|
|
Cloud-init是什么9 m }% ~+ y0 ]& Q7 H8 G7 |
Cloud-init是开源的云初始化程序,能够对新创建弹性云服务器中指定的自定义信息(主机名、密钥和用户数据等)进行初始化配置。通过Cloud-init进行弹性云服务器的初始化配置,将对您使用弹性云服务器、镜像服务和弹性伸缩产生影响。简单地讲,cloud-init是一个Linux虚拟机的初始化工具,被广泛应用在AWS和OpenStack等云平台中,用于在新建的虚拟机中进行时间设置、密码设置、扩展分区、安装软件包等初始化设置。# f. v2 m$ M# D) t$ i: o
官方讨论:http://cloudinit.readthedocs.io/en/latest/topics/examples.html7 E% |( N2 C9 m9 p% u) ?8 B$ E
对镜像服务的影响
$ D$ z/ h/ g' a* Y1 q9 O9 T% Z. n( D2 r为了保证使用私有镜像新创建的弹性云服务器可以自定义配置,您需要在创建私有镜像前先安装Cloud-init/Cloudbase-init。
$ _. U, T' ?$ _: H( a如果是Windows操作系统,需下载并安装Cloudbase-init。
9 g5 Q" d( O6 p2 K, q+ Q如果是Linux操作系统,需下载并安装Cloud-init。) m( {8 W' G$ K
在镜像上安装Cloud-init/Cloudbase-init后,即可在创建弹性云服务器时,按照用户的需要自动设置弹性云服务器的初始属性。7 {( q8 s: R( T/ @/ s
对弹性云服务器的影响: P9 x; ~2 G# D3 Q" \! d
在创建弹性云服务器时,如果选择的镜像支持Cloud-init特性,此时,您可以通过系统提供的“用户数据注入”功能,注入初始化自定义信息(例如为弹性云服务器设置登录密码),完成弹性云服务器的初始化配置。
+ z. \, r/ d2 H _9 u/ r' F7 X支持Cloud-init特性后ZQ,弹性云服务器的登录方式会产生影响。
! O$ I/ O, c) A* m( {' l对于运行中的的弹性云服务器,支持Cloud-init特性后,用户可以通过查询、使用元数据,对正在运行的弹性云服务器进行配置和管理。
K2 ~6 i% Z$ X, M6 q/ B( c7 h, B对弹性伸缩的影响
/ i# f) k# Z2 x- `2 y$ g创建伸缩配置时,您可以使用“用户数据注入”功能,指定弹性云服务器的初始化自定义信息。如果伸缩组使用了该伸缩配置,则伸缩组新创建的弹性云服务器会自动完成初始化配置。
/ c% H* H& X( |9 z对于已有的伸缩配置,如果其私有镜像没有安装Cloud-init/Cloudbase-init,则使用该伸缩配置的伸缩组创建的弹性云服务器在登录时会受到影响。
0 I; a+ ?; p1 m( z' O0 Y使用须知% l: n2 ~( u" U9 k6 }! r
使用Cloud-init特性时,需开启弹性云服务器所在VPC中子网的DHCP。
% |8 ]8 H9 `# W$ ~! B1 |使用Cloud-init特性时,安全组出方向规则需满足如下要求:% x. Q# @2 x. h5 R
协议:TCP
+ I+ c1 H% c: j+ F/ ~6 u端口范围:80/ a+ j W% z4 Q$ }: c
远端地址:169.254.0.0/16$ y& i' d7 w' P2 G4 c
说明:
5 p( l. o- r1 m) ~2 \如果您使用的是默认安全组出方向规则,则已经包括了如上要求,可以正常访问元数据。默认安全组出方向规则为:1 H) u1 e$ |4 S- I) ?
协议:ANY
! c: \: ?# P( ~. I% {端口范围:ANY0 w. Z2 v( ^( G& f5 Q, m
远端地址:0.0.0.0/0$ V" s. ?2 {/ a: X5 \. ^: x
cloud-init简介及组件说明
7 W5 Y) W$ _+ Y7 |介绍:
, a/ Q: \" z) ~( t' L6 w cloud-init是专为云环境中虚拟机的初始化而开发的工具,它从各种数据源读取相关数据并据此对虚拟机进行配置。
" A2 v. e: I n g- v( x* V$ ]" L 向一台数据服务器获取元数据(meta data)和用户数据(user data),前者是指VM的必要信息,
+ s/ x$ m, N6 m 如主机名、网络地址等;后者是系统或用户需要的数据和文件,如用户组信息、启动脚本等。
3 k' O, D" _: }; o+ k# p 当cloud-init获取这些信息后,开始使用一些模块对数据进行处理,如新建用户、启动脚本等。常见的配置包括:设定虚拟机的hostname、hosts文件、设定用户名密码、更新apt -get的本地缓存、调整文件系统的大小(注意不是调整分区的大小)等。
: e) h& B. ~5 G' [# O+ f工作原理:5 a# S2 [$ [! D, ]) Z- q( ~
首先,数据服务器开启HTTP服务,cloud-init会向数据服务器发送请求,确认数据源模块,依次获取版本、数据类型和具体数据内容信息。
/ y7 A! W& J5 |- {4 ?4 m0 G" w' h ! F. E1 m1 e3 O- P1 X
功能:: \( ~5 t B/ m, F0 t
用户可配置性
, A! N& |" o+ M 可以通过用户数据配置Cloud-init的行为。/ s( g! C2 r* C
用户数据可以给用户在实例启动时输出; }9 F- t2 @( Q$ M8 z3 }
例如,这可以通过--user-data或--user-data-file参数到ec2-run-instances; k; ^0 e" }; N" g/ P
Z; L5 V$ V5 X+ m0 K& I4 h 特征
0 v- s6 n6 B# z' A 设置默认域
1 }' `2 i* U5 X 设置一个实例的主机名
7 f, o; Q: Q& w' @# I4 s8 U 生成实例SSH秘钥
2 a }9 v* ]3 n" ?6 r7 u 将SSH密钥添加到用户的.ssh / authorized_keys,以便他们可以登录& m+ B0 R+ u1 t1 B/ w( r
设置临时挂载点
r# q9 b4 |" T- g+ S 配置网络设备
) s1 ] k( Q- ?9 L; _) G可用性:
, w% x8 l/ I& ^ 它目前安装在Ubuntu Cloud Images中,还有在EC2,Azure,GCE和许多其他云端上提供的官方Ubuntu映像。
: K+ t! L+ P( } ]: U' P 支持诸多linux发行版本,ubuntu、fedora、debian、rhel、centos等等
. d9 }4 c( p; \* e# W/ CGzip压缩:
- J0 b& M& B4 ^- f+ s 发现gzip压缩的内容将被解压缩。 然后将使用未压缩的数据,如同未压缩的数据一样。 * t u( q6 @: `
这通常是有用的,因为用户数据被限制在〜16384 [1]个字节。$ w8 t) v5 @+ H5 A: [
用户数据:' j# R- H0 L/ S5 g) b* ?
配置文件(Cloud Config Data),类型为Content-Type: text/cloud-config,系统配置文件,如管理用户等,与/etc/cloud下的cloud.cfg最后合并配置项" r; |- b( d( P+ ~
启动任务(Upstart Job),类型为Content-Type: text/upstart-job,建立Upstart的服务
$ f9 Z6 Z( q3 t' A" {+ B 用户数据脚本(User-Data Script),类型为Content-Type: text/x-shellscript,用户自定义的脚本,在启动时执行; h' m& j- c0 s/ m i1 s9 B9 [
包含文件(Include File),类型为Content-Type: text/x-include-url,该文件内容是一个链接,这个链接的内容是一个文件, (Cloud Boothook),类型为Content-Type: text/cloud-boothook5 x/ i3 S* i! L) R- ^2 P1 \
压缩内容( Gzip Compressed Content),
1 B/ y: ~8 E) d" D' K! O 处理句柄(Part Handler),类型为Content-Type: text/part-handler,内容为python脚本,根据用户数据文件的类型做相应的处理
$ q0 V& E& `* q: }) v! b 多部分存档(Mime Multi Part archive),当客户端需要下载多个上述用户数据文件时,可用Mime编码为Mime Multi Part archive一次下载3 g# ~$ e8 S2 Y+ }* S: [+ _: x5 Q
目录结构:4 t3 l# D3 l( w
cloud-init 是 linux 的一个工具,当系统启动时,cloud-init 可从 nova metadata 服务或者 config drive 中获取 metadata,完成包括但不限于下面的定制化工作:% Y) v3 P D' o! x4 S
设置默认语言环境; |# c: \, p) f2 J, w
设置实例主机名9 t7 A+ I) k" X. k( d
添加 ssh keys到 .ssh/authorized_keys
( P. U8 L) ^8 t; B# [设置用户密码. m8 g2 G0 G! L$ x0 j; w
配置网络安装软件包& J# ?, a/ E4 e6 e
启动阶段:, M2 \. x: p! u v3 d0 }
& `& s" r* @2 x! N3 Q Generator; h5 A6 N, d) \, i8 I
Local
! d* q) L( L0 ?& T4 X# h Network
' c# J$ E3 A8 S! t5 ]( ] Config+ K" e: U6 V) c2 U. M
Final) k, L0 f: U0 k. C
为了实现 instance 定制工作,cloud-init 会按 4 个阶段执行任务:
$ u; f4 _9 X' X* C: _local( c5 R6 r& z# f4 o$ ^
init; V+ C: F6 K" q2 e2 l
config4 ~3 z0 r4 f4 f
final
' v, ]" B$ B. P1 p; X Gcloud-init 安装时会将这 4 个阶段执行的任务以服务的形式注册到系统中,比如在 systemd 的环境下,我们能够看到这4个阶段分别对应的服务:
% @* H9 A+ H! E1 H: Y* f8 K0 Slocal - cloud-init-local.service. F5 U$ |6 M+ e8 J9 ~- u
init - cloud-init.service5 p% P/ L' |5 @# X
config - cloud-config.service
2 y3 M( p B; a' Dfinal - cloud-final.service+ G2 h' \0 Q. \4 f0 y* K
7 l/ E$ L& J9 A; K" l当在systemd下引导时,将运行一个生成器,以确定cloud-init.target是否应包含在引导目标中。, O3 r, [& V! U# L4 `
默认情况下,此生成器将启用cloud-init。 它不会启用cloud-init,如果:, H' z8 ?1 U- U, G
7 e* N- g" p. C7 _1 p/ V Generator:
# |( g# D' S0 `- x, h6 S 当在systemd下引导时,将运行一个生成器,以确定cloud-init.target是否应包含在引导目标中。
; h' G$ P0 t+ b3 Z* \; A 默认情况下,此生成器将启用cloud-init。 它不会启用cloud-init,如果:A file exists: /etc/cloud/cloud-init.disabled
1 f# t1 }' h- [! r! N! O /proc/cmdline contains cloud-init=disabled4 l1 D3 z6 R. u# Y$ Q
0 n) t( c! N! \+ I) S# D9 [
local:' r; K3 [; c8 z) k ?" m
cloud-init-local.service
* X5 U' B T8 T D4 x" u$ l 找到本地的数据源
, i3 `/ E! N" S- s7 ~$ Q 对系统应用及网络进行配置9 E3 \! f2 q4 x
网络配置:
% I/ T, p. _5 d# } 数据源
- E$ g) N7 R8 a9 K& A5 V 网卡dhcp
y* f5 Z5 x2 B6 Z5 P# G. ?) @ 禁用网络( d& Q5 Y8 i5 o+ w$ e' |9 {" j* Y: j
/ j% H6 K1 K% E+ T Network:
' V. S; g9 g! p/ G5 r0 K cloud-init.service2 a5 _9 O2 _" J }& g* O
http
/ W f* u! b( v' j+ }6 U 解压gzip
7 [/ W+ M" n! ~ A 格式化磁盘、分区
& l7 Q: K: h/ b" L+ p+ j bootcmd
7 ~! v4 J- S) t' r0 G
2 J+ C/ `, {2 \5 B/ H! U Config:1 h( K+ j9 @- h9 W$ k [; c
cloud-config.service0 {5 V1 m, {* p* G/ T+ R5 n6 ~
配置模块modules
- k1 L: b+ q0 R2 H+ K; u Final:: \2 k" I# C$ k0 a- x0 }' `" q
cloud-final.service
; O0 f: R. V: v2 J& a3 Z3 e3 S$ B; j 启动最后阶段rc.local T: [; E2 B$ }
包的安装, R: k; V0 z) B! M8 V. m/ C& b6 y
配置管理插件、chef、puppet
F+ t1 e2 ?+ I5 ~3 S, I2 q6 \ 用户脚本,runcmd
* C" i0 c' p& b1 D数据源:
+ t9 X* B2 S- Z% u+ X, ` 数据源是cloud-init的配置数据源,通常来自用户(也称为用户数据)或来自创建配置驱动器(也称为元数据)的堆栈。: f; w: h) m+ p W$ p+ y: u+ @, m
型的用户数据将包括文件,yaml和shell脚本,而典型的元数据将包括服务器名称,实例ID,
/ r. [2 f" w. a$ `1 L, T* d 显示名称和其他云具体细节。
$ e' w: r* N ]: {+ V) X5 { 由于有多种方式来提供这些数据(每个云解决方案似乎都喜欢自己的方式)内部创建了一个数据源抽象类,' R; r. i$ R8 [+ L$ X7 {/ W% o* D
以允许单一方式访问不同的云系统方法,以通过典型的子类使用提供此数据。
+ ?$ `' f! i# n9 _- Z
2 [- T" |# B3 j* l! \1 H 支持的方式:
2 F5 u' y8 y9 H# p Alt Cloud:
, W: g0 W4 ~* R6 l- V2 B# j; A7 ]; m RHEVm* x7 @7 V3 b( V
vSphere
1 t" d8 X9 S9 ~ Azure
4 b4 Y# G/ U; o. r& n CloudSigma
2 O# K' |& V; V1 e, p; i D0 h$ E$ a CloudStack
3 _4 m/ j) A- W5 c* @4 o& n+ z0 P Config Drive
5 w! }: g2 U# `% L/ f0 \3 U. ^ Digital Ocean7 o' N! _% ]3 ?5 r9 f# w( G; Q
Amazon EC29 r n( G) _+ X8 X5 `! O
MAAS% ?: K/ g* w6 D0 n6 j; {
NoCloud+ ]1 `: ? ], q* s
OpenNebula
+ P3 \! q1 o7 X4 Z- M8 p) x OVF
( E( r# W1 @ L8 B S+ C( i SmartOS Datasource `, U" q) @8 f9 [( H
OpenStack:# j6 d& {/ W+ r$ A% |
metadata_urls http://169.254.169.254返回200ok
& ]7 N9 u/ G* X1 L max_wait default 1
0 x, i) d, e$ z timeout default 10& h$ z, x6 Q: V( v. c" v$ v
retries default 5重试次数
7 N1 m8 B2 }' {5 O/ [$ W #cloud-config
# U/ {5 X; c3 O1 _ datasource:4 d T) K0 v( B1 h7 ^2 Z1 _0 Y
OpenStack:( g3 T6 v, \' h) ?
metadata_urls: ["http://169.254.169.254"]
0 Z4 J I9 M% S max_wait: -1" V: w& p7 \7 L7 ~5 a
timeout: 10
. P% F! B; o& \' u* H. M! A- j retries: 5
3 E3 N( N% }: S. ]9 C7 MLogging:( P) H, V1 S9 ]* R
支持本地和远程日志记录是通过 python 的内置-在日志记录配置并通过云 init rsyslog 模块可配置、7 p8 ?. \, F" J1 }
默认cloud-init将其输出配置从/etc/cloud/cloud.cfg.d/05_logging.cfg加载% T7 `( V+ j2 x8 I. Y2 p- Z! m
默认配置将stdout和stderr从所有cloud-init阶段引导到/var/log/cloud-init-output.log2 d P( K8 x& h( n0 ]) Y
Modules:
, Y/ Y7 w2 p$ Y Apt Configure配置ubuntu 源列表
) i+ |: M* D. w1 w0 v Bootcmd:在引导过程的早期运行命令,用于在引导过程中不能完成的 ^2 {1 I1 O5 ~; c
Byobu:该模块控制是否启用或禁用系统范围以及默认系统用户1 W' w9 l( B4 Q) D
CA Certs:添加CA证书. ]+ ]& \! \ u7 ^( y
Chef:安装chef client
% N) w' }1 W; V$ i' m* } Debug:帮助调试内部数据结构
. u6 `3 `6 X4 C! U3 J( Y1 u; V Disable EC2 Metadata:默认禁用,该模块通过拒绝发送到169.254.169.254的路由,从而禁用ec2数据源。
- z0 J) c1 A0 U8 A) @ Disk Setup:配置分区和文件系统! C3 S5 f% w/ V
Emit Upstart:发出启动配置,不需要配置2 i8 |" T7 }0 n3 A3 z( @
Fan:配置ubuntu网络
4 y" n; o& V& Q- f Final Message:当cloud-init完成时输出最终消息
# O& v; F5 u6 [$ s2 |: t" q version: cloud-init version版本
{0 F8 `# X. J3 Y timestamp: time at cloud-init finish 完成耗时
; C; r+ v: c! s' ]2 @2 \; B datasource: cloud-init data source源数据
) x2 I8 e) `# p, U6 }5 ~( R$ r uptime: system uptime系统运行时间
, z5 b9 f: i+ Y b Foo:示例显示模块结构,不做任何事情 & G2 `3 d/ `3 n, F+ P; q, Z/ N7 C+ V
Growpart:调整分区大小以填充可用磁盘空间# Q( }) `6 O7 D T
growpart:
8 J" t% V9 ~, o& q. i$ Z- K mode: auto( s$ k; y9 `: P
devices: ["/"]
8 u! f/ v# ]7 f/ ? ignore_growroot_disabled: false
4 w. V7 |9 ?2 B2 P Grub Dpkg:配置哪个设备用作grub安装的目标,默认情况下,此模块应正常工作无须配置。
. L0 p! X1 d' X( @' v5 { Keys to Console:控制哪些ssh密钥可以写入控制台6 w+ o4 ^/ [$ h* h
出于安全考虑,可能不希望将ssh指纹和密钥写入控制台。 4 ^6 [: G# r3 S! d
为了避免将ssh键的类型指纹写入控制台,可以使用ssh_fp_console_blacklist配置密钥。
( i7 ]2 Q# E5 s7 s# Q2 D 默认情况下,所有类型的键都将其指纹写入控制台。
! L& i. [- X6 c9 |, E& X 为了避免将密钥类型的密钥写入控制台,可以使用ssh_key_console_blacklist配置密钥。
/ ^) X+ f* Y. q( T- k9 L. f/ h 默认情况下,ssh-dss键不会写入控制台$ N/ \2 z% K# P
Landscape:$ W M7 N; B. Z" N
Locale:配置系统区域设置并系统应用
- ~- V# G/ a6 @& U; y LXD:3 J: }% v7 {+ [' L8 k n' H
Mcollective:
% p3 ?) i6 R" c2 f, l& K Migrator:该模块处理将旧版本的cloud-init数据移动到较新版本( _9 Z3 x1 F0 |& {' L; e" {6 r
Mounts:配置挂载点和交换文件
) ^4 s8 c% p& _2 m5 v( G: H NTP:处理ntp配置: ^+ b# D$ l5 D+ |: p# J$ W" p7 {9 o
ntp:) W% j9 k6 v1 X0 Y# p
pools:
6 c7 m! F% X4 z - 0.company.pool.ntp.org
# l+ k* B; p/ ]0 y, R - 1.company.pool.ntp.org; Z$ ^# e& r* t2 O( G6 e& p- ~
- ntp.myorg.org
' |- R3 x! V* A% A; [! N servers:' |, E2 }3 f0 w+ i+ x# ` k
- my.ntp.server.local4 o( r# k4 |& }8 N5 G
- ntp.ubuntu.com
# D& a: n; H) |* i* s g - 192.168.23.2- x( I ]5 T+ H1 `* ?
Package Update Upgrade Install:
3 f, `! ?7 o i% o( `5 Y 更新,升级和安装软件包2 \1 n: g5 u+ o/ k
此模块允许在引导期间更新,升级或安装软件包, _! ?) u0 t% @. J7 _( S; S2 z, [
如果要安装任何软件包或执行升级,那么软件包缓存将首先更新。
R2 p4 k3 ~0 S9 K 如果软件包安装或升级需要重新启动,则如果指定了package_reboot_if_required,则可以执行重新启动。 / M, Q5 C+ ?- e9 `1 L
可以提供要安装的软件包的列表。 ) g( }2 I, [- r- G
列表中的每个条目可以是包名称或具有两个条目的列表,第一个是包名称,第二个是要安装的特定包版本。
: s# H2 M, t5 V) J Phone Home: c& d4 M* H( ~0 o, C& f' i- x w
引导完成后,该模块可用于将数据发布到远程主机, 可以发布所有数据或发布的密钥列表。
, l H' d% L9 p a% w Power State Change:
- q. C% O/ j3 j 改变电源状态
. c. i- \! P" i: R& E* s 所有配置模块都运行后,该模块处理关机/重新启动。
7 p" i% v, T% G. y. z# A9 C Puppet:
, `: e6 V2 k1 k" k2 B 安装、配置puppet2 F6 \0 {: U4 p1 p9 ?
Resizefs:调;整文件系统的大小以使用分区上的所有可用空间。9 ]. A; L; _/ K
Resolv Conf:7 y# a! H) N$ H+ S8 \$ r" w
manage_resolv_conf: <true/false>
8 _, t9 j) X: k+ I) O8 |; S resolv_conf:+ u" M5 u1 q; N, a9 _
nameservers: ['8.8.4.4', '8.8.8.8']
, B& e5 M6 ]1 s3 L searchdomains:( e8 m0 c! q: d6 J, u) N
- foo.example.com
) `+ a( }6 H1 b# H5 z - bar.example.com5 R% h* W, d; h* T: ?5 W P4 U
domain: example.com
' E! c. [( v$ m5 }2 S- q6 o O' B options:( U1 Y, _8 ?) I+ J, `
rotate: <true/false>& [* k4 H* t1 x5 J; [
timeout: 1
6 x: X7 n( N* v( _) i. O Debian / Ubuntu默认情况下会使用resovlconf,同样的RedHat也会使用sysconfig
/ m2 R2 A9 i% K* X RedHat Subscription:
; @- D5 t- f9 r& F/ L 通过用户名和密码或激活和组织注册一个RedHat系统! I Y c! `' u% _; {
Rsyslog:
S. C) P5 b* Q& F' S6 r 此模块使用rsyslog配置远程系统日志记录
$ ^6 l9 a' N5 z" g- _# X7 N Runcmd:
5 m- k d2 q1 p 在类似级别的rc.local上运行任意命令,并输出到控制台9 w# j& L" ~* p' b
所有的命令必须是正确的yaml,因此您必须引用yaml所符合的任何字符0 F: Q& Y8 Z; _1 x. ^1 X, d$ ^, g
runcmd:3 [! T( V' G# C1 j' }* ^( u6 X, a
- [ ls, -l, / ]9 z1 J: n, E) q* d
- [ sh, -xc, "echo $(date) ': hello world!'" ]
& ^9 H: R/ e5 p0 N- o - [ sh, -c, echo "=========hello world'=========" ]2 I) k/ _7 h5 O( A
- ls -l /root
g, _2 n$ G z" ~% s - [ wget, "http://example.org", -O, /tmp/index.html ]7 `6 t# A3 W) ?' p; ^" |" o
如果项目是一个列表,它将被正确执行,就好像传递给execve()(以第一个arg为命令)。
; I+ V0 z# u+ i' a/ y7 D/ F 如果项目是一个字符串,它将被写入一个文件并使用sh进行解释/ O- l7 t5 ~; o& ~, K4 j
Salt Minion:配置公钥和私钥% i# p P+ Z4 H( c7 _+ h% B# V
Scripts Per Boot:运行启动脚本- D2 m& ?! k, s/ b
数据源中的scripts / per-boot目录中的任何脚本都将在系统引导时运行。
% I1 `2 r; p8 o$ J# ?* P, U r Scripts Per Instance:实例运行脚本,系统引导时运行4 |- N/ B' ?6 ]6 B) ]
Scripts Per Once:运行一次脚本7 ~! r& C! |$ l ]1 T
Scripts User:运行用户脚本! A6 b3 J5 [7 _( K
该模块运行所有用户脚本。
( U* b2 _5 n+ K+ ?9 e+ v 用户脚本未在数据源中的scripts目录中指定,而是存在于实例配置中的脚本目录中。, e, `4 B) D' d/ u+ X
Scripts Vendor:数据源中脚本/供应商目录中的任何脚本将在首次引导新实例时运行。
+ h- S0 M- V7 g9 M' E Seed Random:生成随机秘钥
8 n3 \- P) R c" [ Set Hostname:设置主机名和fqdn" o9 K, M: r1 C- d% Z+ R
Set Passwords:设置系统密码,启用或禁用ssh密码认证。
3 e2 d# {3 [' o chpasswd配置密钥接受一个包含两个密钥中的一个的字典,即过期或列表。
+ Y* z7 n3 w5 Z 如果expire被指定并设置为false,那么将使用password全局配置密钥作为所有用户帐户的密码。 6 {( h v: [6 K! G @( N1 H
如果指定了过期密钥,并设置为true,则用户密码将过期,从而防止使用默认系统密码。
2 j$ a/ W1 W% b1 P0 q/ u) e ssh_pwauth: <yes/no/unchanged>
$ u+ O( k0 C9 G% @+ p0 Y9 x" I3 ] password: password1
0 L) d3 g" Y r Q" b7 \ chpasswd:+ E2 R) A0 @7 U3 A& N4 Q5 |0 d$ ~
expire: <true/false>, J$ w! ~" o0 Z/ [' g
chpasswd:0 l9 k9 N; u# T$ ~; b
list: | @7 L2 j' W" G
user1:password1
& L+ f1 g' W' l8 c) b% w+ A9 i user2:RANDOM: y6 D _8 r8 Q" i3 N$ @% B
user3:password3
* u4 n( c6 K! P4 n) O user4:R/ w. j# o% e. o7 t# K- o
##4 u- J$ `7 x+ M# W) h, f+ F, o
# or as yaml list
) C# H6 T9 ?0 a" |' U* x5 _3 _ ##
' _' F$ r/ W3 E! T { chpasswd:
( L, _3 p" C7 [0 q* J3 O list:
" V1 `; x5 X: U8 b! i - user1:password1$ k. e7 |. S0 U$ P5 C; }" t( r' e
- user2:RANDOM* F; I6 ?1 V& U3 S
- user3:password3' E8 ^: d5 W; Z; X0 M8 E' Z
- user4:R
) D8 f# v5 n; s5 E. F* M# A - user4:$6$rL..$ej...4 l* L- |) d8 S: B0 O# i
SSH:该模块处理ssh和ssh密钥的大部分配置
' w2 W$ c2 E2 L+ l) c& Z) \ SSH Authkey Fingerprints:为每个用户写入授权密钥的指纹记录日志# A5 G6 h* T* ]/ l/ P6 X
SSH Import Id:此模块通过公钥钥匙服务器(通常是启动板或github)使用ssh-import-id导入ssh密钥
, l7 E. u7 G4 z; W Timezone:设置系统时区
5 n& U- _. }+ t* Y5 |5 ? timezone: <timezone>& |& W& h& B Y$ W4 }: o
Update Etc Hosts:更新/etc/hosts5 m, O4 i, b! z \
该模块将根据config中指定的主机名/ fqdn更新/ etc / hosts的内容。
" X; j/ b% i+ Q( ^ / etc / hosts的管理使用manage_etc_hosts进行控制。 3 ~2 ^* O0 R/ d9 r8 e+ z
如果设置为false,则cloud-init将不会管理/ etc / hosts
& s5 S$ ` Y4 W! U 如果设置为true或template,cloud-init将使用位于/etc/cloud/templates/hosts.tmpl中的模板生成/ etc / hosts。
) \! I- u u3 b/ ?4 f0 K m 如果manage_etc_hosts设置为localhost,那么cloud-init将不会完全重写/ etc / hosts,而是确保/ etc / hosts中存在具有ip 127.0.1.1的fqdn的条目, n0 X$ E# m$ B6 \! A/ G9 p" F
manage_etc_hosts: <true/"template"/false/"localhost">8 k0 \2 ]1 b2 G1 L5 u7 L$ l7 j5 x. P u! ]
fqdn: <fqdn>
* f! g( g/ I- y! t% U* s0 M hostname: <fqdn/hostname>0 F& Q- X* }4 K" p1 }$ M
Update Hostname:该模块将更新系统主机名和fqdn。2 H8 V0 s' @+ @9 e- ? } \+ H% `
preserve_hostname: <true/false>
/ c) R% N+ g, `* A fqdn: <fqdn>6 u6 ]0 {1 ~1 o; `* N( C
hostname: <fqdn/hostname>
$ b! K( x# K# u* t0 G$ ` Users and Groups:配置用户和组9 K- p0 g; ?1 Z+ s9 \! `! t# y
groups:3 B! [# I) f6 X& }& |& B: P
- <group>: [<user>, <user>]3 Z% U6 H8 L8 l6 p
- <group>8 ~ N. W5 V0 k; b2 H
users:6 H7 I: |6 U! \* `! w
- default
7 Z0 B2 U$ D& D% d; M2 V - name: <username>6 Y k( [/ N) X" N H8 i
expiredate: <date>% d& ~! V4 P! `% p( l8 W
gecos: <comment>+ V% r' _ L% R- e1 c: a( }, h
groups: <additional groups>- _. f G$ x& O4 P7 j
homedir: <home directory>$ Y# e( h U3 {) p1 g
inactive: <true/false>
. B/ K# v) L: W: ^7 r, z5 } lock_passwd: <true/false>( C3 ^# _1 w1 x6 `$ ^
no-create-home: <true/false>
8 @/ L% E4 u3 b m1 t no-log-init: <true/false>8 |+ l8 V: }8 @
no-user-group: <true/false>9 J1 K, O1 G) m" j. N1 ~* M
passwd: <password>. N+ z Z# K. T
primary-group: <primary group>9 h3 b+ D( S! A! S
selinux-user: <selinux username>
( B/ I0 {" l% ?1 e3 G shell: <shell path>( w" m/ J' X/ Z2 D, E
snapuser: <email>' l I5 @" B8 s$ b3 w; ~" p
ssh-authorized-keys:
9 c3 e: O" C {" d - <key>
+ m2 n, s" ~! ] - <key>
8 J \: w" P0 h8 ?) Q M ssh-import-id: <id>
$ a% o1 B/ ~# P* V% Z2 f: U4 l, W sudo: <sudo config>1 E |8 i! [# j' C' s" F! w
system: <true/false>
( n; F* _# M" J7 _- E+ b& ], x uid: <user id>
" w2 A1 p* h3 M8 S$ S, t Write Files:
4 T w( p+ B- o$ N( l, x" v2 K 将任意内容写入文件,可选择设置权限。 内容可以用纯文本或二进制格式指定。 0 W6 `" c! P' @! I6 @+ f1 O
可以指定使用base64或二进制gzip数据编码的数据,并在写入之前对其进行解码。( B0 |; F, p, t) |+ l/ J, s1 r! D
write_files:
$ W9 ~0 q( _6 Q( ~ - encoding: b648 c+ S8 P, P B# _* W" A0 y
content: CiMgVGhpcyBmaWxlIGNvbnRyb2xzIHRoZSBzdGF0ZSBvZiBTRUxpbnV4..., Q' n( Q- |; @8 y- @
owner: root:root
4 D! a9 q% _& [; \$ ]) ~ path: /etc/sysconfig/selinux
. P( }. C; l2 D6 i8 w permissions: '0644'" r4 _( }6 k8 d" [3 `- h# U
- content: |
. K+ q( X. e' M: X$ s6 d) l # My new /etc/sysconfig/samba file
# U$ G) o; Y( L, c) ~ SMDBOPTIONS="-D"
5 O7 t/ b% r7 Y1 { path: /etc/sysconfig/samba
2 U2 H" b# U* R7 x2 V5 J - content: !!binary |
) S4 k$ f. S" Z5 z" T4 W6 U f0VMRgIBAQAAAAAAAAAAAAIAPgABAAAAwARAAAAAAABAAAAAAAAAAJAVAAAAAA! _8 ^: m8 h' q. `# l/ [
AEAAHgAdAAYAAAAFAAAAQAAAAAAAAABAAEAAAAAAAEAAQAAAAAAAwAEAAAAAAA
/ [3 s: G/ S9 l+ ?& u AAAAAAAAAwAAAAQAAAAAAgAAAAAAAAACQAAAAAAAAAJAAAAAAAAcAAAAAAAAAB/ O+ T$ l4 w2 d% Z8 J, ]* f! ?
...- |/ I- Z9 h) f/ s8 d. z: F* e
path: /bin/arch
; h2 \2 O- F& m. b9 i" I permissions: '0555'
3 G4 H+ d/ S+ f Yum Add Repo:( v% i+ }0 r$ s7 [1 a
将yum存储库配置添加到/etc/yum.repos.d。9 c4 \% |4 W2 W3 O0 V! k* ~$ l- O* ^. L, I
yum_repos:1 B! L3 K! Z* ~" u) V! Q8 t: g0 T' ]
<repo-name>:: I% F* ^# w0 I
baseurl: <repo url>& ^) t! F4 C3 t/ C3 ?& {
name: <repo name># @3 x* O3 i& E
enabled: <true/false>
% c' M6 h- b4 M4 K% H' M在本地KVM中使用cloud-init5 n; F. P7 `5 _6 B% l0 R2 ?! t% t
本文主要研究在本地KVM虚拟机,也就是没有云平台的情况下,如何使用cloud-init进行初始化工作。示例虚拟机的操作系统是centos7.1。
, i. a) L4 _8 F0 \- |! s. a安装& E! Q% Y: L" [9 J [
在虚拟机内安装cloud-init:. g% F a9 H" |% M
yum install cloud-init -y6 F; U( X; y+ S w, K; f0 e6 K
3 i" G6 @- ?( ?. f4 K安装完后,配置文件在/etc/cloud目录,主配置文件为/etc/cloud/cloud.cfg. J# G' u+ |7 n, m S
DataSource
$ R4 ?6 X+ B) ~1 O/ P- E要让cloud-init能够顺利完成初始化工作,必须把一些数据传给cloud-init,例如让cloud-init设置root密码,必须要告诉cloud-init密码是什么。Cloud-init支持很多种数据来源,常见的有metadata service、config drive和nocloud等。
" L: {1 p5 g% k# E, T ]l metadata service提供一个可以获取数据的url,例如OpenStack中的nova-api-metadat提供的http://169.254.169.254,虚拟机开机后cloud-init在完成网络配置后,会向这个url发起请求。因此这种模式需要先配置好网络;6 x/ J9 r9 |( O' T" h1 e- H& g% C
l Config drive 把数据封装进一个iso9660(也支持vfat,但是不常见)文件系统的镜像中,然后把这个镜像以光驱(ide接口)的形式挂载到虚拟机中,虚拟机开机后cloud-init会自动去该镜像中获取数据。文件结构一般如下:, {& I: R- F% w, k7 ~" l5 t
openstack/* `! _1 }% l) Z4 L0 z+ ?
- 2012-08-10/ or latest/
. S) J4 y( ~. K4 @ - meta_data.json
. _) D2 V/ S5 E1 H$ L$ Z6 [. R - user_data (not mandatory)
5 [2 |* a8 g2 I" O' `# N - content/- i+ b& Q6 Q. S; c8 N- ` @* S
- 0000 (referenced content files)
) y+ f0 r K0 t3 W( Z - 0001 M9 i; m* e1 p" z
- ....1 G6 R) K( o$ y3 g2 m
ec25 W' s3 w7 J! k; A) m8 L$ X9 o
- latest/
2 d. r2 Y3 N8 b/ O( _$ U: z - meta-data.json (not mandatory)- j$ k( S k3 G- e, A3 u R f
0 M7 u' ?( R& R" U+ ]( n" w5 ^0 jl Nocloud 这种模式与config drive类似,只是文件结构不同,一般由user-data和meta-data两个文本文件构成。并且镜像以普通磁盘(virtio接口)的方式挂载。
4 H: z$ _ A8 g4 o1 Z本文主要试验nocloud模式。: p% Y8 E# o w8 H
封装数据
# `! |# T" I' F* Q制作镜像需要cloud-localsd命令,默认没有安装,安装命令如下:
) h v3 e1 y9 T& p) {yum install cloud-utils -y" [5 K* G e) R% K7 t
编写user-data:
1 _5 j1 p5 m8 K, I3 e& j* }cat << EOF > my-user-data
8 M6 T9 P0 _( p+ ]#cloud-config
) {8 O3 P7 i& l2 S5 X- Zchpasswd:
* A% B& o* J# _7 g Blist: |
) N& y, \' B; o8 S8 ~ Froot:123456
+ \0 h& V9 ^. Kexpire: false% B3 Z! s. z- L8 p7 B1 d- O$ n# t
ssh_pwauth: true
* C$ z# J$ B- tEOF9 ? E9 y, x8 H2 w! `; O g
cloud-init也支持多种数据格式,我们使用的是cloud-config格式,这种格式必须是以#cloud-config开头的yaml格式。上面这段的意思是把root的密码设置为“123456”,然后配置ssh允许密码登录。( p u" q+ D2 V0 w! w1 O0 |; b$ m
制作img:6 D; W# d9 M! z) ~: z4 S
cloud-localds -m local my-seed.img my-user-data
* @6 `" E" t0 Z$ s' n, F. f-m指定的cloud-init的工作模式,local的意思是不需要依赖网络,我们没有使用metadata service,所以不需要网络。
& X2 U) ^9 n" u挂载数据
5 a l3 D" W' ~; h; N- E$ s* ~编辑虚拟机的libvirt xml配置文件,挂载镜像:; Y8 i, s+ v; M9 q' i s1 e# D
<disk type='file' device='disk'>
" A+ }$ i' P; R; `( C, A <driver name='qemu' type='raw' cache='none' io='native'/>
9 s: R- P( V3 t G! E" ^ <source file='/path/to/my-seed.img'/># x. j( h, H4 Z: |, l5 j+ c
<target dev='vdb' bus='virtio'/>1 Y3 P |3 e/ m( T
<readonly/>: I6 g# R. [: z; A
</disk>6 m0 b3 v0 y2 M: R, a
修改cloud-init配置6 n3 C: z* T) `8 c' B
在/etc/cloud/cloud.cfg最后一行添加以下内容,这句的意思是让cloud-init接受NoCloud来源的数据:% \ `, \$ A V
datasource_list: ["NoCloud"] y, n# Q. R7 G ~
重启虚拟机
& V2 u/ l, z9 W3 D; A* W$ F在虚拟机内执行rm -rf /var/lib/cloud,不删除这个目录,cloud-init不会执行。9 t. Z4 S2 j+ V+ Y9 [
硬重启虚拟机
* H! [+ p& p) C* V% p% Z/ Dvirsh destroy vm
& H) h0 \0 Q# z$ _9 v3 L1 R9 Pvirsh start vm
. O# o' ~7 ~" L1 \虚拟机开机后,会发现root密码变成了“123456”
) a) e, [4 ^* J- ?9 A }- P查看数据
' ]6 z* m# l$ G0 n在虚拟机内mount /dev/vdb /mnt,可以查看数据的内容。" u: t* v. l2 i
ls /mnt
; h) S# r5 t- P( J6 b! N4 t& R; smeta-data user-data
: Q( F( t2 L, P& W8 b3 T) ]cat user-data! D; h7 V8 i$ ~# j& v4 I3 f
#cloud-config
4 }: n: `* S. ]# t% Ochpasswd:% m7 K9 S8 h4 ~: e3 x7 p
list: |
! z8 i) A7 A0 s" n5 _) Y1 U( \root:123456
- z- ^- y" }- z' Q: Jexpire: false/ z* O) ?* _. x: M
ssh_pwauth: true" `* b# f( C2 {$ J# o6 `( n& u6 [
总结! x+ i/ H; x! w/ e
本文测试了在无云平台管理的本地KVM虚拟机上使用cloud-init修改root密码的功能。cloud-init还有很多功能和技术细节,后续会继续研究。/ _3 r9 h( B$ C' X. {; z% s' _
7 ~4 h! w. }: L9 V, A9 m) b
|
|
发表于 2021-5-26 09:18:13