OpenStack Newton部署官方指南

作者：独笔孤行@TaoCloud

本文档主要基于OpenStack官方文档，对官方文档加以更加详细的说明和解读，更适合新手部署学习OpenStack。

官方文档中主要为英文，只有M版和L版有中文版，但存在部分翻译错误，不建议新手使用。在此提供官方文档链接：https://docs.openstack.org/newton/install/

若在虚拟机中部署OpenStack，网络要选择vxlan模式，vlan模式只能在物理机中使用。

1.基础环境

1.1 最低硬件配置:

• 控制节点: 1 处理器, 4 GB 内存, 5 GB 磁盘

• 计算节点: 1 处理器, 2 GB 内存, 10 GB 磁盘

• 存储节点: 1 处理器, 2 GB 内存, 10 GB 磁盘+10G数据盘

节点

主机名

网卡1（eth0）

网卡2（eth1）

控制节点

controller

10.0.0.10

192.168.20.10

计算节点

compute

10.0.0.11

192.168.20.11

存储节点

storage

10.0.0.12

192.168.20.12

eth0用途1：eth0为管理网络，是openstack环境里各个模块之间交互，连接数据库，连接Message Queue的网络，即openstack本身用的IP网段。

eth0用途2：eth0为隧道网络tunnel，openstack里使用vxlan模式，需要有隧道网络；隧道网络采用了点到点通信协议代替了交换连接，tunnel用于虚拟机走网络数据流量。

eth1用途 : eth1用于是链接外网，用户访问openstack虚拟机，必须有个网段是连外网的，用户通过这个网络能访问到虚拟机。

注解 标准的生产环境中，OpenStack需要管理网、外网、隧道网络共3个网段，本次主要遵循官方文档，将管理网络与隧道网络合并用eth0网卡。如果只是测试环境，可以将3个网络合并为一个网卡。

1.2 操作系统

CentOS-7-x86_64-Minimal-1511.iso

1.3 CPU虚拟化

本手册采用VMware WorkStation创建虚拟机搭建OpenStack Newton。按照如下内容打开CPU虚拟化功能。物理服务器需要进入BIOS，打开CPU虚拟化功能。打开完成后，在操作系统中执行：egrep -c '(vmx|svm)' /proc/cpuinfo 命令检测是否打开成功。返回值大于1说明完成。

1.4 网卡配置

本次测试采用每台服务器2个物理网卡，环境无法满足时同样可以只配置1个网卡，OpenStack所有网络都走同一网卡。CentOS7.2安装完成后，默认网卡名称是eno16777736，需要把eno16777736改成eth0.也可以不改使用默认名称。

更改网卡名称为eth0

编辑网卡配置文件，将NAME和DEVICE内容改为eth0.

编辑 /etc/default/grub。在GRUB_CMDLINE_LINUX中添加net.ifnames=0 biosdevname=0内容。

运行命令grub2-mkconfig -o /boot/grub2/grub.cfg 来重新生成GRUB配置并更新内核参数，完成后执行reboot命令重启服务器。按照同样的操作将其他网卡改成类似的形式。

详细介绍可参考链接：https://jingyan.baidu.com/article/17bd8e524c76a285ab2bb8ff.html

1.5 安全设置

关闭并禁用NetworkManager：

关闭并禁用防火墙：

1.6 域名解析

配置hosts域名解析，不改变原有内容，添加如下内容：

1.7 yum源配置

OpenStack Newton的yum源有两种配置方式。即网络源和本地源。网络源需要OpenStack服务器能访问互联网。本地源需要把Newton.tar.gz压缩包拷贝到服务器制作本地源。

1.配置OpenStack-Newton网络源

安装kvm源

2.配置本地yum源

解压缩Newton.tar.gz压缩包到root目录下，并安装createrepo。

创建Newton本地源。

编辑yum源配置文件

选择以上任意一种方式配置好yum源后，生成yum源缓存。

2.OpenStack环境

2.1概况

2.2密码安全

用户名称 密码名称 描述

root 数据库密码(不能使用变量) 数据库的root密码

admin ADMIN_PASS admin 用户密码

cinder CINDER_DBPASS 块设备存储服务的数据库密码

cinder CINDER_PASS 块设备存储服务的 cinder 密码

admin DASH_DBPASS Database password for the dashboard

demo DEMO_PASS demo 用户的密码

glance GLANCE_DBPASS 镜像服务的数据库密码

glance GLANCE_PASS 镜像服务的 glance 用户密码

keystone KEYSTONE_DBPASS 认证服务的数据库密码

neutron NEUTRON_DBPASS 网络服务的数据库密码

neutron NEUTRON_PASS 网络服务的 neutron 用户密码

nova NOVA_DBPASS 计算服务的数据库密码

nova NOVA_PASS 计算服务中<code>nova</code>用户的密码

openstack RABBIT_PASS RabbitMQ的guest用户密码

2.3 网络时间协议(NTP)

Controller控制节点

1.安装软件包

2.编辑 /etc/chrony.conf 文件，按照你环境的要求，对下面的键进行添加，修改或者删除：

为允许其他节点可以连接到控制节点的 chrony 后台进程，在<code>/etc/chrony.conf</code> 文件添加下面的键值:

如有必要，将10.0.0.0/24替换成你子网的相应描述。

启动 NTP 服务并将其配置为随系统启动：:

在控制节点上运行监测命令: chronyc sources。包含controller内容即可。

其他节点

2.编辑 /etc/chrony.conf 文件，按照你环境的要求，对下面的键进行添加，且只保留controller节点的时间同步，删除其他时间同步：

3.启动 NTP 服务并将其配置为随系统启动：:

验证操作

建议在继续进一步的操作之前验证 NTP 的同步。有些节点，特别是哪些引用了控制节点的，需要花费一些时间去同步。

1.在控制节点上执行这个命令：

在 Name/IP address 列的内容应显示NTP服务器的主机名或者IP地址。在 S 列的内容应该在NTP服务目前同步的上游服务器前显示 *。红色标记部分出现既可。

2.在所有其他节点执行相同命令：

在 Name/IP address 列的内容应显示控制节点的主机名。

2.4 OpenStack包

所有节点

1.安装 OpenStack 客户端:

2.CentOS 默认启用了SELinux。安装openstack-selinux软件包以便自动管理OpenStack 服务的安全策略:

2.5 SQL数据库

大多数 OpenStack 服务使用 SQL 数据库来存储信息。 典型地，数据库运行在控制节点上。以下内容只在控制节点上操作。

1.安装软件包:

2.创建并编辑 /etc/my.cnf.d/openstack.cnf 文件，完成如下操作:

创建 [mysqld] 部分,设置 <code>bind-address</code> 的值为controller控制节点的管理网ip地址。以使得其它节点可以通过管理网络访问数据库，设置其他键值来启用有用的选项和 UTF-8 字符集:

3.启动数据库服务并设置开机自启动:

为了保证数据库服务的安全性，运行<code>mysql_secure_installation</code>脚本。特别需要说明的是，为数据库的root用户设置一个适当的密码。

2.6 消息队列

OpenStack使用message queue协调操作和各服务的状态信息。消息队列服务一般运行在控制节点上。OpenStack支持好几种消息队列服务包括RabbitMQ, Qpid, and ZeroMQ. 不过，大多数发行版本的OpenStack包支持特定的消息队列服务。本指南安装 RabbitMQ 消息队列服务，因为大部分发行版本都支持它。如果你想安装不同的消息队列服务，查询与之相关的文档。

消息队列运行在 controller控制节点上。

安装软件包:

启动消息队列服务并设置开机自启动:

添加 openstack 用户:（用户名openstack,密码RABBIT_PASS）

用合适的密码替换 RABBIT_PASS

为 openstack 用户配置写和读的权限:

2.7 Memcached

认证服务认证缓存使用Memcached缓存令牌。缓存服务memecached运行在controller控制节点。在生产部署中，我们推荐联合启用防火墙、认证和加密保证它的安全。

2.为了允许其他节点通过管理网络访问，编辑 /etc/sysconfig/memcached 文件，配置服务使用controller控制节点管理ip地址:

替换原有有内容"127.0.0.1"或" "

配置完成后查看/etc/sysconfig/memcached文件内容为：

3.启动Memcached 服务并设置开机自启动:

3.认证服务

本节描述如何在控制器节点上安装和配置OpenStack认证服务，即Keystone。考虑到可扩展性，此配置部署了Fernet令牌和Apache HTTP服务器来处理请求。

3.1安装和配置

在安装和配置OpenStack认证服务之前，一定要创建数据库和管理员令牌。

1.创建数据库，完成如下操作：

用数据库客户端以root用户连接到数据库服务器:

创建 keystone 数据库:

对keystone数据库赋予合适的权限:

可用合适的密码替换 KEYSTONE_DBPASS。

退出数据库连接。

默认配置文件因分布不同而不同。您可能需要添加这些部分和选项，而不是修改现有的部分和选项。此外，配置片段中的省略号（…），表示应该保留的原有的默认配置。 本指南使用带有mod_wsgi的Apache HTTP服务器，响应端口5000和35357上的认证服务请求。默认情况下，keystone服务仍然侦听这些端口。因此，该指南手动禁用keystone服务。

2运行如下命令安装软件包:

3.编辑/etc/keystone/keystone.conf 文件完成如下操作:

在 [database]部分,配置数据库访问：

可用keystone 认证服务数据库设置的密码替换KEYSTONE_DBPASS

注释或者移除[database]部分的其他任何connection选项

在 [token] 部分，配置Fernet 令牌提供者：

4.同步认证服务数据库：

5.初始化Fernet 存储库：

6.引导认证服务：

用合适的管理员用户密码替换 ADMIN_PASS。

7.配置Apache http服务，编辑/etc/httpd/conf/httpd.conf 文件，配置ServerName 选项 为控制节点：

8.创建指向 /usr/share/keystone/wsgi-keystone.conf 文件的链接:

9.启动Apache HTTP服务并设置开机自启动：

10.配置管理员账户

可用在“安装和配置”部分使用keystone-manage bootstrap 命令设置的密码替换 ADMIN_PASS

3.2创建域、项目、用户和角色

身份认证服务为每个OpenStack服务提供认证服务。认证服务使用 domains, projects, users, 和 roles的组合。

1.本指南使用一个服务项目，该服务项目为添加到环境中的每个服务包含唯一的用户。创建service项目

2.常规（非管理）任务应该使用非特权项目和用户。作为一个例子，这个指南创建demo项目和用户。

创建 demo 项目:

在为该项目创建额外用户时，不要重复此步骤。

创建 demo 用户:

创建 user 角色:

添加 user 角色到demo 项目和用户:

此命令没有输出 可以重复此步骤创建更多项目和用户

3.3验证操作

在安装其他服务之前，验证身份认证服务的操作。

在控制节点上执行这些命令

1.考虑安全因素，关闭临时认证令牌机制：

编辑 /etc/keystone/keystone-paste.ini 文件，从 [pipeline:public_api], [pipeline:admin_api], 和 [pipeline:api_v3] 这3个部分移除admin_token_auth。

2.重置 OS_AUTH_URL 和 OS_PASSWORD 临时环境变量:

3.作为 admin 用户,请求令牌认证：

这个命令使用admin 用户的密码。

4.作为 demo 用户,请求令牌认证：

这个命令使用demo用户密码和API端口5000，这样只会允许对身份认证服务API的常规（非管理）访问。

3.4创建 OpenStack 客户端环境脚本

前一节中使用环境变量和命令选项的组合，通过openstack客户端与身份认证服务交互。为了提升客户端操作的效率，OpenStack支持简单的客户端环境变量脚本即OpenRC 文件。这些脚本通常包含客户端所有常见的选项，当然也支持唯一选项。

为 admin 和 demo 项目和用户创建客户端项目脚本，本指南的接下来的部分会引用这些脚本，为客户端操作加载合适的的凭证。本指南的接下来的部分会引用这些脚本，为客户端操作加载合适的的凭证。

编辑 admin-openrc 文件添加如下内容：

用在认证服务中设置的 admin 用户的密码替换 ADMIN_PASS。

编辑 demo-openrc 文件添加如下内容:

用在认证服务中设置的 demo用户的密码替换DEMO_PASS。

使用特定租户和用户运行客户端，你可以在运行之前简单地加载相关客户端脚本。例如：

加载 admin-openrc 文件以满足身份认证服务的环境变量，和 admin 项目和用户认证:

请求认证令牌:

4.镜像服务

4.1安装前准备

这个部分描述如何在控制节点上安装和配置镜像服务，即 glance。简单来说，这个配置将镜像保存在本地文件系统中。

安装和配置镜像服务之前，你必须创建创建一个数据库、服务凭证和API端点。

创建数据库并完成以下步骤:

用数据库连接客户端以 root 用户连接到数据库服务器:

创建 glance 数据库:

对 glance 数据库赋予合适的权限:

可用合适的密码替换GLANCE_DBPASS。

获得 admin 凭证来获取只有管理员能执行的命令的访问权限:

要创建服务证书，完成这些步骤:

创建 glance 用户:

添加 admin 角色到 glance 用户和 service 项目:

此命令没有输出。

创建 glance 服务实体:

4.创建镜像服务的API端点:

4.2安装配置组件

默认配置文件在各发行版本中可能不同。你可能需要添加这些部分和选项，而不是修改已经存在的部分和选项。另外，在配置片段中的省略号(...)表示默认的配置选项应该保留。

编辑 /etc/glance/glance-api.conf 文件完成如下步骤：

在 [database] 部分，配置数据库访问:

可用在 glance 镜像服务数据库设置的密码替换 GLANCE_DBPASS。

在 [keystone_authtoken] 和 [paste_deploy] 部分，配置认证服务访问：

将 GLANCE_PASS 替换为在认证服务中为 glance 用户设置的密码。

注释或删除 [keystone_authtoken] 中的其它选项。

在 [glance_store] 部分,配置本地文件系统商店和本地镜像文件:

编辑 /etc/glance/glance-registry.conf 文件完成如下内容：

在 [database] 部分,配置数据库访问：

可用在glance镜像服务数据库设置的密码替换 GLANCE_DBPASS。

在 [keystone_authtoken] 和 [paste_deploy] 部分，配置身份认证服务访问：

可用在身份认证服务创建 glance 用户的密码替换GLANCE_PASS。

注释或者删除 [keystone_authtoken] 部分的其它选项。

同步镜像服务数据库:

忽略任何输出。

5.启动镜像服务并设置开机自启动:

4.3验证操作

CirrOS是一个小型的Linux镜像，使用 CirrOS对镜像服务进行验证，可以用来测试 OpenStack部署。

在控制节点执行如下命令。

获得 admin 凭证来获取只有管理员能执行的命令的访问权限：

下载镜像:

如果没有wget 命令请安装它：yum install wget -y

使用 QCOW2 磁盘格式， bare 容器格式上传镜像到镜像服务并设置公共可见，这样所有的项目都可以访问它：

OpenStack 是动态生成 ID 的，因此您看到的输出会与示例中的命令行输出不相同。

确认镜像的上传并验证属性:

5.计算服务

这个部分将描述如何在控制节点上安装和配置 Compute 服务，即 nova。

5.1安装前准备

在安装和配置 Compute 服务前，你必须创建数据库服务的凭据以及 API endpoints。

创建数据库，完成如下步骤：

用数据库连接客户端以 root 用户连接到数据库服务器：

创建 nova_api 和 nova 数据库：

给nova_api 和 nova 数据库赋予合适的权限:

可用合适的密码替换 NOVA_DBPASS。

要创建服务证书，完成如下步骤:

创建 nova 用户:

添加 admin 角色到 nova 用户：

创建 nova 服务实体:

3.创建Compute服务API端点:

5.2安装配置组件

默认配置文件在各发行版本中可能不同。你可能需要添加这些部分，选项而不是修改已经存在的部分和选项。另外，在配置片段中的省略号(...)表示默认的配置选项你应该保留。

编辑 /etc/nova/nova.conf 文件，完成如下操作:

在 [DEFAULT] 部分，只启用计算和元数据API：

在 [api_database] 和 [database] 部分，配置数据库访问：

可用在nova和nova_api计算服务数据库设置的密码替换 NOVA_DBPASS。

在 [DEFAULT] 部分，配置 RabbitMQ 消息队列访问:

可用在RabbitMQ消息队列设置的openstack账户密码替换 RABBIT_PASS。

在 [DEFAULT] 和 [keystone_authtoken] 部分，配置身份认证服务访问：

可用在认证服务中设置的 nova 用户密码替换 NOVA_PASS。

在 [DEFAULT] 部分，配置 my_ip 选项使用控制节点的管理网:

在 [DEFAULT] 部分，允许使用网络服务：

默认情况下，计算服务使用内置的防火墙服务。由于网络服务包含了防火墙服务，你必须使用 nova.virt.firewall.NoopFirewallDriver 防火墙服务来禁用掉计算服务内置的防火墙服务

在 [vnc] 部分，配置配置VNC代理使用控制节点的管理接口IP地址：

在 [glance] 部分，配置本地镜像服务API：

在 [oslo_concurrency] 部分，配置锁路径：

3.同步计算服务数据库：

忽略任何信息输出。

4.启动计算服务并设置开机自启动：

Compute计算节点

安装并配置计算节点。这部分描述如何在计算节点上安装并配置计算服务。计算服务支持多种hypervisors 虚拟化方式部署 instances 或 VMs. 简而言之，本次配置使用KVM计算节点扩展的QEMU虚拟机管理程序，支持对虚拟化的硬件加速。对于传统的硬件，本配置使用QEMU虚拟化。可以根据这些说明进行细微的调整，或者使用额外的计算节点来横向扩展环境。

假设已经按照之前的向导配置好了第一个计算节点。如果想要配置更多的计算节点，以类似配置第一个计算节点的方式准备好其它节点。每个额外的计算节点都需要一个唯一的IP地址。

6.5.3安装配置组件

默认配置文件在各发行版本中可能不同。你可能需要添加这些部分选项，而不是修改已经存在的部分和选项。此外，在配置片段中的省略号(...)表示默认的配置选项你应该保留。

编辑 /etc/nova/nova.conf 文件完成如下步骤:

在 [DEFAULT] 部分，只启用计算和元数据API:

可用在RabbitMQ 消息队列中设置openstack 用户的密码替换 RABBIT_PASS。

在 [DEFAULT] 部分，配置 my_ip 选项:

可用在compute计算节点的管理网ip地址替换 10.0.0.11。

在 [DEFAULT] 部分，启用网络服务：

缺省情况下，Compute 使用内置的防火墙服务。由于 Networking 包含了防火墙服务，所以你必须通过使用 nova.virt.firewall.NoopFirewallDriver来禁用Compute内置的防火墙服务。

在 [vnc] 部分，启用并配置远程控制台访问：

服务器组件监听所有的 IP 地址，而代理组件仅仅监听计算节点管理网络接口的 IP 地址。基本的 URL 表示可以使用 web 浏览器访问位于该计算节点上实例的远程控制台位置。

10.0.0.10 是控制节点管理网的ip地址，可用使用控制节点管理网的ip地址替换10.0.0.10，尽量使用控制节点管理网的ip地址而不是域名，使用域名可能出现无法解析的情况。

在 [glance] 部分，配置镜像服务 API 的位置：

检查计算节点是否支持虚拟机的硬件加速：

如果这个命令返回值大于等于1，说明计算节点支持硬件加速且不需要其它配置。

如果这个命令返回值是0，说明计算节点不支持硬件加速。必须配置 libvirt 来使用 QEMU 代替 KVM。或者打开CPU虚拟化使其支持虚拟化硬件加速。

返回值是0时，编辑 /etc/nova/nova.conf 文件的 [libvirt] 部分为如下内容:

启动计算服务及其依赖，并将其配置为开机自动启动：

如果 nova-compute 服务启动失败，检查日志 /var/log/nova/nova-compute.log. 类似报错消息如 AMQP server on controller:5672 is unreachable，说明控制节点的防火墙阻止访问5672端口。

5.4验证操作

在控制节点上执行如下命令，验证计算服务操作。

列出服务组件，以验证是否成功启动并注册了每个进程:

输出应该显示三个服务组件在控制节点上启用，一个服务组件在计算节点上启用。

6.网络服务

6.1安装前准备

在配置OpenStack的neutron网络服务之前，需要创建neutron数据库、服务凭证和API端点。

1.创建数据库完成如下步骤：

创建 neutron 数据库:

对 neutron 数据库赋予合适的权限:

可用合适的密码替换NEUTRON_DBPASS。

1.获得 admin 凭证来获取只有管理员能执行的命令的访问权限:

2.创建服务证书，完成如下步骤：

创建 neutron 用户:

添加 admin 角色到neutron 用户:

创建 neutron 服务实体:

3.创建网络服务API端点:

6.2配置网络服务

OpenStack有公共网络和私有网络两种网络架构。在物理机中部署OpenStack时，两种网络可以选择其中一种部署，公共网络配置简单，私有网络配置复杂。但在虚拟机中部署OpenStack时，不支持公共网络部署，只支持私有网络vxlan模式部署，因此本次配置选择私有网络vxlan模式部署。

私有网络在公共网络的基础上多了layer-3服务，增加了私有网络、路由器以及浮动IP地址等内容。支持实例连接到私有网络。<code>demo</code>或者其他没有特权的用户可以管理自己的私有网络，包含连接公网和私网的路由器。另外，浮动IP地址可以让实例使用私有网络连接到外部网络，例如互联网。

典型的私有网络一般使用覆盖网络。覆盖网络，例如VXLAN包含了额外的数据头，这些数据头增加了开销，减少了有效内容和用户数据的可用空间。在不了解虚拟网络架构的情况下，实例尝试用以太网最大传输单元 (MTU) 1500字节发送数据包。网络服务会自动给实例提供正确的MTU的值通过DHCP的方式。但是，一些云镜像并没有使用DHCP或者忽视了DHCP MTU选项，要求使用元数据或者脚本来进行配置

私有网络支持实例连接到公共网络。在控制节点安装并配置网络组件。

1.安装组件

2.配置服务组件

编辑 /etc/neutron/neutron.conf 文件，完成如下操作：

在数据库 [database] 部分，配置数据库访问：

可用创建neutron数据库设置的密码替换 NEUTRON_DBPASS。

注释或者删除[database] 部分的其他 connection 选项。

在 [DEFAULT] 部分，启用Modular Layer 2 (ML2)插件，路由服务和重叠的IP地址：

在 [DEFAULT] 部分，配置 RabbitMQ 消息队列访问：

可用在身份认证服务中设置的neutron 用户的密码替换 NEUTRON_PASS。

注释或者删除[keystone_authtoken] 部分的其他选项。

在 [DEFAULT] 和 [nova] 部分，配置网络服务来通知计算节点的网络拓扑变化：

可用在身份认证服务中设置的nova 用户的密码替换 NOVA_PASS。

3.配置 Modular Layer 2 (ML2) 插件

ML2插件使用Linuxbridge机制，为实例创建layer-2虚拟网络基础设施

编辑 /etc/neutron/plugins/ml2/ml2_conf.ini 文件，完成如下内容：

在 [ml2] 部分，启用flat、VLAN和VXLAN网络：

在 [ml2] 部分，配置VXLAN私有网络:

在 [ml2] 部分，启用Linuxbridge和layer-2机制:

警告 在你配置完ML2插件之后，删除可能导致数据库不一致的 type_drivers 项的值。 Linuxbridge代理只支持VXLAN覆盖网络。

在 [ml2] 部分，启用端口安全扩展驱动:

在 [ml2_type_flat] 部分，配置公共虚拟网络为flat网络:

在 [ml2_type_vxlan] 部分，配置私有网络VXLAN识别的网络范围:

在 [securitygroup] 部分，启用 ipset 增加安全组规则的高效性:

4.配置Linuxbridge代理

Linuxbridge代理为实例建立layer-2虚拟网络并且处理安全组规则。

编辑 /etc/neutron/plugins/ml2/linuxbridge_agent.ini 文件完成如下步骤：

在 [linux_bridge] 部分，将 provider 虚拟网络和 provider 物理网络接口对应起来:

可用provider物理网络接口的名字替换 eth1。

在 [vxlan] 部分，启用VXLAN覆盖网络，配置覆盖网络的物理网络接口的IP地址，启用layer-2 population:

可用处理覆盖网络的底层物理网络接口的IP地址替换 10.0.0.10。本次环境搭建使用管理网络接口与其他节点建立流量隧道。因此，将10.0.0.10替换为控制节点的管理网络的IP地址。

在 [securitygroup] 部分，启用安全组并配置Linux桥接防火墙驱动:

5.配置layer-3代理

Layer-3代理为私有虚拟网络提供路由和NAT服务

编辑/etc/neutron/l3_agent.ini 文件并完成以下操作：

在 [DEFAULT] 部分，配置Linux网桥接口驱动和外部网络桥接：

6.配置DHCP代理

DHCP代理提供虚拟网络DHCP服务。

编辑/etc/neutron/dhcp_agent.ini 文件并完成以下操作：

在 [DEFAULT] 部分，配置Linuxbridge驱动接口，DHCP驱动并启用隔离元数据，这样在provider网络上的实例就可以通过网络来访问元数据：

7.配置元数据代理

元数据代理负责提供配置信息，例如：访问实例的凭证。

编辑 /etc/neutron/metadata_agent.ini 文件完成如下操作：

在 [DEFAULT] 部分，配置元数据主机以及共享密码

可用合适的元数据代理密码替换METADATA_SECRET。

8.配置计算服务使用网络

此处为controller控制节点的计算服务，而非compute计算节点。

编辑/etc/nova/nova.conf 文件并完成如下操作：

在 [neutron] 部分，配置访问参数，启用元数据代理并设置密码:

可用在认证服务中设置的 neutron 用户密码替换 NEUTRON_PASS。

可用在元数据代理中设置的密码替换METADATA_SECRET。

9.完成安装

网络服务初始化脚本需要/etc/neutron/plugin.ini文件，该文件是指向ML2插件配置文件/etc/neutron/plugins/ml2/ml2_conf.ini 的超链接。如果超链接不存在，使用下面的命令创建：

同步数据库:

网络配置完成之后进行数据库同步，因为脚本需要完成服务器和插件的配置文件。

重启计算API服务:

启动网络服务并设置开机自启动。

启动layer-3服务并设置开机自启动:

6.3.安装组件

6.4.配置通用组件

网络通用组件的配置包括认证机制、消息队列和插件。

编辑 /etc/neutron/neutron.conf 文件完成如下操作：

在 [database] 部分，注释所有 connection项，因为计算节点不直接访问数据库。

在 [DEFAULT] 和 [keystone_authtoken] 部分，配置认证服务访问:

在 [keystone_authtoken] 中注释或者删除其他选项。

6.5.配置Linuxbridge代理

可用处理覆盖网络的底层物理网络接口的IP地址替换 10.0.0.11。本次环境搭建使用管理网络接口与其他节点建立流量隧道。因此，将10.0.0.11替换为控制节点的管理网络的IP地址。

6.6.配置计算服务使用网络

在 [neutron] 部分，配置访问参数:

6.7.完成安装

重启计算服务:

启动网络代理服务并设置开机自启动。

在控制节点执行这些命令。

获得 admin 凭证来获取只有管理员能执行的命令的访问权限::

列出加载的扩展来验证 neutron-server 进程是否正常启动：

实际的输出结果也许与本例有细微的差异。

列出代理以验证启动 neutron 代理是否成功：:

输出结果应该包括控制节点上的四个代理和每个计算节点上的一个代理。

7.Dashboard

Dashboard(horizon)是一个web接口，使得云平台管理员以及用户可以管理不同的Openstack资源以及服务。本次署示例使用的是 Apache Web 服务器。描述如何在控制节点上安装和配置仪表盘。

Keystone身份认证服务是Dashboard所需的核心服务，可以结合图像、网络、计算等其它服务使用Dashboard。也可以在具有独立服务（如对象存储）的环境中使用Dashboard。

Controller节点

7.1安装配置组件

编辑 /etc/openstack-dashboard/local_settings 文件完成如下步骤：

在 controller 节点上配置仪表盘使用OpenStack服务:

允许所有主机访问仪表板:

配置 memcached会话存储服务:

注释其他的会话存储服务配置

启用第3版认证API:

启用对域的支持:

配置API版本:

通过仪表盘创建用户时的默认域配置为 default:

通过仪表盘创建的用户默认角色配置为 user:

vxlan模式默认支持layer-3网络服务，保持原有默认配置文件即可，主要有以下内容:

可以选择性的配置时区:

使用恰当的时区标识替换Asia/Shanghai。

重启web服务器以及会话存储服务:

如果当前的服务当前没有运行，用 systemctl start 来启动每个服务。

7.2验证操作

验证仪表盘的操作。在浏览器中输入http://controller/dashboard访问仪表盘。验证使用 admin或者demo用户凭证和default域凭证。如果域名controller无法解析，可用controller节点管理网ip地址10.0.0.10替换，即在浏览器中输入http://10.0.0.10/dashboard。

8.块存储服务

块存储服务(cinder)为实例提供块存储。存储的分配和消耗是由块存储驱动器，或者多后端配置的驱动器决定的。还有很多驱动程序可用：NAS/SAN，NFS，ISCSI，Ceph等。典型情况下，块服务API和调度器服务运行在控制节点上。取决于使用的驱动，卷服务器可以运行在控制节点、计算节点或单独的存储节点。

本节内容讲述如何在控制节点上安装和配置块存储服务，即cinder。在控制节点，cinder服务至少需要一个额外的磁盘为实例提供卷。

8.1安装前准备

在你安装和配置块存储服务之前，你必须创建数据库、服务证书和API端点

1.创建数据库，完成以下步骤：

创建 cinder 数据库:

对 cinder 数据库赋予合适的权限:

可用合适的密码替换 CINDER_DBPASS。

创建服务证书，完成如下步骤:

创建 cinder 用户:

添加 admin 角色到 cinder 用户:

创建 cinder 和 cinderv2 服务实体:

块存储服务需要两个服务实体

4.创建块设备存储服务的 API 入口点:

块设备存储服务每个服务实体都需要端点。

8.2安装配置组件

2.编辑 /etc/cinder/cinder.conf 文件并完成以下步骤:

可用在创建 cinder 数据库时设置的密码替换 CINDER_DBPASS。

可用在RabbitMQ消息队列设置的openstack账户密码替换 RABBIT_PASS

在 [DEFAULT] 和 [keystone_authtoken] 部分，配置身份认证服务访问:

可用在认证服务中设置的 cinder 用户密码替换 CINDER_PASS。

在 [DEFAULT] 部分，使用controller控制节点管理网ip地址配置 my_ip 选项：

在 [oslo_concurrency] 部分，配置锁路径:

3.同步块存储数据库:

忽略输出中任何不推荐使用的信息。

4.配置计算服务使用块存储

编辑 /etc/nova/nova.conf 文件为如下内容：

此处为controller控制节点的计算服务，而非compute计算节点。compute计算节点不需要做任何关于使用cinder的配置。

5.重启计算API服务:

6.启动块存储服务并设置开机自启动:

Cinder存储节点

本节描述如何为块存储服务安装并配置存储节点。简而言之，在存储节点配有一个空的本地磁盘设备 /dev/sdb，可以根据需求替换成不同的值。cinder服务在/dev/sdb设备上使用LVM提供逻辑卷，并通过iSCSI协议映射给实例使用。同样可以根据这些修改指导，添加额外的存储节点来增加存储环境规模。

8.3安装前准备

在安装和配置块存储服务之前，必须准备好存储设备。

在Cinder存储节点实施这些步骤。

1.安装支持的工具包：

安装 LVM 包：

启动LVM服务并且设置该服务随系统启动：

2.创建LVM 物理卷 /dev/sdb：

3.创建 LVM 卷组 cinder-volumes：

块存储服务会在这个卷组中创建逻辑卷。

只有实例可以访问块存储卷组。而底层的操作系统管理设备与卷关联。默认情况下，LVM卷扫描工具会默认扫描 /dev 目录，查找包含卷的块存储设备。如果系统有其它任务和lVM使用同一块设备，扫描工具检测到这些卷时会尝试配置缓存，可能会在底层操作系统和卷上产生各种问题。所以，必须重新配置LVM，让它只扫描包含cinder-volume卷组的设备。编辑/etc/lvm/lvm.conf文件并完成下面的操作：

在devices 部分，添加一个过滤器，只接受 /dev/sdb 设备，拒绝其他所有设备：

每个过滤器组中的元素都以 a 开头，即为accept，或以 r 开头，即为reject，并且包括一个设备名称的正则表达式规则。过滤器组必须以 r/.*/ 结束，过滤所有保留设备。可以使用vgs –vvvv命令来测试过滤器。

如果您的存储节点在操作系统磁盘上使用了 LVM，您还必需添加相关的设备到过滤器中。例如，如果 /dev/sda 设备包含操作系统： <code>filter = [ "a/sda/", "a/sdb/", "r/.*/"]</code> 类似地，如果您的计算节点在操作系统磁盘上使用了 LVM，您也必需修改这些节点上 /etc/lvm/lvm.conf 文件中的过滤器，将操作系统磁盘包含到过滤器中。例如，如果<code>/dev/sda</code> 设备包含操作系统： <code>filter = [ "a/sda/", "r/.*/"]</code>

8.4安装配置组件

在 [DEFAULT] 部分，配置 my_ip 选项：

可用cinder存储节点的管理网ip地址替换 10.0.0.12。

在 [lvm] 部分，配置LVM后端包括：LVM驱动、cinder-volumes卷组、iSCSI 协议和正确的 iSCSI服务。如果 [lvm] 部分不存在，需要在文件末尾创建，内容如下：

在 [DEFAULT] 部分，启用 LVM 后端：

后端名字是任意的。比如，本教程使用驱动的名字作为后端的名字。

在 [DEFAULT] 部分，配置镜像服务 API：

3.启动块存储卷服务及其依赖的服务，并将其配置为随系统启动：

8.5验证操作

在控制节点上执行如下命令，验证块存储服务操作。

列出服务组件以验证是否每个进程都成功启动:

9.启动虚拟机

9.1创建虚拟网络

由于使用vxlan网络模式，因此需要创建private私有网络和provider外网。

9.1.1创建provider公网

1.在控制节点，获得 admin 凭证来获取只有管理员能执行的命令的访问权限:

2.创建provider外网：

--share 项允许所有项目使用provider虚拟网络

--external 项定义虚拟网络为外网。如果要创建内部网络，可以使用 --internal 代替，默认值也是 internal.

--provider-physical-network provider 和 --provider-network-type flat 项将flat虚拟网络连接到使用eth1网卡的flat物理网络，检查主机的以下配置信息：

3.创建provider网络的子网:

使用provider物理网络的子网CIDR标记替换 PROVIDER_NETWORK_CIDR。

使用准备分配给实例的子网网段的起始和结束ip地址替换 START_IP_ADDRESS 和 END_IP_ADDRESS。这个范围不能包括任何已经使用的ip地址。

用DNS解析服务的ip地址替换 DNS_RESOLVER。一般情况，可从主机文件/etc/resolv.conf 获取。

可用provider网关ip地址替换 PROVIDER_NETWORK_GATEWAY，一般的网关IP地址以 ”.1” 结尾。

例如

Provider公网网络203.0.113.0/24的网关为203.0.113.1。DHCP 服务从203.0.113.101 到 203.0.113.250中为每个实例分配ip地址。所有实例使用 8.8.4.4 配置DNS 解析。

9.1.2创建selfservice私有网络

5.获得 demo 凭证来获取只有管理员能执行的命令的访问权限:

6.创建selfservice私有网络:

非特权用户一般不能在这个命令制定更多参数。服务会自动从下面的文件中的信息选择参数：

7.创建网络子网:

用selfservice网关ip地址替换 SELFSERVICE_NETWORK_GATEWAY，一般的网关IP地址以 ”.1” 结尾。

用selfservice网络的子网替换 SELFSERVICE_NETWORK_CIDR。 可以使用任意值。

Selfservice私有网络172.16.1.0/24的网关为172.16.1.1。DHCP 服务从172.16.1.2 到 172.16.1.254中为每个实例分配ip地址。所有实例使用 8.8.4.4 配置DNS 解析。

9.1.3创建路由

selfservice私有网络通过虚拟路由连接到provider公有网络，以双向NAT最为典型。每个路由包含至少一个私有网络接口和一个连接到公有网络网关的接口

provider公有提供网络必须包括router:external选项，以便使路由连接到外部网络，如互联网。admin 或者其他权限用户在网络创建时必须包括这个选项，或创建完成后添加。在这个环境里，创建provider网络时，router:external项由--external参数设置。

1.获得 admin 凭证来获取只有管理员能执行的命令的访问权限::

获得 demo 凭证来获取只有管理员能执行的命令的访问权限:

3．创建路由:

4.添加selfservice私有网络子网作为路由接口:

5.在router路由上设置 provider 公网的网关:

9.1.4验证操作

在继续操作前检查是否存在问题，以下步骤将使用网络和子网创建示例中的IP地址。

1.在控制节点上，获得 admin 凭证来获取只有管理员能执行的命令的访问权限:

2.查看列出网络命名空间，正常应该看到一个 qrouter 命名空间和两个 qdhcp 命名空间。

列出路由器上的端口来确定公网网关的IP 地址：

4．从控制节点或任意公共物理网络上的节点Ping这个IP地址：

9.2 创建 m1.nano 实例类型

默认的最小规格的主机需要512 MB内存。对于环境中计算节点内存不足4 GB的，建议创建只需要64 MB的m1.nano规格的主机。如果只是测试，一般用m1.nano规格的主机来加载CirrOS镜像

9.3生成键值对

大多数云镜像支持公共密钥认证而不是传统的密码认证。在启动实例前，需要添加公共密钥到计算服务。

1.获取 demo 项目认证:

2.生成并添加密钥对:

可以跳过执行ssh-keygen 命令直接使用现存的公共密钥。

3.验证添加的密钥对:

9.4增加安全组规则

默认情况下，default安全组适用于所有实例并且包括拒绝远程访问实例的防火墙规则。对CirrOS的Linux镜像，建议至少允许ICMP(ping)和shell(SSH)访问。

• 添加规则至 default 安全组:

o 允许 ICMP (ping):

o 允许 shell (SSH) 访问:

9.5启动实例

网络配置包括provider公网和selfservice私网两个网络，分别介绍在以下两种网络模式下启动实例。

9.5.1在provider公网启动实例

9.5.1.1检查实例选项

启动实例前，一定要指定实例类型、镜像名称、网络、安全组、键值和实例名称。

1.在控制节点，获得 demo 凭证来获取只有管理员能执行的命令的访问权限:

2.实例类型包括分配虚拟资源策略，比如处理器、内存、存储等。

查看可使用的实例类型:

可以用ID引用实例类型

3.查看可用镜像:

实例使用 cirros 镜像。

4.查看可用网络:

实例使用 provider 公网。注意要参考网络使用的ID而非网络名称。

5.列出可用安全组:

9.5.1.2创建实例

1.启动实例:

用 provider 网络ID替换 PROVIDER_NET_ID。

2.检查实例状态:

创建成功后，实例状态会由 BUILD 变成 ACTIVE。

9.5.1.3使用虚拟控制台访问实例

1.获取VNC会话URL，以便于通过WEB浏览器访问实例:

如果WEB浏览器所允许的主机不能解析 controller 主机名称，可以用controller节点管理网的ip地址10.0.0.10替换 controller。即浏览器输入：http://10.0.0.10:6080/vnc_auto.html?token=5eeccb47-525c-4918-ac2a-3ad1e9f1f493 CirrOS 镜像包括传统的用户名/密码认证方式，并需要在登录提示中提供这些认证。登录到CirrOS后，建议用命令 ping 验证网络是否互通。

2．检验是否可连接到provider物理网络网关:

3.检查是否可连接到互联网:

9.5.1.4远程访问实例

验证控制节点或者其他provider公网上的主机能否ping通实例：

验证控制节点或者其他provider公网上的主机能否通过SSH访问实例：

9.5.2在selfservice私网启动实例

9.5.2.1检查实例选项

查看可使用的实例类型：

实例使用 selfservice 私网。注意要参考网络使用的ID而非网络名称。

5.查看可用安全组：

实例使用 default 默认安全组。

9.5.2.2创建实例

1.启动实例

使用selfservice私网ID替换 SELFSERVICE_NET_ID。

2.检查实例状态：

9.5.2.3使用虚拟控制台访问实例

2.检查是否可连接到selfservice私网网关:

3.检查是否可访问互联网：

9.5.2.4远程访问实例

1.在provider公网上创建浮动IP地址：

2.给实例分配浮动IP地址：

3.检查浮动IP地址状态：

4.验证控制节点或者其他provider公网上的主机能否通过浮动IP地址ping通实例：

OpenStack官网镜像指南：https://docs.openstack.org/image-guide/

 

如有不明之处，欢迎留言提问。

欢迎扫描关注本人公众号，会定时分享IT技术文章，如有其它技术问题，可随时咨询。