1、12 ZQY ZQY.All rights reserved.345 OpenStack基础 OpenStack验证组件OpenStack计算 OpenStack存储组件 OpenStack网络组件 云平台比较1 OpenStack架构2 主要模块介绍3 OpenStack安装4 第一部分 云平台比较PART 0101 ZQY ZQY.All rights reserved.云软件介绍1.1 ZQY ZQY.All rights reserved.开源云平台比较OpenStackCloudStackEucalyptusOpenNebula源码完全开源完全开源完全开源完全开源开发模式Intern
2、et公开Internet公开Internet公开Internet公开开发约束Apache v2.0Apache v2.0GPL v3.0Apache v2.0管理模式基金会技术精英仁慈的独裁者仁慈的独裁者API生态系统OpenStack APIAmazon APIAmazon APIAmazon API产品可用性需要定制开发或者由厂家支持企业级,由社区开发者直接支持企业级,由社区开发者直接支持企业级,由社区开发者直接支持主要开发语言PythonJava&PythonJava&C/C+Ruby1.2 ZQY ZQY.All rights reserved.社区活跃度社区人员总数活跃社区人数1.3
3、 第二部分 OpenStack架构PART 0202 ZQY ZQY.All rights reserved.OpenStackApril 2012,IBM/HP/RedHat加入OpenStackOpenStack 基金会成立于September 20122.1 ZQY ZQY.All rights reserved.架构开放p北向标准OpenStack API,生态系统丰富l不会绑定到一个厂家lApache License,允许随意商业集成p异构接入能力强l南向异构接入强。异构hypervisor(KVM/XEN/Vmware/LXC),异构存储,异构网络,异构物理设备可扩展性好l较容易定
4、制化增加新模块和服务l级联后可构建大规模的云p参与者众多,发展迅猛,行业默认云平台lBug响应快,每六个月发布一个版本l参与社区的企业300+,开发人员20000+3rd Network3rd Hypervisor3rd Storage3rd DCManagementMANO/BOSS3rd Guest OS&ApplicationsHeatOpenStack+OpenStack:架构开放、扩展性良好、支持多厂商基础设施的统一平台2.2OpenStack架构 ZQY ZQY.All rights reserved.OpenStack在云计算中的位置2.3 ZQY ZQY.All rights
5、reserved.OpenStack应用场景计算型应用存储型应用网络型应用其他 应用分布式数据处理HPCDocker裸机管理对象存储块存储文件共享数据库即服务SDNNFVCDN高速及大量数据处理业务WEB Server测试OpenStack 应用场景2.4 ZQY ZQY.All rights reserved.OpenStack节点角色2.5 第三部分 主要模块介绍PART 0303 ZQY ZQY.All rights reserved.OpenStack模块OpenStack组件 OpenStack软件服务多达好几十个,主要模块网络、计算、块存储、对象存储、镜像服务、认证服务 所有服务不
6、是因为出现OpenStack而开发,有很多的软件早已存在3.1 第四部分 OpenStack安装PART 0404 ZQY ZQY.All rights reserved.OpenStack安装 操作系统选择官方推荐安装的Linux发行版4.1 ZQY ZQY.All rights reserved.网络环境物理连接通畅通常为1000M网络服务器支持虚拟化需要大量内存与基本存储设备操作系统Linux操作系统,CentOS7/RHEL7以上操作系统基础系统环境和相关软件,软件采用精简方式安装OpenStack安装软件OpenStack安装先决条件4.2 ZQY ZQY.All rights re
7、served.OpenStack安装先决条件网络环境l物理连接通畅l通常为1000M网络服务器l支持虚拟化l需要大量内存与基本存储设备操作系统lLinux操作系统l基础系统环境和相关软件OpenStack安装软件4.3 ZQY ZQY.All rights reserved.源代码安装下载RDO源代码进行安装一步一步安装,逐个模块安装PackStack安装脚本安装方式批量部署,集成安装OpenStack部署安装4.4 ZQY ZQY.All rights reserved.就石油工业而言,就石油工业而言,大数据大数据一般是伴随勘探、开发、生产过程产生的一般是伴随勘探、开发、生产过程产生的原始数
8、据和成原始数据和成果数据果数据,地震和测井数据尤为突出。,地震和测井数据尤为突出。数据搜集数据搜集12 ZQY ZQY.All rights reserved.345 OpenStack基础 OpenStack验证组件OpenStack计算 OpenStack存储组件 OpenStack网络组件 keystone基础1 keystone验证流程2 Keystone认证整体流程3 ZQY ZQY.All rights reserved.第一部分 KeyStone基础PART 0101 ZQY ZQY.All rights reserved.Keystone(OpenStack Identity
9、Service)是OpenStack 框架中负责管理身份验证、服务规则和服务令牌功能的模块用户访问资源需要验证用户的身份与权限,服务执行操作也需要进行权限检测,都需要通过 Keystone 来处理Keystone类似一个服务总线,或者说是整个Openstack框架的注册表OpenStack组件-Keystone1.1 ZQY ZQY.All rights reserved.Keystone两个功能用户管理:验证用户身份信息合法性服务目录管理:提供各个服务目录的(Service Catalog:包括service和endpoint)服务无论任何服务或者客户访问openstack都要访问keyst
10、one获取服务列表,以及每个服务的endpointKeystone功能1.2 ZQY ZQY.All rights reserved.User:User即用户,指的是使用openstack service的用户,可以是人,服务,系统,就是说只要是访问openstack service 的对象都可以称为User Credentials:是用于确认用户身份的凭证 用户名和密码 用户名跟API Key(秘钥),用户第一次确认身份的方法 一个keystone分配的身份的token,用户已经确认身份后的方法(token是有时间限制的 Token 是一串数字字符串,当用户访问资源时需要使用的东西,在key
11、stone中主要是引入令牌机制来保护用户对资源的访问,同时引入PKI、PKIZ、fernet、UUID其中一个随机加密产生一串数字,对令牌加以保护 token并不是长久有效的,是有时效性的,在有效的时间内可以访问资源。Keystone基本概念介绍(2)1.3 ZQY ZQY.All rights reserved.Role:本身是一堆ACL集合,主要用于权限的划分 可以给User指定Role,是user获得role对应的操作权限 系统默认使用管理Role的角色 管理员用户:admin 普通用户:member user验证的时候必须带有Project Keystone基本概念介绍(二)1.4 Z
12、QY ZQY.All rights reserved.Endpoint:用来通过访问和定位某个openstack service的地址,通常是一个URL 不同的region有不同的Endpoint(region使用与跨地域的云服务)任何服务都访问openstack service中的资源时,都要访问keystone Endpoint分为三类 url 管理员用户使用 Port:35357 internal url openstack内部组件间互相通信 Port:5000(组件之间通信基于Restful api)public url 其他用户访问地址 Port:5000 Keystone基本概念介
13、绍(三)1.5 第二部分 KeyStone验证流程PART 0202 ZQY ZQY.All rights reserved.Keystone流程(一)2.1 ZQY ZQY.All rights reserved.Keystone流程(二)2.2 ZQY ZQY.All rights reserved.验证元素2.3 第三部分 KeyStone认证整体流程PART 0303 ZQY ZQY.All rights reserved.keyStone认证服务整体流程3.112 ZQY ZQY.All rights reserved.345 OpenStack基础 OpenStack验证组件Ope
14、nStack计算 OpenStack存储组件 OpenStack网络组件 OpenStack 计算组件1 计算服务调度2 Nova调度机制3 第一部分 OpenStack 计算组件PART 0101 ZQY ZQY.All rights reserved.OpenStack 服务1.1 ZQY ZQY.All rights reserved.OpenStack计算服务1.2Nova是OpenStack的重要组成部分,也是IaaS的重要组成部分,负责维护和管理OpenStack的计算资源,虚拟机生命周期管理也就是通过Nova来实现的Nova对接底层虚拟化,调度管理Linux KVM虚拟化,协调计
15、算资源,成为OpenStack很重要服务之一Nova是无共享、基于消息的架构,所以的Nova组件都可以在多台服务器上分布式运行,这就意味着大多数组件与组件之间的通信都需要消息队列 ZQY ZQY.All rights reserved.OpenStack Nova架构1.3 ZQY ZQY.All rights reserved.Nova与虚拟机调用1.4 ZQY ZQY.All rights reserved.OpenStack Nova访问流程1.5 第二部分 计算服务调度PART 0202 ZQY ZQY.All rights reserved.nova-api nova-api服务作为
16、Nova组件对外的唯一窗口,接收和响应用户的API请求,当客户需要执行虚机相关的操作,能且只能向nova-api发送REST API请求,这里的客户包括终端用户、命令行和openstack其他组件 nova-api-metadata nova-api-metadata主要接收虚拟机的元数据请求,通常在带有nova-network的多主机模式下才会使用 Nova主要服务(一)2.1 ZQY ZQY.All rights reserved.nova-compute nova-compute在计算节点上运行,它是一个工作进程(worker deamon),通过hypervisor APIs来创建或者
17、关闭虚拟机实例,这个过程相当的复杂,总的来说,它从队列服务接收消息之后,然后启动虚拟机并在数据库中更新状态 nova-scheduler 如果有多个实体都能够完成任务,那么通常会有一个scheduler负责从这些实体中挑选出一个最合适的来执行操作 Nova服务(二)2.2 第三部分 Nova调度机制PART 0303 ZQY ZQY.All rights reserved.Nova调度3.1 ZQY ZQY.All rights reserved.Nova组件如何协调工作3.2 ZQY ZQY.All rights reserved.Flavor主要定义了VCPU,RAM,DISK 和 Met
18、adata 这四类 在/etc/nova/nova.conf 中,nova 通过 scheduler_driver,scheduler_available_filters和scheduler_default_filters 这三个参数来配置 nova-scheduler Flavor3.3 ZQY ZQY.All rights reserved.Filter scheduler 是 nova-scheduler 默认的调度器,调度过程分为两步:通过过滤器(filter)选择满足条件的计算节点(运行 nova-compute)通过权重计算(weighting)选择在最优(权重值最大)的计算节点上
19、创建 Instance scheduler_driver=nova.scheduler.filter_scheduler.FilterScheduler Nova 允许使用第三方 scheduler,配置 scheduler_driver 即可 Filter scheduler3.4 ZQY ZQY.All rights reserved.Scheduler过滤3.5 ZQY ZQY.All rights reserved.当Filter scheduler需要执行调度操作时,会让filter对计算节点进行判断,filter 返回 True 或 False Nova.conf中的schedul
20、er_available_filters选项用于配置 scheduler可用的filter,默认是所有nova自带的filter都可以用于滤操作 scheduler_available_filters=nova.scheduler.filters.all_filters Filter3.6 ZQY ZQY.All rights reserved.scheduler_available_filters=nova.scheduler.filters.all_filters scheduler_default_filters=RetryFilter,AvailabilityZoneFilter,Ra
21、mFilter,DiskFilter,ComputeFilter,ComputeCapabilitiesFilter,ImagePropertiesFilter,ServerGroupAntiAffinityFilter,ServerGroupAffinityFilter Filter配置3.712 ZQY ZQY.All rights reserved.345 OpenStack基础 OpenStack验证组件OpenStack计算 OpenStack存储组件 OpenStack网络组件 传统存储与云存储1 OpenStack存储2 Glance服务3 第一部分 传统存储与云存储PART 0
22、101 ZQY ZQY.All rights reserved.OpenStack组件-Cinder操作系统获得存储空间的方式一般有两种:通过某种协议(SAS,SCSI,SAN,iSCSI 等)挂接裸硬盘,然后分区、格式化、创建文件系统;或者直接使用裸硬盘存储数据(数据库)通过 NFS、CIFS 等 协议,mount 远程的文件系统存储理解1.1 ZQY ZQY.All rights reserved.云存储1.2 第二部分 OpenStack存储PART 0202 ZQY ZQY.All rights reserved.OpenStack块存储服务(cinder)为虚拟机添加持久的存储,块存
23、储提供一个基础设施为了管理卷,以及和OpenStack计算服务交互,为实例提供卷。此服务也会激活管理卷的快照和卷类型的功能。Cinder后端存储实现LVM CEPHGlusterCinder服务2.1 ZQY ZQY.All rights reserved.Block Storage Service提供对volume从创建到删除整个生命周期的管理OpenStack提供Block Storage Service的是Cinder,其具体功能是:提供 REST API 使用户能够查询和管理 volume、volume snapshot 以及 volume type提供 scheduler 调度 vo
24、lume 创建请求,合理优化存储资源的分配通过driver架构支持多种 back-end存储方式,包括 LVM,NFS,Ceph 和其他诸如 EMC、IBM 等商业存储产品和方案块存储服务2.2 ZQY ZQY.All rights reserved.cinder-api接受API请求,并将其路由到cinder-volume执行。cinder-volume与块存储服务和例如cinder-scheduler的进程进行直接交互cinder-scheduler守护进程选择最优存储提供节点来创建卷。其与nova-scheduler组件类似cinder-backup守护进程cinder-backup服务
25、提供任何种类备份卷到一个备份存储提供者Cinder组件-服务2.3 ZQY ZQY.All rights reserved.Cinder组件架构2.4 ZQY ZQY.All rights reserved.分布式存储与Cinder对接2.5 第三部分 OpenStack Glance服务PART 0303 ZQY ZQY.All rights reserved.Image service(glance)允许用户发现、注册和检索虚拟机映像。它提供了一个REST API,允许查询虚拟机镜像元数据来获取实际的镜像文件Glance管理和提供镜像服务,支持多种镜像格式raw 非结构化的镜像格式vmdk
26、 Vmware的虚拟机磁盘格式vdi VirtualBox、QEMU等支持的虚拟机磁盘格式iso 光盘存档格式qcow2 一种支持QEMU并且可以动态扩展的磁盘格式aki Amazon Kernel 镜像ari Amazon Ramdisk 镜像ami Amazon 虚拟机镜像OpenStack组件-Glance3.1 ZQY ZQY.All rights reserved.Glance服务架构3.2 ZQY ZQY.All rights reserved.Glance与ceph结合3.312 ZQY ZQY.All rights reserved.345 OpenStack基础 OpenSt
27、ack验证组件OpenStack计算 OpenStack存储组件 OpenStack网络组件 第一部分 OpenStack网络PART 0101 ZQY ZQY.All rights reserved.全局和宏观上理解Neutron的整个运行流程,是抽象的将传统的物理硬件设备(如网线、网卡、服务器、交换机、路由器等)按照TCP/IP的四个层次架构(数据链路层、网络层、传输层、应用层),通过软件编程的方式,予以全部虚拟化、软件化和抽象化OpenStack组件-Neutron1.1 ZQY ZQY.All rights reserved.OpenStack Neutron1.2 ZQY ZQY.A
28、ll rights reserved.OpenStack网络类型1.3 ZQY ZQY.All rights reserved.Neutron网络逻辑图 OpenvSwitch iptables1.4 第二部分 OpenStack网络类型PART 0302 ZQY ZQY.All rights reserved.Flat模式2.1 ZQY ZQY.All rights reserved.Neutron GRE模式2.2 ZQY ZQY.All rights reserved.Neutron Vlan模式2.3 ZQY ZQY.All rights reserved.Neutron vlan模式
29、通讯2.4 ZQY ZQY.All rights reserved.多计算节点网络通讯2.5 第三部分 Neutron网络服务PART 0303 ZQY ZQY.All rights reserved.网络命名空间可以被认为是隔离的拥有单独网络栈(网卡、路由转发表、iptables)的环境。网络名字空间经常用来隔离网络设备和服务使用ip netns查看命名空间ip netip netns exec qdhcp-88b1609c-68e0-49ca-a658-f1edff54a264 ip addrNeutron命名空间3.1 ZQY ZQY.All rights reserved.dhcp服务
30、是通过dnsmasq进程(轻量级服务器,可以提供dns、dhcp、tftp等服务)来实现的,该进程绑定到dhcp名字空间中的br-int的接口上。可以查看相关的进程:DHCP 服务3.2 ZQY ZQY.All rights reserved.router提供跨subnet的互联功能用户的内部网络中主机想要访问外部互联网的地址,需要router来转发router的实现是通过iptables进行路由服务3.3 第四部分 Neutron网络高级服务PART 0404 ZQY ZQY.All rights reserved.Security group通过Linux iptables来实现,在Com
31、pute节点上引入了qbr安全组4.1 ZQY ZQY.All rights reserved.负载均衡即服务(Load Balance as a Service,LBaaS)是一项网络高级服务。顾名思义,它允许租户动态的在自己的网络创建一个负载均衡设备。负载均衡,可以说是分布式系统中比较基础的组件,它接收前端过来的请求,然后将请求按照某种均衡的策略转发给后端资源池中的某个处理单元,以完成处理。进而可以实现高可用性和横向的扩展性。OpenStack Neutron 通过高级服务扩展的形式支持 LBaaS,目前默认是通过 HAProxy 软件来实现。负载均衡即服务(LBaaS)4.2 ZQY Z
32、QY.All rights reserved.Pool、Member、Monitor4.3 ZQY ZQY.All rights reserved.防火墙属于网关型设备,用来隔离子网之间的访问,防火墙即服务(FireWall as a Service)运行在网络节点上(具体说来是在路由器命名空间中)来实现一个可能混淆的概念是安全组(Security Group),安全组的对象是虚拟网卡,由L2 Agent来实现,比如neutron_openvswitch_agent 和 neutron_linuxbridge_agent,会在计算节点上通过配置 iptables 规则来限制虚拟网卡的进出访问防火墙可以在安全组之前隔离外部过来的恶意流量,但是对于同个子网内部不同虚拟网卡间的通讯不能过滤防火墙即服务(FWaaS)4.4 ZQY ZQY.All rights reserved.FWaaS应用场景4.5See you on our next meetingThank you for your attention
