摘要:本次实训完成双节点架构的 OpenStack IaaS 私有云平台全流程搭建,涵盖硬件规划、系统初始化、YUM 源配置、自动化脚本部署、网络架构规划、云主机创建与基础运维等全环节。本文结合实操步骤,梳理部署流程、核心知识点、踩坑经验以及日常运维要点,帮助零基础学习者理清私有云搭建逻辑,掌握 OpenStack 基础组件协同原理与实操规范。
一、实训背景与整体架构
随着企业对数据安全、资源可控性要求提升,私有云成为政企内部 IT 资源池化的主流方案,而 OpenStack 是目前应用最广泛的开源 IaaS 私有云架构,可实现计算、存储、网络、镜像等资源的统一调度与管理。
本次实训采用控制节点(Controller)+ 计算节点(Compute) 经典双节点架构,基于 CentOS 7 系统搭配国基北盛自动化部署脚本完成平台搭建,整体分工明确:
1.控制节点:私有云核心管控中心,承载 Keystone(身份认证)、Glance(镜像)、Nova 控制端、Neutron 控制端、Horizon(可视化面板)、数据库、消息队列等核心服务,负责全局资源调度与管理。
2.计算节点:算力与存储承载节点,运行 Nova 计算服务、Neutron 计算服务、Cinder 块存储、Swift 对象存储,负责云主机实际运行、磁盘挂载与网络转发。
节点硬件与网络规划(核心前置条件)
部署前必须完成硬件、硬盘、网卡的标准化配置,这是平台稳定运行的基础:
表格
节点 硬件配置 磁盘规划 双网卡 IP 规划
Controller 内存≥4G、CPU 2 核 sda 50G(系统盘) 网卡 1 (VMNET8):192.168.137.241;网卡 2 (VMNET1):20.0.0.10
Compute 内存≥4G、CPU 2 核 sda 50G (系统)、sdb 50G (块存储)、sdc 50G (对象存储) 网卡 1 (VMNET8):192.168.137.242;网卡 2 (VMNET1):20.0.0.20
网络采用双网卡分离设计,管理网与业务网隔离,规避流量冲突,同时为后续内外网互通做铺垫。
二、私有云部署全流程实操梳理
本次部署分为环境初始化、基础服务配置、自动化脚本部署、网络与云主机配置四大阶段,全程依托iaas-xiandian系列脚本简化部署,同时保留手动配置要点,兼顾自动化与原理理解。
(一)系统基础环境初始化(两节点均执行)
该阶段主要完成系统安全策略、主机名、防火墙等基础优化,为后续部署扫清障碍。
1.修改主机名:区分控制节点与计算节点,方便运维识别
bash
运行
控制节点执行
hostnamectl set-hostname controller
计算节点执行
hostnamectl set-hostname compute
2.关闭防火墙与 SELinux:实训环境下关闭防护,避免端口拦截;生产环境严禁直接关闭,需按需开放服务端口。
bash
运行
systemctl stop firewalld && systemctl disable firewalld
setenforce 0
知识点补充:文档提及iaas-pre-host.sh脚本会自动完成hosts配置、SELinux 关闭、swap 分区注释,实操中可直接依赖脚本,减少重复操作。
(二)镜像挂载与 YUM 源配置(核心依赖准备)
平台依赖 CentOS 系统镜像与 IaaS 专属软件镜像,需通过本地挂载 + FTP 共享实现双节点软件源统一,保证软件包正常安装。
1.控制节点挂载镜像
创建挂载目录,将 CentOS 系统镜像与 IaaS 镜像分别挂载至指定路径:
mkdir /opt/centos /opt/iaas
mount -o loop CentOS-7-x86_64-DVD-1804.iso /opt/centos
mount -o loop chinaskills_cloud_iaas.iso /opt/iaas/
2.配置本地 YUM 源(Controller)
清空原有 YUM 源,新建local.repo,指向本地挂载镜像,实现本地离线安装。
3.配置 FTP 共享与计算节点 YUM 源
控制节点安装vsftpd搭建 FTP 服务,修改配置指定匿名根目录为/opt;计算节点 YUM 源
通过 FTP 拉取控制节点镜像资源,实现单镜像多节点共享,节约资源。
控制节点 FTP 核心配置:anon_root=/opt,启动并设置开机自启 vsftpd;
计算节点 YUM 源:baseurl=ftp://controller/xxx,远程调用控制节点资源。
(三)全局配置文件 openrc.sh 调优(重中之重)
openrc.sh是 OpenStack 全组件的统一配置文件,包含所有服务密码、节点 IP、网络、存储分区等核心参数,参数错误会直接导致组件启动失败。
1.两节点安装iaas-xiandian工具包,开启配置文件注释;
2.批量修改所有服务密码为统一密码(实训统一设置为000000);
3.核心参数逐项核对(高频出错点):
HOST_IP:填写控制节点 NAT 网卡 IP;HOST_IP_NODE:填写计算节点 NAT 网卡 IP;
INTERFACE_NAME:对外网卡名称(VMNET1 对应的网卡名,如 ens33);
BLOCK_DISK=sdb1、OBJECT_DISK=sdc1:必须与计算节点磁盘分区一一对应;
STORAGE_LOCAL_NET_IP:固定为计算节点 IP。
4.配置同步:通过scp命令将控制节点配置文件拷贝至计算节点,仅修改计算节点的INTERFACE_IP为自身网卡 IP 即可。
(四)计算节点磁盘分区
OpenStack 的 Cinder(块存储)、Swift(对象存储)依赖独立磁盘分区,需提前对sdb、sdc分区:
1.使用lsblk查看磁盘状态,确认sdb、sdc空闲;
2.通过fdisk工具依次对两块磁盘创建主分区(sdb1、sdc1),执行w保存分区;
3.分区完成后再次用lsblk校验,确保分区生效,否则存储服务无法初始化。
(五)自动化脚本顺序执行(组件部署核心)
部署脚本有严格执行顺序,顺序颠倒会造成服务依赖缺失,完整执行流程如下:
1.两节点先后执行iaas-pre-host.sh:完成系统环境预配置;
2.控制节点依次部署基础组件:数据库→Keystone 认证→Glance 镜像→Nova 控制端→Neutron 控制端→Horizon 面板;
3.计算节点同步部署对应客户端:Nova 计算端→Neutron 计算端;
4.虚拟化适配(虚拟机环境必做):修改nova.conf中virt_type=qemu,重启 Nova 服务(物理服务器可跳过);
5.最后部署 Cinder 块存储、Swift 对象存储(控制端 + 计算端成对执行)。
脚本执行完成后,访问 Horizon 可视化面板(控制节点 IP),即可进入 OpenStack 管理界面。
(六)网络配置与云主机上线(功能验证阶段)
网络是云主机互通的核心,本次搭建外部网络 + 内部网络双层架构,搭配路由实现内外网互通,步骤如下:
1.安全组规则重置:删除默认规则后,重新添加 ICMP、TCP、UDP 进出站规则,保证 ping、远程访问、数据传输正常;
2.创建外部网络(ext-net):管理员维度创建 Flat 类型外部网络,网段192.168.200.0/24,作为浮动 IP 网段;
3.创建路由:绑定外部网络并开启 SNAT,实现内网访问外网;
4.创建内部网络(int-net):租户内网,虚拟机默认接入网络,网段10.0.0.0/24;
5.网络关联:将内部网络接口添加至路由,打通内外网通信链路;
6.云主机全流程创建
镜像上传:使用glance命令上传 cirros 测试镜像(也可通过 Web 面板上传);
云主机类型:自定义 CPU、内存、磁盘规格,适配虚拟机资源;
创建实例:选择镜像、内网网络、主机类型,启动云主机;
绑定浮动 IP:将外部网络 IP 关联至云主机,实现外网终端访问;
7.验证:本地终端 ping 浮动 IP,能正常连通即代表平台部署全部成功。
三、实训核心知识点总结
1. 架构层面:双节点分工逻辑
控制节点:管控层,不承载业务虚拟机,核心作用是认证、调度、页面管理;
计算节点:资源层,承载云主机、存储卷,是算力和存储的实际载体;
双网卡设计:分离管理流量与业务流量,提升平台稳定性,是私有云标准网络设计思路。
2. 配置层面:三大高频易错点
openrc.sh 参数:IP、磁盘分区名称、网卡名称必须与实际环境一致,是部署失败的首要原因;
磁盘分区:计算节点sdb1、sdc1分区缺失 / 错误,会直接导致 Cinder、Swift 服务启动失败;
脚本执行顺序:OpenStack 组件存在强依赖(如 Keystone 是所有服务的认证基础),必须严格按照文档顺序执行脚本。
3. 网络层面:内外网通信原理
外部网络:面向外网,用于分配浮动 IP,实现云主机被外网访问;
内部网络:租户私有网络,云主机默认网卡接入,实现同租户虚拟机互通;
路由 + SNAT:实现内网主机访问外网,同时外网通过浮动 IP 访问内网云主机,模拟企业真实网络架构。
4. 脚本与工具理解
本次使用iaas-xiandian系列自动化脚本,本质是封装了 OpenStack 各组件的安装、配置、启动命令,适合实训与快速部署;生产环境中需手动分步部署,便于排错与精细化调优。
- 基础运维经验与生产环境优化建议
(一)日常基础运维(实训环境)
服务状态检查:使用systemctl status openstack-*查看所有 OpenStack 服务状态,异常服务及时重启;
日志排错:组件启动失败优先查看/var/log/下对应服务日志,定位配置或网络问题;
镜像与实例管理:定期清理无用镜像、关机实例,释放磁盘与内存资源;
网络排查:云主机无法通信时,依次检查安全组、路由、子网配置、网卡 IP。
(二)生产环境优化(重点区分实训与生产)
防火墙与 SELinux:实训环境可关闭,生产环境必须开启,根据业务端口做精准放行,保障安全;
镜像挂载:实训使用临时挂载,生产需配置永久挂载(写入/etc/fstab),避免重启后镜像失效;
密码安全:实训统一弱密码,生产环境需为不同组件设置独立高强度密码,定期轮换;
网络模式:虚拟机默认 VXLAN 网络,物理服务器对接交换机时推荐 VLAN 模式,需提前修改ml2_conf.ini配置;
高可用优化:单控制节点存在单点故障,生产环境建议部署控制节点集群,实现服务高可用。
五、实训感悟与学习收获
本次完整走完 IaaS 私有云从硬件规划、系统配置、组件部署、网络搭建到云主机落地的全流程,彻底理清了 OpenStack 各核心组件的协同关系,打破了 “只懂理论不会实操” 的壁垒。
1.细节决定成败:私有云部署对参数、路径、顺序要求极高,一个 IP 写错、分区遗漏,就会导致整套平台瘫痪,运维工作必须做到严谨细致;
2.自动化与原理结合:虽然本次使用自动化脚本部署,但不能单纯 “敲命令”,要理解每个脚本对应的组件功能、每个配置参数的含义,才能在故障时快速排错;
3.理论联系场景:私有云并非单纯的技术堆叠,双节点架构、内外网分离、安全组策略等设计,都对应企业实际业务场景,后续学习可向多节点集群、分布式存储、云平台监控等方向深入。
本次实训搭建的是基础版 IaaS 私有云,后续我将继续学习 OpenStack 高可用部署、Ceph 分布式存储对接、云平台监控告警等进阶内容,逐步向企业级私有云运维方向深耕。
)
)