云计算运营—04 FusionSphere OpenStack 6.5方案介绍

news/2024/12/29 0:26:40/

FusionSphere OpenStack 6.5方案介绍

OpenStack 系统架构

OpenStack是什么

OpenStack是目前最流行的开源云操作系统:

  • 资源抽象
    • OpenStack将各类硬件资源,通过虚拟化与软件定义的方式,抽象成资源池
  • 资源分配与负载调度
    • OpenStack根据管理员/用户的需求,将资源池中的资源分配给不同的用户,承载不同应用
  • 应用生命周期管理
    • OpenStack已经可以提供初步的应用部署/撤除、自动规模调整能力

openstack为什么是云操作系统?

openstack是不是操作系统?——》不是

操作系统有哪些功能?

  1. 识别、驱动硬件
  2. 抽象、逻辑硬件
  3. 分配资源应用程序
  4. 应用程序生命周期管理
  5. 人机交互界面,cli web
  6. 故障监控、设置

openstack有类似于操作系统的功能,有是用于管理云的,所以openstack是云操作系统

社区项目分层

在这里插入图片描述

  • nova:计算服务
  • cinder:块存储服务
  • glance:镜像服务
  • swift:对象存储服务
  • manila:文件存储服务
  • neutron:软件定义网络服务
  • ceilometer:计量、监控服务
  • heat:应用编排服务
  • keystone:认证鉴权服务
  • ironic:裸金属服务
  • horizon:图形化人机界面服务(不用)

逻辑关系图

在这里插入图片描述

openstack中的存储:

1、cinder的块存储

2、swift的对象存储

3、manila的文件存储

4、nova的本地存储

节点的本地存储,可能是nova的本地存储,也可能是cinder的块存储(lvm)|

Nova-计算服务

由hypervisor实现计算虚拟化,Nova只负责提供计算服务

OpenStack组件不能实现虚拟化!!!

在这里插入图片描述

rest api(友好)

位于openstack和*人/第三方组件(keystone)*之间,类似于方向盘方便人/第三方组件和OpenStack的交互。
在这里插入图片描述

nova计算服务

  1. 基于rest api
  2. 水平扩展
  3. 与硬件无关(组件运行在os)
  4. 与虚拟化平台无关(通过dirver对接虚拟化平台)

在这里插入图片描述

系统架构

OpenStack内部有三种组件:

1、openstack本身的服务: 比如计算nova、块存储cinder等

2、服务内部子组件: 比如nova内部的apilcompute等

3、openstack所使用的公共组件: DB(数据库)、MQ(消息队列)

三种访问方式:

1、openstack不同服务的通信,比如nova访问keystone,glance访问swift(基于http的rest api访问)

2、服务内部子组件通信,比如nova内部的api访问compute (基于MQ的rpc调用)

3、访问数据库

Nova创建一个虚拟机流程

  1. user向nova发出创建虚拟机的请求。
  2. nova-api接收,处理(1、身份认证鉴权。2、配置校验申请。3、数据库)
  3. nova-api组装请求+scheduler相关的信息 (flavor\az\image等)发送给conductor。
  4. nova-conductor转发给nova-scheduler选择主机
  5. nova-scheduler根据前面scheduler选择主机(1、filter。2.1、权重,默认内存、可选CPU;2.2、随机)
  6. nova-scheduler把主机返回给nova-conductor。
  7. nova-conductor调用该主机对应的nova-compute,要求创建虚拟机
  8. nova-compute对计算资源加锁。
  9. nova-compute请求neutron准备port
  10. nova-compute请求cinder准备disk
  11. 启动虚拟机
    12.nova-compute向glance下载镜像
  12. 生成虚拟机xml
  13. 通过dirver调用libvirt接口拉起虚拟机。
    在这里插入图片描述

控制节点:部署绝大部分openstack组件(及其内部子组件)

计算节点:运行虚拟机

  • nova-api: nova的入口,接受rest消息。调用其他组件完成相应的动作。——》部署在控制节点

    • 1、对外提供rest接口的处理
    • 2、对传入的参数进行合法性校验和约束限制
    • 3、对请求的资源进行配额(quota)的校验和预留
    • 4、资源的创建,更新,删除查询等
    • 5、虚拟机生命周期的入口
    • 6、可水平扩展部署
  • nova-scheduler:选择合适的主机。——》部署在控制节点

    • 选择的过程:
    • 1、filter列表
    • 2.1、权重(默认是内存权重、可选择CPU权重),排序,首位选择
    • 2.2、散列:在候选的一个大小范围内的主机中,随机选择一个主机。
    • 3、内置周期性任务,完成资源刷新,虚拟机状态同步等功能。
  • nova-conductor:1、复杂流程控制2、帮助nova-compute访问数据库。——》部署在控制节点

    • 1、数据库操作。解耦其他组件( nova-compute)数据库访问。
    • 2、Nova复杂流程控制,如创建,冷迁移,热迁移,虚拟机规格调整,虚拟机重建。
    • 3、其他组件的依赖。如nova-compute需要依赖nova-conductor启动成功后才能启动成功。
    • 4、其他组件的心跳定时写入。
    • 5、可水平扩展部署(多活)
  • nova-compute:虚拟机生命周期管理、资源管理。——》部署计算节点。(当控制节点也作为计算节点时,也需要部署黜)

    • 1、虚拟机各生命周期操作的真正执行者(会调用对应的hypervisor的driver) 。
    • 2、底层对接不同虚拟化的平台(kvm , vmware ,xen,Fusioncompute , hyperv等)。
  • nova-novncproxy : novnc访问虚拟机代理。——》部署在控制节点。(不重要)

  • nova- conseleauth: novnc访问虚拟机鉴权。——》部署在控制节点。(不重要)

资源池管理

开源:

  1. region:地理上的区域
  2. 可用分区:具备相同的供电、制冷的主机集合,实际上可理解为一个机房
  3. 主机组:具备相同属性的的主机集合,比如,具备SSD的主机的集合

华为:

  1. region:地理上的区域
  2. 可用分区:具备相同网络、存储环境的主机集合,可实现热迁移、HA。隐藏要求:必须是同种虚拟化。比如KVM,或者XEN
  3. 主机组:具备相同属性的的主机集合。隐藏要求:必须是同种虚拟化。比如KVM,或者XEN

在这里插入图片描述

FusionCloud6.3及以后使用KVM,6.3以前使用VRM (XEN)

主机到底是不是一个服务器呢?

1、KVM、XEN等——》一个nova-compute对应一个主机,对应一个服务器。(如图上面的)

2、vsphere(VM公司的)、VRM(早期华为公司基于XEN开发的)——》一对nova-compute对应一套VRM或者vsphere,后端可能有多个CNA,openstack上的一个"主机"对应的是VRM或者vphere上一个集群。集群内可能包含 0~N 服务器 。(如图下面的)

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-1ezSSIfX-1672748301373)(D:\代码笔记\HCIE—Cloud Compueing V2.0\云计算运营\image-20230102202924724.png)]

单点or集群

  • nova-compute部署方式、部署位置
  • 对于KVM、XEN,甚至华为6.3私有云。
  • 对于整套openstack来说,nova-compute是多活,scheduler是可以选择到任意nova-compute。但实际上,对于单个计算节点来说,nova-compute是单点的。

在这里插入图片描述

  • 对于vrm\vcenter来说,部署是xxx-nova-compute。一对主备的xxx-nova-compute对应一个集群。随机部署在两个控制节点上。
  • vrm是fc-nova-compute
  • vcenter是vcenter-nova-compute

在这里插入图片描述

keystone-认证鉴权、服务目录认证鉴权

认证鉴权

  • Domain:域,keystone中资源(project、user.group)的持有者
  • Project:租户,其他组件中资源(计算资源、存储资源、网络资源等)的持有者《华为的区别:6.3以前,domain=组织,project=vdc、租户;6.3及以后,domain区域,project=vdc,最多可以有五级VDC》
  • User:用户,云系统的使用者
  • Group:用户组,可以把多个用户作为一个整体进行角色管理
  • Role:角色,基于角色进行访问控制
  • Trust:委托,把自己拥有的角色临时授权给别人
  • Policy:访问控制策略,定义接口访问控制规则
  • Assignment:授权三元组,一个(actor, target,role)三元组叫一个assignment,actor包括user、group,target包括domain、project。每个assignment代表一次赋权操作
  • Token:令牌,用户访问服务的凭证,代表着用户的账户信息,一般需要包含user信息、scope信息(project、domain或者trust) . role信息。分为PKI,UUID,PKIZ,Fernet几种类型。
    • Token是什么:
      用户向keystone提供一组有效的用户信息,keystone向用户返回一个token。
      Token包含这个用户的信息,用户的角色(role)信息,toKen的作用域(scope), token有效期(expiration)。
      使用这个token可以访问其他openstack服务。为什么使用Token :
      使用token访问api服务比使用用户名密码访问更加方便。
      Token具有有效期,在客户端缓存token比缓存用户名密码更安全。

服务目录

  • Region:区域,在keystone里基本代表一个数据中心
  • Service:服务,一组相关功能的集合,比如计算服务、网络服务、镜像服务、存储服务等
  • Endpoint:必须和一个服务关联,代表这个服务的访问地址,一般一个服务需要提供三种类型的访问地址:public. internal、admin
    • public: 公开,可以给外部用户使用。
    • internal:内部,服务与服务相互访问
    • admin: openstack管理员使用

对象模型

在这里插入图片描述

Token

token在openstack中的使用?

  1. 申请,用户使用用户名密码找keystone进行认证,申请
  2. 使用,用户携带token请求api,api剥离找keystone验证
  3. 在同个服务内,不需要再次验证token。如果跨服务,需要再次验证token

token记录用户名、密码、domain 作用域(domain\project)、有效期。

在这里插入图片描述

token类型

1、uuid

每次验证需要访问keystone服务端。

过程:

client携带用户名密码向keystone申请UUID , keystone生成本地保存一份,向client发送一份,client会保存。client向api发送请求时,会在请求头部携带token。api收到后,剥离向keystone进行验证。keystone与本地保存的token比较。正确200,错误401

优点:

  • 在一定程度解决密码不安全的问题。
  • 相比密码的方式,不用每次都输入密码,便利。

缺点:

  • keystone需要在存储中持久保存一份token,存储压力大。
  • api每次请求,均需要到keystone验证,keystone负载压力大。
2、PKI

PKI: Token验证在客户端即可完成。

原理:非对称算法。公钥、私钥。

公钥加密,需要私钥解密(加密传输)。

私钥加密,需要公钥解密(CA证书)。

银行网站证书颁发机构
apiclient(客户端)keystone

pki token类似于CA证书。

在这里插入图片描述

RabbitMQ-消息队列

注意MQ不是openstack的组件

服务内组件之间的消息全部通过MQ来进行转发,包括控制、查询、监控指标等。

跨服务就用http协议了

MQ优点:解耦服务内各子组件之间的专用连接。

部罢方式:多活部罢

cinder-持久化的块存储服务

cinder架构:

1、cinder-api:对外提供rest api入口;找keystone认证鉴权;记录DB;调用后端组件完成相应请求——》控制节点、多活部署
2、cinder-scheduler:筛选主机。——》控制节点、多活部署

filter:权重:已使用存储空间最少胜出;未使用存储空间最多胜出

3、cinder-volume:通过不同的驱动,对接不同的后端存储。——》计算节点、多活部署
4、cinder- backup:备份功能

在这里插入图片描述

Glance-镜像服务管理

华为里面GLance叫这个个名字——manila文件存储服务
manila-api
manila-scheduler
manila-share与cinder-volume类似,对接后端存储。
提供文件共享服务:CIFS、NFS

glance:镜像管理服务

glance-api:rest api接口,keystone认证鉴权,DB操作,调用其他组件,上传下载镜像。

glance-registy:上传镜像时查询数据库,下载镜像时记录数据库。

两个流程:

上传∶请求API,API调用registry,记录存储位置,返回结果,通过api上传镜像到后端存储中

下载:请求API,API调用registry,查询存储位置,返回结果,通过api到后端存储中下载镜像

neutron-网络服务

(软件定义服务)

Management Network

提供Openstack组件间的内部通信。该网络内的IP地址只有数据中心内部可达。

Data Network
提供云内部VM间数据通信。该网络内的IP地址取决于使用的网络插件程序。

External Network
提供VM与外部Internet间的通信。Internet上的任何人都可以访问该网络内的IP地

API Network
为租户提供包括Networking API在内的所有Openstack API。该网络内的IP地址应该被允许Internet上的任何人可达。该网络基本上与External Network一样,我们甚至可以创建一个external-network子网作为该网络。

架构

一、neutron-server(核心,实现绝大部分控制功能)

二、neutron-xxx-agent (代理,通过相应驱动驱动不同的软件、硬件实现相应的网络服务)

ceilometer-计量、监控服务

特别注意,没有计费功能

  • ceilometer-api
  • ceilometer-collect 收集信息,记录DB
  • ceilometer-agent

1、ceilometer-agent-compute
收集VM的信息(主动调用libvirt API)

2、ceilometer-agent-hardware
收集物理服务器的信息(主动调用host os命令)

3、ceilometer-agent-central
收集openstack组件的信息(主动调用其他组件API)

4、ceilometer-agent-notification
收集MQ的信息(被动监听收集MQ的信息)


http://www.ppmy.cn/news/9004.html

相关文章

【Linux编辑神器:vim】

目录 1. vim的基本概念 2. vim的基本操作 3. vim正常模式命令集 4. vim底行模式命令集 5. 简单vim配置 6 总结 什么是Vi/Vim? vi/vim的区别简单点来说,它们都是多模式编辑器,不同的是vim是vi的升级版本,它不仅兼容vi的所有指令&#xff0…

2023年,我觉得拼夕夕值得去

这一年下来,多少大厂梦破碎了,多少人选择被离开和被留下,都日子不那么好过,但其实结合2022年一整年下来,结合拼夕夕的股价表现,人家一年到头开支节流,人家还不断开新站点,晚会还赞助…

消息服务 + Serverless 函数计算如何助力企业降本提效?

作者:柳下 背景介绍 消息队列服务(下文均以 Message Service 命名)作为云计算 PaaS 领域的基础设施之一,其高并发、削峰填谷的特性愈发受到开发者关注。Message Service 对上承接消息生产者服务的请求,对下连接消费者…

Qt6 中如何使用 qsb

【写在前面】 Qt 5 的图形体系结构非常依赖 OpenGL 作为底层 3D 图形 API。但过去 8 年来随着 Metal 和 Vulkan 的推出,市场发生了巨大变化。现在,Qt 6 加入了大量不同平台的图形 API,以确保用户可以在所有平台上以最高性能运行 Qt。 在 Qt Q…

MySQL高级 SQL优化【插入数据主键优化】

目录 1:SQL优化 1.1:插入数据 1.1.1:insert 1). 优化方案一(批量插入数据) 2). 优化方案二(手动控制事务) 3). 优化方案三 (主键顺序插入,性能要高于乱序插入。) …

echarts图表演示图表演示

eCharts图表演示 比如说,公司现在接一个项目,这个中信银行,针对之前所有的贷款、大 小客户,要做出来图表系统(演示和查看)、报表系统(用来打印)。 郑州的大数据产业局,…

第一章 R语言介绍

1.为何使用R 与起源于贝尔实验室的S语言类似,R也是一种为统计计算和绘图而生的语言和环境,它是一套开源的数据分析解决方案,由一个庞大且活跃的全球性研究型社区维护。但是,市面上也有许多其他流行的统计和制图软件,如…

# 分布式理论协议与算法 第二弹 ACID原则

ACID 原则是在 1970年 被 Jim Gray 定义,用以表示事务操作:一个事务是指对数据库状态进行改变的一系列操作变成一个单个序列逻辑元操作,数据库一般在启动时会提供事务机制,包括事务启动 停止 取消或回滚。 但是上述事务机制并不真…