openstack-Mitaka 手動部署手冊

1、 OpenStack Mitaka 手動部署手冊概況TheOpenStackproject is an open source cloud computing platform that supports all types of cloud environments. The project aims for simple implementation, massive scalability, and a rich set of features. Cloud computing experts from around the world contribute to the project

2、.OpenStack通過各種補充服務(wù)提供基礎(chǔ)設(shè)施即服務(wù)Infrastructure-as-a-Service (IaaS)的解決方案。每個服務(wù)都提供便于集成的應(yīng)用程序接口 :term:Application Programming Interface (API)。本指南涵蓋了如何安裝功能示例架構(gòu)逐步部署下面主要的OpenStack服務(wù)，特別適合于對Linux經(jīng)驗豐富的OpenStack新用戶：OpenStack services服務(wù)項目名稱描述DashboardHorizon提供了一個基于web的自服務(wù)門戶，與OpenStack底層服務(wù)交互，諸如啟動一個實例，分配IP地址以及配置訪問控制。Co

3、mputeNova在OpenStack環(huán)境中計算實例的生命周期管理。按需響應(yīng)包括生成、調(diào)度、回收虛擬機等操作。NetworkingNeutron確保為其它OpenStack服務(wù)提供網(wǎng)絡(luò)連接即服務(wù)，比如OpenStack計算。為用戶提供API定義網(wǎng)絡(luò)和使用?；诓寮募軜?gòu)其支持眾多的網(wǎng)絡(luò)提供商和技術(shù)。存儲Object StorageSwift通過一個RESTful,基于HTTP的應(yīng)用程序接口存儲和任意檢索的非結(jié)構(gòu)化數(shù)據(jù)對象。它擁有高容錯機制，基于數(shù)據(jù)復(fù)制和可擴展架構(gòu)。它的實現(xiàn)并像是一個文件服務(wù)器需要掛載目錄。在此種方式下，它寫入對象和文件到多個硬盤中，以確保數(shù)據(jù)是在集群內(nèi)跨服務(wù)器的多份復(fù)制。Bl

4、ock StorageCinder為運行實例而提供的持久性塊存儲。它的可插拔驅(qū)動架構(gòu)的功能有助于創(chuàng)建和管理塊存儲設(shè)備。共享服務(wù)Identity serviceKeystone為其他OpenStack服務(wù)提供認(rèn)證和授權(quán)服務(wù)，為所有的OpenStack服務(wù)提供一個端點目錄。Image serviceGlance服務(wù)存儲和檢索虛擬機磁盤鏡像，OpenStack計算會在實例部署時使用此服務(wù)。Telemetry服務(wù)請參見Ceilometer服務(wù)為OpenStack云的計費、基準(zhǔn)、擴展性以及統(tǒng)計等目的提供監(jiān)測和計量。高層次服務(wù)Orchestration服務(wù)請參見Heat服務(wù)Orchestration服務(wù)支

5、持多樣化的綜合的云應(yīng)用，通過調(diào)用OpenStack-native REST API和CloudFormation-compatible Query API，支持:term:HOT 格式模板或者AWS CloudFormation格式模板在你對基礎(chǔ)安裝，配置，操作和故障診斷熟悉之后，你應(yīng)該考慮按照以下步驟使用生產(chǎn)架構(gòu)來進行部署 確定并補充必要的核心和可選服務(wù)，以滿足性能和冗余要求。 使用諸如防火墻，加密和服務(wù)策略的方式來加強安全。 使用自動化部署工具，例如Ansible, Chef, Puppet, or Salt來自動化部署，管理生產(chǎn)環(huán)境示例的架構(gòu)這個示例架構(gòu)需要至少2個（主機）節(jié)點來啟動基礎(chǔ)

6、服務(wù)：term:virtual machine 或者實例。像塊存儲服務(wù)，對象存儲服務(wù)這一類服務(wù)還需要額外的節(jié)點這個示例架構(gòu)不同于下面這樣的最小生產(chǎn)結(jié)構(gòu) 網(wǎng)絡(luò)代理駐留在控制節(jié)點上而不是在一個或者多個專用的網(wǎng)絡(luò)節(jié)點上。 私有網(wǎng)絡(luò)的覆蓋流量通過管理網(wǎng)絡(luò)而不是專用網(wǎng)絡(luò)硬件需求控制器控制節(jié)點上運行身份認(rèn)證服務(wù)，鏡像服務(wù)，計算服務(wù)的管理部分，網(wǎng)絡(luò)服務(wù)的管理部分，多種網(wǎng)絡(luò)代理以及儀表板。也需要包含一些支持服務(wù)，例如：SQL數(shù)據(jù)庫，消息隊列, andNTP?？蛇x的，可以在計算節(jié)點上運行部分塊存儲，對象存儲，Orchestration 和 Telemetry 服務(wù)。計算節(jié)點上需要至少兩塊網(wǎng)卡。計算計算節(jié)點上運行

7、計算服務(wù)中管理實例的管理程序部分。默認(rèn)情況下，計算服務(wù)使用KVM。你可以部署超過一個計算節(jié)點。每個結(jié)算節(jié)點至少需要兩塊網(wǎng)卡。塊設(shè)備存儲可選的塊存儲節(jié)點上包含了磁盤，塊存儲服務(wù)和共享文件系統(tǒng)會向?qū)嵗峁┻@些磁盤。為了簡單起見，計算節(jié)點和本節(jié)點之間的服務(wù)流量使用管理網(wǎng)絡(luò)。生產(chǎn)環(huán)境中應(yīng)該部署一個單獨的存儲網(wǎng)絡(luò)以增強性能和安全。你可以部署超過一個塊存儲節(jié)點。每個塊存儲節(jié)點要求至少一塊網(wǎng)卡。對象存儲可選的對象存儲節(jié)點包含了磁盤。對象存儲服務(wù)用這些磁盤來存儲賬號，容器和對象。為了簡單起見，計算節(jié)點和本節(jié)點之間的服務(wù)流量使用管理網(wǎng)絡(luò)。生產(chǎn)環(huán)境中應(yīng)該部署一個單獨的存儲網(wǎng)絡(luò)以增強性能和安全。這個服務(wù)要求兩個節(jié)點

8、。每個節(jié)點要求最少一塊網(wǎng)卡。你可以部署超過兩個對象存儲節(jié)點。網(wǎng)絡(luò)從下面的虛擬網(wǎng)絡(luò)選項中選擇一種選項。網(wǎng)絡(luò)選項1：公共網(wǎng)絡(luò)公有網(wǎng)絡(luò)選項使用盡可能簡單的方式主要通過layer-2（網(wǎng)橋/交換機）服務(wù)以及VLAN網(wǎng)絡(luò)的分割來部署OpenStack網(wǎng)絡(luò)服務(wù)。本質(zhì)上，它建立虛擬網(wǎng)絡(luò)到物理網(wǎng)絡(luò)的橋，依靠物理網(wǎng)絡(luò)基礎(chǔ)設(shè)施提供layer-3服務(wù)(路由)。額外地 ，DHCP為實例提供IP地址信息。注解這個選項不支持私有網(wǎng)絡(luò)，layer-3服務(wù)以及一些高級服務(wù)，例如:LBaaSandFWaaS。如果你需要這些服務(wù)，請考慮私有網(wǎng)絡(luò)選項網(wǎng)絡(luò)選項2：私有網(wǎng)絡(luò)私有網(wǎng)絡(luò)選項擴展了公有網(wǎng)絡(luò)選項，增加了啟用self-servi

9、ce覆蓋分段方法的layer-3（路由）服務(wù)，比如 VXLAN。本質(zhì)上，它使用 NAT路由虛擬網(wǎng)絡(luò)到物理網(wǎng)絡(luò)。另外，這個選項也提供高級服務(wù)的基礎(chǔ)，比如LBaas和FWaaS。環(huán)境這個部分解釋如何按示例架構(gòu)配置控制節(jié)點和一個計算節(jié)點盡管大多數(shù)環(huán)境中包含認(rèn)證，鏡像，計算，至少一個網(wǎng)絡(luò)服務(wù)，還有儀表盤，但是對象存儲服務(wù)也可以單獨操作。如果你的使用情況與涉及到對象存儲，你可以在配置完適當(dāng)?shù)墓?jié)點后跳到：swift。然而儀表盤要求至少要有鏡像服務(wù)，計算服務(wù)和網(wǎng)絡(luò)服務(wù)。你必須用有管理員權(quán)限的帳號來配置每個節(jié)點?？梢杂胷oot用戶或sudo工具來執(zhí)行這些命令。為獲得最好的性能，我們推薦在你的環(huán)境中符合或超過在

10、 :ref:figure-hwreqs中的硬件要求。以下最小需求支持概念驗證環(huán)境，使用核心服務(wù)和幾個:term:CirrOS實例: 控制節(jié)點: 1 處理器, 4 GB 內(nèi)存, 及5 GB 存儲 計算節(jié)點: 1 處理器, 2 GB 內(nèi)存, 及10 GB 存儲由于Openstack服務(wù)數(shù)量以及虛擬機數(shù)量的正常，為了獲得最好的性能，我們推薦你的環(huán)境滿足或者超過基本的硬件需求。如果在增加了更多的服務(wù)或者虛擬機后性能下降，請考慮為你的環(huán)境增加硬件資源。為了避免混亂和為OpenStack提供更多資源，我們推薦你最小化安裝你的Linux發(fā)行版。同時，你必須在每個節(jié)點安裝你的發(fā)行版的64位版本。每個節(jié)點配置一

11、個磁盤分區(qū)滿足大多數(shù)的基本安裝。但是，對于有額外服務(wù)如塊存儲服務(wù)的，你應(yīng)該考慮采用 :term:Logical Volume Manager (LVM)進行安裝。對于第一次安裝和測試目的，很多用戶選擇使用 :term:virtual machine (VM)作為主機。使用虛擬機的主要好處有一下幾點： 一臺物理服務(wù)器可以支持多個節(jié)點，每個節(jié)點幾乎可以使用任意數(shù)目的網(wǎng)絡(luò)接口。 在安裝過程中定期進行“快照”并且在遇到問題時可以“回滾”到上一個可工作配置的能力。但是，虛擬機會降低您實例的性能，特別是如果您的 hypervisor 和/或 進程缺少硬件加速的嵌套虛擬機支持時。注解如果你選擇在虛擬機內(nèi)安裝

12、，請確保你的hypervisor提供了在public網(wǎng)絡(luò)接口上禁用MAC地址過濾的方法。 安全OpenStack 服務(wù)支持各種各樣的安全方式，包括密碼 password、policy 和 encryption，支持的服務(wù)包括數(shù)據(jù)庫服務(wù)器，且消息 broker 至少支持 password 的安全方式。為了簡化安裝過程，本指南只包含了可適用的密碼安全。你可以手動創(chuàng)建安全密碼，使用pwgen工具生成密碼或者通過運行下面的命令：$ openssl rand -hex 10對 OpenStack 服務(wù)而言，本指南使用SERVICE_PASS 表示服務(wù)帳號密碼，使用SERVICE_DBPASS 表示數(shù)據(jù)庫

13、密碼。下面的表格給出了需要密碼的服務(wù)列表以及它們在指南中關(guān)聯(lián)關(guān)系：密碼密碼名稱描述數(shù)據(jù)庫密碼(不能使用變量)數(shù)據(jù)庫的root密碼ADMIN_PASSadmin用戶密碼CEILOMETER_DBPASSTelemetry 服務(wù)的數(shù)據(jù)庫密碼CEILOMETER_PASSTelemetry 服務(wù)的ceilometer用戶密碼CINDER_DBPASS塊設(shè)備存儲服務(wù)的數(shù)據(jù)庫密碼CINDER_PASS塊設(shè)備存儲服務(wù)的cinder密碼DASH_DBPASSDatabase password for the dashboardDEMO_PASSdemo用戶的密碼GLANCE_DBPASS鏡像服務(wù)的數(shù)據(jù)庫密碼

14、GLANCE_PASS鏡像服務(wù)的glance用戶密碼HEAT_DBPASSOrchestration服務(wù)的數(shù)據(jù)庫密碼HEAT_DOMAIN_PASSOrchestration 域的密碼HEAT_PASSOrchestration 服務(wù)中heat用戶的密碼KEYSTONE_DBPASS認(rèn)證服務(wù)的數(shù)據(jù)庫密碼NEUTRON_DBPASS網(wǎng)絡(luò)服務(wù)的數(shù)據(jù)庫密碼NEUTRON_PASS網(wǎng)絡(luò)服務(wù)的neutron用戶密碼NOVA_DBPASS計算服務(wù)的數(shù)據(jù)庫密碼NOVA_PASS計算服務(wù)中nova用戶的密碼RABBIT_PASSRabbitMQ的guest用戶密碼SWIFT_PASS對象存儲服務(wù)用戶swift

15、的密碼OpenStack和配套服務(wù)在安裝和操作過程中需要管理員權(quán)限。在很多情況下，服務(wù)可以與自動化部署工具如 Ansible， Chef,和 Puppet進行交互，對主機進行修改。例如，一些OpenStack服務(wù)添加root權(quán)限sudo可以與安全策略進行交互。另外，網(wǎng)絡(luò)服務(wù)設(shè)定內(nèi)核網(wǎng)絡(luò)參數(shù)的默認(rèn)值并且修改防火墻規(guī)則。為了避免你初始化安裝的很多問題，我們推薦在你的主機上使用支持的發(fā)行版本。不管怎樣，如果你選擇自動化部署你的主機，在進一步操作前檢查它們的配置和策略。主機網(wǎng)絡(luò)在你按照你選擇的架構(gòu)，完成各個節(jié)點操作系統(tǒng)安裝以后，你必須配置網(wǎng)絡(luò)接口。我們推薦你禁用自動網(wǎng)絡(luò)管理工具并手動編輯你相應(yīng)版本的配

16、置文件。出于管理目的，例如：安裝包，安全更新，DNS和 :term:NTP，所有的節(jié)點都需要可以訪問互聯(lián)網(wǎng)。在大部分情況下，節(jié)點應(yīng)該通過管理網(wǎng)絡(luò)接口訪問互聯(lián)網(wǎng)。為了更好的突出網(wǎng)絡(luò)隔離的重要性，示例架構(gòu)中為管理網(wǎng)絡(luò)使用private address space 并假定物理網(wǎng)絡(luò)設(shè)備通過 :term:NAT或者其他方式提供互聯(lián)網(wǎng)訪問。示例架構(gòu)使用可路由的IP地址隔離服務(wù)商（外部）網(wǎng)絡(luò)并且假定物理網(wǎng)絡(luò)設(shè)備直接提供互聯(lián)網(wǎng)訪問。在提供者網(wǎng)絡(luò)架構(gòu)中，所有實例直接連接到提供者網(wǎng)絡(luò)。在自服務(wù)（私有）網(wǎng)絡(luò)架構(gòu)，實例可以連接到自服務(wù)或提供者網(wǎng)絡(luò)。自服務(wù)網(wǎng)絡(luò)可以完全在openstack環(huán)境中或者通過外部網(wǎng)絡(luò)使用:te

17、rm:NAT提供某種級別的外部網(wǎng)絡(luò)訪問。示例架構(gòu)假設(shè)使用如下網(wǎng)絡(luò)： 管理使用 /24 帶有網(wǎng)關(guān) 這個網(wǎng)絡(luò)需要一個網(wǎng)關(guān)以為所有節(jié)點提供內(nèi)部的管理目的的訪問，例如包的安裝、安全更新、DNS，和NTP。 提供者網(wǎng)段 /24，網(wǎng)關(guān)這個網(wǎng)絡(luò)需要一個網(wǎng)關(guān)來提供在環(huán)境中內(nèi)部實例的訪問。您可以修改這些范圍和網(wǎng)關(guān)來以您的特定網(wǎng)絡(luò)設(shè)施進行工作。網(wǎng)絡(luò)接口由發(fā)行版的不同而有各種名稱。傳統(tǒng)上，接口使用 “eth” 加上一個數(shù)字序列命名。為了覆蓋到所有不同的名稱，本指南簡單地將數(shù)字最小的接口引用為第一個接口，第二個接口則為更大數(shù)字的接口。除非您打

18、算使用該架構(gòu)樣例中提供的準(zhǔn)確配置，否則您必須在本過程中修改網(wǎng)絡(luò)以匹配您的環(huán)境。并且，每個節(jié)點除了 IP 地址之外，還必須能夠解析其他節(jié)點的名稱。例如，controller這個名稱必須解析為 1，即控制節(jié)點上的管理網(wǎng)絡(luò)接口的 IP 地址。警告重新配置網(wǎng)絡(luò)接口會中斷網(wǎng)絡(luò)連接。我們建議使用本地終端會話來進行這個過程。注解你的發(fā)行版本默認(rèn)啟用了限制firewall。在安裝過程中，有些步驟可能會失敗，除非你允許或者禁用了防火墻。 控制節(jié)點服務(wù)器 計算節(jié)點 驗證連通性控制節(jié)點服務(wù)器o 配置網(wǎng)絡(luò)接口o 配置域名解析配置網(wǎng)絡(luò)接口1. 將第一個接口配置為管理網(wǎng)絡(luò)接口：IP 地址: 10.0.0.

19、11子網(wǎng)掩碼: (or /24)默認(rèn)網(wǎng)關(guān): 2. 提供者網(wǎng)絡(luò)接口使用一個特殊的配置，不分配給它IP地址。配置第二塊網(wǎng)卡作為提供者網(wǎng)絡(luò)：將其中的 INTERFACE_NAME替換為實際的接口名稱。例如，eth1或者*ens224*。o 編輯/etc/sysconfig/network-scripts/ifcfg-INTERFACE_NAME文件包含以下內(nèi)容：不要改變 鍵HWADDR 和UUID。DEVICE=INTERFACE_NAMETYPE=EthernetONBOOT=yesBOOTPROTO=none3. 重啟系統(tǒng)以激活修改。配置域名解析1.

20、設(shè)置節(jié)點主機名為controller。2. 編輯/etc/hosts文件包含以下內(nèi)容：# controller1 controller# compute1 compute1警告一些發(fā)行版本在/etc/hosts文件中添加了附加條目解析實際主機名到另一個IP地址如。為了防止域名解析問題，你必須注釋或者刪除這些條目。不要刪除條目。注解為了減少本指南的復(fù)雜性，不管你選擇怎么部署它們，我們?yōu)榭蛇x服務(wù)增加了主機條目。計算節(jié)點o 配置網(wǎng)絡(luò)接口o 配置域名解析配置網(wǎng)絡(luò)接口1. 將第一個接口配置為管理網(wǎng)絡(luò)接口：IP 地址：1

21、子網(wǎng)掩碼: (or /24)默認(rèn)網(wǎng)關(guān): 注解另外的計算節(jié)點應(yīng)使用 2、3 等等。2. 提供者網(wǎng)絡(luò)接口使用一個特殊的配置，不分配給它IP地址。配置第二塊網(wǎng)卡作為提供者網(wǎng)絡(luò)：將其中的 INTERFACE_NAME替換為實際的接口名稱。例如，eth1或者*ens224*。o 編輯/etc/sysconfig/network-scripts/ifcfg-INTERFACE_NAME文件包含以下內(nèi)容：不要改變 鍵HWADDR 和UUID。DEVICE=INTERFACE_NAMETYPE=EthernetONBOOT=yesBO

22、OTPROTO=none3. 重啟系統(tǒng)以激活修改。配置域名解析1. 設(shè)置節(jié)點主機名為compute1。2. 編輯/etc/hosts文件包含以下內(nèi)容：# controller1 controller# compute1 compute1警告一些發(fā)行版本在/etc/hosts文件中添加了附加條目解析實際主機名到另一個IP地址如。為了防止域名解析問題，你必須注釋或者刪除這些條目。不要刪除條目。注解為了減少本指南的復(fù)雜性，不管你選擇怎么部署它們，我們?yōu)榭蛇x服務(wù)增加了主機條目。驗證連通性我們建議您在繼續(xù)進行之前，驗證到 Intern

23、et 和各個節(jié)點之間的連通性。1. 從*controller*節(jié)點，測試能否連接到 Internet：# ping -c 4 PING (25) 56(84) bytes of data.64 bytes from 25: icmp_seq=1 ttl=54 time=18.3 ms64 bytes from 25: icmp_seq=2 ttl=54 time=17.5 ms64 bytes from 25: icmp_seq=3 tt

24、l=54 time=17.5 ms64 bytes from 25: icmp_seq=4 ttl=54 time=17.4 ms- ping statistics -4 packets transmitted, 4 received, 0% packet loss, time 3022msrtt min/avg/max/mdev = 17.489/17.715/18.346/0.364 ms2. 從controller節(jié)點，測試到*compute* 節(jié)點管理網(wǎng)絡(luò)是否連通：# ping -c 4 compute1PING compute1

25、(1) 56(84) bytes of data.64 bytes from compute1 (1): icmp_seq=1 ttl=64 time=0.263 ms64 bytes from compute1 (1): icmp_seq=2 ttl=64 time=0.202 ms64 bytes from compute1 (1): icmp_seq=3 ttl=64 time=0.203 ms64 bytes from compute1 (1): icmp_seq=4 ttl=64 time=0.202 m

26、s- compute1 ping statistics -4 packets transmitted, 4 received, 0% packet loss, time 3000msrtt min/avg/max/mdev = 0.202/0.217/0.263/0.030 ms3. 從compute節(jié)點，測試能否連接到 Internet：# ping -c 4 PING (25) 56(84) bytes of data.64 bytes from 25: icmp_seq=1 ttl=

27、54 time=18.3 ms64 bytes from 25: icmp_seq=2 ttl=54 time=17.5 ms64 bytes from 25: icmp_seq=3 ttl=54 time=17.5 ms64 bytes from 25: icmp_seq=4 ttl=54 time=17.4 ms- ping statistics -4 packets transmitted, 4 received, 0% packet loss, time 3022msrtt min

28、/avg/max/mdev = 17.489/17.715/18.346/0.364 ms4. 從compute節(jié)點，測試到*controller* 節(jié)點管理網(wǎng)絡(luò)是否連通：# ping -c 4 controllerPING controller (1) 56(84) bytes of data.64 bytes from controller (1): icmp_seq=1 ttl=64 time=0.263 ms64 bytes from controller (1): icmp_seq=2 ttl=64 time=0.202 ms64 by

29、tes from controller (1): icmp_seq=3 ttl=64 time=0.203 ms64 bytes from controller (1): icmp_seq=4 ttl=64 time=0.202 ms- controller ping statistics -4 packets transmitted, 4 received, 0% packet loss, time 3000msrtt min/avg/max/mdev = 0.202/0.217/0.263/0.030 ms注解你的發(fā)行版本默認(rèn)啟用了限制firewall。在安

30、裝過程中，有些步驟可能會失敗，除非你允許或者禁用了防火墻。網(wǎng)絡(luò)時間協(xié)議（NTP）你應(yīng)該安裝Chrony，一個在不同節(jié)點同步服務(wù)實現(xiàn) NTP的方案。我們建議你配置控制器節(jié)點引用更準(zhǔn)確的(lower stratum)NTP服務(wù)器，然后其他節(jié)點引用控制節(jié)點。 控制節(jié)點服務(wù)器 其它節(jié)點服務(wù)器 驗證操作控制節(jié)點服務(wù)器在控制節(jié)點上執(zhí)行這些步驟。1. 安裝軟件包：# yum install chrony2. 編輯/etc/chrony.conf文件，按照你環(huán)境的要求，對下面的鍵進行添加，修改或者刪除：server NTP_SERVER iburst使用NTP服務(wù)器的主機名或者IP地址替換NTP_SERVER

31、。配置支持設(shè)置多個server值。注解控制節(jié)點默認(rèn)跟公共服務(wù)器池同步時間。但是你也可以選擇性配置其他服務(wù)器，比如你組織中提供的服務(wù)器。3. 為了允許其他節(jié)點可以連接到控制節(jié)點的 chrony 后臺進程，在/etc/chrony.conf 文件添加下面的鍵：allow /24如有必要，將/24替換成你子網(wǎng)的相應(yīng)描述。4. 啟動 NTP 服務(wù)并將其配置為隨系統(tǒng)啟動：# systemctl enable chronyd.service# systemctl start chronyd.service其他節(jié)點服務(wù)器其他節(jié)點會連接控制節(jié)點同步時間。在所有其他節(jié)點執(zhí)行這些步

32、驟。1. 安裝軟件包：# yum install chrony2. 編輯/etc/chrony.conf 文件并注釋除server 值外的所有內(nèi)容。修改它引用控制節(jié)點：server controller iburst3. 啟動 NTP 服務(wù)并將其配置為隨系統(tǒng)啟動：# systemctl enable chronyd.service# systemctl start chronyd.service驗證操作我們建議您在繼續(xù)進一步的操作之前驗證 NTP 的同步。有些節(jié)點，特別是哪些引用了控制節(jié)點的，需要花費一些時間去同步。1. 在控制節(jié)點上執(zhí)行這個命令：# chronyc sources 210 N

33、umber of sources = 2 MS Name/IP address Stratum Poll Reach LastRx Last sample = - 1 2 7 12 137 -2814us-3000us +/- 43ms * 2 2 6 177 46 +17us -23us +/- 68ms在Name/IP address列的內(nèi)容應(yīng)顯示NTP服務(wù)器的主機名或者IP地址。在S列的內(nèi)容應(yīng)該在NTP服務(wù)目前同步的上游服務(wù)器前顯示*。2. 在所有其他節(jié)點執(zhí)行相同命令：# chronyc sources 210 Number of sources =

34、1 MS Name/IP address Stratum Poll Reach LastRx Last sample = * controller 3 9 377 421 +15us -87us +/- 15ms在Name/IP address列的內(nèi)容應(yīng)顯示控制節(jié)點的主機名。OpenStack包o 先決條件o 啟用OpenStack庫o 完成安裝由于不同的發(fā)布日程，發(fā)行版發(fā)布 OpenStack 的包作為發(fā)行版的一部分，或使用其他方式。請在所有節(jié)點上執(zhí)行這些程序。警告在你進行更多步驟前，你的主機必須包含最新版本的基礎(chǔ)安裝軟件包。注解禁用或移除所有自動更新的服務(wù)，因為它們會影響到您的 OpenS

35、tack 環(huán)境。警告當(dāng)使用RDO包時，我們推薦禁用EPEL，原因是EPEL中的更新破壞向后兼容性?；蛘呤褂脃um-versionlock插件指定包版本號。 在CentOS中，extras倉庫提供用于啟用 OpenStack 倉庫的RPM包。 CentOS 默認(rèn)啟用extras倉庫，因此你可以直接安裝用于啟用OpenStack倉庫的包。# yum install centos-release-openstack-mitaka 在RHEL上，下載和安裝RDO倉庫RPM來啟用OpenStack倉庫。# yum install /repos/rdo-relea

36、se.rpm1. 在主機上升級包：# yum upgrade注解如果更新了一個新內(nèi)核，重啟主機來使用新內(nèi)核。2. 安裝 OpenStack 客戶端：# yum install python-openstackclient3. RHEL 和 CentOS 默認(rèn)啟用了SELinux. 安裝openstack-selinux軟件包以便自動管理 OpenStack 服務(wù)的安全策略:# yum install openstack-selinux SQL數(shù)據(jù)庫大多數(shù) OpenStack 服務(wù)使用 SQL 數(shù)據(jù)庫來存儲信息。 典型地，數(shù)據(jù)庫運行在控制節(jié)點上。指南中的步驟依據(jù)不同的發(fā)行版使用MariaDB或

37、MySQL。OpenStack 服務(wù)也支持其他 SQL 數(shù)據(jù)庫，包括PostgreSQL 安全并配置組件1. 安裝軟件包：# yum install mariadb mariadb-server python2-PyMySQL2. 創(chuàng)建并編輯/etc/f.d/f，然后完成如下動作：o 在mysqld部分，設(shè)置bind-address值為控制節(jié)點的管理網(wǎng)絡(luò)IP地址以使得其它節(jié)點可以通過管理網(wǎng)絡(luò)訪問數(shù)據(jù)庫：mysqld.bind-address = 1o 在mysqld 部分，設(shè)置如下鍵值來啟用一起有用的選項和 UTF-8 字符集：mysqld.default-storage-en

38、gine = innodbinnodb_file_per_tablemax_connections = 4096collation-server = utf8_general_cicharacter-set-server = utf8完成安裝1. 啟動數(shù)據(jù)庫服務(wù)，并將其配置為開機自啟：# systemctl enable mariadb.service# systemctl start mariadb.service2. 為了保證數(shù)據(jù)庫服務(wù)的安全性，運行mysql_secure_installation腳本。特別需要說明的是，為數(shù)據(jù)庫的root用戶設(shè)置一個適當(dāng)?shù)拿艽a。# mysql_secur

39、e_installationNoSQL數(shù)據(jù)庫Telemetry 服務(wù)使用 NoSQL 數(shù)據(jù)庫來存儲信息，典型地，這個數(shù)據(jù)庫運行在控制節(jié)點上。向?qū)е惺褂肕ongoDB。注解只有按照文檔 :ref:install_ceilometer安裝Telemetry服務(wù)時，才需要安裝NoSQL數(shù)據(jù)服務(wù)。安全并配置組件1. 安裝MongoDB包：# yum install mongodb-server mongodb2. 編輯文件/etc/mongod.conf并完成如下動作：o 配置bind_ip使用控制節(jié)點管理網(wǎng)卡的IP地址。bind_ip = 1o 默認(rèn)情況下，MongoDB會在/var

40、/lib/mongodb/journal 目錄下創(chuàng)建幾個 1 GB 大小的日志文件。如果你想將每個日志文件大小減小到128MB并且限制日志文件占用的總空間為512MB，配置smallfiles的值：smallfiles = true你也可以禁用日志。完成安裝 啟動MongoDB 并配置它隨系統(tǒng)啟動：# systemctl enable mongod.service# systemctl start mongod.service消息隊列OpenStack 使用message queue協(xié)調(diào)操作和各服務(wù)的狀態(tài)信息。消息隊列服務(wù)一般運行在控制節(jié)點上。OpenStack支持好幾種消息隊列服務(wù)包括Rab

41、bitMQ,Qpid, 和ZeroMQ。不過，大多數(shù)發(fā)行版本的OpenStack包支持特定的消息隊列服務(wù)。本指南安裝 RabbitMQ 消息隊列服務(wù)，因為大部分發(fā)行版本都支持它。如果你想安裝不同的消息隊列服務(wù)，查詢與之相關(guān)的文檔。安全并配置組件1. 安裝包：# yum install rabbitmq-server2. 啟動消息隊列服務(wù)并將其配置為隨系統(tǒng)啟動：# systemctl enable rabbitmq-server.service# systemctl start rabbitmq-server.service3. 添加openstack用戶：# rabbitmqctl add_u

42、ser openstack RABBIT_PASSCreating user openstack .用合適的密碼替換RABBIT_DBPASS。4. 給openstack用戶配置寫和讀權(quán)限：# rabbitmqctl set_permissions openstack .* .* .*Setting permissions for user openstack in vhost / .Memcached認(rèn)證服務(wù)認(rèn)證緩存使用Memcached緩存令牌。緩存服務(wù)memecached運行在控制節(jié)點。在生產(chǎn)部署中，我們推薦聯(lián)合啟用防火墻、認(rèn)證和加密保證它的安全。安全并配置組件1. 安裝軟件包：# yu

43、m install memcached python-memcached完成安裝 啟動Memcached服務(wù)，并且配置它隨機啟動。# systemctl enable memcached.service# systemctl start memcached.service認(rèn)證服務(wù) 認(rèn)證服務(wù)概覽 安裝和配置o 先決條件o 安全并配置組件o 配置 Apache HTTP 服務(wù)器o 完成安裝 創(chuàng)建服務(wù)實體和API端點o 先決條件o 創(chuàng)建服務(wù)實體和API端點 創(chuàng)建域、項目、用戶和角色 驗證操作 創(chuàng)建 OpenStack 客戶端環(huán)境腳本o 創(chuàng)建腳本o 使用腳本認(rèn)證服務(wù)概覽 OpenStack:term:

44、Identity service為認(rèn)證管理，授權(quán)管理和服務(wù)目錄服務(wù)管理提供單點整合。其它OpenStack服務(wù)將身份認(rèn)證服務(wù)當(dāng)做通用統(tǒng)一API來使用。此外，提供用戶信息但是不在OpenStack項目中的服務(wù)（如LDAP服務(wù)）可被整合進先前存在的基礎(chǔ)設(shè)施中。 為了從identity服務(wù)中獲益，其他的OpenStack服務(wù)需要與它合作。當(dāng)某個OpenStack服務(wù)收到來自用戶的請求時，該服務(wù)詢問Identity服務(wù)，驗證該用戶是否有權(quán)限進行此次請求 身份服務(wù)包含這些組件： 服務(wù)器 一個中心化的服務(wù)器使用RESTful 接口來提供認(rèn)證和授權(quán)服務(wù)。 驅(qū)動 驅(qū)動或服務(wù)后端被整合進集中式服務(wù)器中。它們被用

45、來訪問OpenStack外部倉庫的身份信息, 并且它們可能已經(jīng)存在于OpenStack被部署在的基礎(chǔ)設(shè)施（例如，SQL數(shù)據(jù)庫或LDAP服務(wù)器）中。 模塊 中間件模塊運行于使用身份認(rèn)證服務(wù)的OpenStack組件的地址空間中。這些模塊攔截服務(wù)請求，取出用戶憑據(jù)，并將它們送入中央是服務(wù)器尋求授權(quán)。中間件模塊和OpenStack組件間的整合使用Python Web服務(wù)器網(wǎng)關(guān)接口。 當(dāng)安裝OpenStack身份服務(wù)，用戶必須將之注冊到其OpenStack安裝環(huán)境的每個服務(wù)。身份服務(wù)才可以追蹤那些OpenStack服務(wù)已經(jīng)安裝，以及在網(wǎng)絡(luò)中定位它們。安裝和配置這一章描述如何在控制節(jié)點上安裝和配置Open

46、Stack身份認(rèn)證服務(wù)，代碼名稱keystone。出于性能原因，這個配置部署Fernet令牌和Apache HTTP服務(wù)處理請求。先決條件在你配置 OpenStack 身份認(rèn)證服務(wù)前，你必須創(chuàng)建一個數(shù)據(jù)庫和管理員令牌。1. 完成下面的步驟以創(chuàng)建數(shù)據(jù)庫：o 用數(shù)據(jù)庫連接客戶端以root用戶連接到數(shù)據(jù)庫服務(wù)器：$ mysql -u root -po 創(chuàng)建keystone數(shù)據(jù)庫：CREATE DATABASE keystone;o 對keystone數(shù)據(jù)庫授予恰當(dāng)?shù)臋?quán)限：GRANT ALL PRIVILEGES ON keystone.* TO keystonelocalhost IDENTIFIE

47、D BY KEYSTONE_DBPASS;GRANT ALL PRIVILEGES ON keystone.* TO keystone% IDENTIFIED BY KEYSTONE_DBPASS;用合適的密碼替換KEYSTONE_DBPASS。o 退出數(shù)據(jù)庫客戶端。2. 生成一個隨機值在初始的配置中作為管理員的令牌。$ openssl rand -hex 10安全并配置組件注解默認(rèn)配置文件在各發(fā)行版本中可能不同。你可能需要添加這些部分，選項而不是修改已經(jīng)存在的部分和選項。另外，在配置片段中的省略號(.)表示默認(rèn)的配置選項你應(yīng)該保留。注解教程使用帶有mod_wsgi的Apache HTTP服務(wù)

48、器來服務(wù)認(rèn)證服務(wù)請求，端口為5000和35357。缺省情況下，Kestone服務(wù)仍然監(jiān)聽這些端口。然而，本教程手動禁用keystone服務(wù)。1. 運行以下命令來安裝包。# yum install openstack-keystone httpd mod_wsgi3. 編輯文件/etc/keystone/keystone.conf并完成如下動作：o 在DEFAULT部分，定義初始管理令牌的值：DEFAULT.admin_token = ADMIN_TOKEN使用前面步驟生成的隨機數(shù)替換ADMIN_TOKEN 值。o 在database部分，配置數(shù)據(jù)庫訪問：database.connection

49、= mysql+pymysql:/keystone:KEYSTONE_DBPASScontroller/keystone將KEYSTONE_DBPASS替換為你為數(shù)據(jù)庫選擇的密碼。o 在token部分，配置Fernet UUID令牌的提供者。vider = fernet4. 初始化身份認(rèn)證服務(wù)的數(shù)據(jù)庫：# su -s /bin/sh -c keystone-manage db_sync keystone注解忽略輸出中任何不推薦使用的信息。5. 初始化Fernet keys：# keystone-manage fernet_setup -keystone-user keysto

50、ne -keystone-group keystone配置Apache HTTP 服務(wù)器1. 編輯/etc/httpd/conf/httpd.conf 文件，配置ServerName 選項為控制節(jié)點：ServerName controller2. 用下面的內(nèi)容創(chuàng)建文件/etc/httpd/conf.d/wsgi-keystone.conf。Listen 5000Listen 35357 WSGIDaemonProcess keystone-public processes=5 threads=1 user=keystone group=keystone display-name=%GROUP

51、WSGIProcessGroup keystone-public WSGIScriptAlias / /usr/bin/keystone-wsgi-public WSGIApplicationGroup %GLOBAL WSGIPassAuthorization On ErrorLogFormat %cut %M ErrorLog /var/log/httpd/keystone-error.log CustomLog /var/log/httpd/keystone-access.log combined Require all granted WSGIDaemonProcess keystone-admin processes=5 threads=1 user=keystone group=keystone display-name=%GROUP WSGIProcessGroup keystone-admin WSGIScriptAlias / /usr/bin/keystone-wsgi-admin WSGIApplicationGroup %GLOBAL WSGIPassAuthorization On Erro