私有云平台部署

企业级私有云平台部署全流程实战博文

前言

在数字化转型全面渗透企业网络建设的当下，私有云已经成为政企单位、大中型企业内部 IT 架构的核心底座。相比于公有云的外网依赖、数据外泄风险、定制化能力差的痛点，企业自建私有云能够实现内网数据全闭环管控、业务资源弹性伸缩、服务器资源池化管理、底层架构自主可控，完美适配企业内网业务隔离、数据安全合规、定制化运维、7×24 小时内网不间断服务的核心需求。

本文基于企业生产级 OpenStack 架构私有云搭建全流程，完整覆盖目录内私有云部署全 8 个子步骤、底层系统环境配置、内网域名解析、镜像资源管理、系统安全加固、内网 yum 私有源搭建、FTP 文件服务部署、计算节点源同步、IAAS 云平台组件安装全部知识点，结合企业内网运维真实生产场景，拆解每一步操作原理、企业部署规范、实操命令、避坑要点，完整还原一套从裸服务器到可用私有云平台的从零搭建全过程，全文贴合企业运维落地标准，干货完整覆盖全部课程知识点。

5.1 私有云部署：企业 OpenStack 私有云从零搭建全流程

本次企业私有云采用经典Controller 控制节点 + Compute 计算节点双节点架构，是中小型企业私有云最通用、运维成本最低、稳定性最强的部署架构。其中 Controller 控制节点承载云平台管理、认证调度、资源管理、内网服务、镜像仓库、源仓库、FTP 服务等全部核心管控能力；Compute 计算节点负责云主机创建、虚拟化资源运行、业务负载承载等算力工作。本节完整拆解私有云部署的 8 个标准化流程，从底层系统环境初始化，到最终 IAAS 平台上线，逐环节讲解企业部署规范与实操细节。

5.1.1 配置 /etc/hosts，设置本地 IP 和域名对应关系

在企业私有云多节点集群架构中，节点间域名互通解析是整个 OpenStack 平台稳定运行的前置基础。Controller 控制节点、Compute 计算节点之间的所有组件通信、接口调用、数据同步，全部依靠域名互相识别寻址，而非单纯依靠 IP 地址通信。

企业内网环境无法依赖公网 DNS 服务器做域名解析，所有节点必须通过系统本地/etc/hosts文件，完成内网私有 IP 与节点主机名的静态绑定，实现内网节点间域名互通、免公网 DNS 内网寻址，从根源解决多节点通信寻址异常、组件调用超时、集群连接失败的底层问题，是私有云部署的第一步初始化操作。

1. 原理讲解

/etc/hosts是 Linux 系统内核自带的本地静态域名解析文件，系统访问域名时，会优先读取该文件内的 IP - 域名映射关系，再去查询外网 DNS。在企业私有云内网隔离环境中，我们直接关闭公网 DNS 依赖，全集群节点统一配置 hosts 映射，让控制节点、计算节点互相通过自定义内网域名访问，全程内网闭环，无外网流量泄露，同时保障节点通信稳定低延迟。

2. 企业实操配置规范

本次部署内网节点规划：

• Controller 控制节点：内网静态 IP192.168.10.10，主机名controller
• Compute 计算节点：内网静态 IP192.168.10.20，主机名compute

1. 编辑 hosts 配置文件

bash

运行

vim /etc/hosts

1. 在文件末尾追加全集群节点 IP - 域名映射条目，控制节点、计算节点两边服务器必须完全同步配置

plaintext

192.168.10.10 controller 192.168.10.20 compute

1. 配置完成连通性验证分别在两台节点服务器执行域名 ping 测，验证解析生效：

bash

运行

# 控制节点测试访问计算节点域名 ping compute # 计算节点测试访问控制节点域名 ping controller

3. 企业部署避坑要点

1. 所有集群节点的 hosts 文件内容必须完全统一，禁止单节点单独配置，否则会出现单向通信、组件注册失败；
2. 全程使用内网私网网段 IP，严禁绑定公网 IP，保障企业私有云内网数据隔离安全；
3. 主机名禁止修改、禁止带特殊符号、空格，全程固定controller、compute，后续 OpenStack 全部组件均依赖该主机名寻址。

5.1.2 controller 中复制 centos 和 iaas 镜像

私有云平台的核心资源底座就是系统镜像，企业用户后续在私有云平台创建云主机、业务虚拟机，全部依赖镜像文件初始化操作系统。本步骤在 Controller 控制节点中，统一存储管理两类核心镜像资源：

1. centos.iso：企业通用 Linux 系统基础镜像，用于创建标准 CentOS 业务云主机，承载企业内网常规业务、运维服务器；
2. iaas.iso：私有云 IAAS 平台专属环境镜像，内置云平台底层依赖组件、虚拟化底层包、平台定制化环境资源，用于云平台底层环境初始化、平台组件安装依赖源。

Controller 节点作为私有云管控核心节点，承担全集群镜像仓库管理职责，所有镜像资源统一归集存储在控制节点本地，后续内网所有计算节点、云主机资源，全部从控制节点镜像仓库调用资源，实现企业私有云镜像统一管理、统一分发、权限集中管控。

企业实操规范

1. 在 Controller 节点创建镜像专属存储目录，规范目录结构

bash

运行

mkdir -p /opt/cloud_image

1. 将内网资源库中的centos.iso、iaas.iso两个镜像文件，完整复制至控制节点镜像目录

bash

运行

cp /root/resource/centos.iso /opt/cloud_image/ cp /root/resource/iaas.iso /opt/cloud_image/

1. 镜像文件完整性校验，核对文件大小、md5 校验值，避免镜像传输损坏导致后续挂载、安装报错

bash

运行

ls -lh /opt/cloud_image/

企业部署价值

镜像资源集中管控在控制节点，符合企业私有云资源统一调度、数据集中管理的架构设计，后续新增计算节点扩容集群时，无需重复拷贝镜像，直接复用控制节点镜像仓库资源，大幅降低集群扩容运维成本。

5.1.3 centos.iso 和 iaas.iso 镜像挂载

完成镜像文件存储后，需要对两个 ISO 镜像文件进行系统挂载操作。ISO 镜像本质是压缩光盘文件，系统无法直接读取内部的系统包、依赖文件、目录结构，通过 Linux 系统挂载命令，将镜像内的文件系统映射到本地空目录，实现系统可以直接读取镜像内所有资源，为后续内网私有 yum 源搭建、系统依赖包读取、平台环境初始化提供底层文件支撑。

1. 实操挂载流程

1. 分别创建两个镜像对应的专属挂载目录，实现目录隔离，避免文件混杂

bash

运行

mkdir -p /mnt/centos_iso mkdir -p /mnt/iaas_iso

1. 执行挂载命令，将对应 ISO 镜像挂载至指定目录

bash

运行

# 挂载CentOS系统镜像 mount -o loop /opt/cloud_image/centos.iso /mnt/centos_iso # 挂载IAAS平台专属镜像 mount -o loop /opt/cloud_image/iaas.iso /mnt/iaas_iso

1. 挂载完成验证，查看镜像内文件目录

bash

运行

ls /mnt/centos_iso ls /mnt/iaas_iso

2. 企业部署补充规范

1. -o loop参数为镜像挂载必备参数，用于将 ISO 镜像作为回环设备挂载，Linux 系统识别光盘文件必备参数；
2. 企业服务器重启自动挂载配置：将挂载条目写入/etc/fstab开机自启文件，防止服务器断电重启后镜像挂载失效，导致私有云源服务中断；
3. 目录严格隔离，CentOS 系统源、IAAS 平台专属源分开挂载，避免系统依赖包版本冲突。

5.1.4 controller 上的关闭防火墙和 SELinux

企业内网自建私有云属于全内网闭环架构，集群内部 Controller、Compute 节点之间、云平台内部组件之间存在海量端口通信、接口调用、数据交互。系统原生防火墙 firewalld、内核安全模块 SELinux，会默认拦截大量私有云组件通信端口、内网节点访问请求，直接导致 OpenStack 组件注册失败、节点互通异常、云主机创建失败、平台服务不可用。

在企业内网私有云封闭部署场景中，内网无外网攻击风险，集群全链路企业内部管控，因此需要永久关闭防火墙与 SELinux 安全机制，放行全集群内网通信，扫清私有云组件部署的安全拦截障碍，是底层环境初始化的核心加固步骤。

1. 防火墙关闭全流程

bash

运行

# 停止当前运行的firewalld防火墙服务 systemctl stop firewalld # 设置服务器开机永久关闭防火墙，重启不自动启动 systemctl disable firewalld

2. SELinux 永久关闭配置

1. 临时关闭当前内核 SELinux 机制

bash

运行

setenforce 0

1. 修改配置文件，实现永久关闭，服务器重启依旧生效

bash

运行

vim /etc/selinux/config

修改文件内参数：

ini

SELINUX=disabled

企业部署安全说明

本操作仅适用于内网封闭私有云集群，企业内网无外网暴露、所有访问均为内部运维授权访问，关闭拦截机制仅放行内网集群通信；严禁对公网暴露的服务器执行此操作，严格区分内网私有云环境与外网业务服务器安全策略。

5.1.5 yum 源配置私有云源

yum 源是 CentOS 系统软件包安装、依赖解析、组件更新的核心底层仓库。常规公网 yum 源依赖外网互联网，而企业私有云要求全内网离线部署、数据内网闭环、无外网带宽依赖，绝对不能调用公网网络源，避免业务数据外泄、外网链路波动导致安装失败。

因此本步骤基于已经挂载完成的centos.iso、iaas.iso镜像本地文件，在 Controller 节点搭建企业内网离线私有 yum 源，将本地镜像内的系统安装包、依赖库、平台组件包，转化为内网可用的本地 yum 仓库，整个私有云集群所有节点的软件安装、依赖下载，全部从控制节点本地私有源获取，全程离线无外网，完美契合企业私有云内网安全合规要求。

1. 企业实操配置流程

1. 备份系统原始公网 yum 源，防止后续恢复

bash

运行

mv /etc/yum.repos.d/*.repo /etc/yum.repos.d/bak/ mkdir -p /etc/yum.repos.d/bak

1. 新建 CentOS 系统本地私有源配置文件

bash

运行

vim /etc/yum.repos.d/CentOS-Local.repo

写入本地挂载目录源配置：

ini

[CentOS-Local] name=CentOS Local Private Cloud Source baseurl=file:///mnt/centos_iso gpgcheck=0 enabled=1

1. 新建 IAAS 平台专属私有源配置文件

bash

运行

vim /etc/yum.repos.d/IaaS-Local.repo

写入平台镜像挂载源配置：

ini

[IaaS-Local] name=Private Cloud IaaS Local Source baseurl=file:///mnt/iaas_iso gpgcheck=0 enabled=1

1. 清空 yum 缓存，加载新配置内网私有源，验证源可用性

bash

运行

yum clean all yum makecache

企业部署核心价值

控制节点私有源搭建完成后，整个企业私有云集群拥有了离线内网软件仓库，后续所有系统组件、OpenStack 底层依赖、IAAS 平台服务安装，全部在内部完成，不访问外网，同时统一全集群软件包版本，杜绝公网源版本混乱、依赖缺失、安装中断的生产问题。

5.1.6 安装并配置 ftp 服务

Controller 节点已经搭建好了本地离线私有 yum 源、全量镜像资源，但是 Compute 计算节点、后续新增扩容的集群节点，无法直接读取控制节点本地文件目录。因此我们需要在控制节点部署FTP 内网文件传输服务，搭建企业内网私有文件服务器，实现三大核心能力：

1. 内网文件统一分发：全集群节点通过内网 FTP 服务，访问控制节点的私有 yum 源、镜像资源、平台安装包；
2. 计算节点源同步底座：为后续 Compute 节点对接控制节点私有源提供内网访问通道；
3. 企业内网资源统一存储：私有云平台镜像、备份包、配置文件、业务安装包统一通过 FTP 服务内网流转，全程内网传输无外网泄露。

FTP 是 Linux 企业内网最经典稳定的文件传输协议，适配内网大量节点资源同步场景，配置简单、传输稳定、适配 yum 网络源调用，完美匹配私有云集群资源分发需求。

1. FTP 服务安装全流程

1. 通过已经配置好的本地私有源，安装 vsftpd FTP 服务程序

bash

运行

yum install vsftpd -y

1. 服务核心配置修改，适配企业内网私有云场景

bash

运行

vim /etc/vsftpd/vsftpd.conf

修改核心配置项：

ini

# 开启本地用户访问 local_enable=YES # 开放本地文件读写权限 write_enable=YES # 关闭匿名用户访问，保障内网安全，禁止无关匿名访问 anonymous_enable=NO # 放行内网节点访问权限 pasv_min_port=30000 pasv_max_port=31000

1. 配置服务开机自启，启动 FTP 服务

bash

运行

systemctl start vsftpd systemctl enable vsftpd

1. 配置本地目录 FTP 访问权限，将私有源、镜像挂载目录加入 FTP 访问路径，实现内网节点可访问

bash

运行

chmod 755 /mnt/centos_iso /mnt/iaas_iso /opt/cloud_image

2. 服务可用性验证

内网任意节点均可通过 FTP 协议访问控制节点资源，格式：

plaintext

ftp://192.168.10.10

至此控制节点完成内网私有文件服务搭建，打通了整个私有云集群的资源分发链路。

5.1.7 在 compute 上使用 controller 源

完成控制节点 FTP 服务、内网私有源搭建后，本步骤实现Compute 计算节点对接 Controller 控制节点内网私有源，完成整个私有云集群源环境统一。

计算节点本身不存放镜像、不搭建本地源，全程内网调用控制节点 FTP 服务里的离线私有 yum 源，实现集群源统一管理：全集群所有节点软件版本统一、依赖包统一、离线环境统一，后续企业升级平台组件、更新系统包，只需要维护控制节点源仓库即可，所有计算节点同步生效，极大降低企业私有云集群运维成本。

实操配置流程

1. 计算节点备份原始公网 yum 源

bash

运行

mkdir -p /etc/yum.repos.d/bak mv /etc/yum.repos.d/*.repo /etc/yum.repos.d/bak/

1. 新建计算节点私有源配置，调用控制节点 FTP 内网源

bash

运行

vim /etc/yum.repos.d/CentOS-Controller.repo

写入 FTP 网络源配置，指向控制节点内网地址：

ini

[CentOS-Controller] name=Compute Node Use Controller Private Source baseurl=ftp://192.168.10.10/mnt/centos_iso gpgcheck=0 enabled=1 [IaaS-Controller] name=IaaS Platform Source From Controller baseurl=ftp://192.168.10.10/mnt/iaas_iso gpgcheck=0 enabled=1

1. 刷新 yum 缓存，验证源连通性

bash

运行

yum clean all yum makecache

企业架构意义

至此私有云双节点集群底层源体系全部闭环：Controller 节点本地离线源→FTP 内网服务分发→全集群 Compute 节点统一调用，实现企业私有云离线内网部署的核心底层要求，无外网依赖、资源统一管控、集群环境标准化。

5.1.8 在 controller 上安装 iaas-xiandian

完成前面全部底层环境初始化：节点域名互通、镜像挂载、系统安全加固、内网私有源搭建、FTP 服务部署、集群源统一同步之后，私有云底层系统环境全部达标，本步骤进入企业 IAAS 云平台核心组件上线环节：在 Controller 控制节点安装iaas-xiandian仙电 IAAS 云平台套件。

iaas-xiandian 是基于 OpenStack 原生架构深度定制的企业级 IAAS 基础设施云平台套件，集成了 OpenStack 全部核心服务（认证 Keystone、计算 Nova、镜像 Glance、网络 Neutron、存储 Cinder、仪表盘 Horizon），内置企业运维管理后台、云主机生命周期管理、内网资源池化、权限管控、业务编排等全部企业私有云能力，适配政企单位内网私有化部署需求，开箱即用，大幅降低原生 OpenStack 繁琐的手动组件部署难度。

1. 安装部署流程

控制节点已经配置完成专属 IAAS 私有源，直接通过 yum 命令一键安装平台全套组件

bash

运行

yum install iaas-xiandian -y

2. 平台初始化配置

安装完成后，执行平台一键初始化脚本，自动完成集群组件配置、数据库初始化、节点通信注册、API 接口配置、Web 管理后台初始化，自动对接 Compute 计算节点，完成集群组网。

bash

运行

iaas-xiandian-init.sh

3. 部署完成验收

初始化脚本执行完毕无报错后，企业私有云 IAAS 平台正式上线。运维人员可通过浏览器访问控制节点内网 IP，打开平台 Web 管理后台，实现：内网云主机创建销毁、弹性资源管理、存储卷分配、内网网络管理、用户权限管控、运维监控告警等全部企业私有云核心能力。

5.2 云计算平台 OpenStack：企业私有云底层架构基石

本次企业 iaas-xiandian 私有云套件，底层内核完全基于OpenStack 开源云计算平台构建，OpenStack 是全球企业私有云建设的行业标准架构，也是目前国内绝大多数政企、国企、大中型企业私有云的底层底座。

OpenStack 实现了服务器物理资源的彻底池化，将企业内网所有服务器的 CPU、内存、磁盘、网络资源全部抽象为统一资源池，通过组件化架构实现虚拟化资源全生命周期管理，完美匹配企业基础设施即服务（IaaS）的建设目标。

本次部署的私有云完整继承了 OpenStack 全生态核心能力：

1. 计算虚拟化 Nova：负责企业云主机的创建、运行、销毁、弹性伸缩，承载企业内网各类业务系统；
2. 镜像管理 Glance：统一管理企业 CentOS、定制业务镜像，对应前文镜像挂载、镜像仓库部署底层逻辑；
3. 身份认证 Keystone：全平台统一权限认证、运维账号管控、API 接口鉴权，保障企业私有云访问安全；
4. 网络服务 Neutron：企业内网私有云虚拟网络、内网网段隔离、安全组、私有网络自定义；
5. 块存储 Cinder：云主机数据盘管理、数据持久化存储、业务数据备份；
6. Web 可视化仪表盘 Horizon：企业运维人员可视化管理后台，无需命令行，通过网页界面完成全部云资源运维操作。

对于企业数字化建设而言，基于 OpenStack 搭建的私有云，完美解决传统物理服务器运维痛点：传统服务器资源利用率低、业务部署慢、扩容繁琐、资源无法复用、数据安全管控难。通过本次全套部署流程，企业完成了从物理服务器到内网私有云架构的转型，实现内网业务云化、资源弹性调度、数据内网全闭环自主可控、底层架构运维标准化，同时整套离线部署方案完全满足政企等保合规、内网数据安全隔离的硬性要求。

全文总结

本文完整覆盖图片内私有云章节全部知识点，从 5.1 私有云 8 步从零部署流程，到 5.2 底层 OpenStack 云计算平台架构原理，全程结合企业内网生产环境真实部署场景，拆解每一步操作的底层原理、企业部署规范、完整实操命令、架构设计逻辑、安全合规要点，完整还原了一套中小型企业离线内网私有云的全生命周期搭建过程。

从最基础的/etc/hosts内网域名解析初始化，到镜像资源管理、系统安全环境加固、离线私有 yum 源搭建、内网 FTP 文件服务部署、集群节点源统一同步，最终到 IAAS 云平台套件上线、底层 OpenStack 架构能力讲解，整套流程形成了内网域名互通→镜像资源底座→系统环境加固→离线私有源体系→内网文件传输服务→集群资源统一→云平台组件上线的完整企业私有云建设链路。

在企业数字化建设中，这套部署方案是政企内网私有云建设的通用标准模板，全程离线无外网、数据内网自主可控、集群架构可扩容、运维管理标准化，既满足企业等保数据安全要求，又实现了底层物理资源池化、业务云化转型，大幅降低企业 IT 运维成本，为企业内网各类业务系统、办公平台、后台服务提供稳定、安全、弹性的云计算底层底座。