Open babyachievement opened 8 years ago
OpenStack的服务架构
OpenStack中的计算服务由nova项目提供,主要是支持虚拟机实例大规模的管理,这些虚拟机运行的可能是多个应用程序或者开发测试环境,也可能是大数据集群Hadoop或者高性能运算服务。
计算服务通过对支持的虚拟化抽象层简化了虚拟机的管理。
计算的安全对于OpenStack的部署是非常重要的。硬性技术应该包含实例间的强隔离,计算子组件之间的安全通信,以及公开API端点的高弹性。
OpenStack的对象存储器服务由Swift项目提供,该服务提供了存储和获取云中任意数据的方式。Object Storage服务同时提供了本地API和AWS S3兼容API。并且此服务通过数据副本提供了高度弹性并且能够处理PB级数据。 与传统的文件系统存储不同,Object Storage更适用于存储静态数据,例如媒体文件(MP3,图片,视频),虚拟机镜像和备份文件。 Object安全主要关注访问控制以及数据传输和闲时数据的加密。也涉及到系统滥用、非法或者恶意内容的存储,和交叉验证攻击(cross authentication attack vectors)。
OpenStack的Block Storage提供了对计算机实例的持久化块式存储。该服务由项目cinder提供,Block Storage服务负责管理块设备的生命周期:从创建、附加到实例到释放它们。
Block Storage的相应的安全考量与Object Storage相似。
Shared File System服务有项目manila提供,该服务提供多租户云环境中共享文件系统的管理,与OpenStack通过Block Storage服务项目为基于块式存储管理相似。通过共享问价你通服务,可以创建远程文件系统, 在虚拟机实例上挂载,然后就可以在实例上读入到或读出实例的文件系统。
OpenStack Networking服务由项目neutron提供,该服务为云用户提供了多种网络服务,例如IP地址管理、DNS、DHCP、负载均衡和安全组(网络访问规则,就像防火墙策略)。它提供了一个软件定义网络的框架,允许可插入集成多种网络方案。
OpenStack Networking运行云租户管理他们的客户网络配置。Networking服务安全主要包括网络流量隔离,可用性,完整性和机密性。
仪表盘(horizon)为云管理员和租户提供了基于web的管理接口,通过该接口管理员和租户能够准备、管理和监控云资源。Horizon通常公开部署面临着公用web服务常见的安全问题。
OpenStack认证服务由项目keystone提供,该服务提供了整个云架构共享的认证服务。认证服务支持插入多种认证方式。 这里涉及到的安全问题主要关于认证可信度、认证token的管理以及安全通信。
OpenStack镜像服务由glance项目提供,该服务提供磁盘镜像管理。镜像服务提供了镜像发现、注册和向Compute服务按需递交服务。
值得信赖的磁盘映像的生命周期管理流程是必需的,就像之前提起的关于数据安全问题。
数据处理服务提供了集群的准备、管理和使用的平台运行常用的处理框架。
OpenStack内部通信依赖消息机制。默认,OpenStack使用基于AMQP的消息队列。与大多数OpenStack服务相似,也支持可插入组件。
OpenStack的服务架构
Compute
OpenStack中的计算服务由nova项目提供,主要是支持虚拟机实例大规模的管理,这些虚拟机运行的可能是多个应用程序或者开发测试环境,也可能是大数据集群Hadoop或者高性能运算服务。
计算服务通过对支持的虚拟化抽象层简化了虚拟机的管理。
计算的安全对于OpenStack的部署是非常重要的。硬性技术应该包含实例间的强隔离,计算子组件之间的安全通信,以及公开API端点的高弹性。
Object Storage
OpenStack的对象存储器服务由Swift项目提供,该服务提供了存储和获取云中任意数据的方式。Object Storage服务同时提供了本地API和AWS S3兼容API。并且此服务通过数据副本提供了高度弹性并且能够处理PB级数据。 与传统的文件系统存储不同,Object Storage更适用于存储静态数据,例如媒体文件(MP3,图片,视频),虚拟机镜像和备份文件。 Object安全主要关注访问控制以及数据传输和闲时数据的加密。也涉及到系统滥用、非法或者恶意内容的存储,和交叉验证攻击(cross authentication attack vectors)。
Block Storage
OpenStack的Block Storage提供了对计算机实例的持久化块式存储。该服务由项目cinder提供,Block Storage服务负责管理块设备的生命周期:从创建、附加到实例到释放它们。
Block Storage的相应的安全考量与Object Storage相似。
Shared File Systems
Shared File System服务有项目manila提供,该服务提供多租户云环境中共享文件系统的管理,与OpenStack通过Block Storage服务项目为基于块式存储管理相似。通过共享问价你通服务,可以创建远程文件系统, 在虚拟机实例上挂载,然后就可以在实例上读入到或读出实例的文件系统。
Networking
OpenStack Networking服务由项目neutron提供,该服务为云用户提供了多种网络服务,例如IP地址管理、DNS、DHCP、负载均衡和安全组(网络访问规则,就像防火墙策略)。它提供了一个软件定义网络的框架,允许可插入集成多种网络方案。
OpenStack Networking运行云租户管理他们的客户网络配置。Networking服务安全主要包括网络流量隔离,可用性,完整性和机密性。
Dashboard
仪表盘(horizon)为云管理员和租户提供了基于web的管理接口,通过该接口管理员和租户能够准备、管理和监控云资源。Horizon通常公开部署面临着公用web服务常见的安全问题。
Identity service
OpenStack认证服务由项目keystone提供,该服务提供了整个云架构共享的认证服务。认证服务支持插入多种认证方式。 这里涉及到的安全问题主要关于认证可信度、认证token的管理以及安全通信。
Image service
OpenStack镜像服务由glance项目提供,该服务提供磁盘镜像管理。镜像服务提供了镜像发现、注册和向Compute服务按需递交服务。
值得信赖的磁盘映像的生命周期管理流程是必需的,就像之前提起的关于数据安全问题。
Data processing service
数据处理服务提供了集群的准备、管理和使用的平台运行常用的处理框架。
其他支持的技术
OpenStack内部通信依赖消息机制。默认,OpenStack使用基于AMQP的消息队列。与大多数OpenStack服务相似,也支持可插入组件。