nova 注入密钥的两种方式

最新推荐文章于 2024-04-21 09:53:33 发布
最新推荐文章于 2024-04-21 09:53:33 发布
阅读量2k 收藏 1
点赞数
分类专栏: openstack
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011816753/article/details/64923699
版权

nova 注入密钥的两种方式:
1、metadata
2、inject file(config dirver)
如下所示:
其中
–meta即虚拟机metadata,其中可以通过metadata的admin_password修改root密码
–file 是注入脚本文件,
–user-data一般也是注入一些脚本内容。
通过设置metadata之后,metadata相关信息会写入数据库,当虚拟机启动的时候,cloud-init会通过curl http://169.254.169.254/latest/user_data/的方式去获取上述设定的一些信息;另一种则是通过将上述信息写入到虚拟机的一块额外的盘中,cloud-init会去调用这个脚本实现虚拟机密码修改(config driver)。
nova/api/openstack/compute/servers.py:532
def create(self, req, body):
“”“Creates a new server for a given user.”“”

    context = req.environ['nova.context']
    server_dict = body['server']
    password = self._get_server_admin_password(server_dict)
    name = common.normalize_name(server_dict['name'])

    if api_version_request.is_supported(req, min_version='2.19'):
        if 'description' in server_dict:
            # This is allowed to be None
            description = server_dict['description']
        else:
            # No default description
            description = None
    else:
        description = name
        ....
        ....
    try:
        inst_type = flavors.get_flavor_by_flavor_id(
                flavor_id, ctxt=context, read_deleted="no")

        (instances, resv_id) = self.compute_api.create(context,
                        inst_type,
                        image_uuid,
                        display_name=name,
                        display_description=description,
                        availability_zone=availability_zone,
                        forced_host=host, forced_node=node,
                        metadata=server_dict.get('metadata', {}),
                        admin_password=password,
                        requested_networks=requested_networks,
                        check_server_group_quota=True,
                        **create_kwargs)

其中相应的user-data和inject-file都在**create_kwargs参数中
nova/compute/api.py:1134

def _create_instance(self, context, instance_type,
           image_href, kernel_id, ramdisk_id,
           min_count, max_count,
           display_name, display_description,
           key_name, key_data, security_groups,
           availability_zone, user_data, metadata, injected_files,
           admin_password, access_ip_v4, access_ip_v6,
           requested_networks, config_drive,
           block_device_mapping, auto_disk_config, filter_properties,
           reservation_id=None, legacy_bdm=True, shutdown_terminate=False,
           check_server_group_quota=False):
    """Verify all the input parameters regardless of the provisioning
    strategy being performed and schedule the instance(s) for
    creation.
    """
    . . .
    base_options, max_net_count, key_pair, security_groups = \
            self._validate_and_build_base_options(
                context, instance_type, boot_meta, image_href, image_id,
                kernel_id, ramdisk_id, display_name, display_description,
                key_name, key_data, security_groups, availability_zone,
                user_data, metadata, access_ip_v4, access_ip_v6,
                requested_networks, config_drive, auto_disk_config,
经过封装之后参数在变量base_options中。
. . .
    instances_to_build = self._provision_instances(context, instance_type,
            min_count, max_count, base_options, boot_meta, security_groups,
            block_device_mapping, shutdown_terminate,
            instance_group, check_server_group_quota, filter_properties,
            key_pair)

    instances = []
    request_specs = []
    build_requests = []
    for rs, build_request, im in instances_to_build:
        build_requests.append(build_request)
        instance = build_request.get_new_instance(context)
        instances.append(instance)
        request_specs.append(rs)

nova/compute/manager.py:1883

def _build_and_run_instance(self, context, instance, image, injected_files,
        admin_password, requested_networks, security_groups,
        block_device_mapping, node, limits, filter_properties):
    image_name = image.get('name')
    self._notify_about_instance_usage(context, instance, 'create.start',
            extra_usage_info={'image_name': image_name})
    compute_utils.notify_about_instance_action(
        context, instance, self.host,
        action=fields.NotificationAction.CREATE,
        phase=fields.NotificationPhase.START)
        . . .
     try:
        rt = self._get_resource_tracker()
        with rt.instance_claim(context, instance, node, limits):
            # NOTE(russellb) It's important that this validation be done
            # *after* the resource tracker instance claim, as that is where
            # the host is set on the instance.
            self._validate_instance_group_policy(context, instance,
                    filter_properties)
            image_meta = objects.ImageMeta.from_dict(image)
            with self._build_resources(context, instance,
                    requested_networks, security_groups, image_meta,
                    block_device_mapping) as resources:
                instance.vm_state = vm_states.BUILDING
                instance.task_state = task_states.SPAWNING
                # NOTE(JoshNang) This also saves the changes to the
                # instance from _allocate_network_async, as they aren't
                # saved in that function to prevent races.
                instance.save(expected_task_state=
                        task_states.BLOCK_DEVICE_MAPPING)
                block_device_info = resources['block_device_info']
                network_info = resources['network_info']
                LOG.debug('Start spawning the instance on the hypervisor.',
                          instance=instance)
                with timeutils.StopWatch() as timer:
                    self.driver.spawn(context, instance, image_meta,
                                      injected_files, admin_password,
                                      network_info=network_info,
                                      block_device_info=block_device_info)
                LOG.info(_LI('Took %0.2f seconds to spawn the instance on '
                             'the hypervisor.'), timer.elapsed(),
                         instance=instance)

接下来进入nova/virt/libvirt/driver.py:2657

def spawn(self, context, instance, image_meta, injected_files,
          admin_password, network_info=None, block_device_info=None):
    disk_info = blockinfo.get_disk_info(CONF.libvirt.virt_type,
                                        instance,
                                        image_meta,
                                        block_device_info)
    injection_info = InjectionInfo(network_info=network_info,
                                   files=injected_files,
                                   admin_pass=admin_password)
    gen_confdrive = functools.partial(self._create_configdrive,
                                      context, instance,
                                      injection_info)
    #创建config driver 即我们平常所见的disk.config,并将相应的注入信息写入盘中。
    self._create_image(context, instance, disk_info['mapping'],
                       injection_info=injection_info,
                       block_device_info=block_device_info)
    #其中注入文件的方式使用的是guestfs.GuestFS类,去连接一个rbd卷,进行修改rbd卷的操作,比如注入密钥其函数使用的是:
def _inject_key_into_fs(key, fs):
"""Add the given public ssh key to root's authorized_keys.

key is an ssh key string.
fs is the path to the base of the filesystem into which to inject the key.
"""

LOG.debug("Inject key fs=%(fs)s key=%(key)s", {'fs': fs, 'key': key})
sshdir = os.path.join('root', '.ssh')
fs.make_path(sshdir)
fs.set_ownership(sshdir, "root", "root")
fs.set_permissions(sshdir, 0o700)

keyfile = os.path.join(sshdir, 'authorized_keys')

key_data = ''.join([
    '\n',
    '# The following ssh key was injected by Nova',
    '\n',
    key.strip(),
    '\n',
])

_inject_file_into_fs(fs, keyfile, key_data, append=True)
fs.set_permissions(keyfile, 0o600)

_setup_selinux_for_keys(fs, sshdir)
#其中fs就是一个guestfs.GuestFS对象,也就是可以对rbd卷操作的一个对象,可以通过这个对象修改系统里面的目录下的一些文件!

    # Required by Quobyte CI
    self._ensure_console_log_for_instance(instance)

    xml = self._get_guest_xml(context, instance, network_info,
                              disk_info, image_meta,
                              block_device_info=block_device_info)
    self._create_domain_and_network(
        context, xml, instance, network_info, disk_info,
        block_device_info=block_device_info,
        post_xml_callback=gen_confdrive,
        destroy_disks_on_failure=True)
    LOG.debug("Instance is running", instance=instance)
    其中post_xml_callback为创建libvirt domain的时候进行config driver的创建
    def _wait_for_boot():
        """Called at an interval until the VM is running."""
        state = self.get_info(instance).state

        if state == power_state.RUNNING:
            LOG.info(_LI("Instance spawned successfully."),
                     instance=instance)
            raise loopingcall.LoopingCallDone()

    timer = loopingcall.FixedIntervalLoopingCall(_wait_for_boot)
    timer.start(interval=0.5).wait()
    之后只需要等待libvitd中虚拟机的运行状态为running之后,修改mysql中的虚拟机状态为active即可。

说明:由于config driver是在创建虚拟机的时候就生成的,相应的metadata也已经注入了,因此无法通过horizon或者nova api去修改metadata来达到修改虚拟机密码
其中:
/var/log/cloud-init.log 可以看到cloud-init目前从哪取数据
使用config driver的时候会在虚拟机中看到一个/dev/vdb,可以通过mount /dev/vdb/ /mnt然后通过查看

ls /mnt/openstack/latest/
-rwxr-xr-x. 1 root root 1885 33 13:35 meta_data.json
-rwxr-xr-x. 1 root root  348 33 13:35 network_data.json
-rwxr-xr-x. 1 root root   60 322 12:47 user_data
-rwxr-xr-x. 1 root root    2 33 13:35 vendor_data.json
youzhangpin
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Nova — 虚拟机密码修改
烟云的计算
12-14 1737
目录 文章目录目录方式 1:User data 密码注入方式 2:Guest-Agent 更新方式 3:重新创建镜像 方式 1:User data 密码注入 $ yum install libguestfs python-libguestfs libguestfs-tools-c $ vi /etc/nova/nova.conf ... [libvirt] inject_password=true inject_key=true inject_partition=-1 $ systemctl resta
Nova boot instance with password
Liu1584266的博客
04-26 289
当不知道image的登陆密码,又要用vnc登陆的时候, cloud-init设置初始密码就及其重要了. 创建一个名为cloud-init.txt的文件,路径暂定/tmp/cloud-init.txt: #cloud-config password: mypasswd chpasswd: { expire: False } ssh_pwauth: True 创建keypaire 假如没有 ...
QQ 数据库密钥注入器(QQ DB Key Injector):解锁数据科学新可能
最新发布
gitblog_00025的博客
04-21 332
QQ 数据库密钥注入器(QQ DB Key Injector):解锁数据科学新可能 项目地址:https://gitcode.com/Mrs4s/qq-db-key-injector 项目简介 QQ DB Key Injector 是一个开源项目,其主要目的是帮助开发者和数据科学家快速、安全地在数据库中注入或测试密钥。此工具旨在简化数据库管理过程中的关键操作,以提高开发效率,并保证数据的安全性。 ...
nova 注入adminpass 添加用户等设置
weixin_30670965的博客
11-01 585
compute node install yum install libguestfs python-libguestfs libguestfs-tools-c compute node config [libvirt] inject_password=true inject_key=true inject_partition=-1 restart nov...
nova 尽然不支持 boot_volume 注入 key 和 passwd
wllabs的专栏
08-10 339
今年想看下新版的nova怎么注入key和passwd的,如果不用cloud init,是否可以使用挂载磁盘并注入方式 结果今天一看代码吓了一跳,竟然有个判断,如果是boot_from_volume 直接不允许挂载。这是出于何种考虑。 那密码怎么办,难道要等机器起来后,在调用qga来设置密码?? if not booted_from_volume: r
nova 注入密码base64 加解密
u011816753的专栏
03-22 617
比如我们要注入一个文件来修改root密码,其中文件内容为:echo "#!/bin/bash\npassword root <<EOF\nYzp@2016\nYzp@2016\nEOF" | base64 得到一个字符串 IyEvYmluL2Jhc2gNCiANCnBhc3N3ZCByb290IDw8RU9GDQpZenBAMjAxNQ0KWXpwQDIwMTUNCkVPRg然后创建虚拟机时制定u
nova-notifications
05-24
新星通知快速链接先决条件Laravel Nova应用程序Laravel广播配置Laravel回声Laravel通知安装通过composer安装composer require mirovit/nova-notifications 。 Laravel将自动注册服务提供商。 您需要在Laravel Nova中...
Nova:即将成为传统的Nova编译器
05-26
Nova是一种轻量级的通用编程语言,可以交叉编译为多种不同的编程语言。 目标 使用生成花式代码分析 提高代码可重用性 生成自然可并行化的代码 确保在各种操作系统上运行的代码之间的平稳过渡 提供统一的异常处理...
华为HUAWEI nova 8 Pro.zip
06-19
【华为HUAWEI nova 8 Pro.zip】是一款与华为nova 8 Pro智能手机相关的压缩文件。这个文件可能包含了与该设备软件更新、固件升级或系统优化相关的组件。接下来,我们将详细探讨其中可能包含的内容及其相关知识点。 1...
nova-toggle:Laravel Nova切换场
05-02
切换场 替换默认布尔字段 安装 ...您可以显示两个或每个状态标签 Toggle :: make ( 'Active' ) -> showLabels () //Both labels -> showOnlyTrueLabel () //True label only -> showOnlyFalseLabel
OpenStack 中的Nova组件详解
01-11
Open Stack Compute Infrastructure (Nova) Nova是OpenStack云中的计算组织控制器。支持OpenStack云中实例(instances)生命周期的所有活动都由Nova处理。这样使得Nova成为一个负责管理计算资源、网络、认证、所需可...
nova boot from volume无法注入密码的hack
weixin_33918357的博客
11-20 119
前面有篇《nova boot from volume代码分析》http://iceyao.blog.51cto.com/9426658/1770927,今天这里看下针对nova boot from volume无法注入密码的简单hack。nova/virt/libvirt/driver.py中_inject_data函数部分代码ifany((key,net,metada...
注入密钥的步骤
zhen_zhen_的博客
09-02 2061
每次使用ssh新建密钥的时候都会或多或少的遇到一些问题:忘记操作等,本次总结一下新建密钥的操作。1.生成密钥对:[linuxr@zhen ~]$ ssh-keygen在接下来的选项中,全部回车,即默认生成 2.将公钥导入授权文件:[linuxr@zhen ~]$ cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys3.查看私钥,可复制到需要的地方去:[li
【安卓逆向】如何简单快速去除云注入(另附MT论坛某佬的方法对比)
热门推荐
许多仙的博客
11-29 1万+
1 需求 因为最近使用的虚拟机突然不能用了,被人云注入强制弹窗,如下图:(这一看就是云注入了) 2 大佬的方法 如图(MT大佬分享的,感兴趣的朋友可以去大佬主页看看他其他文章): 3 总结大佬方法的核心步骤 (1)获取Application类路径 这是第一步,也是非常关键的一步。 根据大佬的描述,我们可以用两种方法去获取(因为它本身是加密的) 1 通过MT的注入日志log来打印出来。 此方法我没试成功,应该是因为我不会注入日志导致的。所以此方法我不做进一步探讨。 2 通过分析smali代码,找到云注入的代
信息安全概率笔记
weixin_44772058的博客
12-17 1932
信息安全概率笔记 第一章(概述) 钟义信教授把信息定义为:事物运动的状态和状态变化的方式 信息的特征: 信息来源于物质,又不是物质本身。 信息也来与精神世界 信息与能量息息相关 信息是具体的并可以被人所感知、提取、识别,可以被传递、储存、变换、处理、显示、检索、复制和共享。 信息的性质 普遍性:只要事物存在就会有信息 无限性:一切事物的运动及运动状态变化都是信息所以信息是无限的. 相对性:对于同一个事物所获取的信息可能不同 传递性:信息可以从时间或空间传到另一个时间或空间 有序性:信息可以消除系统
手把手教你搭建一个简单的 springcloud 项目
weixin_41954142的博客
04-28 8889
一、介绍springcloud 谷歌下更健康~ 二、搭建步骤 1、创建一个maven项目 (1)打开idea,File —> New project —>Maven (2)根据自己的设置,填写下面信息,next (3)这里填好相关路径后,可以选择性添加archetypeCatalog=internal,作用是直接从本地获取项目骨架 建好后的目录如下: ...
openstack 之 nova架构,源码剖析
qq_40115163的博客
08-04 1487
nova是openstack最核心的服务,负责维护和管理云环境的计算资源。因此,云主机的整个生命周期都是由nova负责的。
虚拟机模板信息注入解决方案
weixin_30876945的博客
06-19 331
需求:需要向Windows虚拟机模板镜像中写入特定的信息 写这篇帖子的前提是,当前已经实现了密码和主机名称的注入,密码和主机名称的注入使用的是CloudBaseInit,该方法使用的是远端服务器上设置的数据进行初始化操作对于初始化单一机器的密码很好用,但是对于一个云平台来说会有很多个虚拟主机,所以就要求每个实例有自己特有的密码,不能再使用通用镜像模板进行处理,需要在初始化密码之前给模板镜像提供具...
Nova密钥管理服务设置为ConfKeyManager
05-31
好的,您的要求已经记录下来了。但是请注意,ChitGPT本身并不具备修改系统配置的能力,我只能提供一些参考和建议。所以,您需要自行操作。 要将Nova密钥管理服务设置为ConfKeyManager,您可以按照以下步骤进行操作: 1. 打开Nova的配置文件nova.conf,找到[api]部分,添加以下配置项: ``` key_manager = conf_key_manager ``` 2. 保存并关闭nova.conf配置文件。 3. 重新启动Nova服务。 这样,Nova密钥管理服务就被设置为ConfKeyManager了。 请注意,这种操作可能会对系统产生影响,请在操作之前做好备份,并确保您有足够的权限和技能来完成此操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值