openstack——Glance镜像服务

一、Glance镜像服务

• 在早期的openstack版本中，Glance中有管理镜像的功能，并不具备镜像存储功能。现在，Glance已经发展称为集镜像上传、检索、管理和存储等等多种功能的open stack核心服务。

1.镜像

• 镜像的英文为image，又译为映象，通常是指一系列文件或一个磁盘驱动器的精确副本。镜像文件其实和ZIP压缩包类似，它将特定的一系列文件按照一定的格式制作成单一的文件，以方便用户下载和使用。
• 概念理解
  举例子：Ghost是使用镜像文件的经典软件，其镜像文件可以包含更多信息，如系统文件、引导文件、分区表信息等，这样镜像文件就可以包含一个分区甚至是一块硬盘所有的信息。Ghost可基于镜像文件快速安装操作系统和应用程序。
  举例子：VMware的虚拟机模板

2.镜像服务

• 镜像服务就是用来管理镜像的，让用户能够发现、获取和保存镜像。在open stack中提供镜像服务的是Glance，主要功能如下：

1.查询和获取镜像的元数据和镜像本身
2.注册和上传虚拟机镜像，包括镜像的创建、上传、下载和管理
3.维护镜像信息，包括元数据和镜像本身
4.支持多种方式存储镜像，包括普通文件系统、Swift、Amazon S3等
5.对虚拟机实例执行创建快照命令来创建新的镜像，或者备份虚拟机的状态

3.Images API的版本

• Glance提供的RESTful API目前有两个版本：API v1和API v2
• v1只提供基本的镜像和成员操作功能，包括镜像创建、删除、下载、列表、详细信息查询、更新，以及镜像租户成员的创建、删除和列表。
• v2除了支持v1的所有功能外，主要增加了镜像位置的添加、删除、修改，元数据和名称空间操作，以及镜像标记操作。
• 两个版本对镜像存储支持相同，v1从N版开始已经过时，迁移路径使用v2进行替代

4.镜像格式

• 虚拟机镜像文件磁盘格式

raw：无结构的磁盘格式
vhd：该格式通用于VMware、Xen、Virtual以及其他虚拟机管理程序
vhdx：vhd格式的增强版本，支持更大的磁盘尺寸
vmdk：一种比较通用的虚拟机磁盘格式
vdi：由VirtualBox虚拟机监控程序和QEMU仿真器支持的磁盘格式
iso：用于光盘数据内容的档案格式
ploop：由Virtuozzo支持，用于运行os容器的磁盘格式
qcow2：由QEMU仿真支持，可动态扩展，支持写时复制（copy on write）的磁盘格式
aki：在Glance中存储的Amazon内核格式
ari：在Glance中存储的Amazon虚拟内存盘（Ramdisk）格式
ami：在Glance中存储的Amazon机器格式

• 镜像文件容器格式

bare：没有容器或元数据“信封”的镜像
ovf：开放虚拟化格式
ova：在Glance中存储的开放虚拟化设备格式
aki：在Glance中存储的Amazon内核格式
ari：在Glance中存储的Amazon虚拟内存盘（Ramdisk）格式
Docker：在Glance中存储的容器文件系统的Docker的tar档案
注：如果不能确定选择哪种容器格式，那么简单地容器格式指定为bare是安全

5.镜像状态

• queued：这是一种初始化状态，镜像文件刚被创建，在Glance数据库只有其元数据，镜像数据还没有上传至数据库中
• saving：是镜像的原始数据在上传到数据库中的一种过度状态，表示正在上传镜像
• uploading：指示已进行导入数据提交调用，此状态下不允许调用PUT/file（saving状态会执行PUT/file，这是另外一种上传的方法）
• importing：指示已经完成导入调用，但是镜像还未准备好使用
• active：表示当镜像数据成功上传完毕，成为Glance中可用的镜像
• deactivated：表示任何非管理员用户都无权访问镜像数据，禁止下载镜像，也禁止镜像导出和镜像克隆之类的操作
• killed：表示镜像上传过程中发生错误，镜像不可读
• deleted：镜像将在不久后被自动删除，该镜像不可再用，但是目前Glance仍然保留该镜像的相关信息和原始数据
• pending_delete：与delete相似，Glance还没有清除镜像数据，但处于该状态的镜像不可恢复

6.访问权限

• Public（公共的）：可以被所有的项目使用
• Private（私有的）：只有被镜像所有者所在的项目使用
• Shared（共享的）：一个非共有的镜像可以共享给其他项目，这是通过项目成员（member-*）操作来实现的
• Protected（受保护的）：这种镜像不能被删除

二、Glance架构详解

1.架构图

• 客户端是Glance服务应用程序使用者，是open stack命令行工具，Horizon或Nove服务
• glance-api是系统后台运行的服务进程，是进入Glance的入口。它对外提供REST API，负责接收用户的RESful请求，响应镜像查询、获取和存储的调用。
• glance-registry是系统后台运行的glance注册服务进程，负责处理与镜像元数据相关的RESTful请求，元数据包括镜像大小、类型等信息。Glance-api接收的请求如果是与镜像的元数据相关的操作，glance-api会把请求转发给glance-registry。glance-registry会解析请求内容，并与数据交互，存储、处理、检索镜像的元数据。glance-api对外提供API，而glance-registry的API只由
• Glance的DB存储模块的是镜像的元数据，可以选用MySQL、MariaDB、SQLite等数据库。镜像的元数据通过glance-registry存放在数据库中。注意，镜像本身（chunk数据）是通过glance存储驱动存放到各种存储后端中的。
• 存储后端（Store Backend）Glance自身并不存储镜像，它将镜像存放在后端存储中。镜像本身的数据通过glance-store存放在各种后端，并可从中获取。支持本地存储、对象存储、RBD块存储、Sheepdog分布式存储、Cinder块存储、VMware数据存储。
• 具体使用哪种backed，是在/etc/glance/glance-api.conf中配置的[glance-store]

[glance-sotre]
os_region_name=RegionOne
stores=glance.store.rbd.Store
rbd_store_poll=images
rbd_store_ceph_sonf=/etc/ceph/ceph3.conf
default_store=rbd

三、Glance工作流程

1.流程分析

• OpenStack的操作都需要Keystone进行身份认证（AuthN）并授权（AuthZ），Glance也不例外。Glacne是一个C/S架构，提供一个REST API，用户就通过REST API来执行镜像的各种操作。Glance Domain Controller是一个主要的中间件，相当于调度器，作用是将glance内部服务的操作分发到以下各个功能层
• Auth（授权）：用来控制镜像的访问全权限，决定镜像自己或者它的属性是否可以被修改，只有管理员或者镜像的拥有者才可以执行修改操作。roperty Protection（属性保护）：这是个可选层，要在Glance配置文件中设置了。
  property_protection_file参数才会生效。它提供两种类型的镜像属性，一种是核心属性，在镜像参数中指定；类一种是元数据属性，可以被附加到一个镜像上的任一键值对。该层通过调用Glance的public API管理对meta属性的访问，也可以在配置文件中限制该访问。
• Notifier（消息通知）：将镜像变化的消息和使用镜像时发生的错误和警告添加到消息队列中。