利用Ansible實(shí)現OpenStack自動(dòng)化

摘要

本文旨在就置備虛擬機（除VMware以外）的一種替代方法提供一些見(jiàn)解。目標受眾包括但不限于處理虛擬機自動(dòng)化問(wèn)題的軟件開(kāi)發(fā)人員。由于VMware的服務(wù)提供商許可證及其支持vRealize、vCenter和其他工具的基礎設施成本高昂，我們整合我們的資源，開(kāi)發(fā)出了一種同樣能夠完成任務(wù)，但更經(jīng)濟高效的替代方法。我們的解決方案采用開(kāi)源技術(shù)，利用使用Ansible Tower的DevOps方法來(lái)與OpenStack交互，通過(guò)playbook進(jìn)行實(shí)現，用于置備虛擬機。我們將此技術(shù)集成到我們的Cyber Range?軟件中，本文將它作為一個(gè)案例研究，以證明這種方法行之有效。

簡(jiǎn)介

本文介紹為何Ansible Tower是使用playbook，在OpenStack中創(chuàng )建、部署和配置虛擬機最簡(jiǎn)單的方法之一。系統性能、IT自動(dòng)化、復雜系統的部署和快速生產(chǎn)力是軟件開(kāi)發(fā)中與虛擬機交互的關(guān)鍵標準。Ansible Tower具有所有這些特性，它通過(guò)REST API輕松嵌入到現有工具和流程中。Ansible Tower是一個(gè)安全門(mén)戶(hù)，用戶(hù)可以通過(guò)它請求新IT服務(wù)和管理特定的云，使用它（作為開(kāi)源工具）獲取IT資源，用于自動(dòng)化應用部署和升級，以及配置軟件以實(shí)現聯(lián)網(wǎng)和安全。

為何選擇Ansible？

Ansible是一個(gè)簡(jiǎn)單的自動(dòng)化工具，可以全面描述IT應用基礎設施。它易于學(xué)習，可以自編文檔，讀取方便，無(wú)需具備專(zhuān)業(yè)水平的計算機科學(xué)學(xué)位。自動(dòng)化不應該比它所替代的任務(wù)更復雜。

u      簡(jiǎn)單

■      人類(lèi)可讀的自動(dòng)化

■      無(wú)需特殊的編碼技能

■      任務(wù)按序執行

■      很快實(shí)現生產(chǎn)力

u      功能強大

■      應用部署

■      配置管理

■      工作流編排

■      編排應用生命周期

u          無(wú)代理

■      無(wú)代理架構

■      使用OpenSSH和WinRM

■      無(wú)需使用或更新服務(wù)器

■      可預測、可靠、安全

什么是Ansible Tower？

Ansible Tower是一個(gè)基于web的用戶(hù)界面，用于管理Ansible。它通過(guò)一個(gè)可視儀表板來(lái)集中和控制Ansible基礎設施?？梢苑Q(chēng)為自動(dòng)化任務(wù)管理中心。

Ansible Tower

u          基于web的用戶(hù)界面，用于管理Ansible

u          通過(guò)一個(gè)可視儀表板來(lái)集中和控制Ansible基礎設施

u          為Ansible提供REST API

u          Ansible

■      一種開(kāi)源自動(dòng)化工具

■      采用簡(jiǎn)單設計，旨在讓所有人都能理解和學(xué)習使用

■      無(wú)需自定義腳本或代碼

■      提供自動(dòng)化引擎

■      管理網(wǎng)絡(luò )、基礎設施、操作系統

■      提供預構建模塊，用于管理和配置主機（超過(guò)450）

■      提供基于Python的API

■      使用OpenSSH

■      通過(guò)playbook提供自動(dòng)化和編排。

什么是OpenStack？

OpenStack是一個(gè)云操作系統，它控制整個(gè)數據中心的大量計算、存儲和網(wǎng)絡(luò )資源，通過(guò)儀表板進(jìn)行管理。該儀表板使管理員能夠進(jìn)行控制，同時(shí)允許用戶(hù)通過(guò)web界面置備資源。它是一個(gè)開(kāi)源項目，提供基礎設施即服務(wù)平臺來(lái)構建支持云的應用程序，并且支持采用多個(gè)管理程序來(lái)置備和編排云。它可以運行多層工作負載或開(kāi)源開(kāi)發(fā)工具。最終用戶(hù)可以輕松置備資源和支持幾乎所有的管理程序，包括VMware ESXi、Xen和KVM。

為何選擇OpenStack？

OpenStack可以輕松與Ansible Tower、VMware管理程序和Hyper-V集成，從而使用現有的基礎設施。OpenStack和KVM管理程序免費提供，但需要技能熟練的管理員進(jìn)行配置。OpenStack是一個(gè)用于部署、開(kāi)發(fā)和構建云平臺的開(kāi)源平臺。是一個(gè)命令行界面，功能強大，提供管理、API、RESTful web服務(wù)以及基于web的控制面板控件。這個(gè)開(kāi)源云軟件用于管理計算(Nova)、塊卷存儲(Cinder)、虛擬機鏡像服務(wù)(Glance)和網(wǎng)絡(luò )構建(Neutron)。OpenStack作為基礎，不僅簡(jiǎn)化了部署過(guò)程，還簡(jiǎn)化了開(kāi)發(fā)、存儲、聯(lián)網(wǎng)、監測、管理和應用。

OpenStack

u           開(kāi)源：此技術(shù)得到了大型開(kāi)發(fā)人員社區的支持

u          為客戶(hù)提供價(jià)值、效率和敏捷性

u          由模塊化、可伸縮且靈活的實(shí)用程序集組成

u          經(jīng)過(guò)大型企業(yè)的檢驗和測試

u          互操作性和開(kāi)源API允許管理員管理混合IT環(huán)境，無(wú)需額外層成本

Ansible Playbook

Playbook是一個(gè)YAML文件，描述了要在一組主機（在A(yíng)nsible inventory中定義）中執行的任務(wù)的列表。Playbook由一個(gè)或多個(gè)腳本組成，用于對任務(wù)進(jìn)行分組。它定義虛擬機名稱(chēng)、VMDK文件、網(wǎng)絡(luò )、IP地址和場(chǎng)景信息。Playbook是實(shí)現真正簡(jiǎn)單的配置管理和多機部署系統的基礎。它可以宣布配置，也可以為手動(dòng)流程編排步驟。

Playbook

u          定義要在主機上執行的任務(wù)

u          任務(wù)按照playbook指定的順序執行

u          YAML格式

圖1.playbook示例。

OpenStack與Ansible的交互

Ansible playbook在OpenStack環(huán)境中定義一系列任務(wù)和配置。任務(wù)示例包括：置備虛擬機實(shí)例、定義虛擬機IP以及連接虛擬機的交換機。

案例研究：Cyber Range軟件

Cyber Range為客戶(hù)提供可擴展的虛擬化平臺，用于網(wǎng)絡(luò )安全培訓、建模、仿真和高級分析。我們?yōu)槎嗉铱蛻?hù)提供解決方案，包括美國國防部、新加坡網(wǎng)絡(luò )安全局(CSA/SITSA)和日本九州大學(xué)。

圖2.Cyber Range web應用通過(guò)REST API與Ansible和OpenStack交互。

1.        用戶(hù)點(diǎn)擊開(kāi)始按鈕開(kāi)始練習（實(shí)操網(wǎng)絡(luò )安全培訓）。

2.        Cyber Range軟件通過(guò)REST API使用POST請求將訓練場(chǎng)景名稱(chēng)和用戶(hù)名稱(chēng)調用到Ansible Tower。

3.        Ansible Tower執行用于練習的playbook任務(wù)，并向OpenStack提供配置信息。這些信息包括虛擬機鏡像和網(wǎng)絡(luò )信息。

4.        OpenStack置備虛擬機鏡像并配置網(wǎng)絡(luò )。

5.        OpenStack將狀態(tài)返回給Ansible Tower，Ansible Tower再將狀態(tài)返回給web應用。

6.        如果狀態(tài)是成功的，Cyber Range軟件會(huì )顯示Windows或Linux圖標，提供超鏈接用于開(kāi)啟控制臺。

總結

通過(guò)將Ansible Tower與OpenStack集成到Cyber Range軟件中，我們能夠構建一個(gè)應用程序，為全球客戶(hù)提供按需培訓和真實(shí)場(chǎng)景。與Ansible REST API和playbook集成充分利用了置備更加系統化的自動(dòng)化流程時(shí)所需的許多代碼。本文討論了如下幾個(gè)要點(diǎn)：

u  Ansible可以自動(dòng)化各種IT任務(wù)，包括系統置備、軟件包安裝、網(wǎng)絡(luò )配置和安全，以及云服務(wù)的實(shí)例置備。

u  使用playbook這個(gè)方法可以簡(jiǎn)化虛擬機編排和配置，以及可能在自定義網(wǎng)絡(luò )中包含多個(gè)虛擬機的復雜場(chǎng)景的部署等任務(wù)，但在部署期間可能需要運行自定義腳本。

u  使用playbook逐個(gè)執行命令的流程單元被稱(chēng)為任務(wù)。

u  要使用Ansible實(shí)現OpenStack自動(dòng)化，需要采用OpenStack、Ansible、Ansible Tower和源代碼控制（例如Git存儲庫）。

我們建議，在A(yíng)DI公司的其他云項目上進(jìn)行自動(dòng)化和云基礎設施部署時(shí)，可以考慮采用Ansible和OpenStack。

作者簡(jiǎn)介

Moinul Islam是ADI公司可信安全解決方案(TSS)部（位于美國佛羅里達州坦帕市）的軟件工程師。他在軟件工程、設計和開(kāi)發(fā)方面擁有20年的經(jīng)驗。他于1997年獲得俄亥俄州克里夫蘭州立大學(xué)M.C.I.S.學(xué)位。在可信安全解決方案部工作時(shí)，Moinul主要負責設計和開(kāi)發(fā)一項名為Sypher Ultra的產(chǎn)品，它是Xilinx Zynq UltraScale+?設備的一項附加安全措施。他還專(zhuān)注于另一個(gè)名為“密鑰管理”的項目，該項目與nCipher硬件安全模塊集成。