OpenStack—Glance镜像服务
Glance镜像服务
它在OpenStack中的项目名称为Glance。在早期的OpenStack版本中,Glance只有管理镜像的功能,并不具备镜像存储功能。现在,Glance已发展成为集镜像上传、检索、管理和存储等多种功能的OpenStack核心服务。
镜像
镜像的英文为lmage,又译为映象,通常是指一系列文件或一个磁盘驱动器的精确副本。镜像文件其实和ZIP压缩包类似,它将特定的一系列文件按照一定的格式制作成单一的文件,方便用户下载和使用。
比如:Ghost是使用镜像文件的经典软件,其镜像文件可以包含更多信息,如系统文件、引导文件、分区表信息等,这样镜像文件就可以包含一个分区甚至是一块硬盘所有信息。Ghost可基于镜像文件快速安装操作系统和应用程序。
例如:VMware的虚拟机模板
镜像服务
镜像服务就是用来管理镜像的,让用户能够发现、获取和保存镜像。在OpenStack中提供镜像服务的是Glance,其主要功能如下:
·查询和获取镜像的元数据和镜像本身
·注册和上传虚拟机镜像,包括镜像的创建、上传、下载和管理
·维护镜像信息,包括元数据和镜像本身
·支持多种方式存储镜像,包括普通的文件系统、Swift、Amazon S3等
·对虚拟机实例执行创建快照命令来创建新的镜像,或者备份虚拟机的状态
lmages API的版本
Glance提供的RESTful API目前有两个版本:API v1和API v2
·v1只提供基本的镜像和成员操作功能,包括镜像创建、删除、下载、列表、详细信息查询、更新,以及镜像租户成员的创建、删除和列表。
·v2除了支持v1的所有功能外,主要增加了镜像位置的添加、删除、修改,元数据和名称空间操作,以及镜像标记操作
两个版本对镜像存储支持相同,v1从N版开始已经过时,迁移路径使用v2进行替代
镜像格式
虚拟机镜像文件磁盘格式
·raw:无结构的磁盘格式
·vhd:该格式通用于VMware、Xen、VirtualBox以及其他虚拟机管理程序
·vhdx:vhd格式的增强版本,支持更大的磁盘尺寸
·vmdx:一种比较通用的虚拟机磁盘格式
·vdi:由VirtualBox虚拟机监控程序和QEMU仿真器支持的磁盘格式
·iso:用于光盘(CD-ROM)数据内容的档案格式
·ploop:由Virtuozzo支持,用于运行OS容器的磁盘格式
·qcow2:由QEMU仿真支持,可动态扩展,支持写时复制(Copy on Write)的磁盘格式
·aki:在Glance中存储的Amazon内核格式
·ari:在Glance中存储的Akazon虚拟内存盘(Ramdisk)格式
·ami:在Glance中存储的Amazon机器格式
镜像文件容器格式
·bare:没有容器或元数据“信封”的镜像
·ovf:开放虚拟化格式
·ova:在Glance中存储的开放虚拟化设备格式
·aki:在Glance中存储的Amazon内核格式
·Docker:在Glance中存储的容器文件系统的Dockerd的tar档案
如果不能确定选择哪种容器格式,那么简单地容器格式指定为bare是安全
镜像状态1
·queued:这是一种初始化状态,镜像文件刚被创建,在Glance数据库只有其元数据,镜像数据还没有上传至数据库中
·saving:是镜像的原始数据在上传到数据库中的一种过渡状态,表示正在上传镜像
·uploading:指示已进行导入数据提交调用,此状态下不允许调用PUT/file(saving状态会执行PUT/file,这是另外一种上传的方法)
·importing:指示已经完成导入调用,但是镜像还未准备好使用
镜像状态2
·active:表示当镜像数据成功上传完毕,成为Glance中可用的镜像
·deactivated:表示任何非管理员用户都无权访问镜像数据,禁止下载镜像,也禁止镜像导出和镜像克隆之类的操作
·killed:表示镜像上传过程中发生错误,镜像不可读
·deleted:镜像将在不久后被自动删除,该镜像不可再用,但是目前Glance仍然保留该镜像的相关信息和原始数据
·pending_delete:与deleted相似,Glance还没有清除镜像数据,但处于该状态的镜像不可恢复
访问权限
·Public(公共的):可以被所有的项目使用
·Private(私有的):只有被镜像所有者所在的项目使用
·Shared(共享的):一个非公共的镜像可以共享给其他项目,这是通过项目成员(member-*)操作来实现的
·Protected(受保护的):这种镜像不能被删除
架构图
·客户端是Glance服务应用程序使用者,是OpenStack命令行工具、Horizon或Nova服务
·glance-api是系统后台运行的服务进程,是进入Glance的入口。它对外提供REST API,负责接收用户的RESTful请求,响应镜像查询、获取和存储的调用。
·glance-registry是系统后台运行的glance注册服务进程,负责处理与镜像元数据相关的RESTful请求,元数据包括镜像大小、类型等信息。Glance-api接收的请求如果是与镜像的元数据相关的操作,glance-api会把请求转发给glance-registry。glance-registry会解析请求内容,并与数据库交互,存储、处理、检索镜像的元数据。glance-api对外提供API,而glance-registry的API只由glance-api使用。
·Glance的DB模块存储的是镜像的元数据,可以选用MYSQL、MariaDB、SQLite等数据库。镜像的元数据通过glance-registry存放在数据库中。注意,镜像本身(chunk数据)是通过glance存储驱动存放到各种存储后端中的。
·存储后端(Store Backend)Glance自身并不存储镜像,它将镜像存放在后端存储系统中。镜像本身的数据通过glance_store存放在各种后端,并可从中获取。支持本地存储、对象存储、RBD块设备、Sheepdog分布式存储、Cinder块存储、VMware数据存储。
·具体使用哪种backend,是在/etc/glance/glance-api.conf中配置
glance的工作流程
首先是对客户端的安全认证流程:openstack的操作都需要经过keystone进行身份认证,并授权,glance也不例外,授权成功再去请求glance服务,glance服务接收到外部请求后,会去keystone进行认证,此请求是否已授权,认证通过后,才会将请求传到后端处理。
glance domain controller 是API和后端功能模块的中间件,相当于调度器,作用是将外部服务分发到下面的各个功能层去处理。
在调度时,遵循调度算法,首先有一个预选,排除不符合要求的节点,再进行优选,通过打分机制,对都能够处理此功能的节点进行打分,考虑它们当前的负荷,处理能力和速度,选出最优的一个。
对于一些有污点的节点,调度器是直接跳过他们的,如果其余可用节点负担都太大,无法处理外部请求,会有一个容忍机制,由运维人员控制,让调度器接受污点,对污点再进行优选
调度器的子功能模块:
auth授权:控制镜像的访问权限;
notifier消息通知:将镜像变化信息和错误添加到 消息队列
policy规则定义:定义镜像操作的访问权限,在policy.json中定义
quota限额:限制上传镜像的大小
location定位:通过glance store 与后台存储进行交互,指明镜像存储位置,还可以检查位置的URL是否正确
DB数据库:将镜像转换为相应的格式以存储在数据库中,并将从数据库读取的信息转换为可以操作的镜像对象。
后端有两种服务类型:一种是处理关于元数据的请求,另一种是关于镜像数据的请求。由调度器将请求分配到对应的服务模块。
当请求元数据时,glanceDB会与调度器进行交互提供服务,中间还可以通过 registry layer 注册层进行一个安全交互。glanceDB存储着元数据信息,并且对glance内部所有的组件都是共享的。
当请求的是关于镜像本身服务时,glance store可以提供一个统一的接口访问后端的存储,并且有一个驱动模块可以调用整个库与外部服务进行交互。后端的存储有多种存储系统,对象存储、文件存储等。