环境
这个部分解释如何按示例架构配置控制节点和一个计算节点
尽管大多数环境中包含认证,镜像,计算,至少一个网络服务,还有仪表盘,但是对象存储服务也可以单独操作。仪表盘要求至少要有镜像服务,计算服务和网络服务。
你必须用有管理员权限的帐号来配置每个节点。可以用 root 用户或 sudo 工具来执行这些命令。
为获得最好的性能,我们推荐在你的环境中符合或超过在 :ref:`figure-hwreqs`中的硬件要求。
以下最小需求支持概念验证环境,使用核心服务和几个:term:`CirrOS`实例:
- 控制节点: 1 处理器, 4 GB 内存, 及5 GB 存储
- 计算节点: 1 处理器, 2 GB 内存, 及10 GB 存储
由于Openstack服务数量以及虚拟机数量的正常,为了获得最好的性能,我们推荐你的环境满足或者超过基本的硬件需求。如果在增加了更多的服务或者虚拟机后性能下降,请考虑为你的环境增加硬件资源。
为了避免混乱和为OpenStack提供更多资源,我们推荐你最小化安装你的Linux发行版。同时,你必须在每个节点安装你的发行版的64位版本。
每个节点配置一个磁盘分区满足大多数的基本安装。但是,对于有额外服务如块存储服务的,你应该考虑采用 :term:`Logical Volume Manager (LVM)`进行安装。
对于第一次安装和测试目的,很多用户选择使用 :term:`virtual machine (VM)`作为主机。使用虚拟机的主要好处有一下几点:
- 一台物理服务器可以支持多个节点,每个节点几乎可以使用任意数目的网络接口。
- 在安装过程中定期进行“快照”并且在遇到问题时可以“回滚”到上一个可工作配置的能力。
但是,虚拟机会降低您实例的性能,特别是如果您的 hypervisor 和/或 进程缺少硬件加速的嵌套虚拟机支持时。
安全
OpenStack 服务支持各种各样的安全方式,包括密码 password、policy 和 encryption,支持的服务包括数据库服务器,且消息 broker 至少支持 password 的安全方式。
为了简化安装过程,本指南只包含了可适用的密码安全。你可以手动创建安全密码,使用`pwgen <http://sourceforge.net/projects/pwgen/>`__工具生成密码或者通过运行下面的命令:
$ openssl rand -hex 10
对 OpenStack 服务而言,本指南使用``SERVICE_PASS`` 表示服务帐号密码,使用``SERVICE_DBPASS`` 表示数据库密码。
下面的表格给出了需要密码的服务列表以及它们在指南中关联关系:
| 密码 |
|
| 密码名称 |
描述 |
| 数据库密码(不能使用变量) |
数据库的root密码 |
| ADMIN_PASS |
admin 用户密码 |
| CEILOMETER_DBPASS |
Telemetry 服务的数据库密码 |
| CEILOMETER_PASS |
Telemetry 服务的 ceilometer 用户密码 |
| CINDER_DBPASS |
块设备存储服务的数据库密码 |
| CINDER_PASS |
块设备存储服务的 cinder 密码 |
| DASH_DBPASS |
Database password for the dashboard |
| DEMO_PASS |
demo 用户的密码 |
| GLANCE_DBPASS |
镜像服务的数据库密码 |
| GLANCE_PASS |
镜像服务的 glance 用户密码 |
| HEAT_DBPASS |
Orchestration服务的数据库密码 |
| HEAT_DOMAIN_PASS |
Orchestration 域的密码 |
| HEAT_PASS |
Orchestration 服务中``heat``用户的密码 |
| KEYSTONE_DBPASS |
认证服务的数据库密码 |
| NEUTRON_DBPASS |
网络服务的数据库密码 |
| NEUTRON_PASS |
网络服务的 neutron 用户密码 |
| NOVA_DBPASS |
计算服务的数据库密码 |
| NOVA_PASS |
计算服务中``nova``用户的密码 |
| RABBIT_PASS |
RabbitMQ的guest用户密码 |
| SWIFT_PASS |
对象存储服务用户``swift``的密码 |
OpenStack和配套服务在安装和操作过程中需要管理员权限。在很多情况下,服务可以与自动化部署工具如 Ansible, Chef,和 Puppet进行交互,对主机进行修改。例如,一些OpenStack服务添加root权限 sudo 可以与安全策略进行交互。更多信息,可以参考 `管理员参考<http://docs.openstack.org/ admin-guide/compute-root-wrap-reference.html>`__ 。
另外,网络服务设定内核网络参数的默认值并且修改防火墙规则。为了避免你初始化安装的很多问题,我们推荐在你的主机上使用支持的发行版本。不管怎样,如果你选择自动化部署你的主机,在进一步操作前检查它们的配置和策略。
主机网络
在你按照你选择的架构,完成各个节点操作系统安装以后,你必须配置网络接口。我们推荐你禁用自动网络管理工具并手动编辑你相应版本的配置文件。更多关于如何配置你版本网络信息内容,参考 documentation 。
出于管理目的,例如:安装包,安全更新, DNS`和 :term:`NTP,所有的节点都需要可以访问互联网。在大部分情况下,节点应该通过管理网络接口访问互联网。为了更好的突出网络隔离的重要性,示例架构中为管理网络使用`private address space <https://tools.ietf.org/html/rfc1918>`__ 并假定物理网络设备通过 :term:`NAT`或者其他方式提供互联网访问。示例架构使用可路由的IP地址隔离服务商(外部)网络并且假定物理网络设备直接提供互联网访问。
在提供者网络架构中,所有实例直接连接到提供者网络。在自服务(私有)网络架构,实例可以连接到自服务或提供者网络。自服务网络可以完全在openstack环境中或者通过外部网络使用:term:NAT 提供某种级别的外部网络访问。
示例架构假设使用如下网络:
- 管理使用 10.0.0.0/24 带有网关 10.0.0.254
这个网络需要一个网关以为所有节点提供内部的管理目的的访问,例如包的安装、安全更新、 D
最低0.47元/天 解锁文章
4761
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
