OpenStack模块精讲之Keystone

最新推荐文章于 2024-04-09 18:25:52 发布
最新推荐文章于 2024-04-09 18:25:52 发布
阅读量626 收藏
点赞数 1
分类专栏: OpenStack
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/boyuser/article/details/111146664
版权

文章目录

Keystone

1.身份服务

简介

  • Keystone(OpenStack Identity Service)是OpenStack中的一个独立的提供安全认证的模块,主要负责openstack用户的身份认证、令牌管理、提供访问资源的服务目录、以及基于用户角色的访问控制。
  • Keystone类似一个服务总线,或者说是整个OpenStack框架的注册表,其他服务通过keystone来注册其服务的Endpoint(服务访问的URL),任何服务之间相互调用,需要经过Keystone的身份验证,来获得目标服务的Endpoint来找到目标服务。

主要功能

  • 身份认证(Authentication):令牌的发放和效验
  • 用户授权(Authorization):授予用户在一个服务中所拥有权限
  • 用户管理(Account):管理用户账户
  • 服务目录(Service Catalog):提供可用服务的API端点

2.相关概念

相关概念

  • User

OpenStack最基本的用户。

User即用户,他们代表可以通过keystone进行访问的人或程序。Users通过认证信息(credentials,如密码、API
Keys等)进行验证。

  • Project(Tenant)

指分配给使用者的资源的集合。

Tenant即租户,它是各个服务中的一些可以访问的资源集合。例如,在Nova中一个tenant可以是一些机器,在Swift和Glance中一个tenant可以是一些镜像存储,在Neutron中一个tenant可以是一些网络资源。Users默认的总是绑定到某些tenant上。

  • Role

Role即角色,Roles代表一组用户可以访问的资源权限,例如Nova中的虚拟机、Glance中的镜像。Users可以被添加到任意一个全局的或租户的角色中。在全局的role中,用户的role权限作用于所有的租户,即可以对所有的租户执行role规定的权限;在租户内的role中,用户仅能在当前租户内执行role规定的权限。

  • Authentication

是一个字符串表示,作为访问资源的令牌。Token包含了在指定范围和有效时间内,可以被访问的资源

  • Credentials

用于确认用户身份的凭证。用户的用户名和密码,或者是用户名和API密钥,或者身份管理服务提供的认证令牌

  • Service

Service即服务,如Nova、Glance、Swift。根据前三个概念(User,Tenant和Role)一个服务可以确认当前用户是否具有访问其资源的权限。但是当一个user尝试着访问其租户内的service时,他必须知道这个service是否存在以及如何访问这个service,这里通常使用一些不同的名称表示不同的服务。

  • Endpoint

服务的URL路径,暴露出来的访问点。

Endpoint,翻译为“端点”,我们可以理解它是一个服务暴露出来的访问点,如果需要访问一个服务,则必须知道他的endpoint。因此,在keystone中包含一个endpoint模板,这个模板提供了所有存在的服务endpoints信息。一个endpoint template包含一个URLs列表,列表中的每个URL都对应一个服务实例的访问地址,并且具有public、private和admin这三种权限。public url可以被全局访问,private url只能被局域网访问,admin url被从常规的访问中分离。

  • Domain

定义管理边界,可以包含多个project,user,role.

  • Token

Token是访问资源的钥匙。它是通过Keystone验证后的返回值,在之后的与其他服务交互中只需要携带Token值即可。每个Token都有一个有效期,Token只在有效期内是有效的。

  • Policy

OpenStack对User的验证除了OpenStack的身份验证以外,还需要鉴别User对某个Service是否有访问权限。Policy机制就是用来控制User对Tenant中资源(包括Services)的操作权限。对于Keystone service来说,Policy就是一个JSON文件,默认是/etc/keystone/policy.json。通过配置这个文件,Keystone Service实现了对User基于Role的权限管理。

各种概念之间的关系解释
在这里插入图片描述

  1. 租户下,管理着一堆用户(人,或程序)。
  2. 每个用户都有自己的credentials(凭证)用户名+密码或者用户名+APIkey,或其他凭证。
  3. 用户在访问其他资源(计算、存储)之前,需要用自己的credential去请求keystone服务,获得验证信息(主要是Token信息)和服务信息(服务目录和它们的endpoint)。
  4. 用户拿着Token信息,就可以去访问特点的资源了。

3.认证流程

在这里插入图片描述

  • ① user使用命令或控制台登录,需要先将自己的资格证书发给keystone,认证成功后,keystone会给与用户一个临时令牌和一个访问服务的端点
  • ② user把临时的令牌交给keystone,发送创建虚拟机请求,nova收到令牌后,会向拿着令牌向keystone确认合法性,keystone认证成功后返回给nova
  • ③ nova创建虚拟机需要镜像,所以拿着请求镜像服务的令牌给与glance服务,glance收到令牌后拿着令牌向keystone认证合法性,keystone认证成功后返回给glance,此时glance服务将nova所请求的镜像给与nova
  • ④ nova创建虚拟机需要虚拟网络,所以向neutron发出请求,neutron收到nova给与的令牌向keystone认证合法性,是否可用,keystone认证成功后返回给neutron,随即neutron给与nova提供所需的网络服务
    eutron收到nova给与的令牌向keystone认证合法性,是否可用,keystone认证成功后返回给neutron,随即neutron给与nova提供所需的网络服务
  • ⑤ 最后nova服务开始创建vm虚拟机,创建完成后返回信息给user: the vm is create sucessfull
tanwenlong01
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
openstack-keystone
weixin_51615178的博客
03-16 262
文章目录一、keystone身份服务二、keystone的主要功能三、keystone相关概念四、keystone认证流程五、OpenStack-Keystone组件部署步骤 一、keystone身份服务 keystoneopenstack identity service)是openstack中的一个独立的提供安全认证的模块,主要负责openstack用户身份认证、令牌管理、提供访问资源的服务目录、以及基于用户角色的访问控制keystone类似一个服务总线,或者说是整个openstack框架的注册表,其
学习OpenStack之环境部署一篇就够啦!!!(带你走进OpenStack世界)
下一个艺术家
12-14 3043
本篇博客详细介绍了OpenStack这个开源架构的基础的环境部署。
Openstack架构构建及详解(2)--keystone组件
最新发布
m0_72758098的博客
04-09 1114
分享一些系统的面试题,大家可以拿去刷一刷,准备面试涨薪。
三分钟带你入门了解openstackkeystone项目
LPFAM的博客
11-06 403
三分钟带你入门了解openstackkeystone项目 文章目录前言一:Keystone项目1.1:什么是keystone?有什么作用?1.2:Keystone的体系结构是怎样的?1.2.1:验证1.2.2:服务目录1.3:Keystone的认证流程图是怎样的?1.4:Keystone对接dashboard具体体现在哪里? 前言 一:Keystone项目 1.1:什么是keystone?有什么作用? Keystoneopenstack中的一个辅助项目,类似于LDAP服务,对用户、租户、角色和服务进行
Keystone介绍
LiuXiaoXueer的博客
04-09 1043
目录 Keystone介绍 常用术语 Keystone认证模型 Domain、Project、User的关系 Keystone的认证过程 Keystone介绍 KeystoneOpenStack框架中提供身份验证服务规则和服务令牌功能,提供了认证服务的API,为OpenStack中各个组件提供了认证服务,类似于服务总线,或者说是整个OpenStack框架的注册表,其他的服务都...
OpenStack——认证服务Keystone
01-27
KeystoneOpenStackIdentityService)是OpenStack框架中,负责身份验证、服务规则和服务令牌的功能, 它实现了OpenStack的IdentityAPI。Keystone类似一个服务总线,或者说是整个Openstack框架的注册表, 其他服务...
Openstack组件实现原理—Keystone认证功能
02-24
Keystone实现始终围绕着Keystone所实现的功能来展开,所以在理解其实现之前,建议大家尝试通过安装Keystone这一个过程来感受KeystoneOpenstack架构中所充当的角色。下面给出了Keystone-M的安装过程。Keystone安装...
OpenStack之认证服务(Keystone
01-13
OpenStack的认证服务Keystone是云平台的核心组件之一,它负责提供身份管理和授权服务,确保只有经过验证的用户和应用程序可以访问资源。Keystone通过颁发、验证和管理身份令牌来控制OpenStack服务的访问。 安装与...
OpenStack Keystone的基本概念详细介绍
01-20
OpenStack Keystone的基本概念理解 Keystone简介  KeystoneOpenStack Identity Service)是OpenStack框架中,负责身份验证、服务规则和服务令牌的功能, 它实现了OpenStack的Identity API。Keystone类似一个服务...
openstack------Keystone身份认证服务
cuiwangfeng的博客
12-11 341
keystone主要功能: 1、管理用户及其权限 2、维护 OpenStack Services 的 Endpoint 3、Authentication(认证)和 Authorization(鉴权) keystone 的概念 管理对象 User:指使用Openstack service的用户,可以是人、服务、系统,但凡使用了Openstack service的对象都可以称为User。 Project(Tenant):可以理解为一个人、或服务所拥有的 资源集合 。在一个Project(Tenant)中可以包含
云计算学习2——keystone组件运维和测试
eryunyong的专栏
04-21 1475
如果把宾馆比作为Openstack,那么宾馆的中央管理系统就是Keystone,入住宾馆的人就是User 。在宾馆中拥有很多不同的房间,房间提供了不同的服务(Service)。 在入住宾馆前,User需要给出身份证(Credential),中央管理系统(Keystone)在确认User的身份后(Authenticaiton),会给你一个房卡(Token)和导航地图(Endpoint)。 不同VIP(Role)级别的User,拥有不同权限的房卡(Token),如果你的VIP(Role)等级高,你可以享受到豪华
OpenStack-Keystone组件-详解
m0_62727902的博客
05-18 613
Keystone V3之前,用户的权限管理以每一个用户为单位,需要对每一个用户进行角色分配,并不存在一种对一组用户进行统一管理的方案,这给系统管理员带来了额外的工作和不便。3. User/API 向Keystone发送带有特定租户的凭证(交互权限),告诉Keystone User/API在哪个项目中,Keystone收到请求后,会发送一个项目的Token到User/API (访问权限),User/API 拿着Token和Endpoint找到可访问服务。经过验证后,会为每个单独的租户提供一个特定的令牌。
Keystone policy文件介绍
实践求真知
03-18 991
一 policy.json文件截图二 文件内容该文件描述的是执行某一个命令需要的权限。[root@controller0 ~]# cat /etc/keystone/policy.json { "admin_required": "role:admin or is_admin:1", "service_role": "role:service", "service_or_a...
了解和使用keystone(三)创建admin用户
热门推荐
愷风(Wei)的专栏
09-10 1万+
admin用户可以用来创建domain,project,user。在keystone.conf中,通过设定admin_token,提供了一个初始的管理员令牌,假定为ADMIN,我们用这个令牌来创建admin用户。这是个管理的问题,如果分配给不同的人员,应该要使用不同的username/password。 配置环境变量 $ openstack --os-token=ADMIN --os-url=
Openstack租户(项目)、用户、角色的概念与管理
北观止的博客
07-21 6974
Openstack租户、用户、角色的概念与管理 Openstack项目、用户、角色的概念与管理
Keystone 组件
一个码农的前三十年
07-07 1294
Keystone组件提供统一的完整的OpenStack身份验证,服务目录,令牌和访问策略服务。其数据源可以来自SQL、LDAP、Key/Value。大多数使用者会采用定制化的Keystone认证服务,本博客后续将提供一个定制化开发实例。
Openstack私有云之keystone简介
时光慢旅的博客
03-12 1005
文章目录 一、keystone概述 Keystone是一项OpenStack服务,通过实现OpenStack的Identity API来提供API客户端身份验证,服务发现和分布式多租户授权 。同时它也同Nova, Cinder, Glance,Neutron一样是OpenStack的核心组件 二、keystone基本概念 ...
二·Openstack 管理项目与用户
My
04-10 1万+
(本文所有提及OSP=OpenStack Platform) 1 管理项目 1) OpenStack 项目简介: ● Linux 中通过实施用户和组来控制对操作系统资源的访问 ● OSP 利用域、项目、组和用户来组织OpenStack 资源 ● admin 用户可用于登录Horizon 控制面板或通过命令行管理OpenStack。此 ● admin ...
OpenStack云计算基础:Keystone认证服务详解
"OpenStack云计算基础架构平台的教程,涵盖Keystone认证服务的使用和管理,以及OpenStack的基本服务和案例实训。" 在OpenStack云计算环境中,Keystone认证服务扮演着核心角色,它是整个平台的身份验证、授权和令牌...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值