Openstack 02 - Keystone

最新推荐文章于 2021-10-16 17:44:46 发布
最新推荐文章于 2021-10-16 17:44:46 发布
阅读量1.4k 收藏
点赞数
分类专栏: 云计算 文章标签: openstack 云计算平台 keystone
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/afandaafandaafanda/article/details/50145159
版权

1.前言

上一篇我们介绍了Openstack的整体架构,了解了Openstack包含的服务及服务之间的关系.从这一篇开始我们深入到Openstack各个服务(模块)内部,深入了解下Openstack的设计及通信方式,从而更加深入地了解Openstack的设计.

2.Keystone

Keystone是openstack的identity service,主要提供两种服务:

1) 用户、角色、租户的管理

2) 其他服务的认证与授权管理、服务API权限控制.

keystone为各个服务提供认证服务,需要与各个模块交互.比如在创建虚拟机的过程中,keystone首先需要为用户提供认证服务,其次需要为nova,neutron,swift等服务提供认证服务.下图展示了创建虚拟机过程中,各个相关的模块交互的情形.


通过上图,我们可以发现,在调用每一个服务之前,都必须由keystone对Token进行校验,校验通过则调用目标服务.这种机制是如何实现的呢?其实是采用了Filter的机制.这种机制类似于Spring中的Filter的概念,也类似ASP.NET MVC中的Filter的概念.通过这种AOP的机制,可以很好地实现对请求的拦截.对于Openstack来说,使用的是OSGI的机制,关于OSGI,请参考:OSGI介绍

下面介绍下各个模块和keystone的交互关系.


Keystone 里面涉及到的相关的概念:
1)User
User可简单的理解为用户,用户携带信物(token)能够访问openstack各个服务和资源。
2)Tenant
Tenant即租户,早期版本又称为project,它是各个服务中的一些可以访问的资源集合。比如通过nova创建虚拟机时要指定到某个租户中,在cinder创建卷也要指定到某个租户中。用户访问租户的资源前,必须与该租户关联,并且指定该用户在该租户下的角色。
3)Role
Role即角色,可以理解为VIP等级,用户的Role越高,在openstack中能访问的服务和资源就更多。
4)Service
Service即服务,如Nova、Glance、Swift、heat、ceilometer等。Nova提供云计算的服务,Glance提供镜像管理服务,Swift提供对象存储服务,heat提供资源编排服务,ceilometer则是提供告警计费服务,cinder提供块存储服务。
5)Endpoint
Service的显得太抽象笼统。Endpoint则具体化Service。Endpoint翻译为“端点”,我们可以理解它是一个服务暴露出来的访问点,如果需要访问一个服务,则必须知道他的endpoint,而endpoint一般为url,我们知道了服务的url,我们就可以访问它。Endpoint 的url具有public、private和admin这三种权限。public url可以被全局访问,private url只能被局域网访问,admin url被从常规的访问中分离。
6)Token
Token即是信物、令牌,用户通过用户名和密码获取在某个租户下的token,通过token,可以实现单点登录。
7)Credentials
该术语可以简单的理解为用户和密码。

keystone支持多种认证方式:

1) Certificates for PKI

PKI(Public Key Infrastructure) 是一种公钥加密的机制.类似Https加密的机制.

2) Httpd 和 X.509

3) LDAP 协议

4) 第三方的认证




OpenStackkeystone(用户认证)
weixin_42795092的博客
03-09 2995
1)管理用户及其权限2)维护OpenStack Services 的 Endpoint3)Authentication(认证)和 Authorization(授权)keystone的名词概念。
openstack train 版 各组件升级https
weixin_42159480的博客
06-30 982
一 环境准备阶段 基本环境: OS系统:Centos7.6 python: python2.7.5 openstack版本:train 1. 生成ssl需要的ca文件 openssl genrsa -out server.key 4096 openssl req -new -sha256 -out server.csr -key server.key -config ssl.conf openssl x509 -req -days 10950 -in server.csr -signke..
openstack(二)配置keystone服务
Not Found 404
08-24 4036
openstack项目搭建: 1、环境布署 2、配置keystone服务 3、配置glance服务 4、配置placement服务 5、配置nova服务控制节点 6、配置nova服务计算节点 7、配置neutron服务控制节点 8、配置neutron服务计算节点 9、创建实例 10、配置dashboard服务 布署认证服务keystone keystone数据库配置 [mysql]$ mys...
Keystone 学习笔记
纯牛奶x的博客
07-19 501
概念介绍 KeyStone 提供身份认证和服务目录功能,OpenStack 中其他服务必须向 KeyStone 注册其 API endpoint,因此可以使用 KeyStone REST API 查询该目录,也可以使用 openstack catalog list 查询服务目录。 KeyStone 维护着一个 Policy engine,提供基于规则的访问和服务授权,KeyStone 服务自身由多个 provider 组成,每个 Provider 实现了 KeyStone 架构中的一个概念,如下 Ide
Openstack Keystone 认证流程(五)--路由
02-15 2127
1. 路由实现在上一章中, 我们一起过了admin_api的所有流水线的处理, 其中有好几个点是用来添加路由信息的。这一章我们来详细看看路由的具体实现。路由是MVC架构中非常重要的一个关键节点, 可以说, 如果没有路由,就不可能去实现一个很好的MVC架构, 路由也是整个系统中最先处理的节点。如果想弄清楚Keystone的整体架构, 路由是必须先搞清楚的。看具体实现之前, 我们先看看路由的具体用法。比
从基础到理解——OpenStack的详解之路
wang961226的博客
12-10 622
Openstack介绍 是美国国家宇航局(NASA)和Rackspace合作开发的一个开源项目,目的是为公有云和社区云提供软件,但因其灵活性,也可以定制私有云。它是为云计算服务的,提供存储空间、计算能力等资源服务的Web Service。简单来说,OpenStack就是一个操作系统,一套软件,一套IaaS(基础设施即服务)软件,对资源进行管理,并且以服务的形式提供给上层应用或者用户去使用。 二 云计算的三种服务模式 2.1、基础设施及服务(Infrastructure as a Service,Ia
openstack-barbican-keystone-listener-9.0.0-1.el8.noarch.rpm
12-05
官方离线安装包,亲测可用
openstack-keystone-doc-13.0.2-1.el7.noarch.rpm
01-17
官方离线安装包,测试可用。请使用rpm -ivh [rpm完整包名] 进行安装
openstack-keystone-doc-15.0.0-1.el7.noarch.rpm
12-28
官方离线安装包,测试可用。使用rpm -ivh [rpm完整包名] 进行安装
openstack-keystone-doc-16.0.0-0.2.0rc2.el7.noarch.rpm
12-28
官方离线安装包,测试可用。使用rpm -ivh [rpm完整包名] 进行安装
openstack-keystone-13.0.1-1.el7.noarch.rpm
01-17
官方离线安装包,测试可用。请使用rpm -ivh [rpm完整包名] 进行安装
KeyStone 简要分析
lizhuohang_的博客
10-16 3157
2021SC@SDUSC KeyStone 简要分析 一,KeyStone是什么 keyStoneopenstack中提供identity,token,catalog和policy服务的组件,实现了openstack的身份认证API。 ​ 身份认证服务包含了两个基本服务: 用户管理:记录用户和用户所被允许执行的工作。 服务日志:提供一个关于什么服务是被允许的和它们的AP入口位置的日志。 二.KeyStone 架构 KeyStone根据传统,承担了一组内部服务,向外暴露一个或多个服务入口节点。
keystone身份认证服务
weixin_34387284的博客
06-03 519
Keystone介绍   keystoneOpenStack的组件之一,用于为OpenStack家族中的其它组件成员提供统一的认证服务,包括身份验证、令牌的发放和校验、服务列表、用户权限的定义等等。云环境中所有的服务之间的授权和认证都需要经过 keystone. 因此 keystone 是云平台中第一个即需要安装的服务。 就好比说我要开一个餐厅,提供的是餐饮服务,那么我需要去工商局注册营业...
openstack-Keystone身份认证服务
云计算
02-19 1468
openstack-Keystone身份认证服务Keystone概念主要功能Keystone的管理对象Keystone工作流程keystone访问流程 Keystone概念 Keystone (OpenStack Identity Service)是OpenStack中的一个独立的提供安全认证的模块,主要负责openstack用户的身份认证、令牌管理、提供访问资源的服务目录、以及基于用户角色的访问控制。 Keystone类似一个服务总线,或者说是整 个Openstack框架的注册表,其他服务通过keysto
OpenStack Keystone 总结
热门推荐
创新是灵魂,执行是生命。
05-15 1万+
一、概述 KeystoneOpenStack Identity Service)是 OpenStack 框架中负责管理身份验证、服务访问规则和服务令牌功能的组件。用户访问资源需要验证用户的身份与权限,服务执行操作也需要进行权限检测,这些都需要通过 Keystone 来处理。Keystone 类似一个服务总线, 或者说是整个 Openstack 框架的注册表,OpenStack 服务通过 Key...
keystone认证服务
weixin_30654419的博客
01-25 3939
实验操作平台OpenStack单节点操作 一、相关概念 1、认证(authentication) 认证是确认允许一个用户访问的进程 2、证书(credentials) 用于确认用户身份的数据 3、令牌(token) 通常指的是一串比特值或者字符串,用来作为访问资源的记号。(令牌的有效期是有限的,可以随时被撤回) 4、租户(tenant) 早期版本又称为project,...
配置OpenStack各服务组件使用SSL通信(HTTPS)
Nicholas的专栏
09-19 2209
第1章 配置keystone组件使用SSL mkdir -p /root/ssl/private mkdir -p /root/ssl/certs 制作三个密钥证书文件 openssl genrsa -out /root/ssl/private/cakey.pem 1024 openssl req -new -x509 -extensions v3_ca -key /root/ssl/p...
深入理解Keystone 认证
Shatty的专栏
09-12 7710
深入介绍了Openstack UUID和PKI两种认证方式。
Unit openstack-keystone.service could not be found.
最新发布
03-29
### OpenStack Keystone 服务单元文件缺失解决方案 当遇到 OpenStack Keystone 的服务单元文件丢失问题时,可以按照以下方法排查并解决问题。 #### 1. 验证服务状态 首先确认 `keystone` 服务的状态是否存在异常。可以通过以下命令检查服务是否正常运行: ```bash systemctl status openstack-keystone.service ``` 如果返回提示找不到该服务,则说明可能缺少相应的服务单元文件[^1]。 --- #### 2. 安装或重新安装 Keystone 软件包 Keystone 的服务单元文件通常由其软件包提供。如果发现服务单元文件确实不存在,尝试重新安装 Keystone 软件包来恢复必要的配置文件。 对于基于 Debian/Ubuntu 的系统,执行以下命令: ```bash apt-get install --reinstall openstack-keystone ``` 而对于 CentOS/RHEL 系统,可使用以下命令: ```bash yum reinstall openstack-keystone ``` 这一步会确保所有必需的服务单元文件被正确部署到 `/usr/lib/systemd/system/openstack-keystone.service` 或其他默认路径下[^2]。 --- #### 3. 手动创建服务单元文件 如果上述方法未能修复问题,或者由于某些原因无法通过重装解决,可以选择手动创建服务单元文件。以下是标准的 `openstack-keystone.service` 文件内容: ```ini [Unit] Description=OpenStack Identity Service (keystone) After=syslog.target network.target remote-fs.target nss-lookup.target [Service] Type=simple User=root ExecStart=/usr/bin/keystone-all --config-file /etc/keystone/keystone.conf Restart=on-abort [Install] WantedBy=multi-user.target ``` 将此内容保存至 `/etc/systemd/system/openstack-keystone.service` 后刷新 systemd 并启动服务: ```bash systemctl daemon-reload systemctl start openstack-keystone.service systemctl enable openstack-keystone.service ``` --- #### 4. 检查日志以定位潜在错误 即使解决了服务单元文件的问题,仍需验证 Keystone 是否能成功初始化。查看相关日志可以帮助进一步诊断问题所在: ```bash journalctl -u openstack-keystone.service cat /var/log/keystone/keystone.log ``` 这些日志记录可能会揭示更深层次的原因,例如数据库连接失败或其他依赖项未满足的情况[^3]。 --- #### 5. 数据库同步与环境变量设置 有时 Keystone 可能因数据库表结构不一致而报错。此时应先完成数据库迁移操作后再重启服务: ```bash su -s /bin/sh -c "keystone-manage db_sync" keystone ``` 另外注意检查环境变量是否已正确定义,特别是涉及身份认证所需的参数如 `OS_TOKEN`, `OS_URL` 和 `ADMIN_PASSWORD` 等[^4]。 --- ### 总结 以上方案涵盖了从基础层面检测到高级调试技巧的一系列措施,能够有效应对大多数情况下发生的 Keystone 服务不可用状况。若仍有疑问,请提供更多上下文信息以便深入分析。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值