云计算PaaS平台-OpenShift主要技术简介

每个云计算厂商都想依托一个平台打造自己的生态圈，吸引云应用开发者，以差异化的竞争优势从中胜出。PaaS作为一个应用平台，是云计算里重要的一环，其重要性和必要性自然不言而喻。

对于大多数开发者来说，它们当然关心计算、存储以及网络情况，但他们往往只是关心它们的性能参数，而不想了解它们是如何实现的。他们不想跟操作系统打交道，整日考虑为系统打补丁、做升级、防范病毒，以及处理多台机器之间的网络安全、防火墙等花时间。



他们希望的是：根据最终用户需求写程序，并发布。系统管理，以及大多数运维工作，都交给PaaS平台自动完成。

PaaS，正好可以满足他们的这一需求。使用PaaS后，不必再为服务器烦恼，不用关心服务器本身的性能优化，做好应用的性能优化即可。不用为服务器上的安全问题操心，做好应用本身的安全即可。也不用关心网络问题，需要禁用什么服务，多台机器之间如何连通。

这对于缺乏系统维护、管理，以及每次应用代码更新都要折腾很长时间，甚至应用需要临时下线才能升级的用户来说可是福音。

PaaS与应用开发者走得最近。PaaS与应用关系最亲密，因此与开发者打交道的机会也最多。PaaS不仅仅是代码托管，还要提供环境以便运行应用。做好安全工作、负载均衡、监控等，公有云的话，还需要很好的统计/报表，还有就是能够检查到潜在的问题，报告给开发者。

PaaS通过滤除虚拟机、操作系统和其他与应用程序开发不相关的多余细节，进一步简化了程序开发的过程，从而促使开发者的工作效率和灵活性得到很大提高，它的开发过程更加简单，也更容易集成现有项目到云平台上。

对于一些常用功能，如邮件、短信通知、全文查找，日志分析，消息队列等以服务的形式提供。开发者只要使用即可，不用自己实现，由专业团队管理维护，不用担心。

目前，PaaS平台受限于非标准框架，再加上缺乏对多种应用服务的支持能力，因此导致很多应用在部署时出现问题。包括红帽、VMware等在内的一些厂商希望通过开源PaaS来改善应用部署的效果，同时也为云计算环境提供一个开源的架构。

但困难重重，一方面在于PaaS平台本身配置部署的困难;另外在于PaaS平台锁定了语言环境、创建的对象及服务以及数据，而开发者不喜欢被锁定。

－－－－－－－－－－－－－－－－我是分隔线－－－－－－－－－－－－－－－－－－

OpenShift是红帽提供的PaaS云计算平台，支持多种框架和语言，比如Java、PHP、Python和Ruby等，因此可以为云计算的开发人员提供更全面的功能集合。

OpenShift是开源的，而且目前开发者可以免费试用。开发者在使用过程中有什么不方便的或者需求不能满足的，可以给官方提建议；而企业则可以基于OpenShift搭建自己的私有云或者公有云。

使用OpenShift，你可以享受到：

快速上传和部署应用代码；
基于开发堆栈，不用担心应用被锁定；
支持Java, Ruby, Node.js, Python, PHP等多种语言；
十分容易的实现对应用的扩展。

下面简单介绍一下，在OpenShift中所使用到的主要技术。

一 Rails

实现broker+controller组件和Web控制台所用到的Web框架。

您并不一定要成为Rails高手，但至少您得会：

使用Rails创建一个”五分钟博客”

了解Rails生成的目录结构和文件

大概知道Rails有哪些“约定优于配置”

在OpenShift中broker组件主要使用Rails来实现配置，但主要业务逻辑却实现在controller组件。也就是说它们两者结合才算是一个Rails项目。 而Web控制台则是一个独立的Rails项目，在技术上主要向Broker结点发起REST请求。通过浏览器操作，比较符合非编程人员习惯，便于理解。如果你经常喜欢用命令行，则完全不用在浏览器上操作也能完成工作。

二 BIND 实现DNS


BIND系统由4个主要部分组成：

域名服务器守护进程，它回答域名查询，名为named;

解析库例程，它代表用户查询DNS服务器；

DNS的命令行界面：nslookup, dig 和 host;

用于远程控制的程序，名为 rndc。

相关技术：

nsupdate　实现动态DNS的工具。使用简单：

nsupdate <server $1
key $2 $3
update $4 $6 1 $5 $7
send
EOF

route53 (可选) -- 为了使用AWS上的Route 53来编写的动态DNS插件，允许在OpenShift使用AWS上的Route53 DNS服务来发布应用。

此外，还可选择使用avahi，本人对avahi也不熟悉，在这里引用网络上搜索到的解释。

Avahi 是 zeroconf 协议的实现。它可以在没有 DNS 服务的局域网里发现基于 zeroconf 协议的设备和服务。它跟 mDNS 一样。

三 HAProxy 负载均衡和端口转发

配置HTTP可用于“负载均衡”

配置TCP则可用于“端口转发”

在OpenShift中有３个地方与HAProxy相关：负载均衡，端口转发(可让用户直接操作mysql等服务，或者实现不同gear之间通信)，还有就是scaling应用(创建应用时，可以选择是否scaling，默认为否)

HAProxy使用简单，在haproxy.cfg中的前端配置好监听address:port和要转发到后端service，运行

haproxy -f <configuration file>

即可。

更多配置策略可参考：http://haproxy.1wt.eu/download/1.4/doc/configuration.txt

四 Cgroups资源限制与隔离

通过设置cgroups可以对CPU, 内存,网络资源，硬盘等资源进行约束。更多介绍请参考官方文档：



Managing system resources on Red Hat Enterprise Linux 6

https://access.redhat.com/site/documentation/en-US/Red_Hat_Enterprise_Linux/6/html-single/Resource_Management_Guide/index.html

五 PAM 可插入式的身份验证模块

PAM是一种身份验证技术，而不是一种访问控制技术。也就是说，它不是解决“X用户有权限执行Y操作吗？”这样的问题，而是帮助解决了问题的前提“我怎么知道是真正的用户X？”

相关技术：

auth

kerberos

Kerberos和PAM类似，本身也是处理认证问题而不做访问控制。不过PAM是一种验证框架，而Kerberos是一种验证方法。它们往往一同使用，PAM用作封装，Kerberos是实际的实现。

Kerberos使用一个可信第三方(一台服务器)来完成整个网络的身份验证工作。不是让用户在其正在使用的机器上验证身份，而是让用户向kerberos服务提供自己的凭证(credential)，它发给用户加密的凭证，用户把这个加密的凭证出示给其他服务，作为自己的身份证明。

除了kerberos外，OpenShift还提供了如下选择：

mongo

remote-user

OpenShift默认使用的认证用的是mongo，而不是Kerberos，但其原理差不多，可供参考。

身份验证：一般公司都有“门禁”，持有本公司的‘卡片’才能进去。也就是说经理、普通程序员、保洁人员等只要有‘卡片’就能进。

访问控制：能进这个门，但并不代表什么你都能做。什么人能做什么，经理、普通程序员、保洁人员等身份不同，做的事也不同。

* 访问控制列表？！

没有所谓的访问控制列表(ACL)，创建用户，gear等的时候就已经对权限有了比较细致的设置了。

OpenShift在传统信息安全“加密、访问控制、审计、认证、授权认证”中目前除了‘加密’，我们可以看到都做得比较好。

－－－－－－－－－－－－－－－－我是分隔线－－－－－－－－－－－－－－－－－－

以下部分内容算不上是技术，只是OpenShift平台上使用到。为了湊字数，就把它们也算上吧。

六 tito

tito - 通过它可快速将我们的git项目打包成rpm包，供下载安装。

使用它创建项目框架，简单了解即可：

tito init #在git项目的基础上生成.spec配置模板文件

tito tag [OPTIONS]

tito build --test --rpm #根据.spec配置文件构建.rpm包

tito build [OPTIONS]

tito report

七 rpm

这似乎算不上是技术，不过还得啰嗦一下：尽管OpenShift大部分使用ruby语言实现的，但包管理器仍然使用redhat熟悉的rpm而不是gem。所以强烈不建议使用RVM, rbenv等来安装Ruby或者使用gem install xxx的形式来安装OpenShift组件，直接通过yum install xxx即可。

八 mcollective

尽管这也很重要，但主要是简单的使用，技术上难度不是很大，简单提一下即可。

九 mongoid

之前的项目没有使用ORM，而完全是自己实现的，真正是“想要什么就创建什么”。但这么做无论是创建，还是维护或者对于第三方使用者来说成本都比较高。后来使用了mongoid。mongoid是ruby世界里的一个gem，起到ORM的作用。

那么在数据库里到底存放着哪些数据呢？请我们来看看：

十 Apache

这也算？是的，Apache做为前端服务器经过适当配置，也能起到很大作用，比如：限制带宽、负载均衡、以及做一些安全处理。加载mod_rewrite模块，配置Rewirte规则可以实现URL的跳转，使URL 静态化。

文章到这也够长了，其它技术不说，并不代表它们并不重要。比如：selinux, iptables等。

似乎漏了点什么：我们上传的代码如何打包，解决依赖，如何运行，如何处理‘钩子’？答：请查看具体的cartridge如何实现。

－－－－－－－－－－－－－－－－我是分隔线－－－－－－－－－－－－－－－－－－

　　PaaS需要提供云编程环境，因此就编程而言，开源有利于PaaS的推广，也有利于丰富平台上的应用。不过，但考虑到自身的利益，厂商采用开源与闭源的混合模式可能比较现实。

　　PaaS还要提供丰富的开发工具给更多的应用开发者。从应用起步做PaaS更易成功，因为PaaS与应用更接近。

好了，文章最后我们来看看OpenShift的架构图。



其中，controller和node这两个子项目是核心，理解它们基本上你对整个PaaS平台就能一目了然了。整个PaaS平台大部分功能，都有现成解决方案，我们只要做选择并简单配置即可。而实际也正是这么做的，关键是如何将它们组织好，还有就是实现真正的业务逻辑。

官方文档之一：http://openshift.github.com/

官方网站：https://www.openshift.com/

源代码：https://github.com/openshift/

相关文档：https://access.redhat.com/knowledge/docs/OpenShift/ https://access.redhat.com/knowledge/docs/OpenShift_Enterprise/
部署安装我主要参考：http://www.krishnaraman.net/building-a-multi-node-openshift-origin-paas-from-source/ 不过坑比较多，请做好心理准备。

本文部分文字、图片来源于网络，本文采用知识共享“署名 3.0 中国大陆”许可协议授权。

在此感谢 http://writings.io