基于OpenStack的物聯(lián)網(wǎng)云平臺創(chuàng)新搭建

張 松,陳鯉文

(福建工程學(xué)院,福建 福州 350000)

0 引言

云計算是指配置了相關(guān)的計算服務(wù)模塊,用戶根據(jù)自身項目需求選擇服務(wù)器、系統(tǒng)等計算資源進行項目開發(fā)的技術(shù)。其技術(shù)特點可以擴展到物聯(lián)網(wǎng)傳感資源的管理,實現(xiàn)物聯(lián)網(wǎng)和云計算的方法和技術(shù)的融合[1],這將會成為項目開發(fā)人員的另一種選擇。大規(guī)模物聯(lián)網(wǎng)項目中的傳感器通常會有幾個數(shù)量級的數(shù)量分散部署,物聯(lián)網(wǎng)包含了物聯(lián)對象的所有信息,不可避免地帶來了信息安全問題。為了有效地管理邊緣傳感設(shè)備和物聯(lián)網(wǎng)信息安全[2],迫切需要一種管理機制,即需要創(chuàng)建管理傳感資源的動態(tài)基礎(chǔ)設(shè)施的解決方案。因此,本文基于開源云架構(gòu)OpenStack和開源物聯(lián)網(wǎng)解決方案Stack4Tings構(gòu)建了物聯(lián)網(wǎng)云平臺,能夠管理邊緣傳感資源和保障物聯(lián)網(wǎng)信息安全,為開發(fā)大型物聯(lián)網(wǎng)項目提供了方案參考。

1 OpenStack 和Stack4Tings

1.1 OpenStack簡介及其組件

OpenStack是一個旨在為公共及私有云的建設(shè)與管理提供軟件支持的開源項目[3],各個組件之間相互關(guān)聯(lián),協(xié)同管理各類計算、存儲和網(wǎng)絡(luò)資源,其特點為模塊松耦合、組件配置靈活和二次開發(fā)簡單等。

物聯(lián)網(wǎng)云平臺搭建選用的核心組件及其功能介紹如下。(1)Keystone:身份認證服務(wù)[4],是OpenStack 框架中負責(zé)驗證用戶身份、設(shè)定訪問服務(wù)規(guī)則和簽發(fā)服務(wù)令牌的組件。具體表現(xiàn)為訪問資源和執(zhí)行操作需要驗證用戶的身份與權(quán)限。Keystone可以說是整個Openstack框架的注冊表,OpenStack中各項服務(wù)都是通過Keystone來注冊其網(wǎng)絡(luò)端口(服務(wù)訪問的URL),在本平臺中會注冊物聯(lián)網(wǎng)服務(wù)的網(wǎng)絡(luò)端口進行功能調(diào)用,實現(xiàn)對邊緣開發(fā)板實例的創(chuàng)建、查詢和刪除等。(2)Horizon:儀表盤服務(wù),為OpenStack提供了一個Web前端的管理界面,管理員可以通過前端界面直觀地看到各種操作結(jié)果與運行狀態(tài)。

1.2 Stack4Ting簡介及其組件

Stack4Things是一個開源的物聯(lián)網(wǎng)框架,由意大利墨西拿大學(xué)的移動和分布式系統(tǒng)實驗室開發(fā)[5]。Stack4Things可以不用獲取嵌入式設(shè)備的物理位置、網(wǎng)絡(luò)配置和底層技術(shù)就能夠管理物聯(lián)網(wǎng)設(shè)備,是一個面向云的水平解決方案,提供物聯(lián)網(wǎng)對象虛擬化、定制和編排服務(wù)。

Stack4Things物聯(lián)網(wǎng)框架主要包含3部分。(1)IoTronic:物聯(lián)網(wǎng)平臺核心服務(wù),部署在云基礎(chǔ)設(shè)施側(cè),同OpenStack其他服務(wù)類似,需要通過Keystone注冊獲得其網(wǎng)絡(luò)端口。該組件主要接收用戶命令,傳遞命令到開發(fā)板,接收開發(fā)板的數(shù)據(jù)反饋到云端,完成將OpenStack云計算架構(gòu)擴展到傳感資源管理的任務(wù)。(2)Lighting-Rod:邊緣開發(fā)板側(cè)服務(wù)程序,完成來自云端用戶命令的接收和與開發(fā)板上的外接傳感資源交互的任務(wù),同時將傳感器獲得的數(shù)據(jù)上傳云端。(3)IoTronicClient:命令行工具,通過Keystone服務(wù)認證的用戶可以使用IoTronicClient命令行工具輸入相關(guān)命令實現(xiàn)對開發(fā)板的創(chuàng)建、查詢和刪除等操作。

2 物聯(lián)網(wǎng)云平臺的設(shè)計

本文設(shè)計了物聯(lián)網(wǎng)平臺的總體架構(gòu),如圖1所示。總體架構(gòu)主要分為兩部分:云基礎(chǔ)設(shè)施側(cè)和邊緣開發(fā)板側(cè),重點注重于OpenStack組件和Stack4Tings組件的分布情況。在云基礎(chǔ)設(shè)施側(cè),Keystone服務(wù)完成對用戶的認證,IoTronic組件代表了物聯(lián)網(wǎng)云平臺的核心,管理數(shù)據(jù)庫,存儲所有必要的信息。在邊緣開發(fā)板側(cè),Lighting-Rod作為板側(cè)軟件架構(gòu)的核心,代表了云基礎(chǔ)設(shè)施的接觸點,通過WebSocket全雙工通道連接到一個特定的WAMP路由器與IoTronic進行通信,完成與云端收發(fā)命令和數(shù)據(jù)的任務(wù)。

圖1 物聯(lián)網(wǎng)平臺總體架構(gòu)

同時,本文給出了云基礎(chǔ)設(shè)施側(cè)和邊緣開發(fā)板側(cè)之間具體的信息交互,如圖2所示。假定用戶已經(jīng)通過身份認證,操作物聯(lián)網(wǎng)云平臺的具體信息流程如下:(1)用戶通過命令行工具或者Web前端界面連接到IoTronic服務(wù)。(2)用戶命令轉(zhuǎn)化為對IoTronic API接口的調(diào)用,同時將調(diào)用消息放進RabbitMQ消息隊列。(3)IoTronic conductor從消息隊列中提取消息并查詢數(shù)據(jù)庫檢查用戶要操作的開發(fā)板是否已經(jīng)注冊,如果已注冊則獲取該開發(fā)板的WAMP通信協(xié)議代理。(4)IoTronic conductor向消息隊列推送新的消息,WAMP通信協(xié)議代理從消息隊列中提取消息,并在相應(yīng)的WAMP路由的主題上發(fā)布信息。(5)在邊緣開發(fā)板側(cè),通過WAMP庫,Lighting-Rod從路由上獲得信息,同時打開反向套接字隧道連接到由云端IoTronic conductor指定的網(wǎng)絡(luò)套接字隧道代理,并且生成一個TCP端口。(6)隧道代理通過指定的端口發(fā)布一條用戶命令被執(zhí)行的消息到消息隊列中。(7)IoTronic API接口從消息隊列中提取消息顯示在Web前端界面。

圖2 物聯(lián)網(wǎng)平臺內(nèi)部信息流

3 物聯(lián)網(wǎng)云平臺的搭建

3.1 OpenStack基礎(chǔ)云架構(gòu)搭建

對于OpenStack基礎(chǔ)云架構(gòu)的搭建主要包含以下幾個步驟:(1)基礎(chǔ)環(huán)境搭建。本次搭建采用一臺4核4 G內(nèi)存、Centos7系統(tǒng)的虛擬機作為基礎(chǔ)云架構(gòu)的controller節(jié)點。基礎(chǔ)設(shè)置包括設(shè)置虛擬機雙網(wǎng)卡模式(NAT和主機模式),關(guān)閉防火墻并設(shè)置開機不啟動,安裝MySQL數(shù)據(jù)庫、RabbitMQ消息隊列服務(wù)、Memcached緩存服務(wù)等。(2)安裝OpenStack相關(guān)服務(wù)。Keystone身份驗證服務(wù)和Horizon儀表盤服務(wù),本文采用的是先電云平臺一鍵式搭建。(3)搭建成功驗證。在瀏覽器上輸入controller節(jié)點的IP地址進入云平臺登錄界面可以驗證是否安裝成功。云平臺登錄界面如圖3所示。

圖3 云平臺登錄界面

3.2 Stack4Things物聯(lián)網(wǎng)架構(gòu)搭建

對于Stack4Things物聯(lián)網(wǎng)架構(gòu)搭建主要包含以下幾個步驟:(1)搭建前準(zhǔn)備。在controller節(jié)點準(zhǔn)備完成后,需要在MySQL數(shù)據(jù)庫創(chuàng)建名為“iotronic”的數(shù)據(jù)庫,使用Keystone服務(wù)創(chuàng)建名為“iotronic”用戶并將用戶加入項目域,再創(chuàng)建名為“iot”的服務(wù)并為該服務(wù)注冊網(wǎng)絡(luò)端口以供用戶訪問。(2)Stack4Things相關(guān)組件安裝。此次搭建采用一臺4核4 G內(nèi)存、Ubuntu18.04系統(tǒng)的虛擬機作為IoTroinc節(jié)點。安裝Crossbar服務(wù),Crossbar實現(xiàn)了開放式Web應(yīng)用程序消息傳遞協(xié)議(WAMP),上文提到的WAMP路由由此服務(wù)提供。安裝IoTroinc服務(wù),是物聯(lián)網(wǎng)云平臺的核心。安裝apache2服務(wù),作用為開放該節(jié)點特定的網(wǎng)路端口。(3)IoTroinc服務(wù)相關(guān)進程開啟。通過systemctl命令開啟conductor、WAMP agent等進程,并設(shè)置為開機自啟動。

3.3 邊緣開發(fā)板側(cè)架構(gòu)搭建

對于邊緣開發(fā)板側(cè)架構(gòu)的搭建主要包含以下幾個步驟:(1)搭建前準(zhǔn)備。本次搭建采用一塊MPU為RK3568的開發(fā)板,運行Debian10系統(tǒng)。安裝JavaScript 運行環(huán)境NodeJS、反向代理服務(wù)器NGINX和自動化安全證書管理工具Certbot。(2)Lighting-Rod安裝。安裝完成后通過systemctl命令運行Lighting-Rod。安裝完成后登錄界面如圖4所示。

圖4 Lighting-Rod登錄界面

4 物聯(lián)網(wǎng)平臺測試

本次測試在云基礎(chǔ)設(shè)施側(cè)和邊緣開發(fā)板側(cè)分別測試。在云基礎(chǔ)設(shè)施側(cè)的測試為在controller節(jié)點創(chuàng)建用戶,用戶通過IoTronicClient命令行工具進行創(chuàng)建、查看和刪除開發(fā)板設(shè)備實例。邊緣開發(fā)板側(cè)的測試為通過命令行配置數(shù)據(jù)并在Web端登錄開發(fā)板,與數(shù)據(jù)庫中創(chuàng)建的開發(fā)板實例相匹配。

云基礎(chǔ)設(shè)施側(cè)測試:通過IotronicClient命令行工具輸入命令“iotronic board-create ”,代表要創(chuàng)建開發(fā)板的名字,代表開發(fā)板唯一標(biāo)識符,在邊緣開發(fā)板側(cè)實際注冊時需要提供此標(biāo)識符,當(dāng)惡意攻擊者要將設(shè)備接入云端會因數(shù)據(jù)庫沒有該實例或者無法提供開發(fā)板標(biāo)識符而失敗,從而保證了物聯(lián)網(wǎng)信息安全。和分別代表緯度、經(jīng)度和海拔,用于記錄開發(fā)板設(shè)備安裝的位置。輸入命令“iotronic board-list”查看已創(chuàng)建的開發(fā)板實例,輸出為開發(fā)板的UUID、名字、類型、板側(cè)Lighting-Rod版本、引腳數(shù)量、在線狀態(tài)等。可見當(dāng)物聯(lián)網(wǎng)項目部署在邊緣的采集設(shè)備數(shù)量巨大時,可以在云端實時管理和查看設(shè)備是否還在正常運行。輸入命令“iotronic board-delete ”刪除指定開發(fā)板實例。當(dāng)不需要某處的數(shù)據(jù)采集時,可進行刪除操作回收采集設(shè)備。本次測試是創(chuàng)建開發(fā)板實例、查看實例列表和刪除開發(fā)板實例,測試結(jié)果皆成功,如圖5所示。測試結(jié)果證明了,通過keystone授權(quán)的用戶可以對邊緣傳感資源進行管理,證明了物聯(lián)網(wǎng)云平臺的可用性。

圖5 創(chuàng)建、查看和刪除開發(fā)板實例

邊緣開發(fā)板側(cè)測試:本次測試分為模擬未獲取開發(fā)板實例標(biāo)識符的攻擊者惡意接入云端和云端用戶正常接入云端。在云端創(chuàng)建名為“rk3568”開發(fā)板實例的標(biāo)識符為000001。在開發(fā)板安裝Lighting-Rod后,命令行輸入lr_configure 注冊開發(fā)板,其中為創(chuàng)建實例的標(biāo)識符,為WAMP路由的URL。假定攻擊者輸入的命令為lr_configure 000002 ws://192.168.100.40∶8181,通過登錄開發(fā)板Web界面查看開發(fā)板狀態(tài)如圖6所示,結(jié)果顯示該開發(fā)板沒有接入云端。假定云端用戶正常接入云端輸入的命令為lr_configure 000001 ws://192.168.100.40∶8181,通過登錄開發(fā)板Web界面查看開發(fā)板狀態(tài)如圖7所示,結(jié)果顯示該開發(fā)板成功接入云端。兩者相較物聯(lián)網(wǎng)云平臺保證了物聯(lián)網(wǎng)項目的安全。

圖6 開發(fā)板未接入云端

圖7 開發(fā)板成功接入云端

5 結(jié)語

本文基于云計算開源項目OpenStack和物聯(lián)網(wǎng)開源項目Stack4Tings構(gòu)建了物聯(lián)網(wǎng)云平臺,將按需分配和管理計算資源的云計算技術(shù)特點擴展到對物聯(lián)網(wǎng)傳感資源的管理,實現(xiàn)了物聯(lián)網(wǎng)和云計算的方法和技術(shù)的融合。該物聯(lián)網(wǎng)平臺能夠?qū)崿F(xiàn)對邊緣傳感資源的管理,使得大型物聯(lián)網(wǎng)項目部署傳感資源更快捷,同時也能保障物聯(lián)網(wǎng)信息的安全。下一步工作是將外接傳感器的開發(fā)板應(yīng)用到某個場景中,配合OpenStack存儲服務(wù)將采集的數(shù)據(jù)同步上傳云端,同時進行網(wǎng)絡(luò)前端的開發(fā),實現(xiàn)一鍵式數(shù)據(jù)采集、上傳、存儲和計算功能。

[1]舒俊.云計算在物聯(lián)網(wǎng)領(lǐng)域的應(yīng)用研究[J].中國高新科技,2023(2):109-111.

[2]李鵬.云計算技術(shù)在基于信任的物聯(lián)網(wǎng)中的應(yīng)用[J].無線互聯(lián)科技,2023(6):103-105.

[3]曹海平.基于OpenStack的云計算平臺設(shè)計與實現(xiàn)[J].信息記錄材料,2023(4):237-239.

[4]尹譽衡.OpenStack Keystone認證機制研究[J].計算機技術(shù)與發(fā)展,2021(2):122-126.

[5]BRUNEO D,DISTEFANO S.Stack4Things as a fog computing platform for smart city applications:2016 IEEE conference on computer communications workshops [C].New York:IEEE, 2016.