如何在 OpenStack 中隱藏 Glance 鏡像

02-02

問題

如果你的 OpenStack 環境中使用了 Ceph，而且開啟了 Cow-on-Write Clone 功能。會發現如果 Glance 鏡像啟動了虛擬機，這個鏡像是刪除不掉的。包括 Boot from Volume 的鏡像也會有類似的問題。但是用戶會有這樣的需求，既然刪除不掉，我如何才能防止用戶繼續使用這個鏡像。

方法 1

這時，有一種方式是把公共鏡像變為私有鏡像。這樣用戶再建機器時，就看不到這個鏡像了。但是這樣會帶來另外一個問題，已經啟動虛擬機也會看不到鏡像的信息。

方法 2

這時還有更好的一個辦法，Glance API 支持把鏡像屬性變為非可用狀態。使用方法如下

$ openstack image set --deactivate <image>n

把鏡像變成了非可用狀態，此時用戶就不能從這個鏡像啟動新的虛擬機了。

但是，用戶還可以看到這個鏡像的信息，已經啟動的虛擬機不受影響。

如果想把鏡像再變成可用狀態，可以使用。

$ openstack image set --activate <image>n

現在這個功能只能通過 API 來使用，界面上還不支持。

參考信息

https://wiki.openstack.org/wiki/Glance-deactivate-image
https://blueprints.launchpad.net/glance/+spec/deactivate-image
https://review.openstack.org/#/c/132717/