openstack多region配置-单keystone

最新推荐文章于 2024-09-12 15:27:42 发布
最新推荐文章于 2024-09-12 15:27:42 发布
阅读量2.5k 收藏
点赞数 1
分类专栏: 运维 openstack 文章标签: openstack
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wanghuiict/article/details/52678048
版权
使用场景
openstack的region,通常对应地域或地区。例如,北京,上海,深圳的机房各自部署一套openstack系统。在没有region概念的时候,处于不同地理位置的openstack系统可以独立运行,也只能独立运行。从系统运行的角度,让系统保持独立有好处,例如每个系统的规模较小;各系统互不干扰,没有资源依赖;各种资源都在本地获取,使得代价低,性能最优,等等。所以独立运行是合理和自然的方式。不过,从系统管理的角度,管理员仍然希望有一个集中管理的位置,可以监控和操作所有的系统。例如,在一个管理界面上,创建位于不同地域的虚拟机实例。多region平衡了系统运行需求和管理需求。

基本原理
一个openstack系统由多个服务组成,服务之间相对独立又有一定依赖关系。基本的服务有认证服务keystone,镜像服务glance,存储服务cinder,网络服务neutron,计算服务nova等。keystone服务是一个基础服务,其他服务运行需要首先经过keystone认证。在keystone的概念体系中,除了用户,角色之外,还定义了endpoint,即端点。每个端点是一个服务URL引用。各种外部的客户端如何访问openstack服务?用户在经过keystone认证之后,根据服务端点信息,向服务发起REST API调用。openstack的每一种服务也需要在keystone中认证自己。服务通过在配置文件中定义keystone认证URL,用户名,密码,记录所需信息。在keystone支持region之后,允许每一个region定义自己的一套服务端点,包括keystone,glance,cinder,neutron,nova等。通过在一个keystone中定义不同的region,实现对不同区域openstack系统的管理。

多region方案
实现多region,基本思路是keystone服务共用一个,其他服务不变。不同region共用一个keystone服务,只要涉及到访问keystone,都指向同一个keystone端点。其他服务的端点不变,保证对存储,计算资源的访问仍然保留在region本地。


试验环境
两套独立的openstack系统。
第一个系统的控制节点 10.10.44.6 tnhost-44-6
第二个系统的控制节点 10.10.44.7 tnhost-44-7
keystone服务运行在控制节点上。
为了实现多region,这里的方案是,将第二个openstack系统的keystone认证端点,修改为指向第一个openstack系统的keystone服务。
除了两套系统共用一个keystone服务,其他的服务保持各自独立。
第二个系统放在一个新的region分区regionTwo。

注意:在packstack应答文件中有两类密码。
1. keystone用户密码。
packstack的CONFIG_KEYSTONE_IDENTITY_BACKEND参数设置keystone用户密码保存在mysql或ldap
例如neutron用户
# Password to use for OpenStack Networking (neutron) to authenticate with the Identity service.
CONFIG_NEUTRON_KS_PW=d462c5e7c5e74a18
用户有glance,neutron,nova,cinder,heat等。
2. mysql用户密码。
例如neutron用户访问mysql的neutron数据库。
# The password to use for OpenStack Networking to access the database.
CONFIG_NEUTRON_DB_PW=56be9c96255a4ddd
用户有glance,neutron,nova,cinder,heat等。


操作过程
1.  修改  /etc/openstack-dashboard/local_settings。第二个系统的控制节点执行。
OPENSTACK_KEYSTONE_URL = "http://10.10.44.6:5000/v2.0"
重启apache。
# systemctl restart httpd

2. 修改 auth_uri identity_uri  auth_url。第二个系统的控制节点执行。
# find /etc/ -type f -exec sed -i '/^auth_ur[il][[:space:]]*=/s/10.10.44.7/10.10.44.6/' {} \;
# find /etc/ -type f -exec sed -i '/^identity_uri[[:space:]]*=/s/10.10.44.7/10.10.44.6/' {} \;

3. 设置环境变量。 第一个系统的控制节点执行。
设置newregion为新的region名称。设置ansfile为第一个openstack系统生成的packstack应答文件。
# controller1="10.10.44.6"
# controller2="10.10.44.7"
# newregion="regionTwo"
# ansfile="/root/ans-file.txt"
# CONFIG_NEUTRON_KS_PW=$(crudini --get ${ansfile} general CONFIG_NEUTRON_KS_PW); \
 CONFIG_NOVA_KS_PW =$(crudini --get ${ansfile} general CONFIG_NOVA_KS_PW); \
 CONFIG_HEAT_KS_PW =$(crudini --get ${ansfile} general CONFIG_HEAT_KS_PW); \
 CONFIG_GLANCE_KS_PW =$(crudini --get ${ansfile} general CONFIG_GLANCE_KS_PW); \
 CONFIG_CINDER_KS_PW =$(crudini --get ${ansfile} general CONFIG_CINDER_KS_PW)

4. 远程修改第二个系统的配置文件。例如 admin_password等。第一个系统的控制节点执行。
# ssh ${controller2}  " \
 crudini --set /etc/neutron/neutron.conf keystone_authtoken admin_password ${CONFIG_NEUTRON_KS_PW}; \
 crudini --set /etc/nova/nova.conf keystone_authtoken admin_password ${CONFIG_NOVA_KS_PW}; \
 crudini --set /etc/heat/heat.conf keystone_authtoken admin_password ${CONFIG_HEAT_KS_PW}; \
 crudini --set /etc/glance/glance-registry.conf keystone_authtoken admin_password ${CONFIG_GLANCE_KS_PW}; \
 crudini --set /etc/glance/glance-api.conf keystone_authtoken admin_password ${CONFIG_GLANCE_KS_PW}; \
 crudini --set /etc/cinder/cinder.conf keystone_authtoken admin_password ${CONFIG_CINDER_KS_PW}; \
 crudini --set /etc/neutron/neutron.conf keystone_authtoken admin_password ${CONFIG_NEUTRON_KS_PW}; \
 crudini --set /etc/neutron/api-paste.ini filter:authtoken admin_password ${CONFIG_NEUTRON_KS_PW}; \
 crudini --set /etc/neutron/neutron.conf nova password ${CONFIG_NOVA_KS_PW}; \
 crudini --set /etc/neutron/neutron.conf nova region_name ${newregion}; \
 crudini --set /etc/nova/nova.conf neutron password ${CONFIG_NEUTRON_KS_PW}; \
 crudini --set /etc/nova/nova.conf neutron region_name ${newregion}; \
 crudini --set /etc/nova/nova.conf cinder os_region_name ${newregion}; \
 crudini --set /etc/nova/nova.conf cinder endpoint_template   http://${controller2}:8776/v2/%(project_id)s;  \
 "

5.  为新的region创建keystone endpoint。第一个系统的控制节点执行。
# keystone endpoint-create \
 --service-id $(keystone service-list | awk '/ identity / {print $2}') \
 --publicurl http://${controller1}:5000/v2.0 \
 --internalurl http://${controller1}:5000/v2.0 \
 --adminurl http://${controller1}:35357/v2.0 \
 --region ${newregion}

# keystone endpoint-create \
 --service-id $(keystone service-list | awk '/ image / {print $2}') \
 --publicurl http://${controller2}:9292 \
 --internalurl http://${controller2}:9292 \
 --adminurl http://${controller2}:9292 \
 --region ${newregion}

# keystone endpoint-create \
 --service-id $(keystone service-list | awk '/ compute / {print $2}') \
 --publicurl "http://${controller2}:8774/v2/%(tenant_id)s" \
 --internalurl "http://${controller2}:8774/v2/%(tenant_id)s" \
 --adminurl "http://${controller2}:8774/v2/%(tenant_id)s" \
 --region ${newregion}

# keystone endpoint-create \
 --service-id $(keystone service-list | awk '/  computev3 / {print $2}') \
 --publicurl "http://${controller2}:8774/v3" \
 --internalurl "http://${controller2}:8774/v3" \
 --adminurl "http://${controller2}:8774/v3" \
 --region ${newregion}


# keystone endpoint-create \
 --service-id $(keystone service-list | awk '/ network / {print $2}') \
 --publicurl http://${controller2}:9696 \
 --adminurl http://${controller2}:9696 \
 --internalurl http://${controller2}:9696 \
 --region ${newregion}

## 如果是nova network不需要开network endpoint

# keystone endpoint-create \
 --service-id $(keystone service-list | awk '/ volume / {print $2}') \
 --publicurl "http://${controller2}:8776/v1/%(tenant_id)s" \
 --internalurl "http://${controller2}:8776/v1/%(tenant_id)s" \
 --adminurl "http://${controller2}:8776/v1/%(tenant_id)s" \
 --region ${newregion}

# keystone endpoint-create \
 --service-id $(keystone service-list | awk '/ volumev2 / {print $2}') \
 --publicurl "http://${controller2}:8776/v2/%(tenant_id)s" \
 --internalurl "http://${controller2}:8776/v2/%(tenant_id)s" \
 --adminurl "http://${controller2}:8776/v2/%(tenant_id)s" \
 --region ${newregion}

# keystone endpoint-create \
 --service-id $(keystone service-list | awk '/ volumev3 / {print $2}') \
 --publicurl "http://${controller2}:8776/v3/%(tenant_id)s" \
 --internalurl "http://${controller2}:8776/v3/%(tenant_id)s" \
 --adminurl "http://${controller2}:8776/v3/%(tenant_id)s" \
 --region ${newregion}
共用keystoneregion配置
Better Me的博客
05-28 3127
首先声明下,下述配置是用来配置keystone的:  vim /etc/openstack-dashboard/local_settings  所以此次方案中,采用同一个keystone进行统一的身份验证,对应region,其中每个region对应一套openstack: 只需要在后台将对应的keypoint创建好,当然r
openstack------keystone安装部署
IvyXYW的博客
03-10 792
OpenStack-Keystone组件部署注意事项一、创建数据库实例和数据库用户二、安装、配置keystone、数据库、Apache2.1安装keystone、httpd、mod_wsgi初始化认证服务数据库初始化fernet 密钥存储库配置bootstrap身份认证服务配置Apache HTTP服务器创建配置文件开启服务配置管理员账户的环境变量三、创建OpenStack 域、项目、用户和角色创建一个项目(project)创建角色查看openstack 角色列表查看是否可以不指定密码就可以获取到token
openstackregion介绍与实践
weixin_30512785的博客
05-21 391
版权声明:本文为原创文章,转载请注明出处。 概念介绍 所谓openstackregion,就是openstack共享一个keystone和horizon。每个区域一套openstack环境,可以分布在不同的地理位置,只要网络可达就行。个人认为目的就是为了提供环境隔离的功能,选择启虚拟机的时候可以根据自己所处的位置就近选择。 既然提到region了,那不如就此总结下opensta...
Openstack 节点搭建 (O版本)
WILL的博客
11-24 9470
这是自己在搭建openstack过程中所记录的文档,参考着官网的文档,配置的过程非常的繁琐,使用自动化部署openstack会非常的方便,但是初学者还是手动的搭建比较好,能够更好的理解每个组件之间的联系以及各自的作用,所以还是静下心来慢慢配置。官网文档:http://download.csdn.net/download/leoe_/10122362搭建过程一.搭建环境 二.配置keystone组件
openstack合并成一个openstackregion
weixin_33758863的博客
09-07 188
两个 openstack 简称 op1 op2 合并成 op1的region1region2具体实现是直接改数据库,不重新删除 添加endpoint了1、把 op2 数据库中的keystore.endpoint下所有的region1 改为region22、把 op2的 数据库中的keystore.endpoint中所有内容 导入op1数据库中keystore.endp...
OpenStack Region
weixin_34304013的博客
03-14 325
什么是region:简理解为Openstack集群用一套dashboard 来管理。大体架构图: Region的应用场景:1、Openstack 集群位于不同的区域时,可以用Region来管理,比如阿里云的北京地区的云主机、上海区的云主机等2、可用于异构管理,比如当Kvm和Vcenter 同时被Openstack管理时,由于网络、镜像等原因 必须使用独立的环境来纳管,此时使用Regi...
源码安装OpenStack Ussuri ---Keystone
qq_41864617的博客
08-23 1283
源码安装OpenStack Ussuri —Keystone篇 前面我们进行了准备的操作,现在开始源码安装KeystoneKeystone源码已经上传到我的gitee上面了,下面我们直接用这上面的源码 基础组件安装 dnf -y install python3-devel libffi-devel gcc openssl-devel git python3-pip httpd python3-mod_wsgi Keystone安装 从gitee上拉取指定版本源码并安装 git clone http
Openstack组件---KeyStone(2)
f791473571的博客
07-10 505
keystone的四种Token token 是用户的一种凭证,需拿正确的用户名/密码向 Keystone 申请才能得到。如果用户每次都采用用户名/密码访问 OpenStack API,容易泄露用户信息,带来安全隐患。所以 OpenStack 要求用户访问其 API 前,必须先获取 token,然后用 token 作为用户凭据访问 OpenStack API。 Token类型 由来 UUID D 版本时,仅有 UUID 类型的 Token,UUID token 简易用,却容易给 Keyst
openstack入门搭建_flavor = keystone
最新发布
2401_87109462的博客
09-12 1078
参考下面参考桑面的 -verifyadmin/[token]
OpenStack-Stein版本-点架构部署教程
qq_34548852的博客
11-19 615
实验环境准备 网络规划及基础环境准备 初始化基础环境 配置网络 所有节点】:配置管理网卡IP(例如:eth0) # vi /etc/sysconfig/network-scripts/ifcfg-eth0 ----------------------------------------- TYPE=Ethernet BOOTPROTO=static NAME=eth0 DEVICE=eth0 ONBOOT=yes IPADDR=10.10.36.x NETMASK=255.25
openstack 区域部署
IForFree
03-22 516
kolla 部署openstack 区域集群。
OpenStack 中启用 Keystone LDAP 后端
笔尖的痕的专栏
03-12 1405
开源的 OpenStack 项目为构建公共云和私有云提供了一个基础架构即服务(IaaS)层。企业、服务提供商、增值分销商、中小型企业、研究人员和全球数据中心都使用 OpenStack 来部署大型私有云或公共云。 轻量级目录访问协议(LDAP)是一个客户端/服务器协议,用于访问和管理目录信息。许企业应用程序都使用 LDAP 作为用户身份验证的基础。(LDAP 的实现包括 IBM® Tivol
配置OpenStack以使用LDAP实现身份管理
weixin_34343000的博客
01-04 269
本文展示了如何配置 Keystone,以便使用轻量级目录http://www.aliyun.com/zixun/aggregation/34570.html">访问协议( LDAP)服务器作为其身份服务的后端,而不是使用默认的 SQL 后端。 开源的 OpenStack 项目为构建公共云和私有云提供了一个基础架构即服务(IaaS)层。企业、服务提供商、增值分销商、中小型企业、研究...
Keystone LDAP backend
chenwei8280的专栏
10-22 1505
一直以来想看看LDAP在keystone中如何应用的,最近终于静下心来好好的看了一下,keystone曾经有许backends,SQL,memcache, LDAP, KVS等,随着版本的演进,现在的版本主要只支持SQL,与LDAP后端,而且LDAP与只是保留在Identity这一个组件中,且只支持读而不再支持写操作。但是LDAP在企业用的这么广泛,有必要来研究研究keystone是如何LDAP...
openstack计算节点的zone划分
weixin_30498921的博客
05-11 318
初步了解了一些openstack zone的使用方法,觉得比较实用,在此分享给大家:#nova aggregate-list Print a list of all aggregates. # nova aggregate-create <name> <availability-zone> Create a new aggregate named <name...
openstackREGION配置(基于O版)
漫步
11-01 2320
前言有两台openstack环境,都是regionOne ,现在要做的是 将两个region整合在一个dashboard中,其中一个为reginOne,一个为regionTwo 现在已经装好两个环境 10.10.0.73 server73.e3cloud 10.10.0.101 server101.e3cloud.com 计划把101的环境整合到73上,以73的web为主方案步骤首先在
Openstack region
liudongyang123的博客
04-22 2231
OpenStack region管理,就是将地理区域 不再一起的 OpenStack 集中的 一个dashboard里面进行管理,方便管理和资源控制 一.环境准备 我一共对两个版本的OpenStack进行了测试,不管哪一个版本,区域的配置方式是一样的。 1.首先使用RDO Packstack在CentOS 8上安装版本为Victoria的openstack,具体安装参考下面的链接 使用RDO Packstack在CentOS 8上安装版本为Victoria的openstack_liudongy
openstackregion的实现
linglong0820的博客
09-24 5779
1、需求和原理说明有两台openstack环境,都是regionOne ,现在的需求是 将两个region整合在一个dashboard中,其中一个为regino1,一个为region22、环境总览 主机详情 主机 操作系统 openstack版本 原region名 新regions名 10.0.0.101 CentOS Linux release 7.0.1406 (Cor
region介绍与实践
harder_cn的博客
10-25 2425
Region 每个region都有个完整的Openstack部署环境, 有自己的一套服务的endpoint(服务入口)。 不同的region共享一套keystone和horizon来提供访问控制与web操作,regions之间完全隔离,但是regions之间共享同一个keystone和dashboard。 region的实践 openstackregion,就是套op
OpenStackKeystone安装
05-13
安装Keystone之前,您需要确保已经安装并配置好了OpenStack Identity服务所需的依赖项。这些依赖项包括Python、MySQL数据库、Apache HTTP服务器、以及其他一些Python库。如果您还没有安装这些依赖项,请先安装它们。 以下是在Ubuntu 18.04操作系统上安装Keystone的步骤: 1.安装Keystone软件包: ``` sudo apt-get update sudo apt-get install keystone ``` 2.编辑Keystone配置文件/etc/keystone/keystone.conf,将[database]部分中的连接信息修改为您的MySQL数据库连接信息,例如: ``` [database] connection = mysql+pymysql://keystone:PASSWORD@controller/keystone ``` 3.编辑/etc/apache2/sites-available/wsgi-keystone.conf文件,将WSGIScriptAlias行中的/var/www/cgi-bin/keystone修改为/usr/bin/keystone-wsgi-public: ``` WSGIScriptAlias / /usr/bin/keystone-wsgi-public ``` 4.创建一个新的数据库并将权限授予Keystone: ``` sudo mysql -u root -p CREATE DATABASE keystone; GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'localhost' IDENTIFIED BY 'PASSWORD'; GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'%' IDENTIFIED BY 'PASSWORD'; exit ``` 5.初始化Keystone数据库: ``` sudo su -s /bin/sh -c "keystone-manage db_sync" keystone ``` 6.为管理员创建一个新的OpenStack Identity服务用户: ``` export OS_USERNAME=admin export OS_PASSWORD=ADMIN_PASS export OS_PROJECT_NAME=admin export OS_USER_DOMAIN_NAME=Default export OS_PROJECT_DOMAIN_NAME=Default export OS_AUTH_URL=http://controller:5000/v3 export OS_IDENTITY_API_VERSION=3 export OS_IMAGE_API_VERSION=2 ``` 7.创建管理员用户、服务、终端节点和角色: ``` openstack user create --domain default --password-prompt admin openstack role create admin openstack role add --project admin --user admin admin openstack service create --name keystone --description "OpenStack Identity" identity openstack endpoint create --region RegionOne identity public http://controller:5000/v3 openstack endpoint create --region RegionOne identity internal http://controller:5000/v3 openstack endpoint create --region RegionOne identity admin http://controller:35357/v3 ``` 8.重新启动Apache HTTP服务器: ``` sudo service apache2 restart ``` 现在,您已经成功地安装和配置Keystone服务。您可以使用OpenStack命令行工具或其他OpenStack服务来验证Keystone是否正常工作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值