TF+ OpenStack部署指南丨利用OpenStack TF配置虚拟网络
原创TF+ OpenStack部署指南丨利用OpenStack TF配置虚拟网络
原创
成功安装Tungsten Fabric的下一步,是了解在具体的配置场景中使用编排器部署Tungsten Fabric的工作流程。前面讨论了Kubernetes的部署方案,本文则聚焦在OpenStack上的网络配置过程。
在OpenStack中创建项目以配置TF中的租户
在Tungsten Fabric中,租户配置称为一个项目(project)。每一组虚拟机(VM)和虚拟网络(VN)都会创建一个项目,这些虚拟机和VN被配置为租户的独立实体。
项目是在OpenStack项目页面创建、管理和编辑的。
1.单击OpenStack仪表板上的Admin选项卡,然后单击Projects链接以访问Projects页面;请参见图1。
图1:OpenStack项目(Projects)
2.在右上角,单击“创建项目”按钮,进入“添加项目”窗口,见图2。
图2:添加项目
3.在“添加项目”窗口的“项目信息”选项卡中,输入新项目的名称和描述,并选择“已启用(Enabled )”复选框以激活该项目。
4.在“添加项目”窗口中,选择“项目成员”选项卡,并为该项目分配用户。将每个用户指定为管理员或成员。
一般来说,会有一个超级用户担任所有项目的管理员(admin)角色,而一个成员(member)角色的用户只对应于一般的配置目的。
5.单击“完成”创建项目。
有关创建和管理项目的更多信息,请参考OpenStack文档。
用OpenStack TF创建虚拟网络
你可以在Tungsten Fabric中通过OpenStack创建虚拟网络。下面的过程显示了如何在使用OpenStack时创建一个虚拟网络。
1.要在使用OpenStack TF时创建虚拟网络,请选择 Project > Network > Networks。此时将显示“网络”页面。请参阅图 1。
图 1:网络(Networks)页面
2.单击“创建网络”。显示“创建网络”窗口。参见图2和图3。
图2:创建网络
图3:子网和网关详情
3.单击“网络”和“子网”选项卡,完成“创建网络”窗口中的字段。请参阅表 1 中的字段说明。
表1:创建网络字段
字段 | 说明 |
|---|---|
网络名 | 输入网络的名称。 |
子网名 | 输入子网的名称。 |
网络地址 | 输入CIDR格式的网络地址。 |
IP版本* | 选择IPv4或IPv6。 |
网关IP | 可以选择为IP地址块输入一个明确的网关IP地址。如果不使用网关,则选中“禁用网关”复选框。 |
4.单击“子网详细信息”选项卡来指定分配池、DNS域名服务器和主机路由。
图4:附加子网属性
5.要保存你的网络,请单击“创建”,或单击“取消”以放弃工作并重新开始。
在OpenStack TF中为项目创建映像
通过使用OpenStack仪表板为系统中的项目指定要上传到映像服务(Image Service)的映像,你需要:
1.在 OpenStack 中,选择 Project > Compute > Images。将显示“映像”窗口。请参见图1。
图1:OpenStack映像(Image)窗口
2.确保选择了要关联映像的正确项目。
3.单击“创建映像”。
此时将显示“创建一个映像”窗口,见图2。
图2:OpenStack创建映像窗口
4.完成字段以指定你的映像。表1描述了窗口中的每个字段。
注意:只支持通过HTTP URL提供的映像,并且映像位置必须能够被映像服务访问。支持压缩的映像二进制文件(*.zip和*.tar.gz)。
表1:创建一个映像字段
字段 | 说明 |
|---|---|
名称 | 为该映像输入一个名称。 |
说明 | 输入映像的描述。 |
映像来源 | 选择映像文件或映像位置。 如果选择“映像文件”,系统会提示你浏览到文件的本地位置。 |
映像位置 | 输入用于加载映像的外部HTTP URL。该URL必须是指向映像二进制的有效且直接的URL。重定向或提供错误页面的URL将导致映像无法使用。 |
格式 | 必填。从列表中选择映像格式: AKI- Amazon内核映像 AMI- Amazon主机映像 ARI- Amazon内存盘(Ramdisk)映像 ISO- 光盘映像 QCOW2- QEMU仿真器 EmulatorRaw- 非结构化映像格式 VDI- 虚拟磁盘映像 VHD- 虚拟硬盘 VMDK- 虚拟机磁盘 |
架构 | 输入架构。 |
最小磁盘(GB) | 输入启动映像所需的最小磁盘大小。如果没有指定大小,则默认值为0(无最小值)。 |
最低内存(MB) | 输入启动映像所需的最小RAM。如果没有指定大小,则默认为0(无最小值)。 |
公开 | 如果是公开映像,请选择此复选框。如果是私人映像,则不选。 |
保护 | 选择此复选框,以创建保护映像。 |
5.完成后,单击“创建映像”。
在虚拟机(实例)中使用安全组
安全组概述
安全组是指定安全组规则的容器。安全组和安全组规则允许管理员指定允许通过端口的流量类型。在虚拟网络(VN)中创建虚拟机(VM)时,可在虚拟机启动时将其与安全组关联。如果没有指定安全组,则端口将与默认安全组关联。默认安全组允许入口(ingress)和出口(egress)流量。可以将安全规则添加到默认安全组中以更改流量行为。
创建安全组和添加规则
每个项目都会创建一个默认的安全组,你可以向默认的安全组添加安全规则,也可以创建其它的安全组并向其添加规则。当虚拟机启动时,或随后启动时,安全组将与虚拟机相关联。
要向安全组添加规则,你需要:
1.从OpenStack界面,单击“项目”选项卡,选择“访问和安全”,然后单击“安全组”选项卡。
任何现有的安全组都会在“安全组”选项卡下列出,包括默认安全组;请参见图1。
图1:安全组
2.选择默认安全组,然后单击“动作”栏中的“编辑规则”。
显示“编辑安全组规则”窗口,见图2。任何已经与安全组相关联的规则都会被列出。
图2:编辑安全组规则
3.单击“添加规则”来添加新规则,见图3。
图3:添加规则
表1:添加规则字段
栏 | 说明 |
|---|---|
IP协议 | 选择要应用于此规则的IP协议:TCP、UDP、ICMP。 |
来自端口 | 选择要应用此规则的流量来源的端口。对于TCP和UDP,请输入单个端口或端口范围。对于ICMP规则,输入ICMP类型代码。 |
到达端口 | 适用于此规则的流量所指向的端口,使用与“来自端口”字段中相同的选项。 |
来源 | 选择本规则允许的流量来源。指定子网——适用于此规则的流量的域间源(inter-domain source)的CIDR IP地址或地址块,也可以选择安全组作为源。选择安全组作为源,允许该安全组中的任意实例通过该规则访问任意其它实例。 |
4.单击“创建安全组”以创建其它安全组。
显示“创建安全组”窗口,见图4。
每个新的安全组都有一个唯一的32位安全组ID,并将ACL与配置的规则关联起来。
图4:创建安全组
5.启动实例时,有机会关联安全组,见图5。
在安全组列表中,选择要与实例关联的安全组名称。
图5:启动实例的关联安全组
6.你可以通过查看与agent.xml相关联的SgListReq和IntfReq来验证安全组是否有被关联上。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。