OpenStack云計算平臺搭建與管理（openEuler）（微課版） 課件項目16 用云鏡像部署云主機

課程OpenStack云計算平臺

搭建與管理

項目17用云鏡像部署云主機第25講用云鏡像部署云主機學習目標【知識目標】（1）了解密鑰對的功能。（2）了解密鑰對的管理命令。（3）了解cloud-init云主機初始化工具?！炯寄苣繕恕浚?）能夠?qū)γ荑€對進行管理。（2）能夠編寫簡單的cloud-init腳本。（3）能夠管理安全組。（4）能夠部署采用密鑰對登錄的CentOS云主機。（5）能夠部署采用用戶名和密碼登錄的CentOS云主機。引例描述

小王看著自己創(chuàng)建的CirrOS云主機，覺得它的操作系統(tǒng)功能還是太簡單了，一般只用于學習而不用于生產(chǎn)。那能不能在云計算平臺上部署CentOS云主機呢？CentOS官網(wǎng)上提供的操作系統(tǒng)云鏡像如何使用呢？項目陳述

小王通過調(diào)研了解到，大多數(shù)Linux操作系統(tǒng)包括CentOS都為云計算平臺提供了操作系統(tǒng)云鏡像，可以讓用戶跳過安裝系統(tǒng)的步驟以快速部署云主機。但是官方提供的鏡像通常默認只支持密鑰對登錄，不支持用戶名和密碼登錄，因此需要學會使用密鑰對登錄系統(tǒng)。另外，CentOS內(nèi)置了cloud-init云主機初始化工具，可以讓用戶定制云主機，可以用它來讓部署的云主機支持常用的用戶名和密碼登錄。

本項目將使用OpenStack云計算平臺部署更適合生產(chǎn)環(huán)境的CentOS云主機。

登錄Linux云主機有兩種方式，一是通過用戶名和密碼，二是通過密鑰對（KeyPair）。密鑰對是指通過SSH加密算法所產(chǎn)生的一對密鑰，它包括一個公鑰和一個私鑰。其中私鑰是由密鑰對所有者持有且保密的，而公鑰顧名思義是公開的。公鑰用來給數(shù)據(jù)加密，私鑰用來給數(shù)據(jù)解密，用公鑰加密的數(shù)據(jù)只能使用私鑰解密。密鑰對的概念及應用密鑰對的優(yōu)勢：

SSH密鑰對登錄認證更為安全可靠。密鑰對安全強度遠高于常規(guī)用戶密碼，基本可以避免暴力破解威脅。不可能通過公鑰推導出私鑰。更加便捷，可以免密碼登錄系統(tǒng)，便于批量維護多臺Linux云主機。密鑰對的概念及應用【案例一】生成一個密鑰對[root@controller~]#ssh-keygen-q-N""Enterfileinwhichtosavethekey（/root/.ssh/id_rsa）:按【Enter】鍵后，將生成一個密鑰對并存放到“/root/.ssh”目錄下，其中私鑰名為“id_rsa”，公鑰名為“id_rsa.pub”。以后可以通過這個私鑰登錄系統(tǒng)。密鑰對的概念及應用【案例二】導入公鑰到OpenStack云計算平臺[root@controller~]#openstackkeypaircreate--public-key~/.ssh/id_rsa.pubmkey+--------------------+----------------------------------------------------------------+|Field

|Value

|+--------------------+----------------------------------------------------------------+|fingerprint |8c:c3:be:a7:f3:23:f6:db:d5:ed:1f:41:d4:9a:7d:15

||name

|mkey

||user_id |98cb829d750a46ecbb581eceb9d86abf |+--------------------+----------------------------------------------------------------+這條命令將生成的公鑰導入OpenStack云計算平臺，取名為“mkey”。密鑰對的概念及應用【案例三】查看系統(tǒng)密鑰列表[root@controller~]#openstackkeypairlist+----------+------------------------------------------------------------+|Name |Fingerprint |+----------+-------------------------------------------------------------+|mkey |8c:c3:be:a7:f3:23:f6:db:d5:ed:1f:41:d4:9a:7d:15

|+----------+-------------------------------------------------------------+ 密鑰對的概念及應用cloud-init是在多種Linux云鏡像中默認安裝的一款用于在云環(huán)境中對云主機進行初始化的工具，它可以從各種數(shù)據(jù)源讀取相關數(shù)據(jù)并據(jù)此對虛擬機進行配置。這些數(shù)據(jù)源可以是數(shù)據(jù)庫中的元數(shù)據(jù)或者是用戶自定義的腳本數(shù)據(jù)。

當cloud-init獲取這些信息后，在系統(tǒng)啟動之初就使用它內(nèi)置的功能模塊自動完成相應功能，如新建用戶、啟動腳本、更改云主機主機名、更改本地hosts文件、設定用戶名及密碼等。云主機初始化配置工具【例四】將新部署的云主機名更名并更改hosts文件制作如下腳本，在創(chuàng)建實例的時候輸入。#cloud-configbootcmd:

-hostnamectlset-hostnamemyhost-echo0controller>>/etc/hosts云主機初始化配置工具cloud-init只會讀取以“#cloud-config”開頭的數(shù)據(jù)?！纠濉拷o新部署的云主機增加一個YUM源。#cloud-configyum_repos:yumname:baseurl:/centos/7/os/x86_64/enabled:truegpgcheck:falsename:centos云主機初始化配置工具【例六】允許SSH遠程連接用密碼登錄，并設置root用戶密碼#cloud-configssh_pwauth:yeschpasswd:list:|root:000000expire:false云主機初始化配置工具項目實施檢查系統(tǒng)環(huán)境——下載系統(tǒng)云鏡像第1步，安裝“wget”下載工具?！皐get”是Linux中的一個下載文件的工具。[root@controller~]#

yum-yinstallwget第2步，從CentOS官網(wǎng)下載云鏡像。從CentOS官網(wǎng)下載一個“qcow2”格式的云鏡像文件。[root@controller~]#

wget/centos/7/images/CentOS-7-x86_64-GenericCloud-2009.qcow2如果下載速度慢，可以用下載工具（如迅雷）來下載云鏡像文件。檢查系統(tǒng)環(huán)境——檢查時間同步服務第1步，檢查兩節(jié)點當前時間。在控制節(jié)點服務器和計算節(jié)點服務器運行date命令，查看控制節(jié)點的當前時間。#dateSatOct3012:34:30EDT2021如果兩個節(jié)點的時間相差過大，則需要將時間進行同步。除了可用Chrony時間同步服務進行自動同步以外，還可以用date命令進行手動同步。第2步，手動設置時間。#date-s“SatOct3012:34:30EDT2021”選項“-s”后面的字符串為調(diào)整后的時間。檢查系統(tǒng)環(huán)境——檢查現(xiàn)有云主機用VMwareWorkstation虛擬出的兩臺服務器（控制節(jié)點、計算節(jié)點）均只有4GB內(nèi)存，為了讓新的CentOS云主機能夠有足夠的資源供運行，需要檢查現(xiàn)有云主機的狀態(tài)，如果是開啟的，則需要關閉它。部署CentOS云主機——創(chuàng)建鏡像第1步，進入【鏡像】列表。部署CentOS云主機——創(chuàng)建鏡像第2步，在【創(chuàng)建鏡像】對話框中填寫鏡像信息并創(chuàng)建鏡像。部署CentOS云主機——配置安全組安全組設置了云計算平臺如何與外部網(wǎng)絡交互的一些規(guī)則。在其默認設置中是不能從外網(wǎng)ping通云主機的，也不能讓SSH遠程管理工具訪問云主機。因此在這里對默認安全組添加兩項規(guī)則，使云主機與外網(wǎng)可以互相ping通，也能讓用戶通過SSH遠程管理工具應用云主機。部署CentOS云主機——配置安全組第1步，進入【安全組】界面。部署CentOS云主機——配置安全組第2步，管理默認安全組規(guī)則。部署CentOS云主機——配置安全組第3步，添加規(guī)則。首先，添加允許SSH遠程管理工具訪問的規(guī)則。在【規(guī)則】下拉列表里，選擇“定制TCP規(guī)則”，在【端口】文本框填入“22”，然后單擊【添加】按鈕將該規(guī)則添加到安全組中。然后，添加允許內(nèi)外網(wǎng)互ping的規(guī)則。在【規(guī)則】下拉列表里，選擇“定制ICMP規(guī)則”，其余保持不變，然后單擊【添加】按鈕，將規(guī)則添加到安全組中。部署CentOS云主機——創(chuàng)建密鑰對第1步，進入【KeyPairs】界面。部署CentOS云主機——創(chuàng)建密鑰對第2步，創(chuàng)建密鑰對。在【創(chuàng)建密鑰對】對話框中填寫密鑰對信息：在【密鑰對名稱】文本框中輸入自定義密鑰對的名稱；在【密鑰類型】下拉列表中選擇“SSH密鑰”。部署CentOS云主機——創(chuàng)建密鑰對第3步，保存私鑰文件。密鑰對創(chuàng)建完成后會生成私鑰以供下載。部署CentOS云主機——創(chuàng)建云主機第1步，進入【實例】界面。部署CentOS云主機——創(chuàng)建云主機第2步，填寫實例詳情。部署CentOS云主機——創(chuàng)建云主機第3步，選擇源鏡像。部署CentOS云主機——創(chuàng)建云主機第4步，選擇實例類型。部署CentOS云主機——創(chuàng)建云主機第5步，選擇網(wǎng)絡。部署CentOS云主機——創(chuàng)建云主機第6步，選擇安全組。部署CentOS云主機——創(chuàng)建云主機第7步，選擇密鑰對。部署CentOS云主機——創(chuàng)建云主機第8步，定制化腳本。

#cloud-config：表示這是系統(tǒng)啟動時自動加載的cloud-init腳本。

ssh_pwauth：配置是否允許SSH協(xié)議用密碼登錄，True為允許，默認為False。

password:默認登錄用戶的密碼，CentOS7云鏡像的默認登錄用戶是“centos”。

chpasswd:更改用戶密碼，這里我們更改了root用戶密碼，注意“l(fā)ist”和“expire”前面是兩個空格，“root”前面是四個空格。

expire：配置密碼是否要過期，F(xiàn)alse為永不過期。部署CentOS云主機——創(chuàng)建云主機第9步，創(chuàng)建云主機。管理云主機——遠程管理云主機（1）用密鑰對登錄系統(tǒng)第1步，進入【Sessionsettings】對話框。管理云主機——遠程管理云主機第2步，設置SSH會話。填寫云主機的IP地址。選擇【Useprivatekey】復選框，然后在對應的私鑰文件文本框中填寫在創(chuàng)建密鑰對時備份的私鑰文件地址。管理云主機——遠程管理云主機（2）用戶名與密碼登錄系統(tǒng)CentOS提供的官方云鏡像一開始并不支持SSH協(xié)議及采用用戶名和密碼登錄系統(tǒng)。但是，由于在部署云主機時，通過cloud-init云鏡像初始化配置工具給鏡像傳入了如下初始化腳本，開啟了SSH協(xié)議及通過用戶名和密碼登錄的許可。（注意：VMware網(wǎng)絡模式下的DHCP服務一定要關閉；不能用【Tab】鍵來代替空格；除了root后的“:”沒有加空格外，其余“:”后都有空格；True和False大小寫皆可）#cloud-configssh_pwauth:Truechpasswd:list:|root:000000expire:False管理云主機——遠程管理云主機