理解 Keystone 核心概念 - 每天5分钟玩转 OpenStack（18）

2016-04-07 776

作为 OpenStack 的基础支持服务，Keystone 做下面这几件事情：

管理用户及其权限
维护 OpenStack Services 的 Endpoint
Authentication（认证）和 Authorization（鉴权）

学习 Keystone，得理解下面这些概念：

User

User 指代任何使用 OpenStack 的实体，可以是真正的用户，其他系统或者服务。

当 User 请求访问 OpenStack 时，Keystone 会对其进行验证。

Horizon 在 Identity->Users 管理 User

除了 admin 和 demo，OpenStack 也为 nova、cinder、glance、neutron 服务创建了相应的 User。 admin 也可以管理这些 User。

Credentials

Credentials 是 User 用来证明自己身份的信息，可以是： 1. 用户名/密码 2. Token 3. API Key 4. 其他高级方式

Authentication

Authentication 是 Keystone 验证 User 身份的过程。

User 访问 OpenStack 时向 Keystone 提交用户名和密码形式的 Credentials，Keystone 验证通过后会给 User 签发一个 Token 作为后续访问的 Credential。

Token

Token 是由数字和字母组成的字符串，User 成功 Authentication 后由 Keystone 分配给 User。

Token 用做访问 Service 的 Credential
Service 会通过 Keystone 验证 Token 的有效性
Token 的有效期默认是 24 小时

Project

Project 用于将 OpenStack 的资源（计算、存储和网络）进行分组和隔离。根据 OpenStack 服务的对象不同，Project 可以是一个客户（公有云，也叫租户）、部门或者项目组（私有云）。

这里请注意：

资源的所有权是属于 Project 的，而不是 User。
在 OpenStack 的界面和文档中，Tenant / Project / Account 这几个术语是通用的，但长期看会倾向使用 Project
每个 User（包括 admin）必须挂在 Project 里才能访问该 Project 的资源。一个User可以属于多个 Project。
admin 相当于 root 用户，具有最高权限

Horizon 在 Identity->Projects 中管理 Project

通过 Manage Members 将 User 添加到 Project 中

Service

OpenStack 的 Service 包括 Compute (Nova)、Block Storage (Cinder)、Object Storage (Swift)、Image Service (Glance) 、Networking Service (Neutron) 等。

每个 Service 都会提供若干个 Endpoint，User 通过 Endpoint 访问资源和执行操作。

Endpoint

Endpoint 是一个网络上可访问的地址，通常是一个 URL。 Service 通过 Endpoint 暴露自己的 API。 Keystone 负责管理和维护每个 Service 的 Endpoint。

可以使用下面的命令来查看 Endpoint。

root@devstack-controller:~# source devstack/openrc admin admin
root@devstack-controller:~# openstack catalog list

Role

安全包含两部分：Authentication（认证）和 Authorization（鉴权） Authentication 解决的是“你是谁？”的问题 Authorization 解决的是“你能干什么？”的问题

Keystone 是借助 Role 来实现 Authorization 的：

Keystone定义Role
可以为 User 分配一个或多个 Role Horizon 的菜单为 Identity->Project->Manage Members
Service 决定每个 Role 能做什么事情 Service 通过各自的 policy.json 文件对 Role 进行访问控制。下面是 Nova 服务 /etc/nova/policy.json 中的示例

上面配置的含义是：对于 create、attach_network 和 attach_volume 操作，任何Role的 User 都可以执行；但只有 admin 这个 Role 的 User 才能执行 forced_host 操作。

OpenStack 默认配置只区分 admin 和非 admin Role。如果需要对特定的 Role 进行授权，可以修改 policy.json。

下一节我们将通过例子加深对这些概念的理解。

微信关注我们

原文链接：https://yq.aliyun.com/articles/311643

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

CentOS 7 安装gogs git代码服务器

本文的原文连接是: http://blog.csdn.net/freewebsys/article/details/51089323 未经博主允许不得转载。博主地址是：http://blog.csdn.net/freewebsys 1，关于Gogs 开源的代码服务器最牛的是github，有一个开源的实现是gitlab。但是gitlab是用ruby写的，某些时候性能有问题。有的时候使用的时候超级慢。代码存的多了就会出现的问题。不知道 gogs会不会有这个问题。于是尝试下。官方网站是：https://gogs.io/ 代码放到github上面了。1300多个分享。 2，安装步骤 https://gogs.io/docs/installation 我使用的是最简单docker安装。在centos7 直接install就可以安装docker。源里面有。 yum -y install docker 否则还需要安装mysql，git，ssh等服务，只是先折腾下，不想太麻烦。即使二进制的安装也才有15mb大小。 https://github.com/gogits/gogs/tree/mas...

2016-04-06

707

文章出自：听云博客随着公司业务的不断增长，我们的应用数量也有了爆发式增长。伴随着应用爆发式的增长，管理的难度也随之加大。如何在业务爆发增长的同时快速完成扩容成了很大的挑战。Docker的横空出世恰巧解决了我们的问题。利用Docker我们可以快速完成扩容缩容，且配置统一，不易出错。在Docker的集群管理选型上，我们比较纠结，目前比较流行的是Mesos和Kubernetes。从功能来说，我们更倾向于使用Kubernetes，他在容器编排方面的能力强于Meoso，且提供了持久化存储方案，更适合我们的场景。但是Kubernetes的网络模型要比Mesos复杂，在高并发的情况下性能能否满足需求成了关键问题。 Mesos本身不处理网络问题，利用Marathon我们可以选择Docker本身提供的Host模式和Bridge模式。Host模式与宿主机共享网络栈网络性能是最高的，Bridge模式有待评测。 Kubernetes采用扁平化的网络模型，要求每个Pod拥有一个全局唯一IP，Pod直接可以跨主机通信。目前比较成熟的方案是利用Flannel。Flannel有几种工作模式...

2016-04-07

766

资源下载

更多资源

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长，特征是大鼻子、头戴帽子、身穿背带裤，还留着胡子。与他的双胞胎兄弟路易基一起，长年担任任天堂的招牌角色。

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能，例如代码缩略图，Python的插件，代码段等。还可自定义键绑定，菜单和工具栏。Sublime Text 的主要功能包括：拼写检查，书签，完整的 Python API ， Goto 功能，即时项目切换，多选择，多窗口等等。Sublime Text 是一个跨平台的编辑器，同时支持Windows、Linux、Mac OS X等操作系统。

WebStorm

WebStorm 是jetbrains公司旗下一款JavaScript 开发工具。目前已经被广大中国JS开发者誉为“Web前端开发神器”、“最强大的HTML5编辑器”、“最智能的JavaScript IDE”等。与IntelliJ IDEA同源，继承了IntelliJ IDEA强大的JS部分的功能。