在安全增强Linux中为OpenStack使用NFS

admin

笔者曾经玩过Openstack / RDO，并在CentOS Infra中部署了一些小的openstack设置。随后笔者查看了现有的DevCloud设置。此设置基于在CentOS 6上运行的Opennebula，并且还使用Gluster作为VM存储的后端。
但我发现Gluster不再是一个有效的选择：Gluster已被弃用，甚至从Cinder中删除。令人伤心的是，Gluster的一个优点是你可以（你必须！）用libgfapi，以便qemu-kvm进程可以通过ligbfapi直接与Gluster对话，而不通过本地安装的Gluster卷访问VM镜像（请不要尝试通过Fuse来做这个）。
那么从OpenStack这边看来什么可以替代Gluster呢？笔者在后端仍然有一些专用的节点用于存储，但是还不足以考虑Ceph。所以似乎我唯一的选择是考虑NFS。（从技术上讲，驱动已经从Cinder中移除，但笔者可以使用Glance和Nova，因为我不需要为DevCloud项目用Cinder，但显然这意味着潜在的升级危险。）
笔者并不热衷于把qcow2镜像存储在NFS之上，但这似乎是我唯一的选择，至少当笔者以后需要迁移的情况下是最透明/更少侵入的方法。所以在通过Infiniband使用NFS（使用IPoIB）之前先测试一下，速度还不错（仍然有可以运行Gluster的InfiniBand硬件）。
很容易在/ var / lib / glance / images下安装nfs导出的目录，之后在每个计算节点上都有/ var / lib / nova / instances /下的nfs导出。
在这里你必须看看什么被SELinux阻止了，因为openstack-selinux-0.8.6-0（从Ocata）发布的当前策略似乎不允许这样做。
笔者最初一个一个地测试服务，并决定为此开启Pull Request，但同时我重新构建了一个自定义的SELinux策略，在RDO上完成了这项工作。
这里是你可以编译成可用的.pp策略文件的.te：module os-local-nfs 0.2;
当然，你还需要启用一些Boolean。有些已经由openstack-selinux加载（你可以查看/etc/selinux/targeted/active/booleans.local），但是现在还需要virt_use_nfs = 1。
现在这些可以工作了，它可以在DevCloud节点上重复（所有内容来自Puppet）。

声明:本文转载自网络。版权归原作者所有,如有侵权请联系删除。