文章目录
一、keystone简介
keystone是OpenStack组件之一,主要用于OpnStack中众多的其他组件成员提供统一的认证服务,包括身份验证、令牌的发放和验证、服务列表、用户权限的定义等等。云环境中所有的服务之间的授权和认证都需要经过keystone,所以keystone都是在云平台上第一个需要安装的服务。
二、keystone身份服务功能
- 身份认证:令牌管理、访问控制
- 在经过身份认证后,提供路径指引服务
- 用户授权:授权用户在一个服务中所拥有的权限(作用范围、有效期)
- 用户管理:管理用户账户
- 服务目录:提供可用于服务的API端点,即提供具体的URL路径(具体的路径)
三、keystone管理对象
keystone管理对象的内容非常丰富
- user:指使用Openstack service的用户
- Project(Tenant):可以理解为一个人,或者服务所拥有的资源的集合
- Role:用于划分权限。通过User指定Role,使User获得Role对应操作权限
- Authentication:确定用户身份的过程
- Token:是一个字符串表示,作为访问资源的令牌。Token包含了在指定范围和有效时间内,可以被访问的资源。
- Credentials:用于确认用户身份的凭证。用户的用户名和密码,或者是用户吗和API密钥,或者身份管理服务提供的认证令牌
- Service:Openstack service,即Openstack中运行的组件服务。如nova、swift、glance、neutron、cinder等
- Endpoint:一个可以通过网络来访问和定位某个Openstack service的地址,通常是一个URL。
四、keystone认证流程
4.1 Keystone工作流程图
这个流程图大概讲的就是keystone,在创建虚拟机的过程中,对用户及其他组件之间的交互然后使用keystone进行认证
4.2 上图模块
- user:用户
- keystone 身份验证:为所有服务模块提供认证与授权
- Nova 计算服务:管理实例的生命周期
- Glance 镜像服务:提供镜像服务
- Neutron 网络服务:提供网络服务
4.3 流程过程
- ① user使用命令或控制台登录,需要先将自己的资格证书发给keystone,认证成功后,keystone会给与用户一个临时令牌和一个访问服务的端点
- ② user把临时的令牌交给keystone,发送创建虚拟机请求,nova收到令牌后,会向拿着令牌向keystone确认合法性,keystone认证成功后返回给nova
- ③ nova创建虚拟机需要镜像,所以拿着请求镜像服务的令牌给与glance服务,glance收到令牌后拿着令牌向keystone认证合法性,keystone认证成功后返回给glance,此时glance服务将nova所请求的镜像给与nova
- ④ nova创建虚拟机需要虚拟网络,所以向neutron发出请求,neutron收到nova给与的令牌向keystone认证合法性,是否可用,keystone认证成功后返回给neutron,随即neutron给与nova提供所需的网络服务
- ⑤ 最后nova服务开始创建vm虚拟机,创建完成后返回信息给user: the vm is create sucessfull
4.3.1 流程详细解析
user ——> keystone
- 1.首先Client用户通过命令或horizon(账号密码)的方式进行登录(验证方式包括:令牌、密钥等);
keystone ——> user
- 2.keystone会向Client发送credentials用于表示验证成功,同时向user发送一个Token(可以使用服务的权限范围和时间)和Endpoint(API地址或具体的URL);
user ——> Nova
- 3.Client通过Token和Endpoint向nova的API发送申请创建虚拟机的请求;
Nova——> keystone
- 4.nova会向keystone认证client用户的Token是否可用;
keystone ——> nova
- 5.认证成功,令牌有效
nova ——> glance
- 6.nova拿着client的Token和Image(申请的镜像对应的属性,规格)向glance提出镜像的请求;
glance ——> keystone
- 7.glance会拿着nova给的Token向keystone认证,是否可用;
keystone ——> glance
- 8.认证成功,令牌有效,glance处理nova请求
glance ——> nova
- 9.glance会给nova具体的Image本身;
nova ——> neutron
- 10.nova拿着Client的Token令牌和network需求向neutron发出请求;
neutron ——> keystone
- 11.neutron拿着nova给的Token去向keystone认证,是否可用
keystone ——> neutron
- 12.认证成功,令牌有效,neutron处理nova的请求
neutron ——> nova
- 13.neutron会提供给nova的具体的网络服务本身;
nova ——> Client
- 14.nova开始创建虚拟机,创建成功后返回信息给Client,然后Client会收到虚拟机创建成功的信息
keystone端口号:5000
五、OpenStack架构的keystone组件部署
OpenStack组件安装的顺序:
- 1.keystone 认证
- 2.glance 镜像
- 3.nova 核心组件,负责生命周期管理
- 4.neutron 网络
六、部署keystone认证组件
1. 创建数据库实例和数据库用户(在控制端上)
[root@ct ~]# mysql -uroot -p 登录数据库
MariaDB [(none)]> create database keystone; 创建keystone库,存储相关数据
MariaDB [(none)]> GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'localhost' IDENTIFIED BY 'KEYSTONE_DBPASS';
授权所有权限给keystone库所有表,用户keystone在本地,设置密码keystone_dbpass
MariaDB [(none)]> GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'%' IDENTIFIED BY 'KEYSTONE_DBPASS';
授权所有权限给keystone库所有表,用户keystone在所有网段,设置密码keystone_dbpass
MariaDB [(none)]> flush privileges; 刷新权限
MariaDB [(none)]> exit 退出
2. 安装、配置keystone、数据库、Apache
2.1 安装keystone、httpd、mod_wsgi
[root@ct ~]# yum -y install openstack-keystone httpd mod_wsgi
mod_wsgi包的作用是让apache能够代理pythone程序的组件,支持API;openstack的各个组件,包括API都是用python写的,但访问的是apache,apache会把请求转发给python去处理,这些包只安装在controler节点
[root@ct ~]# cp -a /etc/keystone/keystone.conf{,.bak}
批量将源文件进行备份
[root@ct ~]# cd /etc/keystone/ 查看复制情况
[root@ct keystone]# ls
总用量 224
-rw-r----- 1 root keystone 2303 5月 12 2020 default_catalog.templates
-rw-r----- 1 root keystone 104721 5月 12 2020 keystone.conf
-rw-r----- 1 root keystone 104721 5月 12 2020 keystone.conf.bak
-rw-r----- 1 root keystone 1046 5月 12 2020 logging.conf
-rw-r----- 1 root keystone 3 5月 12 2020 policy.json
-rw-r----- 1 keystone keystone 665 5月 12 2020 sso_callback_template.html
2.2 对接mysql
[root@ct keystone]# cd
#grep -Ev "^$|#" 空行,被注释的数据文件
[root@ct ~]# grep -Ev "^$|#" /etc/keystone/keystone.conf.bak > /etc/keystone/keystone.conf
[root@ct ~]# openstack-config --set /etc/keystone/keystone.conf database connection mysql+pymysql://keystone:KEYSTONE_DBPASS@ct/keystone
使用openstack-config 工具命令
--set:修改,管理
/etc/keystone/keystone.conf database:修改对象内容字段
连接 mysql使用python指定用户名,密码、数据库的域名、数据库名
connection mysql+pymysql://keystone:KEYSTONE_DBPASS@ct/keystone
[root@ct ~]# cat /etc/keystone/keystone.conf
2.3 设置传递认证令牌的过程模式加密
[root@ct ~]# openstack-config --set /etc/keystone/keystone.conf token provider fernet
使用openstack-config 工具命令指定token(令牌)的提供者;提供者就是keystone自己本身
Fernet:一种安全的消息传递格式,保证令牌传递过程是安全加密的
2.4 初始化认证服务数据库
[root@ct ~]# su -s /bin/sh -c "keystone-manage db_sync" keystone
2.5 初始化fernet 密钥存储库
以下命令会生成两个密钥,生成的密钥放于/etc/keystone/目录下,用于加密数据,传递令牌的过程
[root@ct ~]# keystone-manage fernet_setup --keystone-user keystone --keystone-group keystone
[root@ct ~]# keystone-manage credential_setup --keystone-user keystone --keystone-group keystone
2.6 配置bootstrap身份认证服务
此步骤是初始化openstack,会把openstack的admin用户的信息写入到mysql的user表中,以及url等其他信息写入到mysql的相关表中;
[root@ct ~]# keystone-manage bootstrap --bootstrap-password ADMIN_PASS \
--bootstrap-admin-url http://ct:5000/v3/ \
--bootstrap-internal-url http://ct:5000/v3/ \
--bootstrap-public-url http://ct:5000/v3/ \
--bootstrap-region-id RegionOne \#指定一个区域名称
admin-url是管理网(如公有云内部openstack管理网络),用于管理虚拟机的扩容或删除;如果共有网络和管理网是一个网络,则当业务量大时,会造成无法通过openstack的控制端扩容虚拟机,所以需要一个管理网;
internal-url是内部网络,进行数据传输,如虚拟机访问存储和数据库、zookeeper等中间件,这个网络是不能被外网访问的,只能用于企业内部访问;
public-url是共有网络,可以给用户访问的(如公有云) #但是此环境没有这些网络,则公用同一个网络;
5000端口是keystone提供认证的端口;
需要在haproxy服务器上添加一条listen;
各种网络的url需要指定controler节点的域名,一般是haproxy的vip的域名(高可用模式);
3.配置Apache HTTP服务器
[root@ct ~]# echo "ServerName controller" >> /etc/httpd/conf/httpd.conf
4. 创建配置文件
[root@ct ~]# ln -s /usr/share/keystone/wsgi-keystone.conf /etc/httpd/conf.d/
安装完mod_wsgi包后,会生成 wsgi-keystone.conf 这个文件,文件中配置了虚拟主机及监听了5000端口,mod_wsgi就是python的网关
5. 开启Apache服务
[root@ct ~]# systemctl enable httpd
Created symlink from /etc/systemd/system/multi-user.target.wants/httpd.service to /usr/lib/systemd/system/httpd.service.
[root@ct ~]# systemctl start httpd
6. 配置管理员账户的环境变量
6.1 作用
这些环境变量用于创建角色和项目使用,但是创建角色和项目需要有认证信息,所以通过环境变量声明用户名和密码等认证信息,欺骗openstack已经登录且通过认证,这样就可以创建项目和角色;也就是把admin用户的验证信息通过声明环境变量的方式传递给openstack进行验证,实现针对openstack的非交互式操作
[root@ct ~]# cat >> ~/.bashrc << EOF
> export OS_USERNAME=admin # 控制台登陆用户名
> export OS_PASSWORD=ADMIN_PASS # 控制台登陆密码
> export OS_PROJECT_NAME=admin
> export OS_USER_DOMAIN_NAME=Default
> export OS_PROJECT_DOMAIN_NAME=Default
> export OS_AUTH_URL=http://ct:5000/v3
> export OS_IDENTITY_API_VERSION=3
> export OS_IMAGE_API_VERSION=2
> EOF
[root@ct ~]# source ~/.bashrc # 加载环境变量
7. 通过配置环境变量,可以使用openstack命令进行一些操作
① openstack user list
[root@ct ~]# openstack user list
+----------------------------------+-------+
| ID | Name |
+----------------------------------+-------+
| 78d72cfd6c5a4f6685a42f2cde928d29 | admin |
+----------------------------------+-------+
② 创建OpenStack 域、项目、用户和角色
[root@ct ~]# openstack project create --domain default --description "Service Project" service
+-------------+----------------------------------+
| Field | Value |
+-------------+----------------------------------+
| description | Service Project |
| domain_id | default |
| enabled | True |
| id | 08f280094bbc460db26042aa02f9217f |
| is_domain | False |
| name | service |
| options | {} |
| parent_id | default |
| tags | [] |
+-------------+----------------------------------+
[root@ct ~]#
③ 创建角色(可使用openstack role list查看)
[root@ct ~]# openstack role create user
+-------------+----------------------------------+
| Field | Value |
+-------------+----------------------------------+
| description | None |
| domain_id | None |
| id | 7cd3645af3d3432b9e3091f37acd836e |
| name | user |
| options | {} |
+-------------+----------------------------------+
④ 查看openstack 角色列表
[root@ct ~]# openstack role list
+----------------------------------+--------+
| ID | Name |
+----------------------------------+--------+
| 48369d71f26e446fbf625ddc2b87f621 | admin |
| 75c16371601a49fd967e15b29bdf085f | member |
| 7cd3645af3d3432b9e3091f37acd836e | user |
| d048f6ee2aa64367a4356662329eb5c2 | reader |
+----------------------------------+--------+
admin为管理员
member为 租户
user为用户
⑤ 验证认证服务
即查看是否可以不指定密码就可以获取到token信息
[root@ct ~]# openstack token issue
+------------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| Field | Value |
+------------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| expires | 2021-03-03T15:53:09+0000 |
| id | gAAAAABgP6LVlzxOGTJom-I1PdClcUn_j5MLYQavs2se7OvDzI4ffJ9QV0hV8EevwBF2E9YWI2GEfu1j3W3K4RKVdInYYH_DttRIUg-DEoki83rxtJBiX-CpxMz36Jvkrx7kyLu2Vc-vYqmW5oWRkacogilPNOrrbhQJ5EDcg1H3zqeOkReRXco |
| project_id | 249c930dfe154c2ebc64a8f258bafa7f |
| user_id | 78d72cfd6c5a4f6685a42f2cde928d29 |
+------------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
七、总结
Keystone 组件是作为OpenStack 集群中统一认证、授权的模块,其核心功能就是针对于User(用户)、Tenant(租户)、Role(角色)、Token(令牌/凭证)的控制(手工编译部署即围绕此功能展开的)
-
User:使用 openstack 的用户。
-
Tenant:租户,可以理解为一个人、项目或者组织拥有的资源的合集。在一个租户中可以拥有很多个用户,这些用户可以根据权限的划分使用租户中的资源。
-
Role:角色,用于分配操作的权限。角色可以被指定给用户,使得该用户获得角色对应的操作权限。
-
Token:指的是一串比特值或者字符串,用来作为访问资源的记号。Token 中含有可访问资源的范围和有效时间,token 是用户的一种凭证,需要使用正确的用户名和密码向 Keystone 服务申请才能得到 token。