Please enable JavaScript.

Coggle requires JavaScript to display documents.

OpenStack (:warning:生产中的坑 (:four:IP绑定 (:explode:public,internal等都要注意), …

- - - - :one:用户权限
        
        :explode:比如是否有权限(发送tokens)+用户行为追踪
      - :two:服务目录
        
        :explode:提供一个服务目录(服务的注册中心),包括所有服务项与相关API的端点
    - - :one:User用户
      - :two:Tenant租户
        
        :explode:一个租户下面可以有很多User.相当于一个大集团来采购
      - :three:token令牌
        
        :explode:类似于开房时给一个房卡,这个房卡就是token.在身份验证后可以利用这个token做事
        
        :heavy_dollar_sign:使用memcache来存储token
      - :four:Role角色
        
        :explode:权限的集合,如Admin(最大的权限)
      - :five:Service服务
      - :six:Endpoint端点
        
        :explode:服务和Endpoint相关联,通过Endpoint的时候就可以访问对应服务的主机
  - - - :one:API
        
        :explode:外部访问Nova的唯一途径
      - :two:SCheduler
        
        :explode:(找不到有效的主机)决策一个虚拟机应该调度到哪个节点
        
        :moneybag:调度
        
        :one:过滤
        
        :explode:根据要创建出来的虚拟机的信息过滤出可以创建该虚拟机的节点
        
        :two:权重
        
        :bulb:我要找一个男生代表.那么先过滤掉不是男生的,其次从男生中选择成绩最优秀的
        
        :bulb:如果用KVM的话直接创建一个虚拟机,但是OpenStack可以进行调度
  - - - :two:子网
        
        :moneybag:参数
        
        :one:属于哪个网络
        
        :two:网段
        
        :three:名称
        
        :four:ip地址池
        
        :five:DNS
        
        :six:网关
      - :moneybag:参数
        
        :one:共享
        
        :explode:谁都可以用
        
        :two:网络提供者
        
        :explode:提供网络的可以是物理网络,然后对应provider,而provider在linuxbridge里面绑定了物理网卡
        
        :bread:LinuxBridge和OpenVSwitch是虚拟交换机
        
        :one:LinuxBrdige更简单,不能分布式路由
        
        :two:OpenVSwitch臃肿,无法解决广播风暴
        
        :three:网络类型
        
        :one:flat(单一扁平网络)
        
        :explode:单一扁平的网络,比如我是56.11,而它是56.12,那么新的虚拟机直接在56.0和我相同的网段里产生,如56.101
    - - :!:在controller节点上,ip地址从原来的eth0移动到了brq8846d656-c1
      - :moneybag:brq8846d656-c1
        
        :explode:是一个网桥,可以理解为小交换机,和我们的eth0连接上的,所以所有连接到这个网桥的都能和eth0连通
        
        :pencil2:在controller节点上查看网桥,brctl show
        
        :one:和eth0连通
        
        :two:和tap2015cc93-59连通
        
        :explode:虚拟机的网卡,用ifconfig可以看到它的MAC地址!=compute节点上的xml的MAC地址
        
        :warning:如果创建不了网桥,可能controller节点是dhcp分配的.controller一定要静态分配IP地址才行
    - - :one:ml2
        
        :explode:2层网络
        
        :explode:单一扁平网络
        
        :star:多个网络并存
      - :two:DHCP-AGENT
        
        :star:我们配置的子网IP range就是给DHCP代理用的
        
        :two:dhcp_driver
        
        :explode:dhcp可以有好多,默认是dnsmasq
        
        :one:enable_isolated_metadata
        
        :explode:启用独立的metadata.在虚拟机获取IP地址的时候,往虚拟机里推送路由
        
        :moneybag:metadata
        
        :one:共享秘钥
        
        :explode:要和nova里面的共享秘钥对应.他们两个用的
        
        :star:metadata里面有验证信息
        
        :two:控制节点上执行ip netns li=>查看网络的namespace.
        
        :!:192.168.56.100这个ip被dhcp占用了
        
        :!:我们可以curl 169.254.169.254
        
        :explode:执行ip netns exec <命名空间> ifconfig,发现有192.168.56.100和169.254.169.254,而且后者还有个httpd服务在跑(因为我们可以curl)=>ip netns exec <命名空间> netstat -lntup,发现确实监听90端口
      - :three:l3-agent
        
        :explode:三层网络,可以做路由
  - - - :one:cinder-api
      - :two:cinder-volume
      - :three:cinder-scheduler
        
        :explode:类似于nova-scheduler,只是调度的对象是块存储供应节点
    - - :explode:我们创建好cinder后,在dashboard里面可以给云主机挂载/卸载云硬盘
      - :moneybag:使用
        
        :explode:如果云主机挂载了新的磁盘,那么通过fdisk -l可以查看到,比如说为/dev/sdb,然后分区,格式化,挂载,正常使用
        
        :moneybag:卸载
        
        :warning:先在云主机上取消挂载(umount),之后再在dashboard上卸载磁盘=>之后这个磁盘可以用在其他地方
- - - - :one:机房做流量牵引和清洗
      - :two:当攻击流量超过机房阈值的时候,机房会封你的IP.将路由指向到运营商,运营商来封
      - :three:修改DNS解析,换IP
      - :four:隐藏你的真实IP.弄代理
      - :five:CC
- - - - :explode:compute节点上的/var/lib/nova/instances
      - :one:id=>虚拟机的目录
        
        :one:console.log
        
        :explode:终端输出都放在这里面
        
        :two:disk
        
        :explode:大小比镜像大小小,用file命令查看,发现这是qcow格式的镜像文件并且还有后半部分文件,然后qemu-img info disk发现虚拟大小是1G(创建虚拟机的时候指定的).
        
        :moneybag:backing file
        
        :explode:qcow2为copy on write,写操作时才放过去=>节省空间
        
        :three:disk.info
        
        :pencil2:{"/var/lib/nova/instances/a1f86bbd-b995-4924-8487-202e60c8a032/disk": "qcow2"}
        
        :explode:目录位置与文件类型
        
        :four:libvirt.xml
        
        :explode:动态生成的,直接改无效
      - :two:_base
        
        :moneybag:第一次创建镜像文件时慢
        
        :explode:第一次创建时需要把backing file放到nova-compute节点的instances/_base目录下,所以会慢
        
        :explode:nova-compute节点在实例目录下用作存放backing file的目录
      - :three:compute_nodes=>主机等信息
      - :three:locks目录=>lock文件
        
        :explode:和mysql的lock文件一样,都是防止重复运行
  - - - :one:keystone认证阶段
        
        :two:keystone验证登录信息,给用户一个auth_token
        
        :three:用户拿着auth_token去跟nova-api说我要创建1个实例
        
        :four:nova-api说好的,不过要先去keystone那里验证一下auth_token是不是有效的
        
        :one:用户通过命令行/dashboard登录
      - :two:nova内部组件间的交互
        
        :two:nova-scheduler知道后分配节点,找到compute节点,同时写数据到数据库里
        
        :one:nova-api验证token成功后,就写入信息到数据库里面,然后发送请求到消息队列中
      - :three:nova-compute请求资源
        
        :two:glance说可以给镜像,不过要从keystone那里验证下你的token
        
        :three:nova-compute拿到镜像后,说我要网络,于是找neutron,然后同理neutron也要验证下token
        
        :four:nova-compute拿到网络后,说要磁盘,于是同理找Cinder
        
        :one:nova-compute知道要创建实例后,说我要一个镜像,去请求glance
      - :four:nova-compute创建虚拟机
        
        :one:最后nova-compute数据都有了,形成了xml文件.通过libvirt管理kvm,让kvm去创建虚拟机了