2. 程式人生 > >openstack項目【day23】:openstack-keystone-keystone基礎

openstack項目【day23】:openstack-keystone-keystone基礎

阿新 發佈:2017-07-18
glance服務 使用 定制 個人 部分 filter 結果 保護 gin

本節內容

  • 一 什麽是keystone
  • 二 為何要有keystone
  • 三 keystone的功能
  • 四 keystone概念詳解
  • 五 keystone內包含的組件
  • 六 keystone與openstack其他服務的關系
  • 七 keystone與其他組件協同工作流程
  • 八 keystone工作流程詳解

一 什麽是keystone

keystone是OpenStack的身份服務,暫且可以理解為一個‘與權限有關‘的組件。

二 為何要有keystone

Keystone項目的主要目的是為訪問openstack的各個組件(nova,cinder,glance...)提供一個統一的驗證方式,具體的:

openstack是由眾多組件構成的一套系統,該系統的功能是對外提供服務,因而我們可以將其定義為一個‘龐大的軟件’,沒有軟件不考慮安全因素,Keystone對於通常的應用場景所不同的是他要解決分布式環境下的統一認證。

三 keystone的功能

openstack是一個SOA架構,理論上各子項目獨立提供相關服務,互不依賴,且是分布式的。如nova提供計算服務,glance提供鏡像服務等。

實際上所有的組件都依賴keystone(單點的),它集成了三個功能:

(1)管理身份驗證(managing authentication):驗證用戶身份

(2) 授權(authorization):基於角色role的權限管理

(3)服務目錄(catalog of services):提服務目錄(ServiceCatalog:包括service和endpoint)服務,類似於UDDI服務的概念,用戶(無論是Dashboard, APIClient)都需要訪問Keystone獲取服務列表,以及每個服務的地址(Openstack中稱為Endpoint)

四 keystone概念詳解

第一部分

User:使用Openstack組件的客戶端可以是人、服務、系統,任何的客戶端來訪問openstack組件,都需要有一個用戶名。

Credentials:是用於確認用戶身份的憑證,說白了就是‘信物’,具體可以是:

  1. 用戶名和密碼
  2. 用戶名和API key
  3. 一個 Keystone 分配的身份token

Authentication

  1. 是驗證用戶身份的過程。Keystone 服務通過檢查用戶的 Credential 來確定用戶的身份。
  2. 最開始,使用用戶名/密碼或者用戶名/API key作為credential。當用戶的credential被驗證後,Kestone 會給用戶分配一個 authentication token 供該用戶後續的請求使用。
  3. Keystone中通過Policy(訪問規則)來做到基於用戶角色(Role)的訪問控制。

Token

  1. 是一個數字字符串,訪問資源時需要"亮出"你的令牌。在keystone中主要是引入令牌機制來保護用戶對於資源的訪問,同時引入PKI(公鑰基礎實施)對令牌加以保護。
  2. Token包含了在指定範圍和有效時間內可以被訪問的資源。EG. 在Nova中一個tenant可以是一些虛擬機,在Swift和Glance中一個tenant可以是一些鏡像存儲,在Network中一個tenant可以是一些網絡資源。

Role

  1. 本質就是一堆ACL的集合,用於劃分權限
  2. 可以通過給User指定Role,使User獲得Role對應的操作權限。
  3. Keystone返回給User的Token包含了Role列表,被訪問的Services會判斷訪問它的User和User提供的Token中所包含的Role,及每個role訪問資源或者進行操作的權限。
  4. 系統默認使用管理Role admin和成員Role user(過去的普通用戶角色是:_member_) 。
  5. user驗證時必須帶有Project(Tenant)

Policy

  1. 對於Keystone service來說,Policy就是一個JSON文件,默認是/etc/keystone/policy.json。通過配置這個文件,Keystone實現了對User基於Role的權限管理。
  2. OpenStack對User的驗證除了OpenStack的身份驗證以外,還需要鑒別User對某個Service是否有訪問權限。Policy機制就是用來控制User對Project(Tenant)中資源的操作權限。

Project(Tenant)

  1. 是一個人、或服務所擁有的資源集合。不同的Project之間資源是隔離的,資源可以設置配額。
  2. 在一個Project(Tenant)中可以包含多個User,每一個User都會根據權限的劃分來使用Project(Tenant)中的資源。比如通過Nova創建虛擬機時要指定到某個Project中,在Cinder創建卷也要指定到某個Project中。
  3. User訪問Project的資源前,必須要與該Project關聯,並且指定User在Project下的Role,一個assignment(關聯)即:Project-User-Role

Service:即Openstack中運行的各個組件服務。

Endpoint

  1. 是一個可以通過網絡來訪問和定位某個Openstack service的地址,通常是一個URL
  2. 不同的region有不同的endpoint(我們可以通過endpoint的region屬性去定義多個region)。
  3. 當Nova需要訪問Glance服務去獲取image 時,Nova通過訪問Keystone拿到Glance的endpoint,然後通過訪問該endpoint去獲取Glance服務。
  4. Endpoint 分為三類:
    • admin url –> 給admin用戶使用,Port:35357
    • internal url –> OpenStack內部服務使用來跟別的服務通信,Port:5000
    • public url –> 互聯網用戶可以訪問的地址,Port:5000

Catalog

用戶和服務可以使用使用keystone管理的catalog,定位到其他的服務,catalog一個openstack部署的相關服務的集合,每個服務都有一個或者多個endpoint(即可以訪問的url地址),即catalog=services+endpoint。每個endpoint可以分為三種類型:

admin,internal,public,在生產環境中,不同endpoint類型位於不同的網絡來為不同的用戶使用(提高安全性),比如:

public API:對整個互聯網可見,這樣客戶就可以方便的管理自己的雲了。

admin API:應該嚴格限定只有管理雲基礎設施的組織內的運營商,才能使用該API

internel API:應該被限定只有那些安裝有OpenStack服務的主機,才能使用該API

Service與Endpoint關系介紹:

  1. 在openstack中,每一個service都有三種endpoint. Admin, public, internal(創建完service後需要為其創建API EndPoint. )
  2. Admin是用作管理用途的,如它能夠修改user/tenant(project)。
  3. public 是讓客戶調用的,比如可以部署在外網上讓客戶可以管理自己的雲。
  4. internal是openstack內部調用的。
  5. 三種endpoints 在網絡上開放的權限一般也不同。Admin通常只能對內網開放,public通常可以對外網開放,internal通常只能對安裝有openstack對服務的機器開放。
我們使用keystone為服務5d533c68-d234-11e6-a0d7-0088653ea1ec定制endpoint:

$ keystone endpoint-create --region RegionOne --service-id=5d533c68-d234-11e6-a0d7-0088653ea1ec --publicurl=‘https://public-ip:8776/v1/%(tenant_id)s‘ --internalurl=‘https://management-ip:8776/v1/%(tenant_id)s‘ --adminurl=‘https://management-ip:8776/v1/%(tenant_id)s‘
然後你可以配置 OpenStack service 使用另一個 service 的 endpoint 的 internalurl 去訪問另一個資源。

Regions:

openstack支持多個可擴展的regions,OpenStack的支持可擴展的多個區域。為簡單起見,一般使用管理網絡ip地址作為所有endpoint類型(三種api)的ip,且所有的endpoint類型(三種api)都使用一個區域,即regionone區。

每個你部署的openstack服務都需要綁定endpoint(存儲在keystone中)來提供服一個服務的入口,因而我們第一需要部署的組件就是keystone。

V3新增的概念:

  1. Tenant 重命名為 Project
  2. 添加了 Domain 的概念
  3. 添加了 Group 的概念

第二部分

keystone管理和保存了user信息,管理user相關的tenant,role,group和domain等;用戶credential的存放,驗證,token管理,下圖是各部分關系

技術分享

第三部分

  • User: has account credentials, is associated with one or more projects or domains
  • Group: a collection of users, is associated with one or more projects or domains
  • Project: unit of ownership in OpenStack, contains one or more users
  • Domain: unit of ownership in OpenStack, contains users, groups and projects
  • Role: a first-class piece of metadata associated with many user-project pairs.
  • Token: identifying credential associated with a user or user and project
  • Extras: bucket of key-value metadata associated with a user-project pair.
  • Rule: describes a set of requirements for performing an action.

技術分享

註意:user2,user3,user4的關系同user1一樣,也可以屬於一個或者多個group,此處為了圖示簡潔,省去了它們的連線

技術分享

五 keystone內包含的組件

keystone包含三類組件:

1 Server

使用RESTful接口(三種api)提供認證和授權服務的集中式server

2 Drivers

指的是被集成到server內的驅動或者服務後端,它們被用來在openstack組件之外的庫中訪問身份信息(言外之意:mysql並不屬於openstack的組件/服務),並可能已經存在於openstack部署的架構中(比如, SQL databases or LDAP servers).

3 Modules

中間件運行在正在使用認證服務的openstack組件的地址空間,這些模塊(中間件)攔截服務請求,提取用戶的credentials,並且把它們發送給server去認證授權,在openstack中間件與openstack組件直接的整合操作使用Python Web Server Gateway Interface,即wsgi,詳見http://www.cnblogs.com/linhaifeng/p/6268615.html

六 keystone與openstack其他服務的關系

技術分享

七 keystone與其他組件協同工作流程

keystone是用戶與雲平臺交互的第一個服務,一旦認證通過,用戶就會使用自己的身份來訪問其他的opnestack服務,同樣,被訪問的openstack服務會去跟keystone再次確認用戶(不能只能用戶的片面之詞)並且通過keystone可以發現其他服務(catalog的原因),keystone的還可以整合其他的用戶管理系統,比如LDAP

技術分享

技術分享

八 keystone工作流程詳解

(1) User從Keystone獲取令牌以及服務列表;

(2) User訪問服務時,亮出自己的令牌。

(3)相關的服務向Keystone求證令牌的合法性。

技術分享

    1. 用戶alice登錄keystone系統(password或者token的方式),獲取一個臨時的token和catalog服務目錄(v3版本登錄時,如果沒有指定scope,project或者domain,獲取的臨時token沒有任何權限,不能查詢project或者catalog)。

    2. alice通過臨時token獲取自己的所有的project列表。

    3. alice選定一個project,然後指定project重新登錄,獲取一個正式的token,同時獲得服務列表的endpoint,用戶選定一個endpoint,在HTTP消息頭中攜帶token,然後發送請求(如果用戶知道project name或者project id可以直接第3步登錄)。

    4. 消息到達endpoint之後,由服務端(nova)的keystone中間件(pipeline中的filter:authtoken)向keystone發送一個驗證token的請求。(token類型:uuid需要在keystone驗證token,pki類型的token本身是包含用戶詳細信息的加密串,可以在服務端完成驗證)

    5. keystone驗證token成功之後,將token對應用戶的詳細信息,例如:role,username,userid等,返回給服務端(nova)。

    6. 服務端(nova)完成請求,例如:創建虛擬機。

    7. 服務端返回請求結果給alice。

openstack項目【day23】:openstack-keystone-keystone基礎

相關推薦

openstackday23openstack-keystone-keystone基礎

glance服務 使用 定制 個人 部分 filter 結果 保護 gin 本節內容 一 什麽是keystone 二 為何要有keystone 三 keystone的功能 四 keystone概念詳解 五 keystone內包含的組件 六 keystone與opensta

openstackday23glance基礎

/var/ 默認 write 強調 alt p s 版本 星期 .cn 本節內容 一 什麽是glance 二 為何要有glance 三 glance的功能 四 glance的兩個版本 五 鏡像的數據存放 六 鏡像的訪問權限 七 鏡像及任務的各種狀態 八 glance包含的

openstackday23KVM介紹

進制 sed 與他 運行 之前 entos strong img 類型 閱讀目錄 什麽是kvm 為何要用kvm kvm的功能 常見虛擬化模式 KVM架構 KVM工具集合 一 什麽是kvm KVM 全稱 Kernel-Based Virtual Machine。也就是說

openstackday24OpenStack mitaka部署

系統版本 fig 插件 val interface 認證服務 更新 per 正在 前言: openstack的部署非常簡單,簡單的前提建立在紮實的理論功底,本人一直覺得,玩技術一定是理論指導實踐,網上遍布個種搭建方法都可以實現一個基本的私有雲環境,但是諸位可曾發現,很多

openstackday24KVM部署

sed cnblogs after clas 稀疏 磁盤 ans 自己的 amp 本節內容 虛擬化支持 軟件準備 檢查CPU虛擬化支持 安裝軟件包 激活並啟動libvirtd服務 網絡模式 配置橋接網絡 驗證網絡 嘗試連接Hypervisor 創建虛擬機 虛擬機操作 一

Git上傳本地轉載

origin hub nsh blog ready tor bing lan 添加 詳細教程: http://www.cnblogs.com/specter45/p/github.html Git 提示fatal: remote origin already ex

saltstack主機管理day39:主機管理開發

ask 項目 sts llb valid -c proc ltm bin 項目目標 salt state.apply -h "ubuntu,centos" -g "ubuntu,centos" -f "ubuntu,centos"

瀏覽器自動化構思

既然 但是 存在 語言 應該 提取 保存 ext 正常 看了C#部分的功能闡述,覺得C#可以容納網頁的顯示,她應該也是可以讀取text指定部分的內容的,可行性還是很高的。而且既然我的思路都是可以寫出來的,很清晰,那麽用編程語言一定能實現。可以把300例中C#的功能都看一

使用maven創建web

pan 技術分享 south web項目 轉載 javax javaee text comm 1、首先新建一個maven項目,看圖: 2、按照以上步驟就可以創建一個maven項目,可以看到最下圖的目錄結構,但是這樣的目錄結構是不對的,需要做一些

mavenmaven的web打包報錯No compiler is provided in this environment. Perhaps you are running on a JRE rather than a JDK

應用 cga snapshot ace owin span ons sed sse 打包過程中報錯如下: No compiler is provided in this environment. Perhaps you are running on a JRE rather

angular5積累總結消息訂閱服務

imp blog const service pri con this ams 列表 code import { Injectable } from ‘@angular/core‘; import { Subject } from ‘rxjs/Subject‘; @Inj

angular5積累總結表單復雜校驗

整數 touch strong menu his pointer bin ring export view code form.css :host { display: flex; width: 100%; height:100%; bo

angular5積累總結遇到的一些問題以及解決辦法

style date note 由於 service nco lac array 記錄 1.項目中字符串特別是\r\n,替換成br之後,在頁面換行無法生效? 答:綁定元素 innerHTML。 <div class="panel-body" [innerHT

PHP app 喚起支付寶支付 獲取鏈接實例

PHP 支付寶支付 thinkphp // 獲取 支付寶app 支付字符串public function alipay_params_data(){ $data = $this->ApiData();//獲取數據 if(!$data[‘out_trade_no‘]){

PHP app 喚起微信支付 獲取鏈接實例

PHP App支付 微信支付 public function weixin_params_data(){ $data = $this->ApiData(); //獲取接口訪問的數據 //$_type = $post_data['type']; if(

第一次個人詞頻統計——需求分析,代碼規範,設計思路

get 數據 處的 哈希表 ring 關註 區分 www 代碼規範 需求分析 由於程序需要在Windows平臺和Linux平臺都能運行,因此對代碼的可移植性有一定的要求 由於需要對文件夾進行遍歷,因此數據量相對較大,需要選擇合適的數據結構,在此項目中,樹和哈希表都是可供選

第一次個人詞頻統計——關鍵程序思路詳述

個人項目 在一起 文件讀取 conn 好的 函數 orm get insert   考慮使用平衡二叉樹實現單詞和詞組數目的統計。   二叉樹節點定義: 1 struct tnode { 2 char *word; 3 int count; 4 in

SSM電商後臺開發003-架構概覽

pojo 使用 alt 文件 ati mybatis插件 架構 項目架構 http 一 項目整體架構 使用Mybatis插件生成POJO類和Mapper文件,整體結構如下: 【SSM電商項目後臺開發】003-項目架構概覽

angular5積累總結側欄菜單 navmenu

ria sidemenu http label fig PC server create title View Code import { Component, OnInit } from ‘@angular/core‘; import { HttpClient }

openstack中遇到的各種問題總結 其三(命令匯總)

openstack三、註意事項3.1、掛載目錄是需要註意的事項把分區掛載到目錄下的操作要謹慎小心對於存放系統重要文件的目錄不要掛載,對於目錄下有重要文件的目錄需要做備份,因為掛載過程中會把目錄清空 四、命令匯總4.1、openstack命令匯總查看openstack節點上服務狀態[root@YUN-14 ~