OpenStack官方安装文档CentOS7_中文

1/144CentOS7安装OpenStack笔记2/1443/1441环境搭建1.1安全OpenStack服务支持各种安全方法，包括密码，策略和加密。此外，包括数据库服务器和消息代理在内的支持服务至少支持密码安全性。为了简化安装过程，本指南仅适用于密码安全性。您可以手动创建安全密码，使用pwgen等工具生成或通过运行以下命令：$opensslrand-hex10对于OpenStack服务，本指南用于SERVICE_PASS引用服务帐户密码并SERVICE_DBPASS引用数据库密码。下表提供了指南中需要密码及其相关引用的服务列表：1.1.1密码密码名称描述Databasepassword(novariableused)kitefz数据库的根密码ADMIN_PASSadmin123用户密码adminCINDER_DBPASScinderdb123BlockStorage服务的数据库密码CINDER_PASScinder123块存储服务用户的密码cinderDASH_DBPASSdashdb123仪表板的数据库密码4/144密码名称描述DEMO_PASSdome123用户密码demoGLANCE_DBPASSglancedb123图像服务的数据库密码GLANCE_PASSglancd123图像服务用户的密码glanceKEYSTONE_DBPASSkeystone123身份服务的数据库密码NEUTRON_DBPASS网络服务的数据库密码NEUTRON_PASS网络服务用户密码neutronNOVA_DBPASS计算服务的数据库密码NOVA_PASS计算服务用户的密码novaRABBIT_PASSRabbit123RabbitMQ的用户访客密码OpenStack和支持服务在安装和操作期间需要管理权限。在某些情况下，服务会对主机进行修改，从而干扰部署自动化工具（如可复制，厨师和木偶）。例如，一些OpenStack服务添加一个根包装器sudo可能会干扰安全策略。有关详细信息，请参阅“OpenStack管理员指南”。此外，网络服务假定内核网络参数的默认值，并修改防火墙规则。为了避免在初始安装过程中出现的大多数问题，我们建议您在主机上使用受支持发行版的库存部署。但是，如果您选择自动部署主机，请在继续进行之前查看应用于其的配置和策略。1.1.2主机网络更新：2017-09-0618:505/144在您选择部署的体系结构的每个节点上安装操作系统后，必须配置网络接口。我们建议您禁用任何自动化网络管理工具，并手动编辑分发版本的相应配置文件。有关如何在发行版上配置网络的更多信息，请参阅文档。所有节点需要Internet访问用于管理目的，如软件包安装，安全更新，DNS和NTP。在大多数情况下，节点应通过管理网络接口获得互联网接入。为了突出显示网络分离的重要性，示例架构为管理网络使用专用地址空间，并假设物理网络基础设施通过NAT或其他方法提供Internet访问。示例架构为提供商（外部）网络使用可路由的IP地址空间，并假设物理网络基础架构提供直接的Internet访问。在提供商网络架构中，所有实例都直接附加到提供商网络。在自助（私有）网络架构中，实例可以附加到自助服务或提供商网络。自助服务网络可以完全驻留在OpenStack中，或者通过提供商网络使用NAT提供一定程度的外部网络访问。示例架构假设使用以下网络：10.0.0.0/24管理，网关10.0.0.16/144该网络需要网关为所有节点提供Internet访问，用于管理目的，如软件包安装，安全更新，DNS和NTP。提供商203.0.113.0/24，网关203.0.113.1该网络需要一个网关来为OpenStack环境中的实例提供Internet访问。您可以修改这些范围和网关以使用您的特定网络基础设施。网络接口名称因分布而异。传统上，接口使用“eth”，后跟顺序号。为了涵盖所有变体，本指南简单地将第一个接口称为具有最小数量的接口，第二个接口作为具有最高数量的接口。除非您打算使用此示例体系结构中提供的确切配置，否则必须修改此过程中的网络以匹配您的环境。另外，除了IP地址之外，每个节点都必须通过名称解析其他节点。例如，该controller名称必须解析为10.0.0.11控制器节点上的管理接口的IP地址。警告重新配置网络接口将中断网络连接。我们建议使用本地终端会话进行这些过程。注意您的分发默认情况下启用限制性防火墙。在安装过程中，某些步骤将失败，除非您更改或禁用防火墙。有关保护环境的更多信息，请参阅“OpenStack安全性指南”。1.1.2.1控制器节点1.1.2.1.1配置网络接口1.配置第一个接口为管理界面：IP地址：10.0.0.11网络掩码：255.255.255.0（或/24）默认网关：10.0.0.12.提供者接口使用特殊配置，而不分配IP地址。将第二个接口配置为提供程序接口：替换INTERFACE_NAME为实际的接口名称。例如，eth1或ens224。编辑/etc/sysconfig/network-scripts/ifcfg-INTERFACE_NAME文件以包含以下内容：7/144不要改变HWADDR和UUID键。DEVICE=INTERFACE_NAMETYPE=EthernetONBOOT=yesBOOTPROTO=none1.重新启动系统以激活更改。1.1.2.1.2配置名称解析1.设置节点的主机名controller。2.编辑/etc/hosts文件以包含以下内容：#controller10.0.0.11controller#compute110.0.0.31compute1#block110.0.0.41block1#object110.0.0.51object1#object210.0.0.52object2警告一些发行版在/etc/hosts文件中添加一个无关的条目，将实际的主机名解析为另一个回送IP地址，例如127.0.1.1。您必须注释掉或删除此条目以防止名称解析问题。不要删除127.0.0.1条目。注意为了降低本指南的复杂性，我们为可选服务添加主机条目，无论您是否选择部署它们。8/1441.1.2.2计算节点更新：2017-09-0618:501.1.2.2.1配置网络接口1.配置第一个接口为管理界面：IP地址：10.0.0.31网络掩码：255.255.255.0（或/24）默认网关：10.0.0.1注意其他计算节点应使用10.0.0.32,10.0.0.33等。2.提供者接口使用特殊配置，而不分配IP地址。将第二个接口配置为提供程序接口：替换INTERFACE_NAME为实际的接口名称。例如，eth1或ens224。编辑/etc/sysconfig/network-scripts/ifcfg-INTERFACE_NAME文件以包含以下内容：不要改变HWADDR和UUID键。DEVICE=INTERFACE_NAMETYPE=EthernetONBOOT=yesBOOTPROTO=none3.重新启动系统以激活更改。1.1.2.2.2配置名称解析¶1.设置节点的主机名compute1。2.编辑/etc/hosts文件以包含以下内容：#controller10.0.0.11controller#compute110.0.0.31compute19/144#block110.0.0.41block1#object110.0.0.51object1#object210.0.0.52object2警告一些发行版在/etc/hosts文件中添加一个无关的条目，将实际的主机名解析为另一个回送IP地址，例如127.0.1.1。您必须注释掉或删除此条目以防止名称解析问题。不要删除127.0.0.1条目。注意为了降低本指南的复杂性，我们为可选服务添加主机条目，无论您是否选择部署它们。1.1.2.3块存储节点（可选）更新：2017-09-0618:50如果要部署块存储服务，请配置一个额外的存储节点。1.1.2.3.1配置网络接口¶配置管理界面：IP地址：10.0.0.41网络掩码：（255.255.255.0或/24）默认网关：10.0.0.110/1441.1.2.3.2配置名称解析¶1.设置节点的主机名block1。2.编辑/etc/hosts文件以包含以下内容：＃控制器10.0.0.11控制器＃compute110.0.0.31compute1＃block110.0.0.41block1＃object110.0.0.51object1＃object210.0.0.52object2警告一些发行版在/etc/hosts文件中添加一个无关的条目，将实际的主机名解析为另一个回送IP地址，例如127.0.1.1。您必须注释掉或删除此条目以防止名称解析问题。不要删除127.0.0.1条目。注意为了降低本指南的复杂性，我们为可选服务添加主机条目，无论您是否选择部署它们。3.重新启动系统以激活更改。11/1441.1.2.4验证连接更新：2017-09-0618:50我们建议您在继续进行之前验证到Internet和节点之间的网络连接。1.从控制器节点，测试访问Internet：#ping-c4openstack.orgPINGopenstack.org(174.143.194.225)56(84)bytesofdata.64bytesfrom174.143.194.225:icmp_seq=1ttl=54time=18.3ms64bytesfrom174.143.194.225:icmp_seq=2ttl=54time=17.5ms64bytesfrom174.143.194.225:icmp_seq=3ttl=54time=17.5ms64bytesfrom174.143.194.225:icmp_seq=4ttl=54time=17.4ms---openstack.orgpingstatistics---4packetstransmitted,4received,0%packetloss,time3022msrttmin/avg/max/mdev=17.489/17.715/18.346/0.364ms2.从控制器节点，测试访问计算节点上的管理界面：#ping-c4compute1PINGcompute1(10.0.0.31)56(84)bytesofdata.64bytesfromcompute1(10.0.0.31):icmp_seq=1ttl=64time=0.263ms64bytesfromcompute1(10.0.0.31):icmp_seq=2ttl=64time=0.202ms64bytesfromcompute1(10.0.0.31):icmp_seq=3ttl=64time=0.203ms64bytesfromcompute1(10.0.0.31):icmp_seq=4ttl=64time=0.202ms---compute1pingstatistics---4packetstransmitted,4received,0%packetloss,time3000msrttmin/avg/max/mdev=0.202/0.217/0.263/0.030ms3.从计算节点，测试访问Internet：12/144#ping-c4openstack.orgPINGopenstack.org(174.143.194.225)56(84)bytesofdata.64bytesfrom174.143.194.225:icmp_seq=1ttl=54time=18.3ms64bytesfrom174.143.194.225:icmp_seq=2ttl=54time=17.5ms64bytesfrom174.143.194.225:icmp_seq=3ttl=54time=17.5ms64bytesfrom174.143.194.225:icmp_seq=4tt