快速入门Openstack,无脑多节点部署Mitaka(3)--keystone部署

最新推荐文章于 2023-01-24 20:46:29 发布
最新推荐文章于 2023-01-24 20:46:29 发布
阅读量2.1k 收藏 1
点赞数 1
分类专栏: openstack 文章标签: openstack keystone api 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HenryNg1994/article/details/52106629
版权
本文介绍了OpenStack Mitaka版本中keystone的部署过程,包括创建数据库、生成token、组件安装、创建service entity和API endpoints、设置Admin和普通Role,并验证keystone的安全认证机制。讲解了keystone在OpenStack组件API安全中的作用,以及Fernet Tokens的使用和配置。同时,还提供了创建OpenRC脚本以简化客户端操作。
摘要由CSDN通过智能技术生成

参考资料:官方配置文档(http://docs.openstack.org/mitaka/install-guide-rdo/common/get_started_identity.html

简介

openstack的组件都是通过HTTP暴露自己的API,你可以通过任意的client去访问这些API,这导致存在很大的安全隐患,所以每当有client向openstack API发送请求的时候,我们都有必要对此做一个认证。因此我们需要在用户每次请求时都需要通过一个服务来给它颁发一张通行证。这个服务就是keystone,而这个通行证就是token。因为token是通过keystone提供的一个数据块来充当有效的账户密码组合,有效期通常是几个小时或者几分钟。所以token要比传统的用户密码认证和修改环境变量更加安全有效。
简版:
这里写图片描述
详细版:
这里写图片描述
K版以后使用的都是Fernet Tokens,区别于UUID tokens只能持久化存入数据库,Fernet tokens完全不需要持久化。部署人员可以通过设置keystone.conf中的[token] provider = keystone.token.providers.fernet.Provider来启用Fernet token,这也是我们一会需要配置的参数项。Fernet tokens需要symmetric encryption keys(对称加密密钥),这些keys可以使用keystone-manage fernet_setup建立, 并且使用keystone-manage fernet_rotate周期性地轮换。这些keys必须被在一个multi-node(或者multi-region)部署中的所有Keystone nodes共享,这样就能使一个node生成的tokens可以立即被其他节点验证。

创建数据库

创建一个keystone数据库和一个用于初始化keystone期间的临时管理token,用于存放Keystone组件(User、Tenant、Roles等)的相关信息。
command:

mysql -u root -p123456
CREATE DATABASE keystone;   
GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'localhost' IDENTIFIED BY '123456';   
GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'%' IDENTIFIED BY '123456';
exit

outPut:

[root@controller my.cnf.d]# mysql -u root -p123456
Welcome to the MariaDB monitor.  Commands end with ; or \g.
Your MariaDB connection id is 14
Server version: 10.1.12-MariaDB MariaDB Server

Copyright (c) 2000, 2016, Oracle, MariaDB Corporation Ab and others.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

MariaDB [(none)]> CREATE DATABASE keystone;
Query OK, 1 row affected (0.00 sec)

MariaDB [(none)]> GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'localhost' IDENTIFIED BY '123456';
Query OK, 0 rows affected (0.00 sec)

MariaDB [(none)]> GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'%' IDENTIFIED BY '123456';
Query OK, 0 rows affected (0.00 sec)

MariaDB [(none)]> exit
Bye
[root@controller my.cnf.d]#

生成token

生成一个用于初始化keystone期间的临时管理token:

[root@controller my.cnf.d]# openssl rand -hex 10
e84dd5a8efe2a3b84ea9 
[root@controller my.cnf.d]#

组件安装

1.安装openstack-keystone,httpd和mod_wsgi:

yum install openstack-keystone httpd mod_wsgi -y

2.编辑/etc/keystone/keystone.conf文件

[DEFAULT]
...
admin_token = e84dd5a8efe2a3b84ea9  
[database]
...
connection = mysql+pymysql://keystone:123456@controller.example.com/keystone    
[token]
...
provider = fernet

总览:

[root@controller my.cnf.d]# cat /etc/keystone/keystone.conf | grep -v ^# | grep -v ^$
[DEFAULT]
admin_token = e84dd5a8efe2a3b84ea9  #刚刚使用openssl指令生成的随机数
[assignment]
[auth]
[cache]
[catalog]
[cors]
[cors.subdomain]
[credential]
[database]
connection = mysql+pymysql://keystone:123456@controller.example.com/keystone    #使用keystone账户连接到controller节点的数据库上
[domain_config]
[endpoint_filter]
[endpoint_policy]
[eventlet_server]
[eventlet_server_ssl]
[federation]
[fernet_tokens]
[identity]
[identity_mapping]
[kvs
最低0.47元/天 解锁文章
HenryNg1994
关注
专栏目录
openstack-Mitaka-手动部署手册.docx
02-14
OpenStack Mitaka 手动部署手册是一份详细指导文档,旨在帮助Linux经验丰富的用户逐步构建OpenStack云平台。OpenStack是一个开源的云计算平台,它提供了基础设施即服务(IaaS)解决方案,支持各类云环境。该项目的...
openstack--3--控制节点安装配置keystone
weixin_30487701的博客
02-20 449
Keystone介绍 Keystone作用 用户与认证:用户权限与用户行为跟踪: 服务目录:提供一个服务目录,包括所有服务项与相关Api的端点,它是个注册中心 用户认证包括:User,Tenant,Token,Role 服务目录包括:Service,Endpoint 服务目录名字介绍 Service Service即服务,如Nova、Glance、...
[openstack][keystone]架构分析
kai
06-13 1594
keystone的总体架构为Paste+PasteDeploy+Routes+WebOb 1、WSGI入口 Keystone的入口其实就是WSGI的入口,WSGI可以通过两种方式进行部署。Apache和evenlet,自然keystone也同时支持这两种方式。 对于Apache部署而言,他的文件保存在httpd/目录下。其中,wsgi-keystone.conf是一个mod_wsgi的示
OpenStack-Mitaka版本部署
FatPuffer
01-04 2738
openstack mitaka版本部署
Openstack-mitaka安装部署
最新发布
weixin_55443474的博客
01-24 499
Openstack-mitaka安装部署
keystone-manage子命令及其作用
hello
08-06 742
安装时,配置keystone数据库命令keystone-manage db_sync bootstrap
OpenStack-mitaka部署(手把手一步一步教你搭建)
01-09
### OpenStack Mitaka 部署详解 #### 一、项目背景及目标 本文将详细介绍如何部署一个基于OpenStack Mitaka版本的云平台,并通过手把手教学的方式帮助读者完成搭建过程。OpenStack作为一款开源的云计算管理平台,...
Fuel9.0部署Openstack-Mitaka详细2018.4版本.docx
02-14
Fuel 9.0是针对OpenStack Mitaka的一个特定版本,旨在提供一个用户友好的界面,帮助用户快速、高效地在物理或虚拟环境中部署OpenStack集群。 在使用Fuel 9.0部署OpenStack Mitaka之前,你需要准备以下软件和环境: ...
openstack节点部署.docx
07-06
### OpenStack节点部署知识点详解 #### 一、OpenStack概览 - **OpenStack**是一种开源的云计算管理平台项目,旨在为公共及私有云的建设与管理提供软件的集合。 - **版本M**指的是**Mitaka**版本,发布于2016年4...
openstack-Mitaka手动部署手册.doc
10-07
openstack-Mitaka手动部署手册 OpenStack 是一个开源的云计算平台,支持所有类型的云环境。该项目旨在实现简单的实现,巨大的可扩展性和丰富的功能。来自全球的云计算专家们贡献于该项目。OpenStack 通过提供各种...
OpenStack Mitaka HA安装部署文档
03-09
不是市面上那种只有haproxy的,这篇文档使用corosync+pacemaker+haproxy真正的实现了openstack所有服务的高可用
基于openstack mitaka实现计算节点SRIOV
05-03
假设你已经有了OpenStack环境,不想使用ovs等,同时你对网络的性能要求比较高。可以考虑使用SRIOV
openstack安装之认证服务安装配置笔记
m0_56539278的博客
05-11 881
1、Mariadb设置 1.1、数据库服务 启动数据库服务 systemctl enable mariadb.service systemctl start mariadb.service 1.2、登陆数据库 使用mysql登陆数据库,数据库密码:zhitu2017 mysql -u root -p 在mariadb中创建库实例 ,名为keystone的数据库 CREATE DATABASE keystone; 1.4、创建用户 建用户keystone,密码zhitu2017,然后退出
Centos0S7手动安装OpenStack Pike版--(keystone)
weixin_33749131的博客
11-17 89
OpenStack安装指南_Mitakahttp://down.51cto.com/data/2331199 Openstack管理手册-Newton版-CentOS7.2http://down.51cto.com/data/2331201 #Configure Keystone mysql -uroot -ppasswd123 -e "CREATE D...
OpenStack —— 认证服务Keystone(二)
weixin_34414650的博客
08-31 318
一、Keystone介绍    KeystoneOpenStack Identity Service)是OpenStack框架中,负责身份验证、服务规则和服务令牌的功能, 它实现了OpenStack的Identity APIKeystone类似一个服务总线, 或者说是整个Openstack框架的注册表, 其他服务通过keystone来注册其服务的Endpoint(服务访问的URL),任何服务之...
Fernet Token in Keystone v3 (by quqi99)
技术并艺术着
08-30 6506
**作者:张华 发表于:2016-08-11 版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明 ( http://blog.csdn.net/quqi99 )**问题的由来 - UUID: nova client通过user/pass从keystone获取UUID Token(UUID为一段32位字符串),nova client还得再拿UUID去ke
OpenStack Fernet Key Rotate
weixin_33898233的博客
07-07 624
2019独角兽企业重金招聘Python工程师标准>>> ...
Openstack组件部署Keystone Install & Create service entity and API endpoints
weixin_34288121的博客
06-14 223
目录 目录 前文列表 Install and configure Prerequisites 先决条件 Create the database for identity service 生成一个随机数 Install and configure components Configure the Apache HTTP ...
Keystone Fernet tokens
wllabs的专栏
01-15 6187
FENET是一种安全的消息传递格式,已被国外的一些公司用于API token中。解决了OpenStack面临的许多相同问题。它们的非持久的、轻量级的特性可以降低运行云所需的开销。 fernet_token格式如下: gAAAAABaVhKmk-inDnXQjDU-w6bw4BHhVhTAIOIspvGV6vZXHh8P9Kd6FMYdXeR6R8z_
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值