云安全深度剖析：环境搭建

2023-11-18 理论教育版权反馈

【摘要】：若在物理机上安装时，底层指定虚拟化技术为KVM，若在虚拟机中安装时，底层虚拟化技术必须采用QEMU[23]。图8-20 penStack实验总体架构1.身份验证服务部署身份验证服务是由OpenStack的Keystone组件负责。身份验证服务对用户提出的需求进行可行性判断。2)Credentials，用于证明一个用户是合法的。3)Authentication，用于确定用户身份的行为，通过用户提供的证书来进行合法性判断。5)Tenant，表示一组用户。4)创建身份验证服务及访问点。

这里安装两台OpenStack服务器，分别为控制服务器和计算服务器。物理服务器安装CentOS操作系统，在CentOS操作系统中安装KVM软件，然后创建虚拟机作为OpenStack服务器。在物理服务器和虚拟机中安装OpenStack的区别在于底层虚拟化技术的选择。若在物理机上安装时，底层指定虚拟化技术为KVM，若在虚拟机中安装时，底层虚拟化技术必须采用QEMU^[23]。

控制服务器负责OpenStack的用户验证控制和服务控制。控制服务器需要安装Glance项目、KeyStone项目和Horizon项目。计算服务器负责虚拟机实例的资源分配、运行以及网络分配。计算服务器需要安装Nova项目含Nova-network。

图8-2为实验所架设的OpenStack总体结构图。

图8-20 penStack实验总体架构

1.身份验证服务部署

身份验证服务是由OpenStack的Keystone组件负责。其主要功能是负责身份验证和服务令牌功能。

Keystone类似于一个服务总线，可以说是整个OpenStack框架的注册表，每个服务都要通过Keystone对服务自身和该服务的访问点(Endpoint)进行注册。服务之间相互调用也都需要经过Keystone的身份验证，并经过访问点来获取服务。Keystone涉及的概念主要如下：

1)User（用户），代表访问OpenStack云服务的用户、系统或者服务等。身份验证服务对用户提出的需求进行可行性判断。用户通过账号及令牌来获得访问资源的权限。

2)Credentials，用于证明一个用户是合法的。在身份验证服务中，它可能是用户姓名与密码或者经认证的令牌。

3)Authentication，用于确定用户身份的行为，通过用户提供的证书来进行合法性判断。验证通过后，身份验证服务向用户发放一个令牌，用户可以在后续的资源访问中使用该令牌。

4)Token，由一串任意的文本信息构成。每一个令牌表征着可使用的资源范围。Token可以在任意时候被撤回，也有可能永久有效。

5)Tenant，表示一组用户。一个Tenant可以有一个或多个用户，用户可以属于一个或者多个Tenant。

6)Service，提供了一个或多个Endpoint，用户通过Endpoint访问资源并进行操作。

7)Endpoint，是一个通常用URL来指定的网络地址。如果需要访问一个服务，则必须知道它的Endpoint。在Keystone中包含一个Endpoint模板，这个模板提供了所有存在的服务Endpoints信息。一个Endpoint模板包含一个URL列表，列表中的每个URL都对应一个服务实例的访问地址，并且具有Public、Private和Admin三种权限。Public URL可以被全局访问，Private URL只能被局域网访问，Admin URL只能被管理员访问。

8)Role，代表一组用户可以访问的资源权限。一个令牌中包括用户具备的全部角色。用户访问服务时，服务对用户所持的令牌进行角色提取，然后判断用户是否具有访问权限。

本部分的安装内容如下：

1)安装Keystone。

2)安装Keystone数据库。

3)创建用户、租户及角色。

4)创建身份验证服务及访问点。

2.镜像管理服务部署

镜像管理服务对应OpenStack组件是Glance。镜像文件可以是简单的文件系统，也可以是对象存储系统。实验所用镜像存储在文件系统中，默认存放在控制服务器的/var/lib/lance/images/目录下。

Glance包含如下组件：

1)CE-API，提供镜像发现、注册、检索及存储的API。

2)Glance-registry，存储、处理及检索镜像元数据，元数据包括镜像大小和类型等。(www.chuimin.cn)

3)Database，存放镜像元数据，本次采用MySQL数据库。

4)Storage repository for image fles，镜像存储仓库。

本部分的安装内容如下：

1)安装Glance。

2)创建Glance数据库。

3)创建Glance服务及访问点。

3.计算服务部署

计算服务是OpenStack的核心部件，主要用于主持和管理云计算系统，提供按需分配虚拟机。计算服务需要虚拟化支持，OpenStack支持多种虚拟化技术，这里采用QEMU。

本部分的安装内容如下：

1)安装Nova。

2)创建Nova数据库。

3)创建Nova服务与访问点。

4.网络服务部署

计算服务白带的Nova-network实现了一些基本的网络模型，能够实现云主机之间相互通信及云主机与Internet的相互访问。Nova-network提供两种IP和三种网络管理模型。

两种IP是指固定IP (Fixed IP)和浮动IP (Floating IP)。固定IP分配给云主机之后将不做变动，直至删除云主机并将该lP进行释放。固定lP可以看作是所有云主机所构成虚拟子网的内网IP，支持云主机之间的通信。为了实现云主机能够访问Internet，需要为每个云主机分配一个浮动IP，该浮动IP为连接互联网的IP，可以随时进行绑定和解除绑定，采用动态分配。

三种网络管理模式是指Flat（扁平）模式、FlatDHCP模式和VLAN模式。Flat模式是指所有云主机都桥接到同一个虚拟网络，需要管理员手动设置网桥，虚拟机的IP都从该子网中分配，网络相关的配置信息会在虚拟机启动时注入虚拟机镜像中。FlatDHCP模式是指Nova会自动创建网桥并启动DNSmasp（一个用于配置DNS和DHCP的工具）来配置云主机的固定lP，虚拟机启动时通过DHCP获取其同定IP，凶此不需要将网络配置信息注入云主机中。VLAN模式会为每个项目（Project，可以看作一组用户）提供受保护的网段，每个项目可以有自己独立的IP地址段，不同的项目之间是隔离的，不会相互影响。这里采用FlatDHCP模式。

本部分的安装内容如下：

1)安装Nova-network。

2)配置FlatDHCP。

5.Web服务环境部署

Dashboard (Horizon)是云管理人员与用户管理各种OpenStack资源与服务f向Web接口。通过Web界面可以方便地对OpenStack的各类资源进行浏览与管理。Web服务发布采用Apache服务器。

本部分的安装内容如下：

1)安装Dashboard。

2)启动Apache。