KeyStone安装部署笔记

最新推荐文章于 2024-04-25 23:46:35 发布
最新推荐文章于 2024-04-25 23:46:35 发布
阅读量6k 收藏 5
点赞数 5
分类专栏: OpenStack 文章标签: OpenStack KeyStone 身份服务 swift
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/skywalker_only/article/details/46236835
版权
OpenStack中的所有组件称为服务,比如keystone、swift、nova等,不同的服务负责不同的功能,swift负责存储数据对象,nova管理计算实例的生命周期,keystone为其它服务提供认证和授权等,而有些服务是属于共享范畴的,比如Keystone,为OpenStack中的所有其它服务管理者endpoint的目录,并负责认证和授权。可以简单地理解为访问OpenStack中所有服务的请求都需要通过keystone的认证和授权,可以将Keystone比喻为一座城池大门的守卫者,进入其中的访客都需要经过守卫者的检查,认可了才可以进入其中。当然仅仅将keystoneb比喻为守卫者显然降低了Keystone的功能职责,更加系统的概括Keystone职责为:
  1. 跟踪用户及其权限
  2. 提供可用服务及它们API端点的目录
身份服务中的主要概念如下:
  1. 用户:使用OpenStack云服务的用户、系统或者服务,身份服务验证用户提交的请求。用户需要登录,然后可能会分配令牌已访问资源。多用户可以直接分配给特定的租户,并且表现就像他们包含在该租户内。
  2. 认证信息:确认用户身份的数据。比如用户名和密码,用户名和API键,或者由身份服务提供的认证令牌
  3. 认证:确认用户身份的过程。OpenStack身份服务通过验证用户提供的认证信息确认请求,当认证信息被验证后,OpenStack认证服务发给用户认证令牌,在后续的请求中用户将使用该令牌。
  4. 令牌:文本形式的字母-数字字符串,使用该字符串访问OpenStack的API和资源。令牌在有限的时间内是有效的,可能在任何时间被取消。
  5. 租户:分组或隔离资源的容器,租户也用于分组或隔离身份对象。基于服务操作者,租户可能映射为客户、账户、组织或项目
  6. 服务:一个OpenStack服务,比如Compute(nova),对象存储(Swift),镜像服务(glance)。服务提供了一个或多个端点(endpoint),在端点内用户可以访问资源或者执行操作。
  7. 端点:网络可访问的地址,通常是URL地址,通过该地址可以访问服务。如果正在使用扩展的模板,一个端点模板会被创建,该模板表示所有可用服务的模板。
  8. 角色:定义了执行特定操作的用户权限的集合。在身份服务中,发给用户的令牌包括角色的列表。被用户访问的服务确定如何解释用户拥有的角色和每个角色可以访问的操作和资源。
  9. KeyStone客户端:OpenStack身份服务API的命令行接口。比如:运行keystone service-create和keystone endpoint-creat在OpenStack中注册服务。
本文的安装是在64位CentOS7.1中完成的,使用的数据库是 MariaDB。在OpenStack中大部分服务都使用SQL数据库存储信息,所以在安装之前假设已经成功安装了数据库,比如MySQL。按照下面的步骤在数据库中创建身份服务相关的数据库和用户:
  1. 以root用户登录MariaDB数据库:mysql -u root -p
  2. 创建keystone数据库:create database keystone
  3. 创建访问keystone数据的用户,并赋予权限:grant all privileges on keystone.* to 'keystone'@'localhost' identified by '123456';grant all privileges on keystone.* to 'keystone'@'%' identified by '123456';
完成数据库的操作后,生成初始化配置Keystone的管理员令牌(随机数):openssl rand -hex 10 (2606fd07fe3797661dbe),括号中的字符串为令牌,一定要保存下来,后面的操作会使用该字符串。然后使用下面的命令安装Keystone服务和Keystone客户端,并会安装相关的依赖包:yum install openstack-keystone python-keystoneclient。根据不同的环境,该过程的持续时间会有差异,总体来说还是比较快的,该过程会将Keystone安装到Python的site-packages目录下。完成安装后按照下面的步骤修改/etc/keystone/keystone.conf文件:
  1. 在[DEFAULT],修改admin_token = ADMIN_TOKEN中的ADMIN_TOKEN为随机生成的令牌2606fd07fe3797661dbe,即admin_token = 2606fd07fe3797661dbe。建议在生产环境中禁用该属性
  2. 在[database]中,配置数据库的访问:connection = mysql://keystone:123456@localhost/keystone
  3. 在[token]中,配置UUID提供者和SQL驱动: provider = keystone.token.providers.uuid.Provider和driver = keystone.token.persistence.backends.sql.Token
  4. 在[revoke]中,配置SQL撤回驱动:driver = keystone.contrib.revoke.backends.sql.Revoke
  5. 如果想观察输出,进而有助于排查问题,可以在[DEFAULT]中进行如下配置:verbose = True
接下来生成通用证书和key,并设置相关文件的访问权限:
chown -R keystone:keystone /var/log/keystone
chown -R keystone:keystone /etc/keystone/ssl
chmod -R o-rwx /etc/keystone/ssl
使用下面的命令向keystone数据库填充数据:su -s /bin/sh -c "keystone-manage db_sync" keystone,该语句执行完毕后可以在数据库中发现相关的数据表。然后使用下面的命令启动keystone服务:systemctl start openstack-keystone.service,服务 启动后就可以使用keystone客户端创建租户、用户、角色、服务和endpoint了。命令分别为: 

keystone --os-token 2606fd07fe3797661dbe --os-endpoint http://localhost:35357/v2.0 tenant-create --name admin --description "Admin Tenant"
+-------------+----------------------------------+
|   Property  |              Value               |
+-------------+----------------------------------+
| description |           Admin Tenant           |
|   enabled   |               True               |
|      id     | 2bee31cc468f402e9a784cc0a3b8d477 |
|     name    |              admin               |
+-------------+----------------------------------+
keystone --os-token 2606fd07fe3797661dbe --os-endpoint http://localhost:35357/v2.0 user-create --name admin --pass 123456
+----------+----------------------------------+
| Property |              Value               |
+----------+----------------------------------+
|  email   |                                  |
| enabled  |               True               |
|    id    | 0f521003d766433aa4da106d4d0187d5 |
|   name   |              admin               |
| username |              admin               |
+----------+----------------------------------+
keystone --os-token 2606fd07fe3797661dbe --os-endpoint http://localhost:35357/v2.0 role-create --name admin
+----------+----------------------------------+
| Property |              Value               |
+----------+----------------------------------+
|    id    | 4e1061f6a0b8411f97150c4f02a5b172 |
|   name   |              admin               |
+----------+----------------------------------+

参数--os-token的字符串即为前面步骤生成的随机字符串。然后将角色admin添加到租户和用户中:

keystone --os-token 2606fd07fe3797661dbe --os-endpoint http://localhost:35357/v2.0 user-role-add --user admin --role admin --tenant admin
在创建完了租户、用户和角色后,就需要为身份服务创建服务实体和endpoint。身份服务管理OpenStack环境汇中的服务目录,服务使用该目录定位环境中的其它服务,使用下面的命令为身份服务创建服务实体: 

keystone --os-token 2606fd07fe3797661dbe --os-endpoint http://localhost:35357/v2.0 service-create  --name keystone --type identity
+-------------+----------------------------------+
|   Property  |              Value               |
+-------------+----------------------------------+
| description |                                  |
|   enabled   |               True               |
|      id     | 4b739b0632554c1ba27d4e7ff8a87a10 |
|     name    |             keystone             |
|     type    |             identity             |
+-------------+----------------------------------+
身份服务管理者与服务相关联的API端点的目录,服务使用该目录确定如何与其它服务通信,OpenStack为每个服务提供了三种API端点:admin、internal和public。在生产环境中,出于安全的原因,不同的网络服务于不同类型的用户,而三种不同的API端点则依赖于这样的网络。OpenStack出于扩展性的考虑也支持多个region。下面的命令在regionOne创建了keystone的三种端点: 

keystone --os-token 2606fd07fe3797661dbe --os-endpoint http://localhost:35357/v2.0 endpoint-create --service keystone --region regionOne --publicurl http://localhost:5000/v2.0 --internalurl http://localhost:5000/v2.0 --adminurl http://localhost:35357/v2.0
+-------------+----------------------------------+
|   Property  |              Value               |
+-------------+----------------------------------+
|   adminurl  |   http://localhost:35357/v2.0    |
|      id     | f54874cdbb8d4e2991ab38469813cc31 |
| internalurl |    http://localhost:5000/v2.0    |
|  publicurl  |    http://localhost:5000/v2.0    |
|    region   |            regionOne             |
|  service_id | 4b739b0632554c1ba27d4e7ff8a87a10 |
为admin租户和用户申请令牌: 

keystone --os-tenant-name admin --os-username admin --os-password 123456 --os-auth-url http://localhost:35357/v2.0 tenant-list
+----------------------------------+---------+---------+
|                id                |   name  | enabled |
+----------------------------------+---------+---------+
| 2bee31cc468f402e9a784cc0a3b8d477 |  admin  |   True  |
| 73ab99661bd34a32b032cc6e04399b67 |   demo  |   True  |
| 2835009c452b4d408f95ff5a920fc877 | service |   True  |
+----------------------------------+---------+---------+
最后验证admin租户和用户: 
keystone --os-tenant-name admin --os-username admin --os-password 123456 --os-auth-url http://localhost:35357/v2.0 tenant-list
+----------------------------------+---------+---------+
|                id                |   name  | enabled |
+----------------------------------+---------+---------+
| 2bee31cc468f402e9a784cc0a3b8d477 |  admin  |   True  |
| 73ab99661bd34a32b032cc6e04399b67 |   demo  |   True  |
| 2835009c452b4d408f95ff5a920fc877 | service |   True  |
+----------------------------------+---------+---------+
输出结果验证了身份服务工作正常,Keystone安装部署成功。在上面步骤中,每次都要输入冗长的命令,这样的操作增加了出错的可能性,幸好OpenStack支持将参数或者选项以环境变量的形式保存在称为OpenRC的文件中。通常这样的文件为所有的客户端,比如keystone、swift,保存了通用选项,但也支持特定于客户端的选项。下面为admin和demo创建相应的OpenRC文件(其实就是保存环境变量的脚本): 
admin-openrc.sh和demo-openrc.sh(其实就是保存环境变量的脚本):
export OS_TENANT_NAME=admin
export OS_UESERNAME=admin
export OS_PASSWORD=123456
export OS_AUTH_URL=http://localhost:35357/v2.0
在执行keystone命令之前,先执行source admin-openrc.sh使环境变量生效,然后就不用输入冗长的参数了。这篇文章概括了Keystone的安装和配置,并简要描述了相关的概念,显然并未涉及Keystone的核心功能,而这需要进一步学习相关资料,并实践。


skyWalker_ONLY
关注
  • 5
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 5
    评论
专栏目录
Keystone安装配置.docx
07-30
Keystone安装配置
keystone 安装以及常见问题
hello
08-04 972
openstack安装过程中遇到的一些问题
愣头青法学习openstack——零基础学习openstack的建议
weixin_54628931的博客
03-06 2414
由于收到很多人的私信,问我如何高效快速学习openstack,今天在这里就给大家分享一下我的openstack学习心得。 我也是刚入门学习openstack的小黑,所以先写几句话放在前面,应该很合逻辑。 1、学习openstack是一件痛苦的事情,除非你对它感兴趣,并且热爱它。 2、这是一个脚踏实地的过程,不可投机取巧,更没有速成,你投入多少,就收获多少。 3、恒心。学着openstack,边学又想学docker,想k8s,想学nginx,这能行?专注啊。 4、学习的渠道很重要,自己解决问题很重
keystone总体安装步骤
zcc0146的博客
09-27 1070
keystone总体安装步骤
Centos7 安装 OpenStack 遇到过的错误
哈哈虎的博客
10-10 7879
学习Centos7 安装 OpenStack 过程中遇到各种错误,建议多准备几个新的虚拟机,或者准备好快照,随时恢复
三、安装Keystone服务【VMware虚拟机搭建Openstack+Ironic】
weixin_41809577的博客
10-30 151
keystone提供openstack身份认证服务,用于身份认证,授权,服务目录等。仅需要安装在控制节点。
登录dashboard时,提示无法连接keystone端点
qq_38701955的博客
03-06 1260
登录dashboard,提示无法连接keystone端点
keystone安装与配置
qq_46489950的博客
12-13 4584
keystone安装与配置 1.创建keystone数据库并授权 Step1 创建数据库并授权 mysql -u root -p CREATE DATABASE keystone; GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'localhost' IDENTIFIED BY 'keystone'; GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'%' IDENTIFIED BY 'keystone'
了解和使用keystone(二)安装keystone
skdhfdfc的博客
01-29 1176
了解和使用keystone(二)安装keystone
OpenStack(T版)——身份认证(Keystone)服务介绍与安装
不知道
06-26 2624
OpenStack(T版)——身份认证(Keystone)服务介绍与安装
第2章OpenStack安装部署第1节Keystone安全认证服务.pdf
02-18
(3) 安装 chrony 服务,并设置开机自启动 yum install chrony systemctl enable chronyd.service systemctl start chronyd.service (4) 更新系统,安装 centos7 下的 mitaka 依赖文件(使用“ OpenStack 模板 1...
keystone安装脚本
02-05
OpenStack组件KeyStone安装脚本,详见http://blog.csdn.net/networm3/article/details/8568784
OpenStack 安装 Keystone.doc
07-08
OpenStack 安装 Keystone.doc
第2章OpenStack安装部署第2节安装Glance镜像服务.pdf
02-18
(6) 安装 openstack-selinux 安全服务 由于 centos 默认是开启 SeLinux 安全控制的,因此需要安装 openstack-selinux,使系统自动管理 openstack 各个服务的安全策略 yum install openstack-selinux 2.1.3 安装 ...
Swift中TableView的编辑模式
qq_24459277的博客
04-25 398
Swift中TableView的编辑模式可以通过UITableView的属性isEditing来控制。以上代码中的删除和插入操作可以根据实际需求进行自定义。
前端点击地图上的位置获取当前经纬度
2201_75410538的博客
04-24 168
import gdmap from ‘组件路径’
[Swift]组件化开发
最新发布
Gamin
04-25 636
1.组件定义 在软件开发中,一个组件是指一个独立的、可替换的软件单元,它封装了一组相关的功能。组件通过定义的接口与外界交互,并且这些接口隔离了组件内部的实现细节。在Swift语言中,组件可以是一个模块、一个库或者一个框架,它们被设计来完成特定的任务,并可以在不同的项目中复用。 组件的主要目的是促进大型软件系统的模块化,使得每个部分都可以独立地开发和维护。在组件化的架构中,组件作为构建应用的基本单元,彼此之间通过明确定义的接口进行通信,这有助于降低整个系统的复杂性。 2.组件的特点 高内聚 组件内部的元
Swift中TableView的使用
qq_24459277的博客
04-25 203
本章你会学会TableView的基本使用
Swift - Playground
sharp521的博客
04-25 249
可以快速预览代码效果,是学习语法的好帮手。Playground可以新建很多个。
OpenStackKeystone安装
05-13
安装Keystone之前,您需要确保已经安装并配置好了OpenStack Identity服务所需的依赖项。这些依赖项包括Python、MySQL数据库、Apache HTTP服务器、以及其他一些Python库。如果您还没有安装这些依赖项,请先安装它们。 以下是在Ubuntu 18.04操作系统上安装Keystone的步骤: 1.安装Keystone软件包: ``` sudo apt-get update sudo apt-get install keystone ``` 2.编辑Keystone配置文件/etc/keystone/keystone.conf,将[database]部分中的连接信息修改为您的MySQL数据库连接信息,例如: ``` [database] connection = mysql+pymysql://keystone:PASSWORD@controller/keystone ``` 3.编辑/etc/apache2/sites-available/wsgi-keystone.conf文件,将WSGIScriptAlias行中的/var/www/cgi-bin/keystone修改为/usr/bin/keystone-wsgi-public: ``` WSGIScriptAlias / /usr/bin/keystone-wsgi-public ``` 4.创建一个新的数据库并将权限授予Keystone: ``` sudo mysql -u root -p CREATE DATABASE keystone; GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'localhost' IDENTIFIED BY 'PASSWORD'; GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'%' IDENTIFIED BY 'PASSWORD'; exit ``` 5.初始化Keystone数据库: ``` sudo su -s /bin/sh -c "keystone-manage db_sync" keystone ``` 6.为管理员创建一个新的OpenStack Identity服务用户: ``` export OS_USERNAME=admin export OS_PASSWORD=ADMIN_PASS export OS_PROJECT_NAME=admin export OS_USER_DOMAIN_NAME=Default export OS_PROJECT_DOMAIN_NAME=Default export OS_AUTH_URL=http://controller:5000/v3 export OS_IDENTITY_API_VERSION=3 export OS_IMAGE_API_VERSION=2 ``` 7.创建管理员用户、服务、终端节点和角色: ``` openstack user create --domain default --password-prompt admin openstack role create admin openstack role add --project admin --user admin admin openstack service create --name keystone --description "OpenStack Identity" identity openstack endpoint create --region RegionOne identity public http://controller:5000/v3 openstack endpoint create --region RegionOne identity internal http://controller:5000/v3 openstack endpoint create --region RegionOne identity admin http://controller:35357/v3 ``` 8.重新启动Apache HTTP服务器: ``` sudo service apache2 restart ``` 现在,您已经成功地安装和配置了Keystone服务。您可以使用OpenStack命令行工具或其他OpenStack服务来验证Keystone是否正常工作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

skyWalker_ONLY

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值