openstack 【T版】（三）——部署glance组件

一、glance概述

（一）glance镜像服务概念

1.镜像

镜像（Image）又称映像，通常是指一系列文件或一个磁盘驱动器的副本。镜像文件其实和zip压缩包类似，它将特定的一系列文件按照一定的格式制作成单一的文件，以方便用户下载和使用。

2.概念理解

例如：Ghost是使用镜像文件的经典软件，其镜像文件可以包含更多信息，如系统、引导文件、分区表信息等，这样镜像文件就可以包含一个分区甚至是一块硬盘所有信息。Ghost可基于镜像文件快速安装操作系统和应用程序（比如VMware的虚拟机模板）

（二）镜像服务

镜像服务就是用来管理镜像的，让用户能够发现、获取（使用）和保存镜像，在openstack中提供镜像服务的是glance，其主要功能如下：
（发现：查询能识别， 获取：使用）

• 查询和获取镜像的元数据和镜像本身
• 注册和上传虚拟机镜像，包括镜像的创建、上传、下载和管理
• 维护镜像信息，包括元数据和镜像本身
• 支持多种方式储存镜像，包括普通文件系统、swift、amazon S3等
• 对虚拟机实例执行创建快照命令来创建新的镜像，或者备份虚拟机的状态

（三）Image API的版本

glance提供的RESTful API目前有两个版本：API v1和 API v2

• v1只提供基本的镜像和成员操作功能，包括镜像创建、删除、下载、列表、详细信息查询、更新，以及镜像租户成员的创建、删除和列表
• v2除了支持v1的所有功能外，主要增加了镜像位置的添加、删除、修改，元数据和名称空间操作,以及镜像标记操作

两个版本对镜像存储支持相同，v1从N版开始已经过时，迁移路径使用v2进行替代

（四）镜像格式

1.虚拟机镜像文件磁盘格式

格式类型	说明
raw	无结构的磁盘格式，以二进制形式储存的方式 优点：访问速度非常快 /缺点:不支持动态扩容、前期消耗多
vhd	该格式通用于VMware、Xen、VirtualBox以及其他虚拟机管理程序
vhdx	vhd格式的增强版本，支持更大的磁盘尺寸
vmdk	一种比较通用的虚拟机磁盘格式
vdi	由VirtualBox虚拟机监控程序和QEMU仿真器支持的磁盘格式
iso	用于光盘(CD-ROM)数据内容的档案格式
ploop	由Virtuozzo支持，用于运行OS容器的磁盘格式
qcow2	由QEMU仿真支持，可动态扩展，支持写时复制(Copy on Write)的磁盘格式
aki	在Glance中存储的Amazon内核格式
ari	在Glance中存储的Amazon虚拟内存盘(Ramdisk)格式
ami	在Glance中存储的Amazon机器格式

2.镜像文件容器格式

格式类型	说明
bare	没有容器或元数据“信封”的镜像
ovf	开放虚拟化格式
ova	在Glance中存储的开放虚拟化设备格式
aki	在Glance中存储的Amazon内核格式
ari	在Glance中存储的Amazon虚拟内存盘(Ramdisk)格式
Docker	在Glance中存储的容器文件系统的Dockerd的tar档案

==注意：==如果不能确定选择哪种容器格式，那么简单地容器格式指定为bare是安全的

（五）镜像状态1

上传成功前的状态

• queued ：这是一种初始化状态，镜像文件刚被创建，在Glance数据库只有其元数据，镜像数据还没有上传至数据库中，先上传元数据，再上传镜像本身；表明镜像由元数据和镜像本身组成
• saving ：是镜像的原始数据在上传到数据库中的一种过渡状态，表示正在上传镜像，上传数镜像本身的数据过程
• uploading ：指示已进行导入数据提交调用，此状态下不允许调用PUT/file (saving状态会执行PUT/file,这是另外一种上传的方法)，数据已上传，正在注册识别
• importing： 指示已经完成导入调用，但是镜像还未准备好使用，以注册识别成功，但是还无法使用

(六)镜像状态2

上传成功后的状态

• active（企业常见） 表示当镜像数据成功上传完毕，成为Glance中可用的镜像，表示可以用了，正常状态
• deactivated 表示任何非管理员用户都无权访问镜像数据，禁止下载镜像，也禁止镜像导出和镜像克隆之类的操作，非管理员用户无法使用镜像数据，(例如：服务器维护)
• killed 表示镜像上传过程中发生错误，镜像不可读
  镜像本身没有上传完整，上传过程中由于网络等原因中断过导致数据丢失
• deleted（企业常见） 镜像将在不久后被自动删除，该镜像不可再用但是目前Glance仍然保留该镜像的相关信息和原始数据，删除后，可以被恢复
• pending_delete 与deleted相似，Glance还没有清除镜像数据，但处于该状态的镜像不可恢复，删除后，不可以被恢复

（七）访问权限

Public(公共的)）：可以被所有的项目使用
Private (私有的) ：只有被镜像所有者所在的项目使用
Shared(共享的) ：一个非共有的镜像可以共享给其他项目，这是通过项目成员(member-*)操作来实现的
Protected(受保护的) ：这种镜像不能被删除

（八）glance架构图

1.client：客户端/请求体，是glance服务应用程序使用者（可以是openstack命令行工具、horizon或nova服务）

2.Glance-api：是系统后台运行的服务进程，是进入glance的入口，它对外提供rest api，统一的交互入口；负责接收用户的 RESTful请求、响应请求镜像查询、获取和存储的调用

3.glance-registry：是系统后台运行的glance注册服务进程，负责处理和镜像元数据相关的RESTful请求，元数据
3.1)glance DB模块存储的是镜像的元数据，可以选用MYSQL、MariaDB、SQLife等数据库，镜像的元数据通过glance-registry存放在数据库中。注意，镜像本身（chunk数据）是通过glance存储驱动存放到各种存储后端中

4.store backend：Glance 自己并不存储 image。它将镜像本身的数据存放在后端存储系统中。镜像本身数据通过glance_store存放在各种后端，并从中获取。支持本地储存、对象存储、RBD块设备、Sheepdog冯部式存储、Cinder块存储、VMware数据储存。具体哪种backend，是在/etc/glance/glance-api.conf中配置的 [glance_store]

（九）工作流程

1）Openstck的操作都需要经Keystone进行身份认证（AuthN）并授权（AuthN），Glance也不例外。Glance是一个C/S架构，提供一个REST API，用户就通过RESTAPI来执行镜像的各种操作。Glance Domain Controller是一个主要的中间件，相当于调度器，作用是将Glance内部服务的操作分发到以下各个功能层。

2)Auth(授权):用来控制镜像的访问权限，决定镜像自己或者它的属性是否可以被修改，只有管理员或镜像的拥有者才可以执修改操作。roperty Protection(属性保护):这是个可选层,要在Glance配置文件中设置了
property_protection_file参数才会生效。它提供两种类型的镜像属性，一种是核心属性，在镜像参数中指定;另一种是元数据属性，可以被附加到一个镜像上的任一键值对。该层通过调用Glance的public API管理对meta属性的访问，也可以在配置文件中限制该访问。

3)Notifier(消息通知):将镜像变化的消息和使用镜像时发生的错误和警告添加到消息队列中。

4）Policyx(规则定义):定义镜像操作的访问规则，这些规则在/etc/policy.json文件中定义，该层对其进行监视并实施。

5）Quota(配额限制):如果管理员对某用户定义了镜像大小的镜像上传上限，则该用户上传了超过该限额的镜像时会上传失败。

6）Location(定位):通过glance_store与后台存储进行交互，例如上传、下载镜像，管理镜像存储位置。该层还能够在添加新位置时检查位置URI是否正确;镜像位置改变时删除存储后端保存的镜像数据;防止镜像位置重复。

7）DB(数据库):实现与数据库进行交互的API，一方面将镜像转换为相应的格式以存储在数据库中，另一方面将从数据库读取的信息转换为可操作的镜像对象。

8）Registry Layer(注册层):是一个可选层，通过使用单独的服务控制Glance Domain Controller与GlanceDB之间的安全交互。

9）Glance DB:是Glance服务使用的核心库，该库对Glance内部所有依赖数据库的组件是共享的。(这个库是存一些元数据信息的，不是真正存镜像的数据库)

10）Glance Store:用来组织处理Glance和各种存储后端的交互，提供了一个统一的接口来访问后端的存储。所有的镜像文件操作都是通过调用Glance Store库来执行的，它负责与外部存储端或本地文件存储系统的交互

二、OpenStack-glance的组件部署

为openstack安装glance的组件，全部在控制节点上操作
CT VM:192.168.100.20 NAT:192.168.190.20

1.创建数据库实例和数据库用户

mysql -u root -p

CREATE DATABASE glance;
GRANT ALL PRIVILEGES ON glance.* TO 'glance'@'localhost' IDENTIFIED BY 'GLANCE_DBPASS';
GRANT ALL PRIVILEGES ON glance.* TO 'glance'@'%' IDENTIFIED BY 'GLANCE_DBPASS';
flush privileges;
exit

2.创建用户、修改配置文件

2.1创建OpenStack的Glance用户

创建用户前，需要首先执行管理员环境变量脚本（此处已经在~/.bashrc 中定义过了）

#创建glance用户
openstack user create --domain default --password GLANCE_PASS glance

#将glance用户添加到service项目中，并且针对这个项目拥有admin权限；注册glance的API，需要对service项目有admin权限
openstack role add --project service --user glance admin

#创建一个service服务，service名称为glance，类型为image；创建完成后可以通过 openstack service list 查看
openstack service create --name glance --description "OpenStack Image" image

2.2 创建镜像服务 API 端点，OpenStack使用三种API端点代表三种服务：admin、internal、public

openstack endpoint create --region RegionOne image public http://ct:9292
openstack endpoint create --region RegionOne image internal http://ct:9292
openstack endpoint create --region RegionOne image admin http://ct:9292

3.安装 openstack-glance 软件包

yum -y install openstack-glance

3.1修改glance配置文件，glance有两个配置文件：/etc/glance/glance-api.conf

/etc/glance/glance-registry.conf

cp -a /etc/glance/glance-api.conf{,.bak}
grep -Ev '^$|#' /etc/glance/glance-api.conf.bak > /etc/glance/glance-api.conf

3.2添加glance-api.conf配置

openstack-config --set /etc/glance/glance-api.conf database connection mysql+pymysql://glance:GLANCE_DBPASS@ct/glance
openstack-config --set /etc/glance/glance-api.conf keystone_authtoken www_authenticate_uri http://ct:5000
openstack-config --set /etc/glance/glance-api.conf keystone_authtoken auth_url http://ct:5000
openstack-config --set /etc/glance/glance-api.conf keystone_authtoken memcached_servers ct:11211
openstack-config --set /etc/glance/glance-api.conf keystone_authtoken auth_type password
openstack-config --set /etc/glance/glance-api.conf keystone_authtoken project_domain_name Default
openstack-config --set /etc/glance/glance-api.conf keystone_authtoken user_domain_name Default
openstack-config --set /etc/glance/glance-api.conf keystone_authtoken project_name service
openstack-config --set /etc/glance/glance-api.conf keystone_authtoken username glance
openstack-config --set /etc/glance/glance-api.conf keystone_authtoken password GLANCE_PASS
openstack-config --set /etc/glance/glance-api.conf paste_deploy flavor keystone
openstack-config --set /etc/glance/glance-api.conf glance_store stores file,http
openstack-config --set /etc/glance/glance-api.conf glance_store default_store file
openstack-config --set /etc/glance/glance-api.conf glance_store filesystem_store_datadir 

执行后的结果

[root@ct ~]# cat /etc/glance/glance-api.conf
[DEFAULT]
[cinder]
[cors]
[database]
connection = mysql+pymysql://glance:GLANCE_DBPASS@ct/glance
#连接mysql+pymysql数据库，使用glance用户，密码GLANCE_DBPASS在ct节点上登入glance数据库
[file]
[glance.store.http.store]
[glance.store.rbd.store]
[glance.store.sheepdog.store]
[glance.store.swift.store]
[glance.store.vmware_datastore.store]
[glance_store]
stores = file,http		#file:文件 http：基于api调用的方式，把镜像放到其他存储上
default_store = file	#默认的存储类型 
filesystem_store_datadir =/var/lib/glance/images/		#指定镜像存放的本地目录
[image_format]
[keystone_authtoken]		#keystone认证模块
www_authenticate_uri = http://ct:5000		#指定认证的keystone的uri;uri为一大类,包括url
auth_url = http://ct:5000		#url和uri都是ct控制节点的500端口
memcached_servers = ct:11211	#指定缓存令牌的服务器ct11211端口
auth_type = password			#认证类型：password密码
project_domain_name = Default	#项目域名：default
user_domain_name = Default		#使用者域名：default
project_name = service			#项目名：serverice 登入的用户名要对项目有admin权限，所以之前授予glance用户service项目admin权限
username = glance				#用户名：glance
password = GLANCE_PASS			#密码：GALNCE_PASS
[oslo_concurrency]
[oslo_messaging_amqp]
[oslo_messaging_kafka]
[oslo_messaging_notifications]
[oslo_messaging_rabbit]
[oslo_middleware]
[oslo_policy]
[paste_deploy]			#指定提供认证的服务keystone
flavor = keystone
[profiler]
[store_type_location_strategy]
[task]
[taskflow_executor]

3.3修改glance-registry.conf 配置文件

cp -a /etc/glance/glance-registry.conf{,.bak}
grep -Ev '^$|#' /etc/glance/glance-registry.conf.bak > /etc/glance/glance-registry.conf

3.4添加glance-registry.conf 配置（传参部分就演示了）

openstack-config --set /etc/glance/glance-registry.conf database connection mysql+pymysql://glance:GLANCE_DBPASS@ct/glance
openstack-config --set /etc/glance/glance-registry.conf keystone_authtoken www_authenticate_uri   http://ct:5000
openstack-config --set /etc/glance/glance-registry.conf keystone_authtoken auth_url  http://ct:5000
openstack-config --set /etc/glance/glance-registry.conf keystone_authtoken memcached_servers  ct:11211
openstack-config --set /etc/glance/glance-registry.conf keystone_authtoken auth_type  password
openstack-config --set /etc/glance/glance-registry.conf keystone_authtoken project_domain_name  Default
openstack-config --set /etc/glance/glance-registry.conf keystone_authtoken user_domain_name  Default
openstack-config --set /etc/glance/glance-registry.conf keystone_authtoken project_name  service
openstack-config --set /etc/glance/glance-registry.conf keystone_authtoken username  glance
openstack-config --set /etc/glance/glance-registry.conf keystone_authtoken password  GLANCE_PASS
openstack-config --set /etc/glance/glance-registry.conf paste_deploy flavor  keystone

执行后的结果

[root@ct ~]# cat /etc/glance/glance-registry.conf
[DEFAULT]
[database]
connection = mysql+pymysql://glance:GLANCE_DBPASS@ct/glance
[keystone_authtoken]
www_authenticate_uri = http://ct:5000
auth_url = http://ct:5000
memcached_servers = ct:11211
auth_type = password
project_domain_name = Default
user_domain_name = Default
project_name = service
username = glance
password = GLANCE_PASS
[oslo_messaging_amqp]
[oslo_messaging_kafka]
[oslo_messaging_notifications]
[oslo_messaging_rabbit]
[oslo_policy]
[paste_deploy]
flavor = keystone
[profiler]
[root@ct ~]# 

4.初始化glance数据库，生成相关表结构；（不管有多少个controler，只需要初始化一次即可）

su -s /bin/sh -c "glance-manage db_sync" glance		#初始化glance数据库，生成相关表，无论有控制节点，只需初始化一次

5.开启glance服务（此处开启之后会生成存放镜像的目录/var/lib/glance/image）

systemctl enable openstack-glance-api.service
systemctl start openstack-glance-api.service

6.查看端口

netstat -natp | grep 9292
#或（lsof需要安装）
yum -y install lsof
lsof -i:9292

7.赋予openstack-glance-api.service服务对存储设备的可写权限（-h：只对符号连接/软链接的文件修改)

chown -hR glance:glance /var/lib/glance/

8.测试是否部署成功

cirros-0.3.5-x86_64-disk.img

8.1镜像导入

先上传cirros镜像到控制节点的/root，然后导入glance，最后查看是否创建成功

openstack image create --file cirros-0.3.5-x86_64-disk.img --disk-format qcow2 --container-format bare --public cirros
#-------------------#
--file 指定镜像名称
--disk-format 指定磁盘格式
--container-format 指定容器格式
--public 指定公共区域，所有人都可用
cirros 指定建立的image的名称

8.2查看镜像的两种方式

openstack image list
或
glance image-list