首页 文章 精选 留言 我的

openstack(四)Keystone

2017-11-07 915

一、简介

  Keystone(OpenStack Identity Service)是 OpenStack 框架中负责管理身份验证、服务规则和服务令牌功能的模块。用户访问资源需要验证用户的身份与权限,服务执行操作也需要进行权限检测,这些都需要通过 Keystone 来处理。

  Keystone提供3A(Account, Authentication, Authoriz

ation)服务,

无论是dashboard还是client API都需要先通过keystone的认证后才可以获取Openstack服务列表。

  Keystone 中主要涉及到如下几个概念:

1、用户(user):顾名思义就是使用服务的用户,可以是人、服务或者是系统,只要是使用了 Openstack 服务的对象都可以称为用户。

2、租户(tenant):租户,可以理解为一个人、项目或者组织拥有的资源的合集。在一个租户中可以拥有很多个用户,这些用户可以根据权限的划分使用租户中的资源。Keystone V3中将 tenant 改称为了Project。

3、角色(role):角色,用于分配操作的权限。角色可以被指定给用户,使得该用户获得角色对应的操作权限

4、令牌(token):指的是一串比特值或者字符串,用来作为访问资源的记号。Token 中含有可访问资源的范围和有效时间。

  服务目录部件(Service Catalog)提供了一套REST API服务端点列表并以此作为决策参考,主要包含以下几个概念:

1、服务(service):一个OpenStack服务,例如Nova、Swift、Glance或Keystone。一个服务可以拥有一个或多个端点,用户可以通过它与OpenStack的服务或资源进行交互。

2、端点(endpoint):一个可以通过网络访问的地址(例如一个URL),代表了OpenStack服务的API入口。端点也可以分组为模板,每个模板代表一组可用的OpenStack服务,这些服务是跨区域(regions)可用的,例如将多个Swift Proxy Server分别配置为不同的域(regionOne、regionTwo等)。

3、模板(Template):一个端点集合,代表一组可用的OpenStack服务端点。

二、认证流程:

1.用户(user)提供自己的用户名称及用户身份凭证(Crenditial,如密码); 

2.keystone验证用户(user)的身份(Crenditial);

3.认证成功后,keystone会给用户分配一个令牌(token),用户在访问其他Openstack服务时,仅需亮出令牌即可。

  下图是从官网截取的具体认证流程图,以供参考:

wKioL1bcSluh6dLnAADv_C7lkLo852.png

三、安装和配置

1、首先数据库授权:

1
2
3
4
5
# mysql -u root -p
> CREATE DATABASE keystone;
> GRANT ALL PRIVILEGES ON keystone.* TO  'keystone' @ 'localhost'  IDENTIFIED BY  'mypasswd' ;
> GRANT ALL PRIVILEGES ON keystone.* TO  'keystone' @ '%'  IDENTIFIED BY  'mypasswd' ;
> EXIT

2、用openssl生成一个随机数值作为用做后面的token:

1
2
$ openssl  rand  -hex 10
ba48c69ef1612f3b8569

3、安装

1
2
3
# yum install openstack-keystone httpd mod_wsgi python-openstackclient memcached python-memcached
# systemctl enable memcached.service
# systemctl start memcached.service

4、配置

修改配置文件:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
>>>>  /etc/keystone/keystone .conf
 
[DEFAULT]
...
admin_token = ba48c69ef1612f3b8569
# 注意该信息,admin_token参数是用来访问Keystone服务的,即Keystone服务的Token。我们用刚才生成的随机数替换。客户端可以使用该Token访问Keystone服务、查看信息、创建其他服务等
verbose = True
# 启用verbose logging,方便troubleshooting
[database]
...
connection = mysql: //keystone :mypasswd@10.13.25.11 /keystone
# 此处为数据库参数,指定数据库文件的存放位置,其中10.13.25.11为数据库地址,第一个keystone为用户名,mypasswd为访问密码,第二个keystone为数据库名称。
[memcache]
...
servers = localhost:11211
[token]
...
provider = keystone.token.providers.uuid.Provider
driver = keystone.token.persistence.backends.memcache.Token
[revoke]
...
driver = keystone.contrib.revoke.backends.sql.Revoke

Populate the Identity service database:

1
# su -s /bin/sh -c "keystone-manage db_sync" keystone


配置Apache服务:

1
2
# vim /etc/httpd/conf/httpd.conf
ServerName controller
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
# vim /etc/httpd/conf.d/wsgi-keystone.conf
 
Listen 5000
Listen 35357
<VirtualHost *:5000>
     WSGIDaemonProcess keystone-public processes=5 threads=1 user=keystone group=keystone display-name=%{GROUP}
     WSGIProcessGroup keystone-public
     WSGIScriptAlias /  /var/www/cgi-bin/keystone/main
     WSGIApplicationGroup %{GLOBAL}
     WSGIPassAuthorization On
     LogLevel info
     ErrorLogFormat  "%{cu}t %M"
     ErrorLog  /var/log/httpd/keystone-error .log
     CustomLog  /var/log/httpd/keystone-access .log combined
< /VirtualHost >
<VirtualHost *:35357>
     WSGIDaemonProcess keystone-admin processes=5 threads=1 user=keystone group=keystone display-name=%{GROUP}
     WSGIProcessGroup keystone-admin
     WSGIScriptAlias /  /var/www/cgi-bin/keystone/admin
     WSGIApplicationGroup %{GLOBAL}
     WSGIPassAuthorization On
     LogLevel info
     ErrorLogFormat  "%{cu}t %M"
     ErrorLog  /var/log/httpd/keystone-error .log
     CustomLog  /var/log/httpd/keystone-access .log combined
< /VirtualHost >
1
2
3
4
5
6
7
8
# mkdir -p /var/www/cgi-bin/keystone
 
# vim /var/www/cgi-bin/keystone/{main,admin}
 
import  os
from keystone.server  import  wsgi as wsgi_server
name = os.path. basename (__file__)
application = wsgi_server.initialize_application(name)
1
2
3
4
# chown -R keystone:keystone /var/www/cgi-bin/keystone
# chmod 755 /var/www/cgi-bin/keystone/*
# systemctl enable httpd.service
# systemctl start httpd.service

配置authentication token:

1
# export OS_TOKEN=ba48c69ef1612f3b8569

配置后端服务器(endpoint)的URL,这里可以写ip地址:

1
# export OS_URL=http://controller:35357/v2.0

创建service entity 和API endpoint

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
# openstack service create --name keystone --description "OpenStack Identity" identity
+-------------+----------------------------------+
| Field       | Value                            |
+-------------+----------------------------------+
| description | OpenStack Identity               |
| enabled     | True                             |
id           | 8e052bba87e84bb1b3857b82720d8c01 |
| name        | keystone                         |
type         | identity                         |
+-------------+----------------------------------+
# openstack service show keystone //也可以用这条命令查看
 
# openstack endpoint create --publicurl http://10.13.25.11:5000/v2.0 --internalurl  http://10.13.25.11:5000/v2.0 --adminurl http://10.13.25.11:35357/v2.0 --region RegionOne identity                                           
+--------------+----------------------------------+
| Field        | Value                            |
+--------------+----------------------------------+
| adminurl     | http: //10 .13.25.11:35357 /v2 .0    |
id            | 0be7d1ed3e0d45a9aad465b65f6df6f0 |
| internalurl  | http: //10 .13.25.11:5000 /v2 .0     |
| publicurl    | http: //10 .13.25.11:5000 /v2 .0     |
| region       | RegionOne                        |
| service_id   | 8e052bba87e84bb1b3857b82720d8c01 |
| service_name | keystone                         |
| service_type | identity                         |
+--------------+----------------------------------+


四、keystone命令

1、创建租户、用户和角色

1
2
3
4
5
6
7
8
9
10
# openstack project create --description "Admin Project" admin  //创建管理租户
# openstack user create --password-prompt admin    //创建管理员用户
# openstack role create admin    //创建管理员角色
# openstack role add --project admin --user admin admin  //赋予管理员角色
# openstack project create --description "Service Project" service  //给service创建租户
# openstack project create --description "Demo Project" demo //给demo创建租户
# openstack user create --password-prompt demo //创建用户
# openstack role create user    //创建角色
# openstack role add --project demo --user demo user //给租户和用户添加角色
# unset OS_TOKEN OS_URL  //Unset 临时 OS_TOKEN 和OS_URL 环境变量

2、配置环境变量

1
# openstack --os-auth-url http://10.13.25.11:35357 --os-project-name admin --os-username admin --os-auth-type password token issue
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
# vim /root/admin-openrc.sh
 
export  OS_PROJECT_DOMAIN_ID=default
export  OS_USER_DOMAIN_ID=default
export  OS_PROJECT_NAME=admin
export  OS_TENANT_NAME=admin
export  OS_USERNAME=admin
export  OS_PASSWORD=mypassword
export  OS_AUTH_URL=http: //10 .13.25.11:35357 /v3
export  PS1= '[\u@\h \W(admin)]\$ '
 
# vim /root/demo-openrc.sh
 
export  OS_PROJECT_DOMAIN_ID=default
export  OS_USER_DOMAIN_ID=default
export  OS_PROJECT_NAME=demo
export  OS_TENANT_NAME=demo
export  OS_USERNAME=demo
export  OS_PASSWORD=mypassword
export  OS_AUTH_URL=http: //10 .13.25.11:5000 /v3
export  PS1= '[\u@\h \W(demo)]\$ '
 
# cd /root
# source admin-openrc.sh
# openstack token issue

3、查看命令

1
2
3
4
5
6
# keystone user-list
# keystone tenant-list
# keystone role-list
# keystone user-role-list
# keystone service-list
# keystone endpoint-list

4、创建命令

1
2
3
4
5
6
7
8
9
10
11
# keystone tenant-create --name tenant1 --description A test Tenant --enabled true
# keystone user-create --name user1 --tenanet tenant1 --pass 123456 --email test@gmail.com  --enabled true  
# keystone role-create --name role1  
# keystone user-role-add --user user1 --role role1 --tenant tenant1      
# keystone service-create --name cinder --type volume --description Cinder Service 
# keystone endpoint-create \
       --service cinder \
       --publicurl http: //10 .13.25.11:8776 /v1  \
       --internalurl http: //10 .13.25.11:8776 /v1  \
       --adminurl http: //10 .13.25.11:8776 /v1  \
       --region regionOne

5、删除命令

1
2
3
4
5
6
# keystone tenant-delete <tenant>
# usage: keystone user-delete <user>
# keystone user-role-remove --user <user> --role <role> [--tenant <tenant>]
# keystone role-delete <role>
# keystone service-delete <service>
# keystone endpoint-delete <endpoint-id>

五、角色的作用

  在Openstack中一个user可以同时属于多个tenant,role定义了用户能够shixian的行为

核心:user需要使用role实现加入多个tenant的操作。

 案例:

将用户加入多个租户操作步骤:

创建tenant:

#keystone tenant-create --name tenant1 --enabled true

#keystone tenant-create --name tenant2 --enabled true

创建user:

#keystone user-create --name user1 --tenant tennat1 --password 123456 --enabled true

#keystone user-create --name user2 --tenant tennat2 --password 123456 --enabled true

不创建role,使用user1创建一个虚拟机实例(instance):

#nova image-list

#nova flavor-list

#nova --os-username user1 --os-password 123456 --os-tenant tenant1 boot instance1 

--image "65d3f61a-885f-4c06-996f-278431e91339" --flavor m1.tiny

使用user2的身份查看tenant1里面的instance:

#nova --os-username user2 --os-password 123456 --os-tenant-name tenant1 list

结果为空(因为user2没有对tenant1的操作权限)

创建任意角色(role):

#keystone role-create --name role1

使用role1的角色将user2加入到tenant1中:

#keystone user-role-add --user user2 --role role1 --tenant tenant1

+++++++++++++++++++++++++++++++++++++++++++++++++++++

再次使用user2的身份查看tenant1中的instance:

#nova --os-username user2 --os-password 123456 --os-tenant-name tenant1 list

+---------------------------------------------------------------+------------------+--------------+------------------+------------------+--------------------------------+

|                                     ID                                       |      Name         |    Status      |  Task State | Power State |     Networks                     |

+--------------------------------------------------------------+--------------------+---------------+----------------+-----------------+---------------------------------+

| 694ddb6a-2b79-4ebc-9986-ef9eb51d71dd  |      instance1    | SHUTOFF |          -          | Shutdown      | private=192.168.0.12    |

+-------------------------------------------------------------+-------------------+-----------------+---------------+-------------------+--------------------------------+

#nova --os-username user2 --os-password 123456 --os-tenant-name tenant1 delete instance1    //删除虚拟机实例

六、决定角色的核心

决定角色权限的核心:policy.json

1
2
3
4
#cat /etc/keystone/policy.json
#cat /etc/neutron/policy.json
#cat /etc/glance/policy.json
#cat /etc/cinder/policy.json

七、keystone代码结构

wKioL1bkBquSAhk9AAAh19rcPV4714.png





      本文转自Jx战壕  51CTO博客,原文链接:http://blog.51cto.com/xujpxm/1750321,如需转载请自行联系原作者




上一篇 下一篇
优秀的个人博客,低调大师

微信关注我们

原文链接:https://yq.aliyun.com/articles/548255

转载内容版权归作者及来源网站所有!

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

部署docker-gitlab

Gitlab的docker化,找了些资料,后来发现其实人们早就已经做好了,并且在github上就有。最近学到了一个思想,”不重复造轮子“, 我这里简单照着文档做下总结。 GitLab是利用 Ruby on Rails 一个开源的版本管理系统,使用Git作为代码管理工具,并在此基础上搭建起来的web服务.实现一个自托管的Git项目仓库,可通过Web界面进行访问公开的或者私人项目。它拥有与Github类似的功能,能够浏览源代码,管理缺陷和注释。可以管理团队对仓库的访问,它非常易于浏览提交过的版本并提供一个文件历史库。团队成员可以利用内置的简单聊天程序(Wall)进行交流。它还提供一个代码片段收集功能可以轻松实现代码复用,便于日后有需要的时候进行查找。 Docker 是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的Linux机器上,也可以实现虚拟化。容器是完全使用沙箱机制,相互之间不会有任何接口(类似 iPhone 的 app)。几乎没有性能开销,可以很容易地在机器和数据中心中运行。最重要的是,他们不依赖于任何语言、框架包括系统。 ...
2017-11-07
648
上一篇

linux系统字符编码详解

众所周知,地球上的语言多种多样,在计算机世界,自然也是要适应各种语言.我们安装各种系统的时候也是明示了要选择语言环境和支持的语言环境. 而linux系统的字符编码设置尤为复杂,这可能也是没有考虑到非技术人员去研究这些东西吧. 我遇到的事情是这样的,我们使用了docker,但是docker容器里的语言环境经常莫名错乱,搞得很头痛,所以偶尔就要切换,或者生成其他字符集.所以现在假设我们需要切换一个中文语言环境,而切换了之后是乱码的,也就是没用的. 基本上,乱码的原因就是没加载到合适的字符编码环境,即使是显示到下面这样的,其实也未必是加载到,只是证明这些变量更改成功而已. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 #查看环境变量 vim /etc/profile export LANG=zh_CN.UTF-8 export LANGUAGE=zh_CN.UTF-8 export LC_TIME=zh_CN.UTF-8 #加载一下 source /etc/profile #看一下加载成功没 locale LANG=z...
2017-11-07
732
下一篇

相关文章

发表评论

资源下载

更多资源
Mario

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长,特征是大鼻子、头戴帽子、身穿背带裤,还留着胡子。与他的双胞胎兄弟路易基一起,长年担任任天堂的招牌角色。

时间: 2026-04-11 大小: 211.28KB 下载: 56次
腾讯云软件源

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题,腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构,目前腾讯云软件源站支持公网访问和内网访问。

时间: 2026-04-11 大小: 1MB 下载: 9次
Nacos

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称,一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集,帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

时间: 2026-04-15 大小: 189MB 下载: 5次
WebStorm

WebStorm

WebStorm 是jetbrains公司旗下一款JavaScript 开发工具。目前已经被广大中国JS开发者誉为“Web前端开发神器”、“最强大的HTML5编辑器”、“最智能的JavaScript IDE”等。与IntelliJ IDEA同源,继承了IntelliJ IDEA强大的JS部分的功能。

时间: 2025-12-13 大小: 249.54MB 下载: 22次
手机查看

扫码在手机上查看文章

扫描二维码,手机阅读更方便

热门标签
DeepSeek Jdk25 OpenAi HarmonyOS6 Nacos3 SpringBoot4 SpringCloud Docker Kubernetes Service Mesh Redis Gemini3 Rocky10

欢迎您来访!

登录后,您将获得更多功能!
热门文章
联系我们

有任何问题或合作意向欢迎联系我们

Email: 99873273@qq.com

QQ: 99873273

用户登录
用户注册