OpenStack 基本组件

核心组件

1.控制台

服务名称：Dashboard

项目名称：Horizon

提供的功能：web 方式管理云平台、建立云主机、安全组、云盘。

2.计算

服务名称：计算

项目名称：Nova

提供的功能： 负责响应虚拟机的创建、调度、销毁。

3.网络

服务名称：网络

项目名称：Neutron

提供的功能： 实现网络虚拟化，提供一整套 API，用户可以基于这套 API 定义专属网络，不同厂商之间可以基于此 API 提供自己的产品实现。

存储项目

1.对象存储

服务名：对象存储

项目名：Swift

功能：REST风格的接口和扁平的数据组织结构。RESTFUL HTTP API来保存和访问任意非结构化数据，ring环的方式实现数据自动复制和高度可以扩展架构，保证数据的高度容错和可靠性

2.块存储

服务名：块存储

项目名：Cinder

功能：提供持久化块存储，即为云主机提供附加云盘。

共享服务项目

1.认证服务

服务名：认证服务

项目名：Keystone

功能：为访问openstack各组件提供认证和授权功能，认证通过后，提供一个服务列表（存放你有权访问的服务），可以通过该列表访问各个组件。

2.镜像服务

服务名：镜像服务

项目名：Glance

功能：为云主机安装操作系统提供不同的镜像选择

3.计费服务

服务名：计费服务

项目名：Ceilometer

功能：收集云平台资源使用数据，用来计费或者性能监控

高层服务项目

1.编排服务

服务名：编排服务

项目名：Heat

功能：自动化部署应用，自动化管理应用的整个生命周期.主要用于Paas

OpenStack 新建虚拟机流程

虚拟机启动过程如下：

• 界面或命令行通过RESTful API向keystone获取认证信息。

• keystone通过用户请求认证信息，并生成auth-token返回给对应的认证请求。

• 界面或命令行通过RESTful API向nova-api发送一个boot instance的请求（携带auth-token）。

• nova-api接受请求后向keystone发送认证请求，查看token是否为有效用户和token。

• keystone验证token是否有效，如有效则返回有效的认证和对应的角色（注：有些操作需要有角色权限才能操作）。

• 通过认证后nova-api和数据库通讯。

• 初始化新建虚拟机的数据库记录。

• nova-api通过rpc.call向nova-scheduler请求是否有创建虚拟机的资源(Host ID)。

• nova-scheduler进程侦听消息队列，获取nova-api的请求。

• nova-scheduler通过查询nova数据库中计算资源的情况，并通过调度算法计算符合虚拟机创建需要的主机。

• 对于有符合虚拟机创建的主机，nova-scheduler更新数据库中虚拟机对应的物理主机信息。

• nova-scheduler通过rpc.cast向nova-compute发送对应的创建虚拟机请求的消息。

• nova-compute会从对应的消息队列中获取创建虚拟机请求的消息。

• nova-compute通过rpc.call向nova-conductor请求获取虚拟机消息。（Flavor）

• nova-conductor从消息队队列中拿到nova-compute请求消息。

• nova-conductor根据消息查询虚拟机对应的信息。

• nova-conductor从数据库中获得虚拟机对应信息。

• nova-conductor把虚拟机信息通过消息的方式发送到消息队列中。

• nova-compute从对应的消息队列中获取虚拟机信息消息。

• nova-compute通过keystone的RESTfull API拿到认证的token，并通过HTTP请求glance-api获取创建虚拟机所需要镜像。

• glance-api向keystone认证token是否有效，并返回验证结果。

• token验证通过，nova-compute获得虚拟机镜像信息(URL)。

• nova-compute通过keystone的RESTfull API拿到认证k的token，并通过HTTP请求neutron-server获取创建虚拟机所需要的网络信息。

• neutron-server向keystone认证token是否有效，并返回验证结果。

• token验证通过，nova-compute获得虚拟机网络信息。

• nova-compute通过keystone的RESTfull API拿到认证的token，并通过HTTP请求cinder-api获取创建虚拟机所需要的持久化存储信息。

• cinder-api向keystone认证token是否有效，并返回验证结果。

• token验证通过，nova-compute获得虚拟机持久化存储信息。

• nova-compute根据instance的信息调用配置的虚拟化驱动来创建虚拟机。

参考资料

视频教程

keystone

keystone 是 OpenStack 用来做认证的一个组件

基本概念

User：指使用Openstack service的用户，可以是人、服务、系统，但凡使用了Openstack service的对象都可以称为User。

Project(Tenant)：可以理解为一个人、或服务所拥有的 资源集合 。在一个Project(Tenant)中可以包含多个User，每一个User都会根据权限的划分来使用Project(Tenant)中的资源。比如通过Nova创建虚拟机时要指定到某个Project中，在Cinder创建卷也要指定到某个Project中。User访问Project的资源前，必须要与该Project关联，并且指定User在Project下的Role。

Role：用于划分权限。可以通过给User指定Role，使User获得Role对应的操作权限。Keystone返回给User的Token包含了Role列表，被访问的Services会判断访问它的User和User提供的Token中所包含的Role。系统默认使用管理Role admin和成员Role member 。

Policy：OpenStack对User的验证除了OpenStack的身份验证以外，还需要鉴别User对某个Service是否有访问权限。Policy机制就是用来控制User对Tenant中资源(包括Services)的操作权限。对于Keystone service来说，Policy就是一个JSON文件，默认是/etc/keystone/policy.json。通过配置这个文件，Keystone Service实现了对User基于Role的权限管理。

Token：是一个字符串表示，作为访问资源的令牌。Token包含了在 指定范围和有效时间内 可以被访问的资源。EG. 在Nova中一个tenant可以是一些虚拟机，在Swift和Glance中一个tenant可以是一些镜像存储，在Network中一个tenant可以是一些网络资源。Token一般被User持有。

Credentials：用于确认用户身份的凭证

Authentication：确定用户身份的过程

Service：Openstack service，即Openstack中运行的组件服务。

Endpoint：一个可以通过网络来访问和定位某个Openstack service的地址，通常是一个URL。比如，当Nova需要访问Glance服务去获取image 时，Nova通过访问Keystone拿到Glance的endpoint，然后通过访问该endpoint去获取Glance服务。我们可以通过Endpoint的region属性去定义多个region。Endpoint 该使用对象分为三类：

• admin url –> 给admin用户使用，Post：35357

• internal url –> OpenStack内部服务使用来跟别的服务通信，Port：5000

• public url –> 其它用户可以访问的地址，Post：5000

创建完service后创建API EndPoint. 在openstack中，每一个service都有三种end points. Admin, public, internal。 Admin是用作管理用途的，如它能够修改user/tenant(project)。 public 是让客户调用的，比如可以部署在外网上让客户可以管理自己的云。internal是openstack内部调用的。三种endpoints 在网络上开放的权限一般也不同。Admin通常只能对内网开放，public通常可以对外网开放internal通常只能对安装有openstack对服务的机器开放。

1. 用户登录keystone系统（password或者token的方式），获取一个临时的token和catalog服务目录（v3版本登录时，如果没有指定scope，project或者domain，获取的临时token没有任何权限，不能查询project或者catalog）。

2. alice通过临时token获取自己的所有的project列表。

3. alice选定一个project，然后指定project重新登录，获取一个正式的token，同时获得服务列表的endpoint，用户选定一个endpoint，在HTTP消息头中携带token，然后发送请求（如果用户知道project name或者project id可以直接第3步登录）。

4. 消息到达endpoint之后，由服务端（nova）的keystone中间件（pipeline中的filter：authtoken）向keystone发送一个验证token的请求。（token类型：uuid需要在keystone验证token，pki类型的token本身是包含用户详细信息的加密串，可以在服务端完成验证）

5. keystone验证token成功之后，将token对应用户的详细信息，例如：role，username，userid等，返回给服务端（nova）。

6. 服务端（nova）完成请求，例如：创建虚拟机。

7. 服务端返回请求结果。

Glance

Nova 和 cinder

nova主要组成:

nova-api

nova-scheduler

nova-compute

nova-conductor

cinder主要组成:

cinder-api

cinder-scheduler

cinder-volume

cinder各组件功能：

Cinder-api 是 cinder 服务的 endpoint，提供 rest 接口，负责处理 client 请求，并将 RPC 请求发送至 cinder-scheduler 组件。

Cinder-scheduler 负责 cinder 请求调度，其核心部分就是 scheduler_driver, 作为 scheduler manager 的 driver，负责 cinder-volume 具体的调度处理，发送 cinder RPC 请求到选择的 cinder-volume。

Cinder-volume 负责具体的 volume 请求处理，由不同后端存储提供 volume 存储空间。目前各大存储厂商已经积极地将存储产品的 driver 贡献到 cinder 社区