Openstack组件 — Keystone认证功能实现原理

最新推荐文章于 2023-05-18 12:56:47 发布
最新推荐文章于 2023-05-18 12:56:47 发布
阅读量3.7k 收藏 6
点赞数
分类专栏: openstack

目录

前言

Keystone实现始终围绕着Keystone所实现的功能来展开,所以在理解其实现之前,建议大家尝试通过安装Keystone这一个过程来感受Keystone在Openstack架构中所充当的角色。下面给出了Keystone-M的安装过程。

Keystone安装列表

Openstack组件部署 — Overview和前期环境准备
Openstack组建部署 — Environment of Controller Node
Openstack组件部署 — Keystone功能介绍与认证实现流程
Openstack组件部署 — Keystone Install & Create service entity and API endpoints
Openstack组件部署 — keystone(domain, projects, users, and roles)

Keystone架构

Keystone的管理对象

User:指使用Openstack service的用户,可以是人、服务、系统,但凡使用了Openstack service的对象都可以称为User。

Project(Tenant):可以理解为一个人、或服务所拥有的 资源集合 。在一个Project(Tenant)中可以包含多个User,每一个User都会根据权限的划分来使用Project(Tenant)中的资源。比如通过Nova创建虚拟机时要指定到某个Project中,在Cinder创建卷也要指定到某个Project中。User访问Project的资源前,必须要与该Project关联,并且指定User在Project下的Role。

Role:用于划分权限。可以通过给User指定Role,使User获得Role对应的操作权限。Keystone返回给User的Token包含了Role列表,被访问的Services会判断访问它的User和User提供的Token中所包含的Role。系统默认使用管理Role admin和成员Role _member_ 。

Policy:OpenStack对User的验证除了OpenStack的身份验证以外,还需要鉴别User对某个Service是否有访问权限。Policy机制就是用来控制User对Tenant中资源(包括Services)的操作权限。对于Keystone service来说,Policy就是一个JSON文件,默认是/etc/keystone/policy.json。通过配置这个文件,Keystone Service实现了对User基于Role的权限管理。

Token:是一个字符串表示,作为访问资源的令牌。Token包含了在 指定范围和有效时间内 可以被访问的资源。EG. 在Nova中一个tenant可以是一些虚拟机,在Swift和Glance中一个tenant可以是一些镜像存储,在Network中一个tenant可以是一些网络资源。Token一般被User持有。

Credentials:用于确认用户身份的凭证

Authentication:确定用户身份的过程

Service:Openstack service,即Openstack中运行的组件服务。

Endpoint:一个可以通过网络来访问和定位某个Openstack service的地址,通常是一个URL。比如,当Nova需要访问Glance服务去获取image 时,Nova通过访问Keystone拿到Glance的endpoint,然后通过访问该endpoint去获取Glance服务。我们可以通过Endpoint的region属性去定义多个region。Endpoint 该使用对象分为三类:

  • admin url –> 给admin用户使用,Post:35357
  • internal url –> OpenStack内部服务使用来跟别的服务通信,Port:5000
  • public url –> 其它用户可以访问的地址,Post:5000

public url可以被全局访问,private url只能被局域网访问,admin url被从常规的访问中分离。

一个理解Keystone管理对象功能的例子

如果把宾馆比作为Openstack,那么宾馆的中央管理系统就是Keystone,入住宾馆的人就是User 。在宾馆中拥有很多不同的房间,房间提供了不同的服务(Service)。在入住宾馆前,User需要给出身份证(Credential),中央管理系统(Keystone)在确认User的身份后(Authenticaiton),会给你一个房卡(Token)和导航地图(Endpoint)。不同VIP(Role)级别的User,拥有不同权限的房卡(Token),如果你的VIP(Role)等级高,你可以享受到豪华的总统套房。然后User拿着房卡(Token)和地图(Endpoint),就可以进入特定的房间去享受不同的Services。每一个服务(Services)中都拥有着一些特定资源(Project),例如:按摩服务中可以使用的精油种类和数量。User可以根据自己的权限来使用这些资源。

组件类比
Openstack宾馆
Keystone中央管理系统
Project旅游项目,拥有宾馆的某些资源
User旅客
Credentials旅客的身份证
Authentication确定旅客身份的过程
Token房卡
RoleVIP等级
Endpoint服务提供场所的地址
Service宾馆可以提供的服务类别

Keystone管理对象之间的关系

这里写图片描述

Keystone V3的新特性

这节的内容引用自IBM developerWorks

  • Tenant 重命名为 Project
  • 添加了 Domain 的概念
  • 添加了 Group 的概念

在本系列的Openstack-M版本中就使用了Keystone-V3。

V3的改进

问题1:在Keystone V2中,资源分配是以Tenant为单位的,这不太符合现实世界中的层级关系。如一个公司在 Openstack中拥有两个不同的项目,他需要管理两个Tenant来分别对应这两个项目,并对这两个Tenant中的用户分别分配角色。由于在Tenant之上并不存在一个更高层的概念,无法对 Tenant 进行统一的管理,所以这给多 Tenant 的用户带来了不便。
解决:V3 利用 Domain 的概念实现真正的多租户(multi-tenancy)架构,Domain 担任 Project 的高层容器。云服务的客户是 Domain 的所有者,他们可以在自己的 Domain 中创建多个 Projects、Users、Groups 和 Roles。通过引入 Domain,云服务客户可以对其拥有的多个 Project 进行统一管理,而不必再向过去那样对每一个 Project 进行单独管理。
简而言之,Domain的引入是为了将多个Project进行封装,成为单一实体再交付给相应的一个客户使用

问题2:在 Keystone V2中,用户的权限管理是以每一个用户为单位,需要对每一个用户进行角色分配,并不存在一种对一组用户进行统一管理的方案,这给系统管理员带来了额外的工作和不便。
解决:V3引入了Group的概念,Group 是一组 Users 的容器,可以向 Group 中添加用户,并直接给 Group 分配角色,那么在这个 Group 中的所有用户就都拥有了 Group 所拥有的角色权限。通过引入 Group 的概念,Keystone V3 实现了对用户组的管理,达到了同时管理一组用户权限的目的。这与 V2 中直接向 User/Project 指定 Role 不同,使得对云服务进行管理更加便捷。
类比操作系统中的用户组,是批量便捷操作的体现。

Authorization授权功能的应用

  • 授权(Authorization):授予用户在一个服务中所拥有的权限

V3的组织结构
这里写图片描述
一个 Domain 包含有 3 个 Project,可以通过 Group1 将 Role Sysadmin直接赋予 Domain1,那么 Group1 中的所有用户将会对 Domain1 中的所有 Projects 都拥有管理员权限。也可以通过 Group2 将 Role Engineer 只赋予 Project3,这样 Group2 中的 User 就只拥有对 Project3 相应的权限,而不会影响其它 Projects。

不妨回顾一下,在Openstack组件部署 — keystone(domain, projects, users, and roles)一篇中,我们在domain default内创建了用于管理的project admin、User adminRole admin,并且将Role admin赋予了Project admin中的User admin。使得User admin拥有了管理员的权限。当然我们在这个操作中,并没有使用到Group的功能,仍然直接对Tenant中的User分配了角色。

openstack domain create --description "Default Domain" default
openstack project create --domain default --description "Admin Project" admin
openstack user create --domain default --password-prompt admin
openstack role create admin
openstack role add --project admin --user admin admin  #User admin与Project admin关联,并指定该用户在该租户下的角色Role admin,这样用户admin才能够访问租户admin的资源
   
   
  • 1
  • 2
  • 3
  • 4
  • 5

Authentication认证功能的应用过程

  • 身份认证(Authentication):令牌Token的发放和校验

这里写图片描述

Keystone 和其它 OpenStack service之间的交互和协同工作:首先User向Keystone提供自己的Credentials(凭证:用于确认用户身份的数据,EG. username/password)。Keystone会从SQL Database中读取数据对User提供的Credentials进行验证,如验证通过,会向User返回一个Token,该Token限定了可以在有效时间内被访问的 OpenStack API Endpoint和资源 。此后User所有的Request都会使用该Token进行身份验证。如用户向Nova申请虚拟机服务,Nova会将User提供的Token发送给Keystone进行Verify验证,Keystone会根据Token判断User是否拥有执行申请虚拟机操作的权限,若验证通过那么Nova会向其提供相对应的服务。其它Openstack和Keystone的交互也是如此。
所以Keystone在Openstack中所处的位置如下图所示:

这里写图片描述

何进哥哥
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Keystone简介,官方文档概念及原理梳理.2019/10/31
lizhenglyg的博客
10-31 617
前言: 本博客根据2019/10/31左右官方文档,及度娘上相关博客,视频进行梳理,为了大家共同学习,有重复处望作者海涵~~ 简介 身份认证:用户身份信息可以保存在Keystone数据库中,生成环境中Keystone可以与现有后端用户目录整合:通过LDAP与微软的服务目录或者开源的open-LDAP进行整合 授权:通过Roles进行授权 服务目录分为:services和endpoint ...
基于Openstack的私有云搭建实践1——概述、原理与整体规划
弗里曼的小伙伴
11-27 2798
1 目标:将所有的功能都抽象为服务,通过网络接口提供给用户使用。 云计算(cloud computing)是基于互联网的相关服务的增加、使用和交付模式,通常涉及通过互联网来提供动态易扩展且经常是虚拟化的资源。 云是网络、互联网的一种比喻说法。过去在图中往往用云来表示电信网,后来也用来表示互联网和底层基础设施的抽象。因此,云计算甚至可以让你体验每秒10万亿次的运算能力,拥有这么强大的计算能力可以模拟核爆炸、预测气候变化和市场发展趋势。用户通过电脑、笔记本、手机等方式接入数据中心,按自己的需求进行运算。
Openstack组件实现原理Keystone认证功能
02-24
Keystone实现始终围绕着Keystone所实现的功能来展开,所以在理解其实现之前,建议大家尝试通过安装Keystone这一个过程来感受KeystoneOpenstack架构中所充当的角色。下面给出了Keystone-M的安装过程。Keystone安装列表Openstack组件部署—Overview和前期环境准备Openstack组建部署—EnvironmentofControllerNodeOpenstack组件部署—Keystone功能介绍与认证实现流程Openstack组件部署—KeystoneInstall&CreateserviceentityandAPIendpointsOp
openstackkeystone组件
mcc
01-28 1525
Keystone (OpenStack ldentity Service)是OpenStack中的一个独立的提供安全认证的模块,主要负责openstack用户的身份认证、令牌管理、提供访问资源的服务目录、以及基于用户角色的访问控制。 Keystone类似一个服务总线,或者说是整个Openstack框架的注册表,其他服务通过keystone来注册其服务的Endpoint(服务访问的URL),任何服务之间相互的调用,需要经过Keystone的身份验证,来获得目标服务的Endpoint来找到目标服务。 主要功能
Openstack组件实现原理Keystone认证功能
weixin_34348111的博客
06-18 475
目录 目录 前言 Keystone安装列表 Keystone架构 Keystone管理对象 一个理解Keystone管理对象功能的例子 Keystone管理对象之间的关系 Keystone V3的新特性 V3的改进 Authorization授权功能的应用 Authentication认证功能的应用过程 ...
11. keystone工作流程及部署
Michael_XiaoQ的博客
07-13 2179
查看/etc/nova/nova.configegrep -v '(^#|^$)' /etc/nova/nova.config  nova配置文件里中keystone的authtoken,说明nova组件会去取keystone认证,才能工作。glance等同理: packstack部署openstack为这些用户已经创建好了相关的组件以及配置   上图图解: tom 登录dashboard,key...
OpenStack——认证服务Keystone
01-27
KeystoneOpenStackIdentityService)是OpenStack框架中,负责身份验证、服务规则和服务令牌的功能, 它实现了OpenStack的IdentityAPI。Keystone类似一个服务总线,或者说是整个Openstack框架的注册表, 其他服务...
openstack-keystone
01-16
keystoneopenstack提供了身份验证机制,其中token是贯穿整个op的钥匙!
OpenStack学习笔记二(身份认证keystone
Jian Sun_的博客
05-04 4953
一、基本概念 ① keystone的基本功能     keystone作为openstack的Identity Service,提供了用户信息管理和完成各个模块认证服务。     用户信息管理:user/tenant基本信息,tenant管理     认证服务:登录认证,各个组件API的权限控制 ② keystone的架构     既然keystone为各个模块提供认证服务,所以各个模...
OpenStack-Keystone组件-详解
m0_62727902的博客
05-18 487
Keystone V3之前,用户的权限管理以每一个用户为单位,需要对每一个用户进行角色分配,并不存在一种对一组用户进行统一管理的方案,这给系统管理员带来了额外的工作和不便。3. User/API 向Keystone发送带有特定租户的凭证(交互权限),告诉Keystone User/API在哪个项目中,Keystone收到请求后,会发送一个项目的Token到User/API (访问权限),User/API 拿着Token和Endpoint找到可访问服务。经过验证后,会为每个单独的租户提供一个特定的令牌。
高速目标距离走动校正 keystone 插值算法
12-11
高速目标距离走动校正,matlab工程代码,保证实用,毕设必备。假如有人需要,话可以上传keystone-DFT-IFFT算法实现的与keystone-CZT-IFFT算法资源。
openstack架构构建---keystone原理部分
m0_57776598的博客
07-31 819
1.什么是keystonekeystoneopenstack认证服务的项目名称,也是整个云平台的入口,如果把openstack云平台比作一个“屋子”,那么keystone就是屋子的大门,任何一个行为都需要通过这个大门。因此leystone是一个负责身份管理和授权的组件 2.主要功能:实现用户的身份验证,基于角色的权限管理,及openstack其他它组件的访问地址和安全策略管理 角色:就是一组特权的集合,即使定义了用户能做什么,下文详细讲解 访问地址:比如现在一个用户需要访问nova组件,但是用
keystone变换
yjh_2019的博客
10-04 4722
从信号模型以及仿真角度介绍keystone变换原理
【TEE自学随笔】keystone代码略读(长文多图)
BOWS7RING的博客
05-17 2693
武大信安在读,最近在自学Risc-v架构的可信执行环境。 (实验报告多半是为了交差。临时起意写写博客,分享一些自己读代码的心得理解。) 本篇内容由队和我友总结而成,如有错误欢迎指正交流。 keystone是risc-v架构的开源tee。 利用risc-v的pmp来隔离页表,进一步缩小了可信基。 runtime和sm的解耦也很有意思: 可以近似理解为:   将安全功能集中在sm中,作为保安。   runtime则提供edgecall等各种与安全关系不大的服务,可以理解为保姆。 ...
OpenStack平台-keystone与glance服务运维
config_differ的博客
04-26 492
一、Keystone服务运维 1.1 什么是keystonekeystone的作用是什么? 在OpenStack框加中,Keystone(OpenStack Identity Service)的功能是负责身份验证、校验服务规则和发布服务令牌等,它实现了OpenStackD Identity API。Keystone可分解为两个功能,即权限管理和服务目录。其中,权限管理主要用于用户的管理授权;服务目录,类似一个服务总线,或者说是整个OpenStack框加的注册表。认证模块提供API服务...
通信原理期末考试试题及答案2份.doc
04-18
通信原理期末考试试题及答案2份.doc
Skeleton-Low Poly 低多边形骨架模型Unity插件美术资源包unitypackage
04-18
Skeleton-Low Poly 低多边形骨架模型Unity插件美术资源包unitypackage 支持Unity版本2019.4.29或更高 直接的低多边形骨架。 特点: - 低多边形(9k tris,8.5) - 适用于 Unity 5 及更高 版本 - 完全装配 - 包括一个 fbx 格式的模型 - PBR 纹理 - 高清纹理
基于ssm+vue学生学籍管理系统源码数据库文档.zip
04-18
基于ssm+vue学生学籍管理系统源码数据库文档.zip
工作汇报 年终总结45.pptx
最新发布
04-18
引言 年度工作回顾 系统进展与亮点 技术创新与应用 市场反馈与用户评价 存在问题与挑战 未来展望与计划 结束语与感谢 一、引言 简要介绍智能家居系统的重要性和发展趋势 回顾本年度的工作目标和重点 二、年度工作回顾 系统建设与维护 完成的项目与里程碑 系统稳定性与可靠性提升 团队建设与培训 团队成员构成与职责 培训与技能提升活动 合作伙伴与资源整合 与供应商、合作伙伴的合作情况 资源整合与利用 三、系统进展与亮点 功能扩展与优化 新增功能介绍与效果评估 现有功能的优化与改进 用户体验提升 界面设计与交互优化 用户反馈与改进措施 四、技术创新与应用 物联网技术的应用 传感器与通信技术的升级 大数据分析与应用 智能家居的智能化管理 自动化控制与节能策略 安全防护与预警系统 五、市场反馈与用户评价 市场反馈分析 市场需求与竞争态势 市场占有率与增长趋势 用户评价总结 用户满意度调查结果
OpenStackKeystone安装
05-13
安装Keystone之前,您需要确保已经安装并配置好了OpenStack Identity服务所需的依赖项。这些依赖项包括Python、MySQL数据库、Apache HTTP服务器、以及其他一些Python库。如果您还没有安装这些依赖项,请先安装它们。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值