一、keystone服務(wù)概念

創(chuàng)新互聯(lián)專注于企業(yè)成都全網(wǎng)營銷推廣、網(wǎng)站重做改版、順慶網(wǎng)站定制設(shè)計(jì)、自適應(yīng)品牌網(wǎng)站建設(shè)、HTML5建站、商城網(wǎng)站建設(shè)、集團(tuán)公司官網(wǎng)建設(shè)、外貿(mào)網(wǎng)站制作、高端網(wǎng)站制作、響應(yīng)式網(wǎng)頁設(shè)計(jì)等建站業(yè)務(wù)，價(jià)格優(yōu)惠性價(jià)比高，為順慶等各大城市提供網(wǎng)站開發(fā)制作服務(wù)。

服務(wù)

Keystone被組織為在一個(gè)或多個(gè)端點(diǎn)上公開的一組內(nèi)部服務(wù)。其中許多服務(wù)由前端以組合方式使用。例如，身份驗(yàn)證調(diào)用將使用Identity服務(wù)驗(yàn)證用戶/項(xiàng)目憑據(jù)，并在成功時(shí)創(chuàng)建并返回帶有令牌服務(wù)的令牌。

身份

Identity服務(wù)提供身份驗(yàn)證憑據(jù)驗(yàn)證以及有關(guān)用戶 和組的數(shù)據(jù)。在基本情況下，此數(shù)據(jù)由Identity服務(wù)管理，允許它還處理與此數(shù)據(jù)關(guān)聯(lián)的所有CRUD操作。在更復(fù)雜的情況下，數(shù)據(jù)由權(quán)威后端服務(wù)管理。例如，身份服務(wù)充當(dāng)LDAP的前端。在這種情況下，LDAP服務(wù)器是真實(shí)的來源，身份服務(wù)的作用是準(zhǔn)確地傳遞該信息。

用戶

Users表示單個(gè)API使用者。用戶本身必須由特定域擁有，因此所有用戶名不是全局唯一的，而是僅對(duì)其域唯一。

組

Groups是表示用戶集合的容器。組本身必須由特定域擁有，因此所有組名稱不是 全局唯一的，而是僅對(duì)其域唯一。

資源

資源服務(wù)提供有關(guān)項(xiàng)目和域的數(shù)據(jù)。

項(xiàng)目

Projects代表ownershipOpenStack 的基本單元，因?yàn)镺penStack中的所有資源都應(yīng)歸特定項(xiàng)目所有。項(xiàng)目本身必須由特定域擁有，因此所有項(xiàng)目名稱不是 全局唯一的，但對(duì)于其域是唯一的。如果未指定項(xiàng)目的域，則將其添加到默認(rèn)域。

域

Domains是項(xiàng)目，用戶和組的高級(jí)容器。每個(gè)都?xì)w一個(gè)域所有。每個(gè)域定義一個(gè)名稱空間，其中存在API可見的名稱屬性。Keystone提供了一個(gè)默認(rèn)域名，名稱為“默認(rèn)”。

在Identity v3 API中，屬性的唯一性如下：

• 域名。所有領(lǐng)域的全球獨(dú)特性。

• 角色名稱。在擁有的域內(nèi)獨(dú)一無二。

• 用戶名。在擁有的域內(nèi)獨(dú)一無二。

• 項(xiàng)目名。在擁有的域內(nèi)獨(dú)一無二。

• 團(tuán)隊(duì)名字。在擁有的域內(nèi)獨(dú)一無二。

由于其容器架構(gòu)，域可以用作委派OpenStack資源管理的方式。如果授予適當(dāng)?shù)姆峙洌瑒t域中的用戶仍可以訪問另一個(gè)域中的資源。

作業(yè)

Assignment服務(wù)提供有關(guān)角色和角色分配的數(shù)據(jù)。

角色

Roles規(guī)定最終用戶可以獲得的授權(quán)級(jí)別。角色可以在域或項(xiàng)目級(jí)別授予?？梢栽趩蝹€(gè)用戶或組級(jí)別分配角色。角色名稱在擁有域中是唯一的。

角色分配

一個(gè)3元組，有一個(gè)Role，一個(gè)Resource和一個(gè)Identity。

令牌

一旦用戶的憑證已經(jīng)過驗(yàn)證，令牌服務(wù)就會(huì)驗(yàn)證和管理用于驗(yàn)證請(qǐng)求的令牌。

二、登陸并修改openstack管理員密碼

在完成openstack搭建后，按照http://serverip/dashboard/ 登陸，登陸提示會(huì)需要admin管理員賬戶密碼。默認(rèn)密碼保存在keystonerc_admin 文件

cat keystonerc_admin

export OS_PASSWORD后面就是默認(rèn)密碼，后進(jìn)入dashboard界面登陸

登陸進(jìn)去后，可以在設(shè)置修改管理員密碼

完成后，同時(shí)要修改 keystonerc_admin文件中export OS_PASSWORD后密碼，然后按照如下命令配置生效

source keystonerc_admin     #重新加載

注意，admin用戶是管理員，可以擁有整個(gè)資源的權(quán)限，默認(rèn)分配到admin的項(xiàng)目組中，所以在管理界面修改完成管理員密碼后必須修改keystonetc_admin的文件的中的密碼，不然會(huì)導(dǎo)致其他組件服務(wù)認(rèn)證失敗

三、創(chuàng)建項(xiàng)目與用戶

3.1創(chuàng)建項(xiàng)目

 首先創(chuàng)建一個(gè)項(xiàng)目，在身份管理中點(diǎn)擊項(xiàng)目

創(chuàng)建項(xiàng)目名稱為test-cloud,域信息和域ID因?yàn)槭菧y(cè)試環(huán)境，都保持默認(rèn)

項(xiàng)目成員為登陸云服務(wù)的租戶名稱，可以后期添加，目前保持默認(rèn)，配額是限制該項(xiàng)目資源的使用，測(cè)試環(huán)境下保持默認(rèn)即可

點(diǎn)擊完成創(chuàng)建，即可創(chuàng)建好項(xiàng)目test_cloud,可以作為vdc(虛擬數(shù)據(jù)中心）提供給租戶使用

3.2創(chuàng)建用戶

為test_cloud創(chuàng)建一個(gè)管理員，負(fù)責(zé)分配資源，名稱為vdc_admin。在身份驗(yàn)證-用戶中創(chuàng)建，如下所示：

說明：

1、選擇項(xiàng)目test_cloud代表使用此資源

2、選擇角色_member_

然后再以vdc_admin登陸openstack，可以看到可獲取的資源的明顯不同

四、創(chuàng)建外部網(wǎng)絡(luò)

4.1 openstack中網(wǎng)絡(luò)概念

在openstack中，所有的網(wǎng)絡(luò)服務(wù)都是由neutron實(shí)現(xiàn)。openstack官方對(duì)neutron中描述如下：

OpenStack網(wǎng)絡(luò)（neutron）管理OpenStack環(huán)境中所有虛擬網(wǎng)絡(luò)基礎(chǔ)設(shè)施（VNI），物理網(wǎng)絡(luò)基礎(chǔ)設(shè)施（PNI）的接入層。OpenStack網(wǎng)絡(luò)允許租戶創(chuàng)建包括像 firewall， :term:`load balancer`和 :term:`virtual private network (×××)`等這樣的高級(jí)虛擬網(wǎng)絡(luò)拓?fù)洹?/p>

網(wǎng)絡(luò)服務(wù)提供網(wǎng)絡(luò)，子網(wǎng)以及路由這些對(duì)象的抽象概念。每個(gè)抽象概念都有自己的功能，可以模擬對(duì)應(yīng)的物理設(shè)備：網(wǎng)絡(luò)包括子網(wǎng)，路由在不同的子網(wǎng)和網(wǎng)絡(luò)間進(jìn)行路由轉(zhuǎn)發(fā)。

對(duì)于任意一個(gè)給定的網(wǎng)絡(luò)都必須包含至少一個(gè)外部網(wǎng)絡(luò)。不像其他的網(wǎng)絡(luò)那樣，外部網(wǎng)絡(luò)不僅僅是一個(gè)定義的虛擬網(wǎng)絡(luò)。相反，它代表了一種OpenStack安裝之外的能從物理的，外部的網(wǎng)絡(luò)訪問的視圖。外部網(wǎng)絡(luò)上的IP地址可供外部網(wǎng)絡(luò)上的任意的物理設(shè)備所訪問

外部網(wǎng)絡(luò)之外，任何 Networking 設(shè)置擁有一個(gè)或多個(gè)內(nèi)部網(wǎng)絡(luò)。這些軟件定義的網(wǎng)絡(luò)直接連接到虛擬機(jī)。僅僅在給定網(wǎng)絡(luò)上的虛擬機(jī)，或那些在通過接口連接到相近路由的子網(wǎng)上的虛擬機(jī)，能直接訪問連接到那個(gè)網(wǎng)絡(luò)上的虛擬機(jī)。

如果外部網(wǎng)絡(luò)想要訪問實(shí)例或者相反實(shí)例想要訪問外部網(wǎng)絡(luò)，那么網(wǎng)絡(luò)之間的路由就是必要的了。每一個(gè)路由都配有一個(gè)網(wǎng)關(guān)用于連接到外部網(wǎng)絡(luò)，以及一個(gè)或多個(gè)連接到內(nèi)部網(wǎng)絡(luò)的接口。就像一個(gè)物理路由一樣，子網(wǎng)可以訪問同一個(gè)路由上其他子網(wǎng)中的機(jī)器，并且機(jī)器也可以訪問路由的網(wǎng)關(guān)訪問外部網(wǎng)絡(luò)。

另外，你可以將外部網(wǎng)絡(luò)的IP地址分配給內(nèi)部網(wǎng)絡(luò)的端口。不管什么時(shí)候一旦有連接連接到子網(wǎng)，那個(gè)連接被稱作端口。你可以給實(shí)例的端口分配外部網(wǎng)絡(luò)的IP地址。通過這種方式，外部網(wǎng)絡(luò)上的實(shí)體可以訪問實(shí)例.

neutron利用了linux重要網(wǎng)絡(luò)技術(shù)，相關(guān)概念如下：

bridge：網(wǎng)橋，Linux中用于表示一個(gè)能連接不同網(wǎng)絡(luò)設(shè)備的虛擬設(shè)備，linux中

傳統(tǒng)實(shí)現(xiàn)的網(wǎng)橋類似一個(gè)hub設(shè)備，而ovs管理的網(wǎng)橋一般類似交換機(jī)。

br-int：bridge-integration，綜合網(wǎng)橋，常用于表示實(shí)現(xiàn)主要內(nèi)部網(wǎng)絡(luò)功能的網(wǎng)

橋。

br-ex：bridge-external，外部網(wǎng)橋，通常表示負(fù)責(zé)跟外部網(wǎng)絡(luò)通信的網(wǎng)橋。

GRE：General Routing Encapsulation，一種通過封裝來實(shí)現(xiàn)隧道的方式。在

openstack中一般是基于L3的gre，即original pkt/GRE/IP/Ethernet

VETH：虛擬ethernet接口，通常以pair的方式出現(xiàn)，一端發(fā)出的網(wǎng)包，會(huì)被另

一端接收，可以形成兩個(gè)網(wǎng)橋之間的通道。

qvb：neutron veth, Linux Bridge-side

qvo：neutron veth, OVS-side

TAP設(shè)備：模擬一個(gè)二層的網(wǎng)絡(luò)設(shè)備，可以接受和發(fā)送二層網(wǎng)包。

TUN設(shè)備：模擬一個(gè)三層的網(wǎng)絡(luò)設(shè)備，可以接受和發(fā)送三層網(wǎng)包。

iptables：Linux 上常見的實(shí)現(xiàn)安全策略的防火墻軟件。

Vlan：虛擬 Lan，同一個(gè)物理 Lan 下用標(biāo)簽實(shí)現(xiàn)隔離，可用標(biāo)號(hào)為1-4094。

VXLAN：一套利用 UDP 協(xié)議作為底層傳輸協(xié)議的 Overlay 實(shí)現(xiàn)。一般認(rèn)為作

為 VLan 技術(shù)的延伸或替代者。

namespace：用來實(shí)現(xiàn)隔離的一套機(jī)制，不同 namespace 中的資源之間彼此

不可見。

Neutron管理下面的實(shí)體：

網(wǎng)絡(luò)：隔離的 L2 域，可以是虛擬、邏輯或交換。

子網(wǎng)：隔離的 L3 域，IP 地址塊。其中每個(gè)機(jī)器有一個(gè) IP，同一個(gè)子網(wǎng)的主機(jī)彼此 L3 可見。

端口：網(wǎng)絡(luò)上虛擬、邏輯或交換端口。 所有這些實(shí)體都是虛擬的，擁有自動(dòng)生成的唯一標(biāo)示id，支持CRUD功能，并在數(shù)據(jù)庫中跟蹤記錄狀態(tài)。

網(wǎng)絡(luò)隔離的 L2 廣播域，一般是創(chuàng)建它的用戶所有。用戶可以擁有多個(gè)網(wǎng)絡(luò)。網(wǎng)絡(luò)是最基礎(chǔ)的，子網(wǎng)和端口都需要關(guān)聯(lián)到網(wǎng)絡(luò)上。網(wǎng)絡(luò)上可以有多個(gè)子網(wǎng)。同一個(gè)網(wǎng)絡(luò)上的主機(jī)一般可以通過交換機(jī)或路由器連通起來。

子網(wǎng)隔離的 L3 域，子網(wǎng)代表了一組分配了 IP 的虛擬機(jī)。每個(gè)子網(wǎng)必須有一個(gè) CIDR 和關(guān)聯(lián)到一個(gè)網(wǎng)絡(luò)。IP 可以從 CIDR 或者用戶指定池中選取。子網(wǎng)可能會(huì)有一個(gè)網(wǎng)關(guān)、一組 DNS 和主機(jī)路由。不同子網(wǎng)之間 L3 是互相不可見的，必須通過一個(gè)三層網(wǎng)關(guān)（即路由器）經(jīng)過 L3 上進(jìn)行通信。

端口可以進(jìn)出流量的接口，往往綁定上若干 MAC 地址和 IP 地址，以進(jìn)行尋址。一般為虛擬交換機(jī)上的虛擬接口。虛擬機(jī)掛載網(wǎng)卡到端口上，通過端口訪問網(wǎng)絡(luò)。當(dāng)端口有 IP 的時(shí)候，意味著它屬于某個(gè)子

邏輯概念如下圖所示：

大致架構(gòu)如下：（VLAN模式）

由于本次采用allinone的部署，控制節(jié)點(diǎn)和網(wǎng)絡(luò)節(jié)點(diǎn)合并在一起，同時(shí)，測(cè)試環(huán)境下只有一個(gè)網(wǎng)卡。

4.2將neutron與外部網(wǎng)絡(luò)連接

neuntron主要是通過br-ex與外部網(wǎng)絡(luò)連接通訊

首先將/etc/sysconfig/network-scripts/ifcfg-ens192(實(shí)際情況物理網(wǎng)卡名稱可能不同，如kvm中為eth0),復(fù)制為/etc/sysconfig/network-scripts/ifcfg-br-ex,

編輯/ etc / sysconfig / network-scripts / ifcfg-br-ex，重點(diǎn)修改如下內(nèi)容

DEVICE=br-ex DEVICETYPE=ovs TYPE=OVSBridge BOOTPROTO=static IPADDR=172.31.208.100  # 這個(gè)ip地址就是ens01網(wǎng)卡的ip地址                     NETMASK=255.255.255.0   GATEWAY=192.168.122.1   DNS1=192.168.122.1     ONBOOT=yes

然后修改/etc/sysconfig/network-scripts/ifcfg-ens192

DEVICE=ens192 TYPE=OVSPort DEVICETYPE=ovs OVS_BRIDGE=br-ex ONBOOT=yes

完成修改保存后，重啟網(wǎng)絡(luò)服務(wù)

systemctl restart network

現(xiàn)在，使用Neutron創(chuàng)建外部網(wǎng)絡(luò)。

. keystonerc_admin neutron net-create external_network --provider:network_type flat --provider:physical_network extnet  --router:external

然后我們就可以在openstack dashbord中看到創(chuàng)建好的外部網(wǎng)路

4.2 配置子網(wǎng)

    使用之間創(chuàng)建好的vdc_admin登陸，開始創(chuàng)建網(wǎng)絡(luò),名稱為public

然后定義子網(wǎng)private_network網(wǎng)段為分配私網(wǎng)網(wǎng)段，192.168.1.0/24

下一步，定義子網(wǎng)dhcp地址范圍和dns信息，這里不用添加主機(jī)路由

完成私網(wǎng)網(wǎng)絡(luò)配置后，還需要配置一個(gè)路由器，虛擬機(jī)實(shí)例分配到私網(wǎng)地址后，通過該路由器進(jìn)行snat到exernal網(wǎng)絡(luò)，再到外部物理網(wǎng)絡(luò)

然后點(diǎn)擊新建的路由器router,添加接口

此時(shí)就完成了路由器的添加。

此時(shí)查看網(wǎng)絡(luò)拓?fù)?，如下所示?/p>

可以看，虛擬網(wǎng)絡(luò)public已經(jīng)通過虛擬機(jī)路由器與外部網(wǎng)絡(luò)是連通的了

配置完成，可以再命令行中驗(yàn)證創(chuàng)建的網(wǎng)絡(luò)情況

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

本文題目：openstack-修改管理員密碼與創(chuàng)建外部網(wǎng)路-創(chuàng)新互聯(lián)
文章路徑：http://weahome.cn/article/ccdjis.html