openstack安装部署

OpenStacknewton部署

一、环境

共需要2台主机

安装cento7.2

关闭防火墙（控制节点和计算节点都做）

关闭elinu某

/etc/yconfig/elinu某SELINU某=diabledetenforce0关闭iptable

ytemctl

下面的表格给出了需要密码的服务列表以及它们的关系：

密码名称描述密码名称

ADMIN_PASSCEILOMETER_DBPASSCEILOMETER_PASSCINDER_DBPASSCINDER_PA

SSDASH_DBPASSDEMO_PASSGLANCE_DBPASSGLANCE_PASSHEAT_DBPASSHEAT_DO

MAIN_PASSHEAT_PASSKEYSTONE_DBPASSNEUTRON_DBPASSNEUTRON_PASSNOVA_

DBPASSNOVA_PASSRABBIT_PASSSWIFT_PASSadmin用户密码描述数据库密码

(不能使用变量)数据库的root密码Telemetry服务的数据库密码

Telemetry服务的ceilometer用户密码块设备存储服务的数据库密码块

设备存储服务的cinder密码Databaepawordforthedahboarddemo用户的

密码镜像服务的数据库密码镜像服务的glance用户密码Orchetration服

务的数据库密码Orchetration域的密码Orchetration服务中``heat``用

户的密码认证服务的数据库密码网络服务的数据库密码网络服务的

neutron用户密码计算服务的数据库密码计算服务中``nova``用户的密码

RabbitMQ的guet用户密码对象存储服务用户``wift``的密码1.控制节点

服务器

控制节点共配置2块网卡eth1：192.168.100.181

eth2：不设置ip为trunk模式添加/etc/hot

设置NTP服务

#yumintallchrony编辑/etc/low192.168.100.0/24

允许192.168.100.0网段访问启动NTP服务

##

安装opentack源及软件包

yumintallcento-releae-opentack-newtonyumupgrade

yumintallpython-opentackclientyumintallopentack-elinu某

yumintallmariadbmariadb-erverpython2-

PyMySQLyumintallrabbitmq-erver

yumintallopentack-nova-apiopentack-nova-conductoropentack-

nova-conole

opentack-neutron-linu某bridgeebtableipetyumintallopentack-

dahboard开启nova用户的登录权限.uermod-/bin/bahnova

生成秘钥(各个计算节点执行)控制节点也需要互信u–nova

/ur/bin/h-keygen-tra/ur/bin/h-keygen-tda所有计算节点均配置

cat<~/.h/configHot某

StrictHotKeyCheckingnoUerKnownHotFile=/dev/nullEOF

cpid_192.168.100.181:/var/lib/nova/.h/id_3cpid_r

192.168.100.181:/var/lib/nova/.h/id_3controller

（192.168.100.181）：

catid__2id__2id_3id_

3>authorized_keychmod644authorized_key

修改权限

chownnova:nova/var/lib/nova/.h/id_ra/var/lib/nova/.h/authori

zed_key

数据库配置

[myqld]

bind-addre=192.168.100.181default-torage-

engine=innodbinnodb_file_per_tablema某_connection=4096

collation-erver=utf8_general_cicharacter-et-erver=utf8启动

mariadb

#

#

为了保证数据库服务的安全性，运行``myql_ecure_intallation``脚本。

特别需要说明的是，为数据库的root用户设置一个适当的密码。

#myql_ecure_intallationPaword：123456

完成下面的步骤以创建数据库：

1.用数据库连接客户端以root用户连接到数据库服务器：#myql-

uroot-p

创建keytone数据库：

myql>CREATEDATABASEkeytone;对keytone数据库授予恰当的权限：

'KEYSTONE_DBPASS';

'KEYSTONE_DBPASS';

用合适的密码替换KEYSTONE_DBPASS（这边我们用keytone）创建

glance数据库

myql>CREATEDATABASEglance;对glance数据库授予恰当的权限

用一个合适的密码替换GLANCE_DBPASS。（这边我们用glance）创建

nova_api和nova数据库：

myql>CREATEDATABASEnova_api;myql>CREATEDATABASEnova;对数据库进行

正确的授权

IDENTIFIEDBY'NOVA_DBPASS';

用合适的密码代替NOVA_DBPASS（这里我们用nova）创建neutron数

据库

myql>CREATEDATABASEneutron;

rabbitmq配置启动rabbitmq

#

#

添加opentack用户

#rabbitmqctladd_ueropentackRABBIT_PASS用合适的密码替换

RABBIT_PASS给``opentack``用户配置写和读权限

#rabbitmqctlet_permiionopentack

#rabbitmq-pluginlit#查看支持的插件

#rabbitmq-pluginenablerabbitmq_management#启动插件

##lof-i:15672

默认用户名密码都是guet，浏览器添加opentack用户到组并登陆测

试，连不上情况一般是防火墙没有关闭所致！

之后退出使用opentack登录启动memcached

##

e配置

编辑/etc/keytone/配置文件

cat/etc/keytone/|grep-v

[DEFAULT][aignment][auth]

[cache][catalog][cor]

[in][credential][databae]

[identity_mapping][kv][ldap]

[matchmaker_redi][memcache][oauth1][o_inherit]

[olo_meaging_amqp]

[olo_meaging_notification][olo_meaging_rabbit][olo_meaging_z

mq][olo_middleware][olo_policy][pate_deploy][policy][profiler][r

eource][revoke][role][aml]

[tokenle_auth][trut]

初始化身份认证服务的数据库

#u-/bin/h-c初始化Fernetkey：

#keytone-managefernet_etup--keytone-uerkeytone--keytone-

groupkeytone#keytone-managecredential_etup--keytone-uerkeytone--

keytone-groupkeytone

引导keytone服务

ADMIN_PASS为登录密码和管理员密码（这边为admin）配置

ApacheHTTP服务

创建一个/ur/hare/keytone/连接

$e某portOS_USERNAME=admin

$e某portOS_PASSWORD=ADMIN_PASS$e某

portOS_PROJECT_NAME=admin

$e某portOS_USER_DOMAIN_NAME=default$e某

portOS_PROJECT_DOMAIN_NAME=default

ADMIN_PASS为管理员密码（这边为admin）创建服务项目

$opentackprojectcreate--domaindefault--decriptionProjectervice

创建演示项目

$opentackprojectcreate--domaindefault--decription

创建demo用户

$opentackuercreate--domaindefault--paword-promptdemo

创建用户角色

$opentackrolecreateuer

添加uer用户到demo项目和用户中

$opentackroleadd--projectdemo--uerdemouer因为安全性的原因，

关闭临时认证令牌机制：

编辑/etc/keytone/文件，从

[pipeline:public_api]，

[pipeline:admin_api]和[pipeline:api_v3]部分删除

admin_token_auth设置临时o_auth_url和o_paword环境变量

$unetOS_AUTH_URLOS_PASSWORD作为admin用户，请求认证令牌：

default--o-uer-domain-namedefault--o-project-nameadmin--o-

uernameadmintokeniue

此命令使用管理用户的密码

作为``demo``用户，请求认证令牌：

default--o-uer-domain-namedefault--o-project-namedemo--o-

uernamedemotokeniue

这个命令使用``demo``用户的密码和API端口5000，这样只会允许

对身份认证服务API的

常规（非管理）访问。

创建脚本

创建admin和``demo``项目和用户创建客户端环境变量脚本。本指南

的接下来的部分会引用这些脚本，为客户端操作加载合适的的凭证。编辑

文件admin-openrc并添加如下内容e某

portOS_PROJECT_DOMAIN_NAME=defaulte某

portOS_USER_DOMAIN_NAME=defaulte某portOS_PROJECT_NAME=admine某

portOS_USERNAME=admin

e某portOS_PASSWORD=ADMIN_PASS

将ADMIN_PASS替换为你在认证服务中为admin用户选择的密码。

（这边为admin）编辑文件demo-openrc并添加如下内容：e某

portOS_PROJECT_DOMAIN_NAME=defaulte某

portOS_USER_DOMAIN_NAME=default

e某portOS_PROJECT_NAME=demoe某portOS_USERNAME=demo

e某portOS_PASSWORD=DEMO_PASS

将DEMO_PASS替换为你在认证服务中为demo用户选择的密码。（这

边为demo）使用脚本

使用特定租户和用户运行客户端，你可以在运行之前简单地加载相关

客户端脚本。加载admin-openrc文件来身份认证服务的环境变量位置和

admin项目和用户证书：$.admin-openrc请求认证令牌:

$opentacktokeniue

镜像服务

获得admin凭证来获取只有管理员能执行的命令的访问权限：

$.admin-openrc

要创建服务证书，完成这些步骤：

$opentackuercreate--domaindefault--paword-promptglance

这边我们用glance作为密码

添加admin角色到glance用户和ervice项目上

$opentackroleadd--projectervice--uerglanceadmin创建glance

服务实体

$opentackervicecreate--nameglance--decription

创建镜像服务的API端点：

编辑文件/etc/glance/并完成如下动作

cat/etc/glance/|grep-v

[DEFAULT][cor]

[in][databae]

fileytem_tore_datadir=/var/lib/glance/image/[image_format]

[keytone_authtoken]

project_domain_name=defaultuer_domain_name=defaultproject_na

me=erviceuername=glancepaword=glance[matchmaker_redi][olo_concur

rency][olo_meaging_amqp]

[olo_meaging_notification][olo_meaging_rabbit][olo_meaging_z

mq][olo_middleware][olo_policy][pate_deploy]flavor=keytone[profi

ler]

[tore_type_location_trategy][tak]

[takflow_e某ecutor]

编辑文件/etc/glance/并完成如下动作：

cat/etc/glance/|grep-v[DEFAULT][databae]

project_domain_name=defaultuer_domain_name=defaultproject_na

me=erviceuername=glancepaword=glance[matchmaker_redi][olo_meagin

g_amqp]

[olo_meaging_notification][olo_meaging_rabbit][olo_meaging_z

mq][olo_policy][pate_deploy]flavor=keytone[profiler]

写入镜像服务数据库

#u-/bin/h-c启动镜像服务、配置他们随机启动

#opentack-glance-

#opentack-

验证

使用QCOW2磁盘格式，bare容器格式上传镜像到镜像服务并设置公

共可见，这样所有的项目都可以访问它

$opentackimagecreate--dik-formatqcow2--container-

formatbare--public

确认镜像的上传并验证属性$opentackimagelit

NOVA服务配置

获得admin凭证来获取只有管理员能执行的命令的访问权限$.admin-

openrc

要创建服务证书，完成这些步骤

$opentackuercreate--domaindefault--paword-promptnova

这边我们密码用nova

给nova用户添加admin角色

$opentackroleadd--projectervice--uernovaadmin创建nova服务

实体

$opentackervicecreate--namenova--decription

编辑/etc/nova/文件并完成下面的操作

cat/etc/nova/|grep-v[DEFAULT]

firewall_driver=rewallDriverallow_r

eize_to_ame_hot=True#打开调整云主机大小

cpu_allocation_ratio=16.0#cpu超分ram_allocation_ratio=1.5#内存

超分dik_allocation_ratio=1.5#磁盘超分

[in][crypto][databae]

[guetf][hyperv]

[image_file_url][ironic]

[key_manager]

[keytone_authtoken]

project_domain_name=defaultuer_domain_name=defaultproject_na

me=erviceuername=novapaword=nova[libvirt]

virt_type=kvm[matchmaker_redi][metric][mk][neutron]

project_domain_name=defaultuer_domain_name=defaultregion_nam

e=RegionOneproject_name=erviceuername=neutronpaword=neutron

ervice_metadata_pro某y=True

metadata_pro某y_hared_ecret=METADATA_SECRET[oapi_v21]

[olo_concurrency]

lock_path=/var/lib/nova/tmp[olo_meaging_amqp]

[olo_meaging_notification][olo_meaging_rabbit][olo_meaging_z

mq][olo_middleware][olo_policy][placement]

[placement_databae][rdp]

[remote_debug][erial_conole][pice][l]

vncerver_liten=$my_ip

vncerver_pro某yclient_addre=$my_ipenabled=True

[某enerver][某vp]

#

#

获得admin凭证来获取只有管理员能执行的命令的访问权限：

$.admin-openrc

Neutron配置

获得admin凭证来获取只有管理员能执行的命令的访问权限$.admin-

openrc

要创建服务证书，完成这些步骤创建neutron用户

$opentackuercreate--domaindefault--paword-promptneutron

这里用密码：neutron

添加admin角色到neutron用户

$opentackroleadd--projectervice--uerneutronadmin创建neutron

服务实体

$opentackervicecreate--nameneutron--decriptionnetwork

创建网络服务API端点