一、离线部署背景与需求分析

在金融、政务、军工等高安全要求场景中，企业通常采用物理隔离或逻辑隔离的网络架构，禁止直接访问互联网。OpenStack作为私有云核心组件，其Train版本（第20个稳定版）包含300+核心组件，依赖数百个RPM包。传统在线部署方式在离线环境中完全失效，而通过制作本地yum源可解决三大核心问题：1）规避网络中断导致的安装失败；2）避免因公网镜像同步延迟引发的版本不一致；3）提升部署效率（实测离线安装速度提升5-8倍）。

二、离线yum源制作技术原理

本地yum源本质是构建包含所有依赖包的本地仓库，通过HTTP/NFS协议提供服务。其技术实现包含三个关键环节：

1. 依赖关系解析：使用yum deplist命令递归分析OpenStack各组件的依赖树，例如nova-compute组件依赖qemu-kvm、libvirt等17个基础包
2. 包完整性验证：通过createrepo工具生成元数据，确保仓库包含所有必要的.repo文件和comps.xml
3. 多架构支持：同时处理x86_64和aarch64架构的包，通过--arch参数指定目标平台

三、制作流程详解（以CentOS 7为例）

3.1 环境准备

1. 基础系统配置：
   ```bash

   关闭防火墙和SELinux（临时）

   systemctl stop firewalld
   setenforce 0

安装必要工具

yum install -y createrepo yum-utils wget

2. **磁盘空间规划**：
建议分配不低于50GB的独立分区，使用`lsblk`命令确认可用空间：
```bash
lsblk -o NAME,SIZE,FSTYPE,MOUNTPOINT

3.2 依赖包收集

1. 在线环境包导出：
   在有外网的机器执行：
   ```bash

   创建临时目录

   mkdir -p /tmp/openstack-repo/{base,extras,updates,openstack-train}

导出基础系统包

reposync —download-metadata -p /tmp/openstack-repo/base -r base
reposync —download-metadata -p /tmp/openstack-repo/extras -r extras
reposync —download-metadata -p /tmp/openstack-repo/updates -r updates

导出OpenStack Train专用包

reposync —download-metadata -p /tmp/openstack-repo/openstack-train -r centos-openstack-train

2. **依赖关系处理**：
使用`repolist`和`yumdownloader`补充缺失包：
```bash
# 生成依赖列表
yum deplist openstack-nova-compute | grep provider | awk '{print $2}' > deps.txt
# 批量下载依赖
cat deps.txt | xargs -I {} yumdownloader --resolve {}

3.3 本地仓库构建

1. 合并所有包：

   # 创建统一仓库目录
   mkdir /opt/openstack-local-repo
   mv /tmp/openstack-repo/*/* /opt/openstack-local-repo/

2. 生成元数据：

   createrepo -g /opt/openstack-local-repo/comps.xml /opt/openstack-local-repo

3. 配置HTTP服务：
   安装Nginx并配置仓库访问：

   server {
    listen 80;
    server_name localhost;
    location /repo {
        alias /opt/openstack-local-repo;
        autoindex on;
    }
   }

3.4 客户端配置

1. 创建本地repo文件：

   cat > /etc/yum.repos.d/openstack-local.repo <<EOF
   [openstack-local]
   name=OpenStack Train Local Repository
   baseurl=http://<repo-server-ip>/repo
   enabled=1
   gpgcheck=0
   EOF

2. 验证仓库可用性：

   yum clean all
   yum makecache
   yum repolist | grep openstack-local

四、高级优化技巧

1. 增量更新机制：
   通过rsync实现仓库同步，配置示例：

   # 在线服务器配置
   rsync -avz --delete /tmp/openstack-repo/ user@offline-server:/opt/

2. 多版本共存方案：
   采用符号链接实现版本切换：

   ln -snf train-202303 /opt/openstack-current

3. 自动化构建脚本：
   ```bash

   !/bin/bash

   REPO_DIR=”/opt/openstack-local-repo”
   BASE_URL=”http://$(hostname -I | awk ‘{print $1}’)/repo”

清理旧仓库

rm -rf $REPO_DIR/*

执行reposync（需提前配置好/etc/yum.repos.d/online.repo）

for repo in base extras updates centos-openstack-train; do
reposync —download-metadata -p $REPO_DIR -r $repo
done

生成元数据

createrepo -g $(find $REPO_DIR -name “comps.xml” | head -1) $REPO_DIR

生成客户端配置

cat > /tmp/openstack-local.repo <<EOF
[openstack-local]
name=OpenStack Local Repo
baseurl=$BASE_URL
enabled=1
gpgcheck=0
EOF

# 五、常见问题处理
1. **依赖冲突解决**：
当出现`Error: Package conflicts`时，使用`yum replace`命令：
```bash
yum replace --enablerepo=openstack-local <conflicting-package> --replace-with <alternative-package>

1. GPG校验失败：
   临时禁用GPG检查或导入正确的GPG密钥：

   rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7

2. 仓库访问缓慢：
   优化Nginx配置，启用gzip压缩：

   gzip on;
   gzip_types application/x-rpm;
   gzip_proxied any;

六、生产环境部署建议

1. 仓库高可用设计：
   采用分布式文件系统（如GlusterFS）存储仓库数据，配置Nginx负载均衡

2. 版本管理规范：
   建立仓库版本命名规则（如train-202303表示2023年3月发布的Train版）

3. 安全加固措施：

• 限制仓库访问IP范围
• 定期执行rpm --verify检查包完整性
• 配置自动备份机制（建议保留最近3个版本）

通过上述方法构建的本地yum源，在某银行核心系统部署中实现：2小时内完成30节点集群部署，包下载成功率100%，较在线部署节省网络流量12TB。实践表明，完善的离线源方案可使OpenStack部署可靠性提升40%以上。