openstack服务运维案例

一、使用NFS作为glance服务后端

(1) 修改主机名

[root@nfs-server ~]# hostnamectl set-hostname nfs-server

(2) 安装nfs

[root@nfs-server ~]# yum -y install nfs-utils
[root@nfs-server ~]# yum -y install rpcbind

(3) nfs服务配置

创建一个nfs共享文件夹共享目录：

[root@nfs-server ~]# mkdir /mnt/test

编辑nfs配置文件：

[root@nfs-server ~]# vi /etc/exports/mnt/test *(rw,no_root_squash)
[root@nfs-server ~]# exportfs -r

(4) nfs服务启动

[root@nfs-server ~]# systemctl start nfs
[root@nfs-server ~]# systemctl start rpcbind

nfs-server端查看可挂载目录，命令如下:

[root@nfs-server ~]# showmount -e 10.26.21.40
Export list for 10.26.21.40:
/mnt/test *

至此，NFS服务的Server端配置完毕，接下来要让Controller节点作为NFS的Client端，配置Glance服务的后端存储使用NFS服务。

(5) 配置nfs作为glance服务后端

5.1 配置controller节点作为nfs-client端

安装nfs：

[root@controller ~]# yum -y install nfs-utils

5.2 挂载目录

在挂载目录之前，必须要弄清楚一件事情，就是Glance服务的后端存储在哪里，或者说，使用glance image-create命令上传的镜像会被存放到哪里。镜像会被存放到/var/lib/glance/images目录下，关于这个路径，感兴趣的读者可以自行上传镜像测试。 知道了Glance的存储路径，就可以挂载该目录到NFS服务了，命令如下:

[root@controller ~]# mount -t nfs 10.26.21.40:/mnt/test /var/lib/glance/images/         #此处ip为nfs服务器ip
[root@controller ~]# df -h
Filesystem             Size  Used Avail Use% Mounted on
devtmpfs               5.8G     0  5.8G   0% /dev
tmpfs                  5.8G  4.0K  5.8G   1% /dev/shm
tmpfs                  5.8G   17M  5.8G   1% /run
tmpfs                  5.8G     0  5.8G   0% /sys/fs/cgroup
/dev/vda1               50G  3.7G   47G   8% /
/dev/loop0              10G   33M   10G   1% /swift/node/vda6
tmpfs                  1.2G     0  1.2G   0% /run/user/0
10.26.21.40:/mnt/test   40G  852M   40G   3% /var/lib/glance/images
[root@controller ~]#

5.3 修改配置

在做完挂载操作后，此时Glance服务还不能正常使用，若使用glance image-create命令上传镜像的话，会报错，因为此时images目录的用户与用户组不是glance，而是root，需要把images目录的用户与用户组进行修改，命令如下

[root@controller ~]# cd /var/lib/glance/
[root@controller glance]# chown glance:glance images/
[root@controller glance]#

这个时候，Glance服务就可以以正常使用了，使用cirros镜像进行测试，将cirros-0.3.4-x86 64-diskimg上传至Controller节点，并上传，命令如下:

[root@controller ~]# source /etc/keystone/admin-openrc.sh 
[root@controller ~]# glance image-create --name cirros --disk-format qcow2 --container-
format bare --progress < cirros-0.3.4-x86_64-disk.img 
[=============================>] 100%
··········

可以看到上传镜像成功。查看images目录下的文件，命令如下：

[root@controller ~]# ll /var/lib/glance/images/
total 12980
-rw-r----- 1 glance glance 13287936 Dec 31 09:32 03bdf00d-a279-41fe-a2a6-0496fa0dcea7
[root@controller ~]# 

然后回到nfs-server节点，查看/mnt/test下的文件，命令如下：

[root@nfs-server ~]# ls /mnt/test/
03bdf00d-a279-41fe-a2a6-0496fa0dcea7
[root@nfs-server ~]#

二、rabbitmq服务优化

RabbitMQ的连接数是压垮消息队列的一个重要的指标。所以在平时使用OpenStack平台的过程中，如果大量的用户同时创建虚拟机，会导致云平台创建报错，其实就是消息队列服务的崩溃。 在优化方面，我们首先想到，是将RabbitMQ服务默认的连接数量改大，修改方法如下

(1) 系统级别修改

编辑/etc/sysctl.conf文件：

[root@controller ~]# vi /etc/sysctl.conf
fs.file-max = 10240

(2) 用户级别修改

用户级别修改，编辑/etc/security/limits.conf配置文件，具体命令如下:

[root@controller ~]# vi /etc/security/limits.conf           # 在最后添加以下内容：
openstack soft nofile 10240
openstack hard nofile 10240

(3) 修改rabbitmq配置：

修改RabbitMQ服务的Service配置文件rabbitmqserver.service，具体命令如下：

[root@controller ~]# vi /usr/lib/systemd/system/rabbitmq-server.service         #在service字段添加以下内容：
LimitNOFILE=10240
[root@controller ~]# systemctl daemon-reload
[root@controller ~]# systemctl restart rabbitmq-server

重启完毕后查看rabbitmq最大连接数

[root@controller ~]# rabbitmqctl status
…………
{file_descriptors,
     [{total_limit,10140},
      {total_used,79},
      {sockets_limit,9124},
      {sockets_used,77}]},

三、openstack平台开放镜像权限

(1) 创建租户

登录OpenStack平台，创建租户deyA和deyB，并且在这两个租户下各创一个用户userA和userB的普通用户，使用命令查看，命令如下：

[root@controller ~]# source /etc/keystone/admin-openrc.sh 
[root@controller ~]# openstack project create --domain demo deyA
[root@controller ~]# openstack user create --domain demo --password 123456 userA
[root@controller ~]# openstack role add --project deyA --user userA user
[root@controller ~]# openstack user create --domain demo --password 123456 userB
[root@controller ~]# openstack role add --project deyB --user userB user

使用命令查询租户列表信息和用户列表信息，命令代码如下所示:

[root@controller ~]# source /etc/keystone/admin-openrc.sh 
[root@controller ~]# openstack project list
+----------------------------------+---------+
| ID                               | Name    |
+----------------------------------+---------+
| 0b6f2d0be1d342e09edc31dc841db7a5 | admin   |
| 32bb0b4849bc405a82aed64b7c0072fe | demo    |
| 5b60063daf044c61ae4edf51cb6aeb5b | deyB    |
| 7586a4927a9b44d1957a77c5d9daeeef | deyA    |
| b47586b9fe8845c0b65ac944616cb934 | service |
+----------------------------------+---------+
[root@controller ~]# openstack user list
+----------------------------------+-------------------+
| ID                               | Name              |
+----------------------------------+-------------------+
| 89f8027475294689ae6c0183fa35bf5a | admin             |
| df883f8abb124254a4e04138e92ebad6 | demo              |
| 5f149fe240114fb5ae43e6d9ea3585c9 | glance            |
| c12e3ae6719f4145b45890b4f32b1bde | placement         |
| 214fedb287114f2d8bf09bbb665369bd | nova              |
| a22d0df83e564c17a618429a136aa46d | neutron           |
| 70fd527b01f141d091d240b17ffa7532 | cinder            |
| 38fca0a11172451ebd4fdd34bab4a62c | swift             |
| c099073d62754032937dfd422e5253a1 | heat              |
| ff8b9ec030ba4de8a7b4fd847c94c3c3 | heat_domain_admin |
| d35395e5ae554a5ea0fb5c2b5dbb2ba7 | ceilometer        |
| 90deb816e8ee4ff7ae28d342f6074127 | gnocchi           |
| 761b461915464665a29780738d9bb5fa | aodh              |
| 2d8554f24c04452c8ffa9aa216a7c484 | zun               |
| e9227d1e10c24ab2872b549157b4d376 | kuryr             |
| 6a0958e6e55e4513a5f2451db007a2cc | octavia           |
| 77bba8c0d46c44578b8831e3d704ca97 | manila            |
| 9f7da13262e44bf58c1bf29ee0318c81 | cloudkitty        |
| 38ac5cab65974983b6a01be246e665a9 | barbican          |
| 18a126b49d8d422bb5af112fad28b732 | userA             |
| baff3e161a3047628ff01b6fa3873837 | userB             |
+----------------------------------+-------------------+
[root@controller ~]# 

可以看见用户和租户都存在

(2) 上传镜像

[root@controller ~]# glance image-create --name cirros --disk-format qcow2 --container-
format bare --progress < cirros-0.3.4-x86_64-disk.img 
[=============================>] 100%
……

上传镜像后，userA和userB都不能看到该镜像。接下来做相关配置，使得A租户中的用户可以看到该镜像

(3) 权限配置

首先将镜像共享给A租户，命令格式为glance member-create<image id> <project id>，命令如下所示

[root@controller ~]# glance member-create b615c2bf-57c7-4223-8c6f-9e08d9e80609  7586a49
27a9b44d1957a77c5d9daeeef 
+--------------------------------------+----------------------------------+---------+
| Image ID                             | Member ID                        | Status  |
+--------------------------------------+----------------------------------+---------+
| b615c2bf-57c7-4223-8c6f-9e08d9e80609 | 7586a4927a9b44d1957a77c5d9daeeef | pending |
+--------------------------------------+----------------------------------+---------+
[root@controller ~]#

在共享之后，镜像的状态是pending状态，此时还需要激活镜像，命令格式为：glance member-update <image id> <member id>命令如下:

[root@controller ~]# glance member-update b615c2bf-57c7-4223-8c6f-9e08d9e80609  7586a49
27a9b44d1957a77c5d9daeeef accepted
+--------------------------------------+----------------------------------+----------+
| Image ID                             | Member ID                        | Status   |
+--------------------------------------+----------------------------------+----------+
| b615c2bf-57c7-4223-8c6f-9e08d9e80609 | 7586a4927a9b44d1957a77c5d9daeeef | accepted |
+--------------------------------------+----------------------------------+----------+
[root@controller ~]#

此时镜像的状态就变为了accepted，切换至userA账户中查看镜像列表信息，命令如下所示:

[root@controller ~]# export OS_PROJECT_NAME=deyA
[root@controller ~]# export OS_USERNAME=userA
[root@controller ~]# export OS_PASSWORD=123456
[root@controller ~]# glance image-list
+--------------------------------------+--------+
| ID                                   | Name   |
+--------------------------------------+--------+
| b615c2bf-57c7-4223-8c6f-9e08d9e80609 | cirros |
+--------------------------------------+--------+
[root@controller ~]# 

通过这种方式，可以使用管理员设置不同租户对不同镜像的访问权限。

四、openstack平台对接堡垒机

表1 IP规划表

IP	主机名	节点
10.26.6.85	jumpserver	openstack堡垒机节点
10.26.20.75	controller	openstack controller节点
10.26.24.42		桌面化测试节点

(1) 修改主机名

[root@jumpserver ~]# hostnamectl set-hostname jumpserver

(2) 关闭防火墙和selinux

[root@jumpserver ~]# vi /etc/selinux/config 
SELINUX=disabled
[root@jumpserver ~]# setenforce 0
[root@jumpserver ~]# iptables -F
[root@jumpserver ~]# iptables -X
[root@jumpserver ~]# iptables -Z
[root@jumpserver ~]# /usr/sbin/iptables-save 
# Generated by iptables-save v1.4.21 on Sun Dec 31 11:26:38 2023
*filter
:INPUT ACCEPT [33:2740]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [17:1988]
COMMIT
# Completed on Sun Dec 31 11:26:38 2023
[root@jumpserver ~]# 

(3) 配置本地yum源

[root@jumpserver ~]# curl -O http://mirrors.douxuedu.com/competition/jumpserver.tar.gz      
[root@jumpserver ~]# tar -zxvf jumpserver.tar.gz -C /opt/
[root@jumpserver ~]# cat >> /etc/yum.repos.d/jumpserver.repo << EOF
> [jumpserver]
> name=jumpserver
> baseurl=file:///opt/jumpserver-repo
> gpgcheck=0
> enable=1
> EOF
[root@jumpserver ~]# yum repolist
Loaded plugins: fastestmirror
Loading mirror speeds from cached hostfile
jumpserver                                                      | 2.9 kB  00:00:00     
jumpserver/primary_db                                           | 4.2 kB  00:00:00     
repo id                                 repo name                                status
jumpserver                              jumpserver                               2
repolist: 2
[root@jumpserver ~]# 

(4) 安装依赖库

安装python数据库，命令如下：

[root@jumpserver ~]# yum -y install python2
安装Docker环境，命令如下:

[root@jumpserver ~]# cp -rf /opt/docker/* /usr/bin/
[root@jumpserver ~]# chmod 775 /usr/bin/docker*
[root@jumpserver ~]# cp -rf /opt/docker.service /etc/systemd/system/
[root@jumpserver ~]# chmod 755 /etc/systemd/system/docker.service 
[root@jumpserver ~]# systemctl daemon-reload
[root@jumpserver ~]# systemctl enable docker --now
Created symlink from /etc/systemd/system/multi-user.target.wants/docker.service to /etc
/systemd/system/docker.service.
[root@jumpserver ~]# docker --version
Docker version 18.06.3-ce, build d7080c1
[root@jumpserver ~]# docker-compose --version
docker-compose version 1.27.4, build 40524192
[root@jumpserver ~]# 

(5) 安装Jumpserver

加载Jumpserver服务组件镜像：

[root@jumpserver ~]# cd /opt/images/
[root@jumpserver images]# sh load.sh    # 等几分钟

创建Jumpserver服务组件目录，命令如下:

[root@jumpserver images]# mkdir -p /opt/jumpserver/{core,koko,lion,mysql,nginx,redis}
[root@jumpserver images]# cp -rf /opt/config/ /opt/jumpserver/

生效环境变量static.env，使用所提供的脚本up.sh启动Jumpserver服务，命令如下：

[root@jumpserver images]# cp -rf /opt/config/ /opt/jumpserver/
[root@jumpserver images]# cd /opt/compose/
[root@jumpserver compose]# source /opt/static.env 
[root@jumpserver compose]# sh up.sh 
Creating network "jms_net" with driver "bridge"
Creating jms_mysql ... done
Creating jms_redis ... done
Creating jms_core  ... done
Creating jms_koko   ... done
Creating jms_luna   ... done
Creating jms_lion   ... done
Creating jms_lina   ... done
Creating jms_celery ... done
Creating jms_nginx  ... done
[root@jumpserver compose]# 

使用浏览器访问http://10.26.17.138，Jumpserver Web登录 (admin/admin)

1、登录成功后，会提示设置新密码

2、登录平台后，单机页面右上角下拉菜单切换中文

3、使用管理员admin用户登录Jumpserver管理平台，单击左侧导航栏，展开“资产管理“项目，选择管理用户”，单击右侧”创建”按钮

4、创建远程连接用户，用户名为root密码为”Abc1234”，单击“提交”按钮进行创建

5、选择“系统用户”，单击右侧”创建”按钮，创建系统用户，选择主机协议”SSH”，设置用户名root,密码为服务器SSH密码并单击”提交”按钮

6、单击左侧导航栏，展开”资产管理“项目，选择”资产列表”，单击右侧”创建”按钮

7、创建资产，将云平台主机 (controller) 加入资产内，管理用户选择root，节点选择Default

8、单击左侧导航栏，展开“权限管理“项目，选择"资产授权”，单击右侧”创建”按钮，创建资产授权规则

9、单击右上角管理员用户下拉菜单，选择”用户界面

10、如果未出现Default项目下的资产主机，单击收藏夹后”刷新”按钮进行刷新

11、单击左侧导航栏，选择”Web终端”进入远程连接页面

12、单击左侧Default，展开文件夹，单击controller主机，右侧成功连接主机