云计算导论：概念架构与应用（微课版）（第2版） 课件 3.5 OpenStack核心技术

3.5OpenStack核心技术武志学目录OpenStack核心项目01计算服务02块存储03网络服务04镜像服务05对象存储06OpenStack核心项目简介01Nova逻辑架构Nova基于无共享、消息传递架构，核心组件包括API服务器、计算、卷、网络控制器及调度器，各组件协同工作以管理云平台资源。Nova物理架构Nova支持单节点至多节点分布式部署，灵活适应不同规模云计算需求，其管理网、数据网、存储网等架构支持大规模生产环境。Nova运行架构Nova通过其标准化API接口接收并处理创建虚拟机请求，经过调度后，由相关守护进程在物理机上执行部署，确保虚拟机实例的创建。Nova功能概述Nova作为OpenStack的核心计算组件，主要功能包括运行虚拟机实例、管理网络，并通过用户和项目来控制对云端的访问。计算服务OpenStack核心项目Cinder专注于块存储服务，为虚拟机提供快速创建、挂载、回收及快照备份控制，其前身是nova-volume。Cinder功能概述Cinder支持多种存储管理方式，包括LVM、NFS和iSCSI，这些方式均继承自VolumeDriver基类或其子类。Cinder存储方式Cinder由cinder-api、cinder-scheduler、cinder-volume和cinder-backup组成，分别负责调度、存储管理和备份。Cinder服务组件010302块存储Cinder存储分为本地块存储、SAN存储和分布式存储等多种后端存储类型，默认支持LinuxLVM，并扩展至NFS。Cinder存储类型04Neutron网络功能Neutron为OpenStack提供网络虚拟化，支持复杂网络拓扑，实现多租户隔离，添加安全组与路由服务。Neutron网络组件Neutron通过Controller、Network及Compute节点部署网络服务，包括创建虚拟网络、管理路由器和DHCP。租户网络创建流程利用Neutron为租户创建网络涉及内网、子网、路由器、连接外网及子网配置，确保网络隔离与安全。OpenStack网络划分OpenStack部署包含公共、数据与管理三种网络，分别负责外网连接、虚拟机数据传输及模块间通信。网络服务01020304镜像创建与管理Glance允许用户上传自定义镜像，并通过API进行新增、删除、更新等操作，同时设置镜像的公开性，以满足多样化需求。Glance功能概述Glance作为OpenStack的镜像管理服务，核心职责是高效处理镜像的存储、检索与注册，确保虚拟机创建流程的顺畅。Glance架构概览Glance架构由APIServer和RegistryServer构成，前者提供API接口，后者则负责镜像的注册管理，共同确保服务的稳定运行。Glance后端存储Glance支持多种后端存储方案，如Swift、文件系统、AmazonS3等，能够灵活适应不同的存储需求和环境配置。镜像服务Keystone功能概述身份认证体系Keystone核心功能API安全性增强Keystone作为OpenStack的身份认证服务，负责用户身份验证、服务规则制定及服务令牌管理。Keystone构建了完善的身份认证体系，确保只有经过验证的用户才能访问OpenStack的各类服务。Keystone管理Domains、Projects、Users、Groups和Roles，为OpenStack其他服务提供安全认证机制。通过Keystone的身份认证服务，OpenStackAPI的安全性得到了有效保障，降低了未授权访问的风险。身份认证服务仪表盘项目Horizon功能定位Horizon作为OpenStack的Web管理门户，旨在简化用户对OpenStack服务的操作体验，提升用户工作效率。非核心项目Horizon虽为OpenStack重要UI界面，但不属核心项目，因其功能可由其他UI取代，不影响OpenStack运行。定制化支持Horizon提供了良好的定制化支持，允许用户根据需求调整界面和功能，以更好地满足特定工作环境和需求。用户操作简化通过Horizon仪表盘，用户可以轻松完成启动实例、分配IP地址、配置访问控制等任务，无需深入了解OpenStack复杂命令行工具。计算服务02Nova通过项目与镜像资源池化管理，实现计算资源的灵活分配与快速响应。基于无共享、消息传递的架构，Nova确保系统状态的一致性与分布式存储。Nova由API、Compute、Volume、Network、Scheduler等组件构成，各组件协同实现计算资源池化管理。Nova采用RabbitMQ实现组件间通信，支持异步调用与高效资源调度，确保系统高并发下的稳定运行。逻辑架构计算资源池化无共享架构组件功能异步通信逻辑架构Nova的核心组件nova-api组件：为所有的外部调用提供服务。用户不仅可以使用OpenStackAPI，还可以通过EC2API使用和管理云计算资源，包括查询资源状态、初始化大部分部署活动（如运行实例），以及实施一些策略（如配额检查）。nova-compute组件：负责管理虚拟机实例，包括虚拟机实例的创建、终止、迁移、调整等操作nova-volume组件：主要负责映射到计算机实例的卷的创建、附加和取消。nova-network组件：负责操作和管理网络。它从队列中接收网络任务，并控制虚拟机的网络，包括给虚拟机分配IP地址、创建BridgingInterfaces、改变IPTables规则、为对象配置VLAN、实现安全组和计算节点的网络等QueueServer组件：为各个组件的守护进程传递消息，目前使用RabbitMQ实现nova-scheduler组件：负责调度虚拟机，也就是决定在哪台资源可用的物理服务器上创建新的虚拟机实例。调度算法既有比较简单的，如Chance（随机主机分配）、Simple（最少负载）和Zone（一个可用区域中的随机节点），也有比较复杂的，如分布式调度算法和异构主机感知调度算法运行架构运行架构作为Nova对外的标准化接口，接收并初步处理创建虚拟机的请求，驱动相关子模块协同工作。NovaAPINova子模块如Compute、Network、Volume通过各自的API提供服务，相互调用以协同完成虚拟机创建任务。子模块协作利用RabbitMQ等消息传递系统，Nova组件间实现高效通信与异步操作，确保系统组件间解耦与扩展性。消息传递机制API使用数据库来维护资源数据模型。守护进程主要维护状态信息，如虚拟机状态、网络资源状态等。守护进程之间只能通过API进行调用。状态数据库02040103创建虚拟机实例流程创建虚拟机实例流程创建虚拟机

：调用nova-api创建虚拟机接口，nova-api对参数进行解析和初步校验后，调用compute-api创建虚拟机接口，compute-api根据虚拟机参数（如CPU、内存、磁盘、网络、安全组等）信息，访问数据库，创建虚拟机实例记录的数据模型。调度：compute-api通过远程过程调用将创建虚拟机的基础信息封装成消息，发送至消息中间件的指定消息队列Scheduler。选择物理机：接收到创建虚拟机的消息后，nova-scheduler根据当前集群Zone、计算节点资源利用率等，通过一定的调度算法，选择一台物理主机（如物理主机A）进行部署，将虚拟机的基本信息和所属物理机的信息发送至消息中间件的指定消息队列。部署虚拟机：物理主机A上的nova-compute守护程序接收到消息后，根据虚拟机的基本信息开始创建虚拟机。分配IP地址：nova-compute调用network-api分配网络IP地址。分配网络：nova-network根据内网资源池，结合DHCP，实现IP地址分配和IP地址绑定。分配存储：nova-compute调用volume-api实现存储划分。分布式部署Nova自设计之初便采用分布式部署策略，有效支持大规模云计算平台的构建需求，提升系统高并发处理能力。管理网与数据网Nova多节点部署中，管理网负责控制流，数据网处理数据流，保障控制与信息的安全隔离与高效传输。块存储与对象存储Nova的块存储服务（如Cinder）与对象存储服务（如Swift）协同，为云计算提供多样化的数据存储解决方案。多节点灵活扩展从单节点到多节点，Nova支持多种部署方式，灵活适应不同规模与性能要求的云计算环境。物理架构01020304物理架构服务器节点的类型块存储03Cinder的功能与服务Cinder存储服务Cinder的服务Cinder的前身Cinder的功能是提供存储服务，根据实际需要快速为虚拟机提供块存储设备的创建、挂载、回收及快照备份控制等。Cinder的前身是nova-volume，在OpenStack中，实例是不能持久化的，实现持久化的方法是使用Volume，即挂载Volume之后，在Volume中实现持久化。Cinder的服务主要包括cinder-api、cinder-scheduler、cinder-volume和cinder-backup。cinder-volume负责实现实际的块存储管理功能。Cinder的功能与服务Cinder的功能与服务01Cinder的调度器调度器cinder-scheduler负责调度功能，根据需要选择合适的存储服务器，并将消息发送至cinder-volume节点，由cinder-volume提供存储服务。02Cinder的备份cinder-backup提供卷的备份管理功能，现在一般使用Swift作为存储后端，从而确保数据的安全性与完整性。Cinder的存储管理方式Cinder存储方式Cinder为块数据提供了多种存储管理方式，如LVM、NFS和iSCSI等，这些存储方式均位于cinder/volume/drivers目录下。实现存储的方式Cinder的灵活性要实现特定的存储方式，只需要继承VolumeDriver基类或类似的iSCSIDriver子类，便可实现特定的存储方式。Cinder支持多种后端存储类型，包括本地块存储、SAN存储和分布式存储，使得存储解决方案更加灵活多样。123Cinder存储的后端存储类型默认通过LVM支持Linux操作系统，为开发者提供了便捷的本地存储解决方案，从而满足各种应用场景的需求。本地块存储通过NFS协议支持网络附接存储（NAS），如NetApp，为开发者提供了高效的网络存储解决方案，以满足大规模数据存储需求。SAN存储支持Sheepdog、Ceph和IBM的GPFS等，为开发者提供了高性能的分布式存储系统，以实现数据的分布式存储与同步。分布式存储网络服务04OpenStack的3种网络公共网络管理网络数据网络作为OpenStack部署的核心，公共网络是连接外网与内部虚拟机及服务的桥梁。用户API调用、虚拟机访外网、外网SSH连虚拟机，均通过此网络实现。虚拟机间数据传输的专用通道。无论是虚拟机之间的连接，还是虚拟机与虚拟路由之间的通信，均依赖数据网络完成，确保数据传输的安全与高效。OpenStack模块交互、数据库连接、消息传递的基石。管理网络在OpenStack部署中扮演着至关重要的角色，为系统组件之间的通信提供稳定可靠的连接。OpenStack的3种网络和Neutron的组成接收API请求，创建网络、子网、路由器等。其创建的结果仅仅是在数据库中存储描述这些虚拟网络设备的数据结构。Neutron的组成Controller节点负责创建管理虚拟路由器、DHCP服务器及二层交换机。它与neutron-server协同，实现虚拟网络的灵活配置与高效运行。Network节点Compute节点的进程是neutron-openvswitch-plugin-agent，用于创建二层的交换机。在Compute节点上，虚拟机的网卡也连接到二层的交换机上。Compute节点租户网络创建过程创建内网为这个租户创建一个内网，不同的内网通过VLAN标签进行隔离，不同内网之间的广播不会互相影响。这里使用的是GRE模式，需要一个类似VLANID的标签，称为SegmentID。租户网络创建过程创建内网子网为内网创建一个子网，子网用于配置IP地址网段。对于内网，常用的网段是192.168.0.0/24。此网段内，虚拟机等将获唯一IP，实现内网高效通信与广播管理。创建路由器为这个租户创建一个路由器，虚拟机只有通过路由器才能访问外网。将内网连接到路由器将前面创建的内网连接到新创建的路由器上，这样连接到该内网的虚拟机就可以通过该路由器访问外网。。创建外网子网创建一个外网子网，这个子网逻辑上代表了数据中心的物理网络，通过这个物理网络可以访问外网。将路由器连接到外网将租户路由器接入外网，实现内外网全面联通。创建外网创建一个外网，用来与刚刚创建的路由器连接，以便能与连接到同一个路由器的内网相连接。。租户网络创建过程镜像服务05Glance的主要部分APIServerGlanceDBRegistryServerStoreAdapterGlance的APIServer负责接收和响应镜像管理命令的请求，分析消息请求信息，并分发其所带的命令。Glance的RegistryServer是镜像注册系统，接收并处理元数据命令，如获取、更新等，为Glance提供核心注册功能。GlanceDB作为Glance的核心组件之一，专用于与数据库MySQL进行高效交互，确保数据的存储与检索准确无误。GlanceStoreAdapter是存储适配层，支持多种后端存储方案，如Swift、FileSystem、AmazonS3等，实现存储的灵活性。Glance的整体架构Glance的整体架构镜像管理APIGlanceAPI接收客户端请求，分析后转发至注册表及后端存储，处理新增、删除、更新等镜像管理命令。镜像注册表存储适配层GlanceRegistry接收并处理镜像元数据命令，如获取、更新等，与GlanceDB协作，确保元数据准确性。GlanceStoreAdapter根据配置选择后端存储，如Swift、FileSystem等，实现虚拟机镜像的实际存储。123Glance支持的存储方案Glance支持Swift等分布式对象存储系统，适用于大规模数据中心的虚拟机镜像存储，提供高并发访问能力。分布式对象存储OpenStack的块存储系统Cinder是Glance的一个后端存储选项，为虚拟机镜像提供高性能的存储服务。块存储系统Glance默认使用后端文件系统作为镜像存储后端，适合中小规模数据中心的虚拟机环境。文件系统对象存储06基本概念与层次结构逻辑结构采用层次数据模型，设三层账户、容器、对象，节点数无限制，任意扩展。层次结构账户用于顶层隔离机制，可以被多个用户账户共同使用；容器代表一组对象，类似文件夹或目录；终端节点代表对象，由元数据和内容两部分组成。账户与容器账户数据库能列出所有容器，容器数据库能列出所有对象，访问时直接使用容器或对象，无需通过数据库，数据直接存储于对象，支持多种元数据。基本概念与层次结构整体架构与组件功能代理节点存储节点认证节点对外提供对象服务API，根据请求路径使用环（Ring）机制计算出用户请求应转发给哪个存储节点的相应账户、容器或对象服务进行处理；代理节点采用无状态的REST请求协议，可以