虛擬機,可以自行安裝其他應用程式,但不能修改已經預裝好的作業系統和運行環境,
1.2.3 SAAS(軟體即服務)
直接通過互聯網為用戶提供部署好的軟體和應用程式的服務,可直接使用,一般面向物件是普通用戶,
用戶可獲取的是以租賃的方式來直接使用一些軟體,而不是購買,
二、OpenStack 介紹
2.1 OpenStack的特性
OpenStack優勢
- 控制性
完全開源的平臺,提供API介面,方便與第三方技術集成 - 兼容性
OpenStack兼容其他公有云,方便用戶進行資料遷移 - 可擴展性
模塊化設計,可以通過橫向擴展,增加節點、添加資源 - 靈活性
根據自己的需要建立相應基礎設施、增加集群規模
激活 - 行業標準
眾多IT領軍企業已經加入到OpenStack專案
2.2 OpenStack的核心組件
整個OpenStack架構由多個子服務組成:以下是幾個核心專案
| 服務 | 專案 | 描述 |
|---|---|---|
| Compute 計算服務 | Nova | 負責實體生命周期的管理,計算資源的單位,對Hypervisor進行屏蔽,支持多種虛擬化技術(紅帽默認為KVM),支持橫向擴展 |
| Network 網路服務 | Neutron | 負責虛擬網路的管理,為實體創建網路的拓撲結構,是面向租戶的網路管理,可以自己定義自己的網路,各個租戶之間互不影響 |
| Identify 身份認證服務 | Keystone | 類似于LDAP服務,對用戶、租戶和角色、服務進行認證與授權,且支持多認證機制 |
| Dashboard 控制面板服務 | Horizon | 提供一個Web管理界面,與OpenStack底層服務進行互動 |
| Image Service 鏡像服務 | Glance | 提供虛擬機鏡像模板的注冊與管理,將做好的作業系統拷貝為鏡像模板,在創建虛擬機時直接使用,可支持多格式的鏡像 |
| Block Storage 塊存盤服務 | Cinder | 負責為運行實體提供持久的塊存盤設備,可進行方便的擴展,按需付費,支持多種后端存盤 |
| Object Storage 物件存盤服務 | Swift | 為OpenStack提供基于云的彈性存盤,支持集群無單點故障 |
| Telemetry 計量服務 | Ceilometer | 用于度量、監控和控制資料資源的集中來源,為OpenStack用戶提供記賬途徑 |
三、OpenStack 架構
學習Openstack的部署和運維之前,應當熟悉其架構和運行機制,OpenStack作為開源、可擴展、富有彈性的云作業系統,其設計基本原則如下:
■按照不同的功能和通用性劃分不同專案,拆分子系統
■按照邏輯計劃、規范字系統之間的通信
■通過分層設計整個系統架構
■不同的功能子系統間提供統一的API介面
3.1 OpenStack 概念架構
如下圖所示:
上圖的核心為虛擬機,所有組件圍繞虛擬機,為它提供服務,可將上圖的架構分為三個部分:
①藍色方框為全域組件:
keystone:為所有服務模塊提供認證與授權
ceilometer:度量、監控所有資料資源
horizon :UI平臺管理,提供一個web管理頁面,與底層互動
②紅色方框為外部輔助組件:
ironic 提供裸金屬環境
trove 提供管理資料庫服務(控制關系型和非關系型資料庫)
heat,sahara 提供對資料管理和編排
③黃色方框為內部核心組件:
glance:提供鏡像服務
neutron:提供網路服務
swift:提供物件存盤資源
cinder:提供快存盤資源
nova:管理實體的生命周期,并負責調取以上四個資源給虛擬機使用,
具體流程:
云平臺用戶在經過Keystone服務認證授權后,通過Horizon或者Reset API模式創建虛擬機服務,創建程序中包括利用Nova服務創建虛擬機實體,虛擬機實體采用Glance提供鏡像服務,然后使用Neutron為新建的虛擬機分配IP地址,并將其納入虛擬網路中,之后在通過Cinder創建的卷為虛擬機掛載存盤塊,整個程序都在Ceilometer模塊資源的監控下,Cinder產生的卷(Volume)和Glance提供的鏡像(Image) 可以通過Swift的物件存盤機制進行保存,
3.2 OpenStack 邏輯架構
如下圖:
- 全域架構來看:OpenStack包括相互獨立的服務組件,所有服務均可通過一個公共身份服務進行身份驗證,除了那些需要管理權限的命令,每個服務之間均可通過公共API進行互動,所以,API即是每個服務內部和外部的交界處,隔離了內外,
- 服務之間互動程序:每個服務又由若干組件組成,包含多個行程,每個服務至少有一個API行程,用于偵聽API請求,對這些請求進行預處理,( 預處理就是將請求暴露出來的API介面,給keystone進行認證,如果認證通過,則放入佇列等待被處理,) 然后將它們傳送到自己服務后端的其他組件,對請求進行處理,而不是API行程去處理,也就是說除了認證服務,實際作業都是由具體的行程完成的,
- 服務內各個行程之間的通信:使用AMQP訊息代理,服務的狀態存盤在資料庫中,
訊息佇列:常用的三種型別,包括rabbitmq、 rocketmq、kafka,是兩個獨立的服務之間,訊息傳遞的載體,解決訊息在傳輸是請求的高并發問題,會以容器的方式,存盤訊息串列(包括請求、互動、報文),劃分重要等級放入佇列中,逐個處理,處理完的會自動洗掉,
OpenStack組件通信關系:
■基于AMQP協議的通信
用于每個專案內部各個組件之間的通信,
■基于SQL的通信
用于各個專案內部的資料庫通信,
■基于HTTP協議進行通信
通過各專案的API建立的通信關系,API都是RESTful Web API,
■通過Native API實作通信
OpenStack各組件和第三方軟硬體之間的通信,
四、OpenStack 的節點
物理架構可以從四個節點來看,包括控制節點,網路節點,計算節點,存盤節點,
4.1 控制節點
定位:運維人員通過控制節點從而控制整個openstack架構,
如上圖所示:控制節點包括支持服務,基礎服務,擴展服務和網路介面服務,外部的裸金屬服務提供物理資源支撐,
- 支持服務:包括資料庫支持和通信支持,為整個節點提供資料存盤服務和服務之間訊息佇列的通信服務,
- 基礎服務:為虛擬機提供基礎的鏡像、網路、計算資源;keystone負責整個架構的認證和授權,運維人員通過horizon可視化的界面進行管理,
- 擴展服務:主要針對虛擬機的資料管理,heat進行資料的編排和管理,計量服務在此獲取虛擬機的資料源,進行資源監控和計量,并記錄,
- 網路介面:專門管理節點的網路服務,用于聯系控制其他節點,
4.2 網路節點
網路節點:只有一個基礎服務,Neutron網路服務,負責整個openstack架構的網路通信,
整個網路介面又可分為管理網路、資料網路、外部網路,管理網路負責關聯其他節點的網路,讓控制節點可管控其他節點的網路,資料網路負責整個架構的資料通信,外部網路負責架構與外部物理網路的連接通信,
4.3 計算節點
計算節點包括基礎服務、擴展服務、網路介面,基礎服務有Nova Hypervisor 和網路插件代理,擴展服務為ceilometer agent 計量代理服務,網路介面為管理網路和資料網路,
4.4 存盤節點
存盤節點包括cinder和swift兩個基礎的存盤服務和網路介面,網路介面為管理網路和資料網路,
五、核心服務精講
5.1 Keystone身份認證服務
5.1.1 Keystone概念
Keystone (OpenStack Identity Service)是OpenStack中的一個獨立的提供安全認證的模塊,主要負責openstack用戶的身份認證、令牌管理、提供訪問資源的服務目錄、以及基于用戶角色的訪問控制,
Keystone類似一個服務總線,或者說是整 個Openstack框架的注冊表,其他服務通過keystone來注冊其服務的Endpoint (服務訪問的URL),任何服務之間相互的呼叫,需要經過Keystone的身 份驗證,來獲得目標服務的Endpoint來找到目標服務,
5.1.2 主要功能
- 身份認證:負責令牌的發放和校驗
- 用戶授權:授權用戶有指定的可執行動作的范圍
- 用戶管理:管理用戶的賬戶
- 服務目錄:提供可用服務的API端點位置
5.1.3 Keystone的管理物件
Keystone服務貫穿整個架構,在進行身份認證服務的整個流程中,有幾個重要的概念,
-
用戶(user):指的是使用openstack架構的用戶,
-
證書(credentials):用于確認用戶身份的憑證,證明自己是自己,包括用戶的用戶名和密碼,或是用戶名和API密鑰,或者身份管理服務提供的認證令牌,
-
認證(authentication):確定用戶身份的程序,
-
專案(project):可以理解為一個人,或服務所擁有的資源的集合,
-
角色(role):用于劃分權限,通過給user指定role,使user獲得role對應操作權限
-
服務(service):openstack架構的組件服務,如nova、neutron、cinder、swift、glance等,
-
令牌(token):由字串表示,作為訪問資源的憑證,是用戶的身份/權限證明檔案;
token決定了用戶的權限范圍,在指定的權限內進行操作;也包括令牌的有效期,在指定的時間范圍內用戶才有這些權限, -
端點(endpoint):一個可以通過網路來訪問和定位某個openstack service的地址,即用戶創建一個專案程序中需要的各個服務資源的位置
5.1.4 Keystone作業流程
以用戶想要通過openstack平臺創建一個虛擬機的程序為例:
- 用戶通過命令列或者horizon控制面板的方式登錄openstack,憑借自己的證書(credentials)給keystone驗證,
- Keystone對用戶的證書驗證,驗證通過則會發布一個令牌(token)和用戶所需服務的位置點(endpoint)給用戶,
- 用戶得到了位置點(endpoint)之后,攜帶自己的令牌,向nova發起請求,請求創建虛擬機,
- nova會拿著用戶的token向keystone進行認證,看是否允許用戶執行這樣的操作,
- keystone認證通過之后,回傳給nova,nova即開始執行創建虛擬機的請求,首先需要鏡像資源,nova帶著令牌(token)和所需要的鏡像名向glance提出鏡像資源的請求,
- glance會拿著token去向keystone進行認證,看是否允許提供鏡像服務,keystone認證成功后,回傳給glance,glance向nova提供鏡像服務,
- 創建虛擬機還需要網路服務,nova攜帶token向neutron發送網路服務的請求
- neutron拿著nova給的token向keystone進行認證,看是否允許向其提供網路服務,keystone認證成功后,回傳給nuetron,nuetron則給nova提供網路規劃服務,
- nova獲取了鏡像和網路之后,開始創建虛擬機,通過hypervisior可呼叫底層硬體資源進行創建,創建完成回傳給用戶,成功執行了用戶的請求,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/233607.html
標籤:其他