Openstack管理框架分析以及创建

最新推荐文章于 2024-05-16 06:25:37 发布
最新推荐文章于 2024-05-16 06:25:37 发布
阅读量4.4k 收藏 10
点赞数 1
分类专栏: 云计算 文章标签: openstack 框架 管理 role service
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/elikang/article/details/51282237
版权

Openstack管理框架分析及创建(domain、project、service、role、user……)
By Eli·kang
elikang819@foxmail.com



图:openstack管理框架


1、》》》 创建域(域是登陆的时候指定的):
 Domains:表示一组projects和users的集合。
每一个project或user只能属于一个domain,但user可以属于多个projects。domain有命名空间的概念,即在一个命名空间内的名称是否是全局唯一。

openstack domain create --description "Default Domain" default


2、》》》 创建project(基本等同G版之前的Teant,租户概念)
project是域名下子项,辅之以user(用户)、role(角色:管理权限),可以实现对管理范围的限制。

创建service项目:
openstack project create --domain default \
--description "Service Project" service

创建admin项目:
openstack project create --domain default \
--description "Admin Project" admin

创建demo项目:
openstack project create --domain default \
--description "Demo Project" demo

3、》》》创建role(角色)
openstack创建的角色没有其它参数限制,所以应该是全局通用的。  

创建admin角色:
openstack role create admin

创建user角色:
openstack role create user

4、》》》 创建user(用户)

用户分为两大类:
一类是为openstack的部分组件创建的 访问用户,这一类用户的角色都是admin的;
另一类是管理员登陆用的 管理用户,这一类又可以分为两种,一种是具有所有权限的超级管理员,角色也是admin;另一种是只能管理分配的project,这一种用户只具有部分权限,角色是user。

admin角色的用户可以创建admin角色的其它用户,可见,admin的角色权限很大,轻易不能透露。
另外keystone不需要创建用户,因为它就是管理所有授权服务的啊,所以在创建以上项目的时候需要首先创建好keystone服务。 Keystone提供3A(Account, Authentication, Authorization)服务。除了3A之外,Keystone还对外提供服务目录(Service Catalog)服务,类似于UDDI服务的概念,用户(无论是Dashboard, API Client)都需要访问Keystone获取服务列表,以及每个服务的地址(Openstack中称为Endpoint)。
实际运行过程,当创建的用户向keystone申请权限时,keystone对用户鉴权完毕之后,会为用户颁发一个令牌,这样用户在请求其他服务的时候,只需要亮出自己的令牌即可,而不需要发送自己的密钥。当然为了防止仿冒令牌,令牌是有时限的。所有的用户都可以通过TOKEN来创建,所以TOKEN的安全也十分重要。


首次创建用户之前,需要先配置好环境变量
export OS_TOKEN=2a392914a9f6dade3f14;
export OS_URL=http://controller:35357/v3;
export OS_IDENTITY_API_VERSION=3;

创建admin用户:这里需要输入密码
openstack user create --domain default \
--password-prompt admin

将admin角色添加到admin项目和admin用户中:
openstack role add --project admin --user admin admin

创建demo用户:
openstack user create --domain default \
--password-prompt demo
将user角色添加到demo项目和demo用户中:
openstack role add --project demo --user demo user 

创建用户完成之后要去除环境变量:
unset OS_TOKEN OS_URL;

注意:
1、所有的用户都可以通过TOKEN来创建,所以TOKEN的安全也十分重要。
2、admin角色的用户可以创建admin角色的其它用户,所以要注意帐户的保护。
   user角色的用户没有权限创建新的用户,可以分配给普通管理人员使用。
3、一个用户可以关联多个项目,使用role add可以设定。

4、Openstack 中, 以租户作为云主机隔离的单位,project 等同于 tenant。在管理openstack时候, 需要添加独立的project, 然后每个project具有独立的用户、网络、云主机等。Keystone虽然存在keystone tenant-list 命令用于查看租户,但是由于Tenant概念在G版被废弃,新版本已经不支持这个命令了。


*********************************************************************

5、》》》创建service(服务:glance、nova、neutron等等)

需要创建的组件中,keystone组件要首先创建,而且上面的所有管理的规划要在创建keystone之后才可以进行,它是管理所有权限的服务嘛,而其它本身不需要创建用户。其它的服务组件都是需要创建访问用户的,并且需要分配admin的角色给帐户,这样就可以实通过访问用户和keystone进行交互,进而可以实现权限的管理。

再一个就是,每个服务组件都需要在openstack中注册,注册的endponit是由keystone来管理的。Endpoint,翻译为“端点”,我们可以理解它是一个服务暴露出来的访问点,如果需要访问一个服务,则必须知道他的endpoint。因此,在keystone中包含一个endpoint模板(endpoint template,在安装keystone的时候我们可以在conf文件夹下看到这个文件),这个模板提供了所有存在的服务endpoints信息。一个endpoint template包含一个URLs列表,列表中的每个URL都对应一个服务实例的访问地址,并且具有public、private和admin这三种权限。public url可以被全局访问(如http://compute.example.com),private url只能被局域网访问(如http://compute.example.local),admin url被从常规的访问中分离。

keystone:
The Identity service provides authentication services for each OpenStack service.
The authentication service uses a combination of domains , projects (tenants), users , and roles .

创建service:
openstack service create \
--name keystone --description "OpenStack Identity" identity

创建endponit,public/internal/admin:
openstack endpoint create --region RegionOne \
identity public http://controller:5000/v3
openstack endpoint create --region RegionOne \
identity internal http://controller:5000/v3
openstack endpoint create --region RegionOne \
identity admin http://controller:35357/v3



glance:

创建glance用户:
openstack user create --domain default --password-prompt glance;
将admin角色添加到service项目和glance用户中:
openstack role add --project service --user glance admin;

创建glance服务:
openstack service create --name glance \
--description "OpenStack Image" image;

创建glance endponit:
openstack endpoint create --region RegionOne \
image public http://controller:9292; \
openstack endpoint create --region RegionOne \
image internal http://controller:9292; \
openstack endpoint create --region RegionOne \
image admin http://controller:9292

nova:

创建nova用户:
openstack user create --domain default \
--password-prompt nova;
将nova用户的角色设为admin:
openstack role add --project service --user nova admin; \

创建nova服务:
openstack service create --name nova \
--description "OpenStack Compute" compute;
创建nova endponit:
openstack endpoint create --region RegionOne \
compute public http://controller:8774/v2.1/%\(tenant_id\)s; \
openstack endpoint create --region RegionOne \
compute internal http://controller:8774/v2.1/%\(tenant_id\)s; \
openstack endpoint create --region RegionOne \
compute admin http://controller:8774/v2.1/%\(tenant_id\)s


neutron:

创建neutron用户:
openstack user create --domain default --password-prompt neutron;
将neutron用户的角色设为admin
openstack role add --project service --user neutron admin;


创建neutron服务:
openstack service create --name neutron \
--description "OpenStack Networking" network;
创建neutron的endponit:
openstack endpoint create --region RegionOne \
network public http://controller:9696; \
openstack endpoint create --region RegionOne \
network internal http://controller:9696; \
openstack endpoint create --region RegionOne \
network admin http://controller:9696

……
……
















参考:http://www.2cto.com/kf/201302/187655.html
http://blog.sina.com.cn/s/blog_60f6c9680101bn75.html

本文由elikang整理,鉴于本人知识能力的不足,本文许多欠缺之处,欢迎指正。
欢迎加QQ群讨论 :云计算- 532524739 ,聚焦docker && openstack。群里会不断分享有关云计算的资料。




elikang
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OpenStack网络管理
03-20
5. **管理负载均衡**:使用`openstack loadbalancer create`命令创建负载均衡器,并配置监听器、池和成员等。 #### 五、Neutron网络流量分析 理解Neutron如何处理网络流量对于调试和优化网络性能至关重要。...
openstack架构及组件介绍ppt
03-22
### OpenStack架构及组件介绍 #### 一、OpenStack概述 OpenStack是一个开源的云计算管理平台项目,旨在为公有云、私有云提供统一的标准化管理能力。它能够集中控制整个数据中心内的大规模计算、存储、网络等资源池...
openstack project create 报错 Internal Server Error (HTTP 500)
weixin_44416266的博客
07-05 1294
使用openstack命令 openstack project create 时报错 Internal Server Error (HTTP 500)
云计算|OpenStack|社区版OpenStack安装部署文档(三 --- 身份认证服务keystone安装部署---Rocky版)
zsk_john的技术分享专用博客
01-31 1825
初始化keystone认证服务 1)创建 keystone 用户,初始化的服务实体和API端点 # 在之前的版本(queens之前),引导服务需要2个端口提供服务(用户5000和管理35357),本版本通过同一个端口5000提供服务.这个优化非常nice,减少了很多出错几率 # 创建keystone服务实体和身份认证服务,以下三种类型分别为公共的、内部的、管理的。
Openstack安装部署_rhel7
最新发布
2401_84561461的博客
05-16 770
/在 [mysqld] 部分,设置值为控制节点的管理网络IP地址以使得其它节点可以通过管理网络访问数据库:[mysqld]完成安装//为了保证数据库服务的安全性,运行脚本。特别需要说明的是,为数据库的root用户设置一个适当的密码。安装MongoDB包:默认情况下,MongoDB会在目录下创建几个 1 GB 大小的日志文件。如果你想将每个日志文件大小减小到128MB并且限制日志文件占用的总空间为512MB,配置 smallfiles 的值:完成安装。
OpenStack踩坑之路(2)
wanger5354的博客
12-08 1512
但你凝视深渊的时候,深渊也在凝视你——尼采OpenStack认证服务搭建keystone服务概述OpenStack身份识别服务为管理身份验证,授权和服务目录提供了单点集成。身份服务通常是用户与之交互的第一个服务。一旦通过身份验证,最终用户就可以使用他们的身份访问其他OpenStack服务。同样,其他OpenStack服务利用身份服务来确保用户是他们所说的人,并发现部署中其他服务的位置。身份识别服务还可以与一些外部用户管理系统(如LDAP)集成。用户和服务可以通过使用由身份服务管理的服务目录来定位其他服务。顾
三、OpenStack创建域,项目,用户和角色,验证,创建客户端脚本
weixin_30912051的博客
04-10 1516
一、Identity服务为每个OpenStack服务提供身份验证服务。 身份验证服务使用域,项目,用户和 角色的组合。 1、创建service 项目 # openstack project create --domain default \ --description "Service Project" service 查看创建好的项目: # openstack projec...
Openstack的详细架构分析.pdf
10-02
关键功能包括:用户注册和计费、开发者创建和存储自定义镜像、实例的启动、监控和终止,以及云操作员的基础架构配置和管理。这些功能通常分为用户交互层(Web门户和API)、逻辑控制层(包括部署、调度、策略、镜像...
Openstack架构分析.pdf
09-19
OpenStack 架构分析 OpenStack 是一个开源的云计算平台,提供了一个部署云的操作平台或工具集,旨在帮助组织运行为虚拟计算或存储服务的云。OpenStack 旗下包含了一组由社区维护的开源项目,他们分别是 OpenStack ...
OpenStack管理、运维与应用.pdf
09-25
这个平台由多个组件组成,包括计算、存储、网络和其他服务,使得用户能够轻松地创建管理虚拟机、存储资源以及网络配置。 【课程内容】 1. **OpenStack的架构与部署**: - OpenStack 的产生和发展历程,它是如何...
OpenStack学习笔记二(身份认证keystone)
Jian Sun_的博客
05-04 5265
一、基本概念 ① keystone的基本功能     keystone作为openstack的Identity Service,提供了用户信息管理和完成各个模块认证服务。     用户信息管理:user/tenant基本信息,tenant管理     认证服务:登录认证,各个组件API的权限控制 ② keystone的架构     既然keystone为各个模块提供认证服务,所以各个模...
OpenStack实战—keystone04】
weixin_45093078的博客
12-29 1098
Keystone——身份认证组件Keystone (OpenStack Identity Service)是OpenStack中的一个独立的提供安全认证的模块,主要负责openstack用户的身份认证、令牌管理、提供访问资源的服务目录、以及基于用户角色的访问控制。
openstack详解(十)——Keystone服务注册
永远是少年
06-03 1239
今天继续给大家介绍Linux运维相关知识,本文主要内容是openstack Keystone服务注册。 一、Keystone服务注册 二、Keystone端点创建 三、 Keystone安装结果检验 四、环境变量脚本使用
手动部署openstack如何避免各种坑
pyhuangxiang的博客
04-12 499
环境: 宿主机:192.168.10.253 为本环境提供本地yum源和NTP服务 (KVM)contollercompute1compute2在controller和所有compute节点准备yum源gpgcheck=0enable=1[Base]name=Basegpgcheck=0enable=1EOFgpgcheck=0enable=1EOF[Extras]gpgcheck=0enable=1。
关于openstack端点通讯
controllerha的博客
12-21 1488
openstack中每个服务都有三个端点:分别是admin,internal,public admin:管理员入口 internal:内部通讯 public:其他用户 其实权限与入口无关,比方说admin就是老板通道,internal就是员工通道,public就是外来人员通道。 1.我是老板,但是我走外来人员通道我就不是老板了吗? 2.我是一个来参观的,但是我走老板通道我就能对
OpenStack云计算与虚拟化—认证篇
weixin_33752045的博客
11-26 444
KeyStone概述OpenStack Identity服务提供单点集成,用于管理身份验证,授权和服务目录。身份验证服务通常是用户与之交互的第一个服务。经过身份验证后,最终用户可以使用其身份访问其他OpenStack服务。同样,其他OpenStack服务利用身份服务来确保用户是他们所说的人,并发现部署中的其他服务。Identity服务还可以与某些外部用户管理系统(例如LD...
Missing value auth-url required for auth plugin password
qq_34914060的博客
03-17 2640
openstack在安装keystone过程中,创建project时,openstack project create --domain default \ --description "Service Project" service,出现错误Missing value auth-url required for auth plugin password。 创建的default-env文件,内容为 $ export OS_USERNAME=admin $ export OS_PASSWORD=ADMIN_
openstack Missing value auth-url required for auth plugin password
热门推荐
Man_In_The_Night的博客
02-14 2万+
按照openstack官网安装,执行: openstack project create --domain default \ --description "Service Project" service 出现 : Missing value auth-url required for auth plugin password [root@controller ~]# opens...
OpenStack架构详解:构建自定义云服务的关键组件
首先,OpenStackCompute,也称为Nova,是整个架构中的关键组件,它作为云管理器,负责云的部署、实例管理以及用户权限控制。Nova底层的开源项目提供了IaaS服务,让用户能够像Amazon EC2和Rackspace CloudServers那样...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值