OpenStack云主机规格调整的无密码登录配置
当OpenStack用户创建的云主机实例(如2 vCPU, 4GB RAM)在运行一段时间后,发现现有配置无法满足业务需求,需要提升配置时,OpenStack的管理界面提供了调整云主机规格的功能。然而,在实际操作中,有时会遇到因SSH无密码登录配置不当而导致的错误,这些错误可能在相关日志中体现为以下类似信息:
Command: ssh 192.168.18.43 mkdir -p /var/lib/nova/instances/eac0e362-352f-45ad-b503-d28e588691be
Exit code: 255
Stdout: ''
Stderr: 'Host key verification failed.\r\n'. Setting instance vm_state to ERROR
原因分析
在OpenStack中,调整云主机的规格本质上类似于在不同计算节点之间进行迁移。为了实现这一操作,必须确保目标节点能够对源节点进行无密码SSH访问。由于Nova服务负责管理云主机,因此需要为Nova用户配置SSH无密码登录。
配置步骤
-
修改Nova用户的Shell
编辑
/etc/passwd文件,将Nova用户的默认Shell从/bin/bash(或类似)修改为/bin/sh:nova:x:162:162:OpenStack Nova Daemons:/var/lib/nova:/bin/sh如果Nova用户尚未设置密码,或者需要重设密码,请执行:
passwd nova -
在计算节点间配置SSH无密码登录
首先,切换到Nova用户:
su - nova然后,在Nova用户的目录下生成SSH密钥对。如果
.ssh目录不存在,系统会自动创建。ssh-keygen # 期间会提示输入保存密钥的文件路径(默认为/var/lib/nova/.ssh/id_rsa),以及密钥的passphrase。 # 按回车键接受默认值,并留空passphrase以实现无密码登录。生成公钥和私钥后,将公钥复制到目标计算节点。假设需要配置节点
compute13的无密码登录,执行:ssh-copy-id compute13 # 如果需要实现计算节点之间的相互调整云主机大小,则需要在所有涉及的计算节点上都执行此命令。最后,测试是否成功:
ssh compute13 # 如果无需输入密码即可登录,则配置成功。
权限注意事项
在进行SSH密钥配置时,必须确保.ssh目录及其内部文件的权限设置正确。通常,需要执行以下命令:
chown -R nova:nova /var/lib/nova/.ssh/
chmod 700 /var/lib/nova/.ssh/
chmod 600 /var/lib/nova/.ssh/authorized_keys
chmod 600 /var/lib/nova/.ssh/id_rsa
常见问题及排查
在实际操作中,即使配置了无密码登录,有时仍可能遇到需要密码或认证失败的情况。例如,如果在节点16上进行配置,即使已执行ssh-copy-id,仍可能在尝试SSH连接时被要求输入密码,并且在authorized_keys文件中出现"Permission denied"错误。
排查此类问题时,需要仔细检查Nova用户家目录下的.ssh目录及其内容的属主、属组和权限。
场景示例:
假设在节点16上,/var/lib/nova/.ssh/目录的权限被错误地设置为drwxrwxrwx,并且属主/属组为root:root。
# 错误权限示例
[root@compute16 .ssh]# ls -ld /var/lib/nova/.ssh/
drwxrwxrwx 2 root root 76 Jan 5 14:28 /var/lib/nova/.ssh/
即便修改权限为chmod 700 /var/lib/nova/.ssh/,若属主/属组仍未正确设置,SSH服务可能会因"bad ownership or modes for directory /var/lib/nova"而拒绝认证。
# 检查/var/log/secure日志
[root@compute16 .ssh]# tail -1000 /var/log/secure|grep -i "Authentication"
Jan 5 16:04:15 compute16 sshd[62351]: Authentication refused: bad ownership or modes for directory /var/lib/nova
正确的做法是确保/var/lib/nova/.ssh/目录及其子文件(如authorized_keys)的属主、属组都为nova用户,并且权限设置符合SSH安全要求。
# 正确的属主/属组设置
[root@compute16 ~]# chown -R nova:nova /var/lib/nova/.ssh/
# 检查/var/lib/nova目录本身权限
[root@compute16 nova]# ls -ld /var/lib/nova
drwxr-xr-x 8 nova nova 103 Sep 22 16:39 .
# 确保/var/lib/nova目录权限允许Nova用户访问
chmod 755 /var/lib/nova
经过以上正确的权限和属主/属组配置后,Nova用户应能成功实现SSH无密码登录。
