@qiezhian
2014-11-21T14:55:22.000000Z
字数 11158
阅读 2894
OpenStack Cloud管理员手册
云计算
参考文档:http://docs.openstack.org/admin-guide-cloud/content/compute-service.html
1.Get started with OpenStack
OpenStack是一个开源项目,致力于打造一个易于实现、强伸缩性、特性丰富、且适用于各种形式云的云计算平台。世界各地的开发者及云计算技术人员齐聚一堂参与并创建了OpenStack项目。
OpenStack通过一系列相关的服务提供了一套基础设施即服务(Iaas)解决方案。每种服务都提供API使得服务的整合更加方便,因此可根据您的需要安装部分或全部的服务。
下表描述了构成OpenStack(架构)的各种服务:
| 服务 | 名称 | 描述 |
|---|---|---|
| Dashboard | Horizon | 提供一个与底层OpenStack服务交互的网页自助端口,这些服务包括启动一个实例,设置IP地址以及配置访问权限等等 |
| Compute | Nova | 在OpenStack环境中管理计算实例的生命周期,根据需要负责批量生产(spawning)、规划、移除虚拟机 |
| Networking | Neutron | 为其它OpenStack服务(如OpenStack Compute)提供网络连接服务。为用户提供定义网络及连接的API。其可插拔架构特性可支持许多主流网络设备商及主流技术。 |
| Object Storage | Swift | 通过RESTful,HTTP-based API可存储、检索任意非结构数据对象。因其具备数据冗余性以及横向扩展性,因而具有高容错性。它的实现并不像一个可挂载目录的文件服务器。 |
| Block Storage | Cinder | 为运行实例提供一致性块存储服务。其可插拔架构使得对块存储设备的创建和管理更加容易 |
| Identity services | Keystone | 为其他OpenStack服务提供身份认证与授权服务。为所有OpenStack服务提供端点目录。 |
| Image Service | Glance | 负责虚拟机磁盘镜像的存储及检索。在实例配置时(instance provisioning),Compute部分需要用到该项服务。 |
| Telemetry | Ceilometer | 对Openstack Cloud进行监控与测量,以用于计费、基准管理、可扩展性以及统计性目的。 |
| Orchestration | Heat | Orchestrates multiple composite cloud applications by using either the native HOT template format or the AWS CloudFormation template format, through both an OpenStack-native REST API and a CloudFormation-compatible Query API. |
| Database Service | Trove | 为关系型或非关系型数据库引擎提供可伸缩及可靠的云数据库即服务(Daas)功能 |
1.1概念架构
下面的流程图展示了Openstack各服务之间的关系:
如上图“OpenStack概念架构”所示,端用户可以通过dashboard,CLIs以及API(与Openstack底层服务)进行交互。除了需要特权管理员权限的地方,其它所有服务都是通过一个“通用身份服务”以及“具体个体服务”之间交互进行认证的。
1.2逻辑架构
To design, deploy, and configure OpenStack, administrators must understand the logical architecture.
为了更好的设计、部署和配置管理OpenStack,管理员必须深入理解OpenStack逻辑架构。OpenStack有以下几种模块类型:
守护进程:作为后台进程运行。在Linux平台下,一个守护进程常常作为一个服务安装。
脚本:安装虚拟环境以及运行测试例。例如,run_tests.sh脚本文件可用来安装一个虚拟环境并在相关服务上运行单元测试用例。
命令行接口:使用户通过简单易用的命令来提交API调用,从而得到所需的OpenStack服务。
下面流程图展示了OpenStack Cloud最通用的(却并不是唯一的)架构体系:
2.服务概览
2.1 Compute
OpenStack Compute用来主持管理云计算系统。Compute是Iaas系统重要组成部件,主要模块由Python实现。
Compute模块通过OpenStack Identity服务进行认证,通过Image Service 服务获得磁盘与服务器镜像,通过dashboard与用户交互以及提供管理接口。
镜像访问与获取受限于项目以及用户(??)每个项目的配额也是受限的(如实例的数量)。Compute服务可以横向扩展到标准硬件以及下载镜像来启动实例。
Compute由以下组件组成:
API
nova-api 服务
接受并回应端用户Compute API调用。该项服务支持OpenStack Compute API、亚马逊EC2 API 以及一个用于特权用户进行管理的 API。它保证某些政策并启动大部分流程活动,如运行一个实例。(It enforces some policies and initiates most orchestration activities, such as running an instance.)
nova-api-metadata 服务
接受来自实例的元数据请求。在nova-network中运行多主机模式通常会用到nova-api-metadata 服务。更多细节可参见OpenStack Cloud Administrator Guide中的Metadata service部分。
在Debian系统上,它包含于nova-api包中,并且可根据debconf进行选择(安装与否)。
Compute core
nova-compute service
一个工作者守护进程通过hypervisor API 来创建、终止虚拟机实例。例如:
- XenAPI for XenServer/XCP
- libvirt for KVM or QEMU
- VMwareAPI for VMware
处理过程相对复杂。基本上来说,守护进程从队列中接收动作指示(actions)并完成一系列系统命令,如启动一个KVM实例并更新其在数据库中的状态。
nova-scheduler service
从队列中获取一个虚拟机实例请求,并决定在哪个Compute server中运行这个实例。
nova-conductor module
协调nova-compute service 和 database之间的交互。它使得nova-compute service 不能直接对cloud database 进行访问。nova-conductor 模块具有横向扩展性,然而,不要将其部署到运行nova-compute service的节点上。更多信息,参见A new Nova service: nova-conductor.
Networking for VMs
nova-network worker daemon
与nova-compute service类似,该组件(Networking)从队列中获取网络任务并进行相应的网络操作,例如建立桥接接口或是改变IPtables规则。
Console interface
nova-consoleauth daemon
为控制台代理(console proxies) 提供的用户提供认证符(详情参见nova-novncproxy and nova-xvpnvcproxy)。该项服务为控制台代理提供服务使之正常工作。在集群配置中,你可以运行除单一nova-consoleauth服务类型之外的代理。更多信息参见 nova-consoleauth。
nova-novncproxy daemon
通过一个VNC连接提供代理,来访问正在运行的实例。支持基于浏览器的novnc clients。
nova-spicehtml5proxy daemon
通过一个SPICE连接提供代理,来访问正在运行的实例。支持基于浏览器的 HTML5 clients。
nova-xvpnvncproxy daemon
通过一个VNC连接提供代理,来访问正在运行的实例。支持OpenStack-specific Java clients
Provides a proxy for accessing running instances through a VNC connection. Supports an OpenStack-specific Java client.
nova-cert daemon
x509 certificates.
在Debian系统中,单一的nova-consoleproxy 包提供nova-novncproxy, nova-spicehtml5proxy, and nova-xvpvncproxy 三个包。通过编辑/etc/default/nova-consoleproxy文件或者使用debconf接口来选择软件包。您也可以手动编辑/etc/default/nova-consoleproxy文件来启动和终止控制台守护进程。
Image management (EC2 scenario)
nova-objectstore daemon
一个S3接口可用来在OpenStack Image Service中注册镜像。保证可用性的首要问题就是必须支持euca2tools。euca2tools用S3语言向nova-objectstore传达消息,然后nova-objectstore将S3语言请求转译成Image Service请求。
euca2ools client
用来转译云资源管理命令的命令行集合。尽管不是OpenStack的一部分,您仍能通过配置nova-api来支持EC2接口。更多信息参见Eucalyptus 3.4 Documentation。
Command-line clients and other interfaces
nova client
确保用户能像租户管理员(tenant administrator) 或者端用户一样提交命令。
Other components
The queue
各守护进程之间传递消息的集散中心。通常由RabbitMQ实现,但是也可以由AMPQ消息队列实现,如Apache Qpid和Zero MQ。
SQL database
为云基础设施存储大多数编译时及运行时状态,包括:
- 可获得实例类型
- 在用实例
- 可获得网络
- 各项目
理论上讲,OpenStack Compute可支持任意SQL-Alchemy支持的数据库。常用数据库如用作测试和开发工作的SQLite3,MySQL以及PostgreSQL。
2.2 Storage concepts
OpenStack使用以下存储类型:
| 暂存(ephemeral) | 块存储(Cinder) | 对象存储(Swift) |
|---|---|---|
| 运行操作系统并提供暂存 | 用于向虚拟机添加额外的一致性存储 | 存储虚拟机镜像及数据 |
| 存活(persists)至虚拟机终止 | 存活至被删除 | 存活至被删除 |
| 关联一虚拟机进行访问 | 关联一虚拟机进行访问 | 可任意获得访问 |
| 作为OpenStack Compute底层文件系统进行实现 | 通过OpenStack 块存储控制协议(如ISCSI)挂载 | REST API |
| 基于需要,管理员配置大小 | 按需伸缩大小 | 易扩展性应对未来增长 |
| 例子:10GB第一磁盘,30GB/Core第二磁盘 | 1 TB “额外硬盘” | Example: 10s of TBs of data set storage |
您应该注意;
- 不能像传统硬盘一样使用OpenStack对象存储。对象存储服务放松了部分关于POSIX风格文件系统获得其他“收益”的限制。您可以通过使用HTTP协议的 API 来访问对象。因此您也不必提供原子操作(依托最终一致性),您可以轻易伸缩一个存储系统,以及避免“失败集中点”(avoid a central point of failure)。
- OpenStack集群中,OpenStack镜像服务是用来管理,而不是存储,虚拟机镜像。它提供了对存储不同操作的抽象,类似通向存储的桥,而不是存储本身。
- OpenStack对象存储可功能自实现(不依赖其他组件而能完成对象存储)。在计算产品nova中,对象存储产品Swift可独立使用。
Command-line clients and other interfaces
swift client
保证像管理员、经销商或Swift用户等经过认证的用户可通过命令行客户端来提交命令到REST API 。
swift-init
接收守护进程名作为参数并提供命令来初始化环文件的编译构建的脚本。Documented in http://docs.openstack.org/developer/swift/admin_guide.html#managing-services.
swift-recon
swift-ring-builder
存储环构建及重平衡工具。Documented in http://docs.openstack.org/developer/swift/admin_guide.html#managing-the-rings.
2.3 对象存储
OpenStack对象存储是一个多租户对象存储系统。它具有高扩展性并能低成本的通过RESTful HTTP API来管理大量的非结构数据。它包含以下几个组成部分:
- Proxy servers(swift-proxy-server)
接受OpenStack 对象存储 API 和原生 HTTP 请求来上传文件、修改元数据以及创建容器。它也对浏览器提供文件及容器列表服务。为提高性能,代理服务器利用可选的缓存(通常部署在内存缓存中)。 - Account servers(swift-account-server)
管理对象存储中的账户。 - Container server(swift-container-server)
管理容器或者目录与对象存储之间的映射。 - Object servers(swift-object-server)
管理存储节点上的实际对象,例如文件 - 许多周期性进程
在大数据存储上进行“家政”服务任务。对象复制服务确保数据一致性及在集群上的可获得性。其他周期进程包括审计(auditors),更新(updaters)和收割(reapers)。 - WSGI 中间件
负责认证,并且通常是OpenStack身份服务。(??)
2.4 块存储
OpenStack块存储服务cinder向虚拟机中添加了持久性储存。块存储提供了卷设备管理以及与OpenStack Compute交互来为实例提供卷设备的基础设施。该项服务同样确保了卷快照与卷类型的管理。
块存储服务由一下几个部分组成:
- cinder-api
接受API 请求并将其路由到cinder-volume运行。 - cinder-volume
与快存储服务以及一些进程,如cinder-scheduler,进行直接交互。它通过一个消息队列与这些进程交互。cinder-volume服务对发送到块存储的read和write请求进行回应以保持状态。它通过一个驱动架构可以与许多种类的存储类型(storage providers)交互。 - cinder-scheduler 守护进程
选择最优的存储节点来创建卷。一个类似于nova-scheduler的组件。
Messaging queue
在不同块存储进程之间路由信息。
2.5 网络Networking
OpenStack网络服务允许您将其他OpenStack服务管理的接口设备连接至网络。该插件被实现为能够兼容不同网络设备和软件,并对于OpenStack的架构和部署有一定灵活性。它包含以下几个组件:
- neutron-server
接受并路由API 请求到合适的OpenStack网络插件上运行。 - OpenStack Networking plug-ins and agents
插入、拔出端口,创建网络或子网,提供IP寻址。根据设备厂商以及具体云技术的不同,这些插件和代理(agent)不尽相同。Networking包含了Cisco虚拟及物理交换机、NEC OpenFlow产品、Open vSwitch、Linux bridging、Ryu Network Operating System以及VMware NSX产品的插件及代理。 - 消息队列
被大多数Network用来在neutron服务器和不同代理之间路由消息,或是被用作数据库来为某个插件存储网络状态。
Networking主要与Compute组件交互来为其实例提供网络连接服务。
2.6 dashboard
2.7 Identity concepts
OpenStack身份服务具有以下功能:
- 追踪用户及其权限
- 用它们的API 终端来提供可获得服务列表
在安装OpenStack身份服务时,您必须在OpenStack安装时为每一项服务注册。然后身份服务就能追踪已安装的服务以及它们在网络中的位置。
为了理解OpenStack身份,您必须理解一下概念:
- 用户
一个使用OpenStack云服务的人、系统或者服务的数字化表示。身份服务验证输入的请求的合法性(这个请求的确产生于能够产生这个请求的用户)。用户拥有一个登陆(login)或者被分配到令牌来访问资源。用户可以直接分配给一个特别承租者并像从属于那个承租者一样表现行为。 - 证书
证实用户身份的数据,例如:用户名及密码,用户名及API 钥, 或者身份服务提供的一个认证令牌。 - 认证
确认一个用户身份的过程。OpenStack身份服务通过验证用户提供的一系列证书来确认输入请求合法性。
这些证书最开始是用户名及密码,或者用户名及API 钥。当用户证书被确认后,OpenStack身份服务发行一个认证令牌以便用户在后续请求中使用。 - 令牌
一个字母加数字的字符串文本(令牌),用来获取OpenStack APIs 和资源。一个令牌具有有效期,并可能随时都被撤销。
尽管发布版本中OpenStack身份服务支持基于令牌的认证,但其初衷是为了在未来能够支持更多额外的协议。它的主要目的是成为一个集成服务,而不是成为一个完备的身份仓库或者管理方案。 - 租户(Tenant)
用于组织或隔离资源的容器。租户也可以组织或隔离身份对象。根据服务操作者的不同,一个租户也许会映射到一个消费者,账户,组织或者项目。 - 服务
一个OpenStack服务,例如Compute(nova),对象存储(swift),或者镜像服务(glance)。它提供一个或更多的可供用户访问资源及操作的终端。 - 终端
您访问某项服务的一个可接入网络地址,通常是一个URL地址。如果您正使用一个模板的扩展,一个表示了整个区域可获得的所有可消费服务的终端模板可被创建。 - 角色
一个包含用户权限与用户能执行特殊操作集的特权的定义集。在身份服务中,发行给用户的令牌包含了角色列表。被某用户调用的服务来决定如何转译该用户拥有的角色集,以及每个角色准许访问哪些操作或资源。 - Keystone客户端
OpenStack身份服务 API 的命令行接口。比如,用户可以运行keystone service-create以及keystone endpoint-create命令来在他们OpenStack中注册服务。
下面的流程图展示了OpenStack身份服务处理过程:
2.8 镜像服务
OpenStack镜像服务在Iaas中处于中心地位(见概念架构)。它接受对磁盘或者服务器镜像的API 请求,以及接收来自终端用户或者OpenStack Compute组件的镜像元数据。它也支持在不同仓库类型(包含OpenStack对象存储)上的磁盘或者服务器镜像存储。
在OpenStack镜像服务上运行多个周期性进程来支持缓存。在集群上,复制服务确保一致性以及可获得性。其他周期性进程包括审计、更新、收割等。
OpenStack镜像服务包括以下组件:
- glance-api
接收对镜像发现、获取及存储的镜像API调用。 - glance-registry
存储、处理以及获取镜像的元数据。元数据包括大小、类型等条目。
Security note registry是一个私有内置服务,意味着只能被OpenStack镜像服务使用。不要泄露给用户使用。 - 数据库
存储镜像元数据,并且您可以根据您的喜好来选择数据库。大多数部署都使用MySQL或者SQLite。 - 镜像文件的存储仓库
多种仓库类型都能被支持,包括常用文件系统,对象存储,RADOS块设备,HTTP以及Amazon S3.注意某些仓库类型仅支持只读使用模式。
2.9 Telemetry module
Telemetry module遥测组件具有以下功能:
- 高效收集CPU及网络消耗相关计量数据
- 通过监视从各服务发送的通知(notifications)或者轮询基础设施(infrastructure)来收集数据
- 配置收集的数据到相应类型来满足各个操作要求。它通过REST API 接收并添加计量数据
- 通过额外插件来扩展框架以收集“定制用法数据”(custom usage data)
- 生产不能被否定的签名计量消息
Telemetry module由一下组件组成:
- A compute agent(ceilometer-agent-compute)
运行在每一台计算节点上,并统计资源使用情况。在未来可能会有其他类型的agent,但是现在主要集中在compute agent上。 - A central agent (ceilometer-agent-central)
运行在中央管理服务器(组)上,来监视消息队列(来自agent的通知及计量数据)。通知消息会被处理并转化为计量消息,而计量消息会使用合适主题(topic)发送到消息总线上。遥测(Telemetry)消息会不经修改写入到数据存储中。 - An alarm notifier (ceilometer-alarm-notifier)
运行在一台或多台中央管理服务器上,以允许根据对一个样本集进行的的阈值评价来设置警报。 - A data store
一个能够处理并发写入(来自一个或多个实例)和读取(来自API 服务器) 的数据库。 - An API server (ceilometer-api)
运行在一台或多台中央管理服务器上以提供来自数据存储的数据访问。
这些服务通过OpenStack 消息总线进行交流。只有collector及API 服务器有权限访问数据存储。
2.10 Orchestration module concepts
编制模块。编制模块提供一个基于模板的编制(Orchestration),通过运行OpenStack API来产生运行云应用,并描述云应用。该组件将OpenStack其他核心组件融入一个one-file模板系统。这些模板允许您创建大多数OpenStack资源类型,如实例、浮动IPs、卷、安全群组以及用户。它也提供高级功能,例如实例高可用性、实例自动缩放以及嵌套栈。这些功能确保了OpenStack核心项目能够得到更大的用户群。
该服务确保部署者能直接通过编制模块进行整合,或者使用其它定制插件进行整合。
编制模块由一下组件组成:
- heat command-line client
一个与heat-api交流的命令行接口,用来运行AWS 云编队 APIs。端开发者能直接使用Orchestration REST API。 - heat-api
一个OpenStack原生REST API,其处理API请求的方式是通过远程过程调用(RPC) 将它们发送到heat-engine。 - heat-engine
编制模板的启动,并提供事件回给API消费者(调用者)。
2.11 Database service overview
数据库服务为关系型或非关系型数据库提供可伸缩的并可靠的云供应功能。用户可快速轻松的使用数据库特性而不必有处理复杂管理型任务的负担。云用户和数据库管理员可以根据需要提供并管理多个数据库实例。
数据库服务在高性能水平上提供资源隔离及自动化复杂管理任务,如部署、配置、打补丁、备份、恢复、监控。
处理流程示例。使用数据库服务的高级处理流程:
-1.OpenStack管理员通过以下步骤配置基础设施:
a.安装数据库服务
b.为每个数据库类型创建镜像,例如MySQL一个,MongoDB一个
c.使用trove-manage命令导入镜像并将其提供给租户
- 2.OpenStack端用户通过以下步骤部署数据库服务:
a.使用trove create创建一个数据库服务实例
b.使用trove list命令获取实例ID,接着使用trove show命令获取其IP
c.使用典型数据库访问命令访问数据库服务实例。例如,MySQL时,为$ mysql -u myuser -p -h TROVE_IP_ADDRESS mydb
数据库服务包含以下组件:
- python-troveclient command-line client
与trove-api组件交流的命令行接口。
-trove-api component
提供OpenStack原生的支持JSON格式的供应并管理Trove实例的RESTful API。 - trove-conductor service
运行在主机上,并接收主机上想更新信息的客实例发来的消息。 - trove-taskmanager service
装备支持供应实例、管理实例生命周期并对实例执行操作的复杂系统流程。 - trove-guestagent service
运行在客实例内部。自行对数据库管理并执行操作。
2.12 数据处理服务
OpenStack数据处理服务(Sahara)致力于为用户提供简单的方式来供应数据处理(Hadoop、Spark)集群,例如通过几个指定参数如Hadoop版本号、集群拓扑结构、节点硬件信息等。当用户填完所有的参数后,数据处理服务将在几分钟内部署到集群。Sahara也提供一些方法,例如根据需求通过添加/删除工作者节点,来缩放已供应的集群。
该方案用来解决一下问题:
- 为开发及测试在OpenStack上快速供应Hadoop集群
- 对通用OpenStack Iaas云中未使用计算资源的利用
- 为点对点(ad-hoc)或突发分析工作负载提供“分析即服务”Aaas
关键特性:
- 作为一个OpenStack组件
- 通过REST API进行管理,在有UI情况下也作为OpenStack dashboard的一部分
- 支持不同Hadoop发行版
a.Hadoop安装引擎的可插拔系统
b.集成特定供应商管理工具,如Apache Ambari 或是 Cloudera Management Console - 可修改参数的用于Hadoop配置的预定义模板
- 基于Hive或者Pig的点对点分析查询的友好用户界面
