【白皮书】OpenStack:走向云端 (1) 企业云策略

编者按:前不久,OpenStack基金会发布《OpenStack:走向云端》白皮书,详细介绍了企业在采用云技术时须考虑的技术及成本因素,以及OpenStack云从选型、团队组建、工作负载的选择,到部署、实施阶段将经历的必要决策、阶段和步骤。

OpenStack中国社区将这份白皮书完整翻译并加以编辑,旨在完整呈现OpenStack云从规划到进入生产环境的过程,也希望其内容对即将或正在实施OpenStack云的技术人能够有所启发。

目录

概述

企业的云策略

着手规划OpenStack 私有云

组建OpenStack团队

针对组织和流程的一些考虑

为OpenStack云选择工作负载

部署与实施

总结

参考资料

一. 概述

当下的架构师常需兼顾信息技术和业务运营。本白皮书的发布,一是希望能够有效帮助架构师实施OpenSt…

详细内容

不只是编排引擎,OpenStack Heat之应用部署实践

本文来源:CSDN极客头条

作为OpenStack中的编排引擎,Heat能够出色的完成编排任务,井井有条地管理编排出来的资源。但同时,Heat也是一个出色的应用部署引擎,它提供了一套内置的框架去完成一系列复杂的应用部署任务。下面就让我们来深入了解这一框架。

0720wechat1

使用Heat来部署应用的优势

Heat是OpenStack里面的原生服务,大部分的发行版都会提供这个服务,使用起来更方便。同时通过OS::Heat::SoftwareConfig和OS::Heat::SoftwareDeployment等多个资源类型的组合,可以轻易的实现一套应用部署流程。在虚拟机中的Agents会定时与Heat通信,发送脚本执行结果,方便Heat进行流程控制。有了这一套机制,Heat便拥有了对软件生命周期管理的能力。

当然这一套框架也有一些需要克服的不足:

  • 需要在image内安装一些He…

详细内容

浅谈:针对混合架构的事件管理策略

本文来源: Tuicool

编译:Alice Liu

当下,大多企业已采用混合架构。这就意味着事件管理方案也须为此就绪。

当然,仅限于托管服务器,不涉及虚拟网络或微服务的事件管理会简单许多,不过那得是若干年前,Windows Server 2003 当道IT运维的时候了。

而现在已是2016年中。混合架构已被全面采用,差异无非是被混合的内容。被托管的服务器和设备已能够与公有、私有云服务完全融合;网络亦可以从物理层抓取;存储被向外扩展并跨服务器、甚至跨数据中心分发。

这正是采用混合架构就绪的事件管理方案的必要所在。以下是一些针对混合架构,优化事件管理方案的实践经验和建议,希望能够为IT运维人带来些启发。

先从混合架构对于事件管理的特有挑战说起:

  • 事件管理团队无法实时访问整个基础架构。如果基础架构涉及多个数据中或云,管理员将可能与发起警报的设备处在不…

详细内容

理解 OpenStack 高可用:Neutron 分布式虚拟路由(五)

作者:Sammy Liu

第一部分 路由策略及路由表

第二部分 路由配置

第三部分 DVR Router & 安装和功能分析

第四部分 第四部分 DVR流程 & 网络包走向分析

 

第五部分

1. 代码分析

DVR 代码修改包括几部分:

DVR Router network namespace 的创建和删除

DVR Router 相关的 flows

DVR Router 的 ARP 表

1.1 DVR Router 相关 network namespace 的创建和删除

1.1.1 qrouter 在计算和网络节点上的删除和创建

对于每一个 DVR Router,在每个分布了和 router 连接的网段内的虚机的计算节点上,都会有一个 qrouter 实例。两种情况…

详细内容

OpenStack 安全加固之道(下)

上期内容对安全攻击的不同种类和各自定义做出了明确阐述。本期内容将针对不同的OpenStack组件,探讨可以怎样加固其安全性。

OpenStack CLI

用户名和密码对于OpenStack CLI 工具的使用必不可少。很多OpenStack使用手册建议使用在OpenStack RC文件中定义的OS_USERNAME 和 OS_PASSWORD环境定量,但将身份证书信息保存为未加密的文件必然不是最好的安全实践。

更为安全的做法是使用OpenStack CLI工具为每个请求申请不同的户名和密码,或使用预定的 authentication token。位于DMZ中的指定节点或VM亦可成为OpenStack CLI 工具的专属节点,确保只有来自可靠网络的SSH接入被允许,不必要的服务和Bash历史记录可被禁止;网络日志被全部存放于远程、安全、高可用的存储池。

Nova

详细内容

理解 OpenStack 高可用(HA):Neutron 分布式虚拟路由(四)

作者:Sammy Liu

第一部分 路由策略及路由表

第二部分 路由配置

第三部分 DVR Router & 安装和功能分析

第四部分:

3.2  DVR Router 流程

3.2.1 创建 DVR Router (1)创建如下的 DVR Router:

0704wechat1

可以看到该 router 被分布在neutron network 节点和计算节点上:

0704wechat2

(2)网络节点上,创建了 SNAT network namespace。该 netns 中,对router 的每一个网络,都有一个 qg 或者 sg interface:

0704wechat3

以及 qrouter network namespace:

0704wechat4

(3)在计算节点 compute1 上创建一个虚机

在 compute1 上生成了一个 qrouter network namespa…

详细内容

OpenStack Days China 免费门票来啦!

对于高规格峰会,影响力、价值内容、精锐嘉宾缺一不可。

7月14日 – 7月15日将在北京国家会议中心举行的OpenStack Days China峰会就是这样一场集产业、技术干货、行业实践、精锐嘉宾于一体的高端会议。

论影响力

为OpenStack基金会授权;

首次登录中国大陆;

论内容

共设60场+ 讲座/研讨会,包括

2场Keynote,涉及:

最新产业发展趋势、新科研成果;

大型企业转型之道、新兴商业模式;

6个分会场,涵盖:

行业、企业实践战略 –

金融 政务 电信等大型行业;

全方位技术解析 –

OpenStack与SDN、Container、NFV等新兴技术的结合与协作;

Heat应用及优化;

基于OpenStack的分布式存储的应;

Openstack大规模…

详细内容

OpenStack 安全加固之道(上)

本文来源:OpenStack Superuser Magazine

编译:Alice Liu

OpenStack项目本质复杂,常由许多独立的子项目组成。当下,OpenStack逐渐成熟、被愈发广泛采用,这让如何加强OpenStack在生产环境中的安全性随之成为备受关注的话题。

同时,OpenStack每半年发布一次的新功能也是安全隐患的一大来源。近期在glibc和OpenSSL发现的安全隐患显示,一个组件可以影响整个系统的安全性和可靠性。其实安全威胁是IT产业中所不能避免的 – 无论怎样的架构、技术,都会涉及到。鉴于此,如何化解安全隐患,确保云的安全可靠,是值得探讨的话题

针对OpenStack云,一些高效、高可用的工具和实践将可有效的防御安全攻击,确保其行业合规性。本文将分两部分,首先探讨OpenStack云最常见的安全威胁,再通过安全领域的最佳实践与建议,介绍应…

详细内容

【会议回顾+PPT下载】南京OpenStack开源云计算Meet-Up

南京OpenStack开源云计算Meetup活动于6月25日下午如期在润和软件园内举行,会议到场100人有余,中兴、EasyStack、中移苏研院、京东、华为的五位技术大拿为大家带来了精彩的主题演讲,针对大家的提问也做出了深入的解答。

技术内容上,有最新的Big Tent项目Watcher的介绍,有GPU虚拟化老问题的新探讨,有针对SDN从使用者和供应商两个角度的实践分享。五个主题,各个干货着实,现场讨论层出不穷:

Watcher:OpenStack资源优化项目

中兴 倪进权

演讲中,倪进权以云资源优化的一些困扰作为切入点,对Watcher使用案例、工作流程、整体架构及优化流程做出深入介绍。

倪进权

倪进权在演讲中

 

GPU虚拟化

EasyStack 陈帆

陈帆的演讲专注于GPU的技术构成、实践与现状,对其使用和功能做出…

详细内容

理解 OpenStack 高可用(HA):Neutron 分布式虚拟路由(三)

作者:Sammy Liu

第一部分 路由策略及路由表

第二部分 路由配置

第三部分

2. Neutron 的传统和 DVR Router

2.1 传统(Legacy) Router

微信截图_Neutron HApt3_1

2.2 DVR 对 L3 Agent 的影响

通过使用 DVR,三层的转发(L3 Forwarding)和 NAT 功能都会被分布到计算节点上,这意味着计算节点也有了网络节点的功能。但是,DVR 依然不能消除集中式的 Virtual Router,这是为了节省宝贵的 IPV4 公网地址,所有依然将 SNAT 放在网络节点上提供。这样,计算和网络节点就看起来如下:

微信截图_Neutron HApt3_2

网络节点:提供 南-北 SNAT,即在不使用浮动 IP 时,虚机访问外网的网络得经过网络节点。也就是说,网络节点依然必须走传统的 HA 解决方法,比如 VRRP 和 PeaceMaker。但可惜的是,Ju…

详细内容