服务hosts文件内容

Openstack部署FortiGateVMOpenstack部署FortiGateVM版本V1.
0时间2016年6月版本作者王祥状态反馈support_cn@fortinet.
comOpenstack部署FortiGateVM目录1OpenStack简介.
52版本说明.
63部署架构.
74部署OpenStack.
84.
1基本环境.
84.
1.
1密码设定.
84.
1.
2防火墙.
94.
1.
3主机名和hosts文件.
94.
1.
4网络时间协议(NTP)104.
1.
5Openstack包.
114.
1.
6SQL数据库.
114.
1.
7消息队列.
124.
1.
8Memcached.
124.
2身份认证服务.
134.
2.
1KeystoneV3基本概念.
134.
2.
2安装前准备144.
2.
3安装和配置Keystone154.
2.
4创建服务实体和API端点.
164.
2.
5创建域、项目、用户和角色174.
2.
6验证操作.
184.
2.
7创建OpenStack客户端环境脚本.
184.
3镜像服务.
204.
3.
1Glance基本概念.
204.
3.
2安装和配置Controller节点.
214.
3.
3验证操作.
234.
4Compute服务.
244.
4.
1安装和配置Controller节点.
24Openstack部署FortiGateVM4.
4.
2安装和配置Compute节点264.
4.
3验证操作.
284.
5网络服务.
294.
5.
1安装和配置Controller节点.
294.
5.
2安装和配置Network节点.
324.
5.
3安装和配置Compute节点364.
5.
4操作验证.
384.
6Horizon服务.
394.
6.
1安装和配置Horizon.
394.
6.
2操作验证.
404.
7块存储服务.
414.
7.
1安装和配置Controller节点.
414.
7.
2安装和配置存储节点434.
7.
3操作验证.
464.
8Orchestration服务474.
8.
1Heat基本概念474.
8.
2安装前准备474.
8.
3安装和配置Orchestration.
494.
8.
4操作验证.
515启动OpenStack实例.
525.
1登录dashboard525.
2创建项目和用户.
535.
3上传镜像.
555.
4创建云主机类型.
565.
5创建公网网络.
575.
6创建租户网络.
595.
7权限和安全配置.
605.
8创建一个centos7实例.
62Openstack部署FortiGateVM5.
9创建用户数据文件.
625.
10创建FortiGateKVM实例.
645.
10.
1手动创建FortiGateKVM实例645.
10.
2Cloud-init创建FortiGateKVM实例665.
10.
3Heat模板创建FortiGateKVM实例.
675.
11登录centos7实例705.
11.
1密钥对方式705.
11.
2Cloud-init方式726Cloud-init736.
1基本概念.
736.
2Metadata获取.
737实例数据流.
75Openstack部署FortiGateVM1OpenStack简介OpenStack是一个由NASA(美国国家航空航天局)和Rackspace合作研发并发起的,以Apache许可证授权的自由软件和开放源代码项目.
OpenStack是一个开源的云计算管理平台项目,通过各种互补的服务提供了基础设施即服务(IaaS)的解决方案,每个服务提供API以进行集成,包括Computeservice,Identityservice,Networkingservice,Imageservice,BlockStorageservice,ObjectStorageservice,Telemetryservice,Orchestrationservice等.
OpenStackservices服务项目名称描述DashboardHorizon提供了一个基于web的自服务门户,与OpenStack底层服务交互,诸如启动一个实例,分配IP地址以及配置访问控制.
ComputeNova在OpenStack环境中计算实例的生命周期管理.
按需响应包括生成、调度、回收虚拟机等操作.
NetworkingNeutron确保为其它OpenStack服务提供网络连接即服务,比如OpenStack计算.
为用户提供API定义网络和使用.
基于插件的架构其支持众多的网络提供商和技术.
存储ObjectStorageSwift通过一个RESTful,基于HTTP的应用程序接口存储和任意检索的非结构化数据对象.
它拥有高容错机制,基于数据复制和可扩展架构.
它的实现并像是一个文件服务器需要挂载目录.
在此种方式下,它写入对象和文件到多个硬盘中,以确保数据是在集群内跨服务器的多份复制.
BlockStorageCinder为运行实例而提供的持久性块存储.
它的可插拔驱动架构的功能有助于创建和管理块存储设备.
共享服务IdentityserviceKeystone为其他OpenStack服务提供认证和授权服务,为所有的OpenStack服务提Openstack部署FortiGateVM供一个端点目录.
ImageserviceGlance存储和检索虚拟机磁盘镜像,OpenStack计算会在实例部署时使用此服务.
TelemetryCeilometer为OpenStack云的计费、基准、扩展性以及统计等目的提供监测和计量.
高层次服务OrchestrationHeat既可以使用本地:term:`HOT`模板格式,亦可使用AWSCloudFormation模板格式,来编排多个综合的云应用,通过OpenStack本地RESTAPI或者是CloudFormation相兼容的队列API.
2版本说明系统版本:CentOS7.
0OpenStack的每个主版本系列以字母表顺序(A~Z)命名,以年份及当年内的排序做版本号,从第一版的Austin到目前最新的Mitaka,共经历了13个主版本.
FortiGateKVM的版本格式如下:xxx.
out:用于升级已有的FortiGate-VM软件版本xxx.
out.
kvm.
zip:其解压后得到QCOW2文件用于KVM创建新FortiGate_VMxxx.
deb.
kvm.
zip:其解压后得到QCOW2文件是FortiGate_VM的debug版本本次部署的版本如下:系统版本:CentOS7.
0OpenStack版本:MitakaFortiGateKVM版本:FGT_VM64_KVM-v5-build1064-FORTINET.
out.
kvmOpenstack部署FortiGateVM3部署架构该架构基于OpenStackNeutron网络虚拟化部署模式,部署以下4个节点:ControllerNode:主要是OpenStack控制者,运行身份认证服务,镜像服务,仪表盘,管理部分计算和网络服务,通过MessageQueue系统与其他节点进行沟通,同时还是提供SQL数据库和NTP这样的支撑服务.
NetworkNode:主要是提供OpenStack网络虚拟化服务,包括L2,L3及DHCPAgent服务等.
还可以提供一些七层的网络服务,如FWaas,LBaas等.
ComputeNode:主要是提供OpenStack运算虚拟化服务Hypervisor,可以提供KVM,XEN,QEMU等虚拟化技术.
BlockStorageNode:主要提供块存储给虚拟机使用.
Openstack部署FortiGateVM4部署OpenStack官网mitaka版本部署指南:http://docs.
openstack.
org/mitaka/install-guide-rdo/4.
1基本环境OpenstackMitaka版本部署指南:http://docs.
openstack.
org/mitaka/install-guide-rdo/4.
1.
1密码设定OpenStack服务使用SERVICE_PASS表示服务帐号密码,使用SERVICE_DBPASS表示数据库密码.
下面的表格给出了需要密码的服务列表以及它们的关联关系:密码密码描述数据库密码(novariableused)数据库root密码ADMIN_PASSadmin用户密码CEILOMETER_DBPASSTelemetry服务的数据库密码CEILOMETER_PASSTelemetry服务的ceilometer用户密码CINDER_DBPASS块设备存储服务的数据库密码CINDER_PASS块设备存储服务的cinder密码DASH_DBPASSDatabasepasswordforthedashboardDEMO_PASSdemo用户的密码GLANCE_DBPASS镜像服务的数据库密码GLANCE_PASS镜像服务的glance用户密码HEAT_DBPASSOrchestration服务的数据库密码Openstack部署FortiGateVM密码密码描述HEAT_DOMAIN_PASSOrchestration域的密码HEAT_PASSOrchestration服务的``heat``用户密码KEYSTONE_DBPASS认证服务的数据库密码NEUTRON_DBPASS网络服务的数据库密码NEUTRON_PASS网络服务的neutron用户密码NOVA_DBPASS计算服务的数据库密码NOVA_PASS计算服务用户``nova``的密码RABBIT_PASSRabbitMQ的guest用户密码SWIFT_PASS块设备存储服务用户``swift``的密码4.
1.
2防火墙CentOS7.
0默认使用的是firewall作为防火墙,为了方便,实验环境使用iptables–F命令清空防火墙策略.
OpenStackMitaka版本服务需开放的端口请参考官网连接:http://docs.
openstack.
org/mitaka/config-reference/firewalls-default-ports.
html4.
1.
3主机名和hosts文件①编辑/etc/hosts文件并添加如下内容,这里有两个compute节点192.
168.
90.
32controller192.
168.
90.
33network192.
168.
90.
34compute0192.
168.
90.
35compute1192.
168.
90.
36cinder②编辑/etc/hostname文件并根据hosts文件设置对应的主机名,如控制节点主机名设置为controller,其他节点同理Openstack部署FortiGateVM4.
1.
4网络时间协议(NTP)Controller节点设置由于各个节点需要时间同步,我们将NTP服务器安装在Controller节点上,其它节点向Controller同步.
在CentOS7.
NTPServer使用chrony.
①安装软件包yuminstallchrony②编辑/etc/chrony.
conf文件并完成下面的操作指定上级NTP服务器serverNTP_SERVERiburst允许其他节点向Controller节点进行同步allow192.
168.
90.
0/24③启动chronyd服务并将其设置为随系统启动systemctlenablechronyd.
servicesystemctlstartchronyd.
service其他节点设置①安装软件包yuminstallchrony②编辑/etc/chrony.
conf文件并完成下面的操作修改上级NTP服务器为Controller节点,并注释其他NTP服务器servercontrolleriburst③启动chronyd服务并将其设置为随系统启动systemctlenablechronyd.
servicesystemctlstartchronyd.
service操作验证在控制节点执行chronycsources,在Name/IPaddress列的内容应显示NTP服务器的主机名或者IP地址.
在S列的内容应该在NTP服务目前同步的上游服务器前显示*.
Openstack部署FortiGateVM在其它节点执行chronycsources,在Name/IPaddress列的内容应显示控制节点的主机名,在对应的S列显示*.
4.
1.
5Openstack包在CentOS中,extras仓库提供用于启用OpenStack仓库的RPM包.
CentOS默认启用extras仓库,因此你可以直接安装用于启用OpenStack仓库的包.
在所有节点执行以下操作.
①安装软件包yuminstallcentos-release-openstack-mitaka升级包yumupgrade安装OpenStack客户端yuminstallpython-openstackclientCentOS默认启用SELinux.
安装openstack-selinux包实现对OpenStack服务的安全策略进行自动管理.
yuminstallopenstack-selinux4.
1.
6SQL数据库典型地,数据库运行在Controller节点上.
我们使用MariaDB或MySQL来存储信息.
①安装软件包yuminstallmariadbmariadb-serverpython2-PyMySQL②创建并编辑/etc/my.
cnf.
d/openstack.
cnf文件并完成下面的操作在[mysqld]增加如下配置,bind-addres是Controller节点的管理IP[mysqld]bind-address=192.
168.
90.
32default-storage-engine=innodbinnodb_file_per_tablecharacter-set-server=utf8③启动数据库服务并将其设置为随系统启动systemctlenablemariadb.
serviceOpenstack部署FortiGateVMsystemctlstartmariadb.
service④执行mysql_secure_installation脚本来对数据库进行安全加固4.
1.
7消息队列OpenStack使用messagequeue协调操作和各服务的状态信息.
消息队列服务运行在Controller节点上.
OpenStack支持好几种消息队列服务包括RabbitMQ,Qpid,和ZeroMQ.
不过,大多数发行版本的OpenStack包支持特定的消息队列服务.
我们安装RabbitMQ消息队列服务,因为大部分发行版本都支持它.
①安装软件包yuminstallrabbitmq-server②启动消息队列服务并将其设置为随系统启动systemctlenablerabbitmq-server.
servicesystemctlstartrabbitmq-server.
service③添加openstack用户,用合适的密码替换RABBIT_DBPASSrabbitmqctladd_useropenstackRABBIT_PASS④给openstack用户配置写和读权限:rabbitmqctlset_permissionsopenstack4.
1.
8MemcachedKeystone服务使用Memcached服务缓存令牌,Memcached服务运行在Controller节点上.
①安装软件包yuminstallmemcachedpython-memcached②启动memcached服务并将其设置为随系统启动systemctlenablememcached.
servicesystemctlstartmemcached.
serviceOpenstack部署FortiGateVM4.
2身份认证服务4.
2.
1KeystoneV3基本概念User用户:使用云资源的个体,只要是使用了Openstack服务的对象都可以称为用户,Users通过认证信息(credentials,如密码、APIKeys等)进行验证.
Group组:一组Users的容器,可以向Group中添加用户,并直接给Group分配角色,那么在这个Group中的所有用户就都拥有了Group所拥有的角色权限.
Credential用户证据:用来证明用户身份的证据,可以是用户名和密码、用户名和APIkey,或者一个Keystone分配的身份token.
Authentication身份认证:验证用户身份的过程.
Keystone服务通过检查用户的Credential来确定用户的身份.
最开始,使用用户名/密码或者用户名/APIkey作为credential.
当用户的credential被验证后,Kestone会给用户分配一个authenticationtoken供该用户后续的请求使用.
Token令牌:指的是一串比特值或者字符串,用来作为访问资源的记号.
Token中含有可访问资源的范围和有效时间.
Project项目:即Tenant,可以理解为一个人、项目或者组织拥有的资源的合集.
在一个租户中可以拥有很多个用户,这些用户可以根据权限的划分使用租户中的资源.
Domain域:实现真正的多租户(multi-tenancy)架构,Domain担任Project的高层容器.
云服务的客户是Domain的所有者,他们可以在自己的Domain中创建多个Projects、Users、Groups和Roles.
Service服务:一个OpenStack服务,比如Nova、Swift或者Glance等.
每个服务提供一个或者多个endpoint供用户访问资源以及进行操作.
Endpoint端点:一个网络可访问的服务地址,通过它你可以访问一个服务,通常是个URL地址.
不同region有不同的serviceendpoint.
endpoint告诉OpenStackservice去哪里访问特定的servcie.
比如,当Nova需要访问Glance服务去获取image时,Nova通过访问Keystone拿到Glance的endpoint,然后Openstack部署FortiGateVM通过访问该endpoint去获取Glance服务.
我们可以通过Endpoint的region属性去定义多个region.
Regions地域:一个地理上的概念,每个region有自己独立的endpoint,regions之间完全隔离.
Role角色:一个role可看着一个ACL的集合.
Keystone中,分配给用户的token包含了role列表.
被访问的服务会判断访问它的用户的角色,以及每个role访问资源或者操作的权限.
系统默认使用admin和_member_role.
User验证的时候必须带有制定的tenant,roles会被分配到指定的tenant.
Policy策略:OpenStack对用户的验证除了OpenStack的身份验证以外,还需要鉴别用户对某个服务是否有访问权限.
Policy机制就是用来控制某一个User在某个Project中某个操作的权限.
这个User能执行什么操作,不能执行什么操作,就是通过policy机制来实现的.
对于Keystone服务来说,policy就是一个json文件,默认是/etc/keystone/policy.
json.
通过配置这个文件,KeystoneService实现了对User的基于用户角色的权限管理.
4.
2.
2安装前准备在Controller节点上配置OpenStack身份认证服务前,必须创建一个数据库和管理员令牌.
①创建keystone数据库用数据库连接客户端以root用户连接到数据库服务器mysql-uroot–p创建keystone数据库CREATEDATABASEkeystone;对``keystone``数据库授予恰当的权限,用合适的密码替换KEYSTONE_DBPASSGRANTALLPRIVILEGESONkeystone.
*TO'keystone'@'localhost'IDENTIFIEDBY'KEYSTONE_DBPASS';GRANTALLPRIVILEGESONkeystone.
*TO'keystone'@'%'IDENTIFIEDBY'KEYSTONE_DBPASS';②生成一个随机值在初始的配置中作为管理员的令牌opensslrand-hex10Openstack部署FortiGateVM4.
2.
3安装和配置KeystoneOpenStack身份认证服务Identity为认证管理,授权管理和服务目录服务管理提供单点整合.
其它OpenStack服务将身份认证服务当做通用统一API来使用.
此外,提供用户信息但是不在OpenStack项目中的服务(如LDAP服务)可被整合进先前存在的基础设施中.
①安装软件包yuminstallopenstack-keystonehttpdmod_wsgi②编辑/etc/keystone/keystone.
conf并完成下面的操作在[DEFAULT]部分,定义管理员token初始值,也就是之前opensslrand-hex10生成的随机数[DEFAULT]admin_token=802de1895b35e601f632在[database]部分,配置数据库访问,将KEYSTONE_DBPASS替换为你为数据库选择的密码[database]connection=mysql+pymysql://keystone:KEYSTONE_DBPASS@controller/keystone在[token]部分,配置fernet类型的token[token]provider=fernet初始化身份认证服务的数据库,忽略产生的告警信息su-s/bin/sh-c"keystone-managedb_sync"keystone初始化Fernetkeyskeystone-managefernet_setup--keystone-userkeystone--keystone-groupkeystone配置ApacheHTTP服务器①编辑``/etc/httpd/conf/httpd.
conf``文件,配置``ServerName``选项为控制节点ServerNamecontroller②用下面的内容创建文件/etc/httpd/conf.
d/wsgi-keystone.
confListen5000Listen35357WSGIDaemonProcesskeystone-publicprocesses=5threads=1user=keystonegroup=keystonedisplay-name=%{GROUP}WSGIProcessGroupkeystone-publicWSGIScriptAlias//usr/bin/keystone-wsgi-publicWSGIApplicationGroup%{GLOBAL}WSGIPassAuthorizationOnOpenstack部署FortiGateVMErrorLogFormat"%{cu}t%M"ErrorLog/var/log/httpd/keystone-error.
logCustomLog/var/log/httpd/keystone-access.
logcombinedRequireallgrantedWSGIDaemonProcesskeystone-adminprocesses=5threads=1user=keystonegroup=keystonedisplay-name=%{GROUP}WSGIProcessGroupkeystone-adminWSGIScriptAlias//usr/bin/keystone-wsgi-adminWSGIApplicationGroup%{GLOBAL}WSGIPassAuthorizationOnErrorLogFormat"%{cu}t%M"ErrorLog/var/log/httpd/keystone-error.
logCustomLog/var/log/httpd/keystone-access.
logcombinedRequireallgranted启动ApacheHTTP服务并配置其随系统启动systemctlenablehttpd.
servicesystemctlstarthttpd.
service4.
2.
4创建服务实体和API端点身份认证服务提供服务的目录和他们的位置.
每个添加到OpenStack环境中的服务在目录中需要一个service实体和一些APIendpoints.
默认情况下,身份认证服务数据库不包含支持传统认证和目录服务的信息.
必须为身份认证服务创建的临时身份验证令牌用来初始化的服务实体和API端点.
你必须使用--os-token参数将认证令牌的值传递给openstack命令.
类似的,你必须使用--os-url参数将身份认证服务的URL传递给openstack命令或者设置OS_URL环境变量.
这里使用环境变量.
Openstack部署FortiGateVM注意:因为安全的原因,除非做必须的认证服务初始化,不要长时间使用临时认证令牌.

①配置认证令牌exportOS_TOKEN=802de1895b35e601f632②配置端点URLexportOS_URL=http://controller:35357/v3③配置认证API版本exportOS_IDENTITY_API_VERSION=3④为身份认证服务创建服务实体openstackservicecreate--namekeystone--description"OpenStackIdentity"identityOpenStack为每个服务提供了三个API端点的值:admin、internal和public.
adminAPI端点默认允许修改用户和租户,而public和internalAPI不允许.
在生产环境中,出于安全考虑,这些变量可能设置在服务于不同类型用户的隔离网络中.
例如,publicAPI网络也许可以从外部云被管理工具访问到,adminAPI网络会被保护,而internalAPI网络是连接到每台主机上的.
而且,OpenStack为了可扩展性,支持多个区域.
这里为所有端点变种和默认``RegionOne``区域都使用管理网络.