OpenStack系列第二期认证与镜像管理本期是OpenStack学习笔记的第二期聚焦于认证服务Keystone和镜像服务Glance。你将掌握域、用户、组、项目、角色的完整管理流程以及镜像的上传、注册、共享、格式转换和导出删除操作。所有操作均同时提供Dashboard和CLI两种方式。一、认证管理Keystone1.1 核心概念回顾概念说明Domain域用户、项目、组的容器可以代表一个组织或数据中心User用户使用OpenStack的实体人、服务或系统Group组用户的集合可以对组统一授权Project项目资源计算、存储、网络的隔离单元旧称TenantRole角色定义用户或组的权限集合如admin、memberService服务如nova、cinder、glance等通过Endpoint暴露APIEndpoint端点服务访问的URLadmin/public/internalToken令牌认证后获得的临时凭证1.2 Dashboard操作1.2.1 创建角色、用户及用户组使用admin用户登录Dashboard。① 创建角色导航身份管理 → 角色 → 创建角色角色名称Role_web单击“提交”② 创建用户并分配角色导航身份管理 → 用户 → 创建用户用户名User_web_01密码自行设置记住项目admin角色Role_web再创建第二个用户User_web_02角色选择admin。③ 创建用户组导航身份管理 → 组 → 创建组组名称Group_web④ 管理组成员在组列表中找到Group_web点击“管理成员” → “添加用户”勾选User_web_01和User_web_02。⑤ 查看用户详情在用户列表中点击用户名进入“概览”页面可查看“角色分配”和“组”页签。⑥ 验证不同角色的权限差异退出admin分别使用User_web_01Role_web和User_web_02admin登录观察导航栏差异User_web_01看不到“管理员”菜单身份管理中也缺少“域”“组”“角色”等选项。1.2.2 禁用与删除用户在组内移除 vs 真正删除从组中移除用户在组的管理成员页面勾选用户后点击“删除用户”。这只是移出组用户仍存在于系统中。禁用用户在用户列表点击用户所在行的“编辑”→“禁用用户”。禁用后该用户无法登录。删除用户勾选用户前的复选框点击“删除用户”。需确保用户未被任何资源引用。1.2.3 创建项目并修改配额① 创建项目导航身份管理 → 项目 → 创建项目项目信息页签名称Project_web项目成员页签将User_web_01加入项目角色选择admin单击“创建项目”② 修改项目配额在项目列表中找到Project_web点击“管理成员”后的下拉菜单 → “修改配额”。可分别修改计算实例数量、VCPU数量、RAM大小卷卷数量、快照数量、备份数量网络网络数、子网数、路由数、浮动IP数例如实例数量改为5卷数量改为5网络数改为5保存。③ 验证配额使用User_web_01登录在左上角切换当前项目为Project_web进入“项目 → 计算 → 概况”即可看到修改后的配额。1.3 CLI操作1.3.1 创建角色、用户及用户组远程登录controller导入admin环境变量bashsourcekeystonerc_admin① 创建角色bashopenstack role create Role_cli② 创建用户bashopenstack user create--domaindefault--projectadmin --password-prompt User_cli_01# 按提示输入密码如huawei并确认openstack user create--domaindefault--projectadmin --password-prompt User_cli_02③ 为用户添加角色bashopenstack roleadd--projectadmin--userUser_cli_01 Role_cli openstack roleadd--projectadmin--userUser_cli_02 admin④ 查看角色分配bashopenstack role assignment list--names|grepUser_cli输出示例textadmin|User_cli_02Default|adminDefault|False Role_cli|User_cli_01Default|adminDefault|False⑤ 创建用户组并添加成员bashopenstack group create Group_cli openstack groupadduser Group_cli User_cli_01 User_cli_02⑥ 为用户创建独立的环境变量文件bashcpkeystonerc_admin keystonerc_User_cli_01vimkeystonerc_User_cli_01# 修改 OS_USERNAMEUser_cli_01# 修改 OS_PASSWORD你设置的密码# 可选修改 PS1 中的提示标识使用该文件登录并测试bashsourcekeystonerc_User_cli_01 openstack project list# 只能看到admin项目User_cli_02同理但由于其角色为admin登录后可以看到所有项目。1.3.2 禁用用户、删除用户bashsourcekeystonerc_admin# 从组中移除用户openstack group remove user Group_cli User_cli_02# 确认用户不在组中openstack group contains user Group_cli User_cli_02# 禁用用户openstack userset--disableUser_cli_02# 查看禁用状态openstack user show User_cli_02|grepenabled# 删除用户openstack user delete User_cli_02# 查看用户列表确认openstack user list1.3.3 创建项目修改项目配额bash# 创建项目openstack project create Project_cli# 为用户添加项目角色openstack roleadd--projectProject_cli--userUser_cli_01 admin# 查看角色分配openstack role assignment list--names|grepUser_cli# 修改用户环境变量文件中的 OS_PROJECT_NAMEProject_clivimkeystonerc_User_cli_01# 将 OS_PROJECT_NAMEadmin 改为 OS_PROJECT_NAMEProject_cli# 重新加载环境变量sourcekeystonerc_User_cli_01 openstack project list# 现在只能看到 Project_cli 项目# 修改项目配额需admin权限sourcekeystonerc_admin openstackquotaset--instances5--cores5--ram5000--volumes5--networks10Project_cli# 验证配额修改openstackquotashow Project_cli二、镜像管理Glance2.1 镜像基本概念镜像包含操作系统和必要配置的模板用于创建虚拟机实例。镜像格式raw、qcow2、vmdk、vdi、iso等。容器格式bare、ovf、aki、ari、ami等一般用bare。可见性public所有项目可见private仅所属项目可见shared可分享给其他项目community社区共享状态机queued → saving → active成功 / killed失败 / deleted删除2.2 Dashboard操作2.2.1 下载测试镜像cirroscirros是一个极小的Linux镜像约12MB适合测试。下载地址texthttp://download.cirros-cloud.net/0.5.2/cirros-0.5.2-x86_64-disk.img在本机下载后备用。2.2.2 创建并注册镜像导航项目 → 计算 → 镜像 → 创建镜像填写信息镜像名称Img_web镜像文件选择本地的cirros镜像镜像格式QCOW2-QEMU模拟器最小磁盘1GB最低内存128MB可见性私有受保护性是不可删除单击“创建镜像”。等待状态变为运行中表示注册成功。2.2.3 修改镜像属性在镜像列表中点击Img_web所在行的下拉菜单 →编辑镜像将可见性改为公有将受保护性改为否单击“更新镜像”2.3 CLI操作2.3.1 下载镜像到控制器bashsourcekeystonerc_admin# 使用wget下载cirros镜像到/root目录cd/rootwgethttp://download.cirros-cloud.net/0.5.2/cirros-0.5.2-x86_64-disk.img# 查看文件ls-lhcirros-0.5.2-x86_64-disk.img2.3.2 创建并注册镜像bashopenstack image create --disk-format qcow2 --container-format bare\--min-disk1--min-ram128--private\--file./cirros-0.5.2-x86_64-disk.img Img_cli查看镜像列表bashopenstack image list2.3.3 修改镜像bash# 设置为公有openstack imageset--publicImg_cli# 查看详情openstack image show Img_cli2.3.4 共享镜像若要将镜像Img_cli共享给项目Project_clibash# 记录镜像ID和项目IDopenstack image list openstack project list# 添加共享成员状态为pendingopenstack imageaddproject Img_cli Project_cli# 作为项目成员接受共享需切换环境变量或使用member角色sourcekeystonerc_User_cli_01 openstack imageset--acceptImg_cli2.3.5 转换镜像格式若有一个VMDK格式的Ubuntu镜像可转换为qcow2bash# 安装qemu-img如未安装yuminstall-yqemu-img# 转换-f 源格式-O 目标格式-c 压缩-p 显示进度qemu-img convert-fvmdk-Oqcow2-c-pbionic-server-cloudimg-amd64.vmdk bionic-server-cloudimg-amd64.qcow2# 创建qcow2格式镜像openstack image create --disk-format qcow2 --container-format bare\--min-disk1--min-ram128--public\--file./bionic-server-cloudimg-amd64.qcow2 Ubuntu_cli2.3.6 导出镜像bash# 保存镜像到本地文件openstack image save--file./ubuntu_backup.img Ubuntu_cli2.3.7 删除镜像bashopenstack image delete Ubuntu_cli# 确认删除openstack image list三、综合验证案例案例为研发团队创建隔离环境创建域RD_Domain可选创建项目RD_Project创建用户zhangsan、lisi加入组RD_Group为组分配项目RD_Project的角色_member_创建一个私有镜像RD_CentOS仅共享给RD_Project设置项目配额最多10个实例、50核、200GB内存CLI快速实现bashsourcekeystonerc_admin openstack domain create RD_Domain openstack project create--domainRD_Domain RD_Project openstack user create--domainRD_Domain--passwordhuawei zhangsan openstack user create--domainRD_Domain--passwordhuawei lisi openstack group create--domainRD_Domain RD_Group openstack groupadduser RD_Group zhangsan lisi openstack roleadd--projectRD_Project--groupRD_Group _member_ openstack image create --disk-format qcow2 --container-format bare\--file./centos.qcow2--privateRD_CentOS openstack imageaddproject RD_CentOS RD_Project openstackquotaset--instances10--cores50--ram204800RD_Project 知识点一览表第二期类别操作Dashboard路径/CLI命令角色管理创建角色身份管理→角色→创建角色 /openstack role create用户管理创建用户并分配角色身份管理→用户→创建用户 /openstack user createrole add组管理创建组、添加成员身份管理→组 /openstack group create、group add user项目管理创建项目、修改配额身份管理→项目 /openstack project create、quota set用户状态禁用/启用/删除用户编辑用户勾选禁用 /openstack user set --disable、user delete镜像上传创建并注册镜像项目→计算→镜像→创建镜像 /openstack image create镜像共享共享给其他项目镜像→编辑→共享 /openstack image add project、set --accept格式转换qemu-img转换qemu-img convert -f vmdk -O qcow2镜像导出保存到文件openstack image save镜像删除删除镜像镜像列表→删除 /openstack image delete下一期预告计算Nova与存储Cinder管理涵盖虚拟机实例的全生命周期创建、启动、关闭、暂停、挂起、快照、重建、迁移、规格管理、密钥对、主机聚合以及卷的创建、挂载、扩容、快照和基于卷创建实例。有任何问题欢迎讨论我们第三期再见
