openstack keystone部署
https://blog.csdn.net/andrew6_success/article/details/85250480#commentBox
https://www.cnblogs.com/yaohong/p/7601470.html
keystone 工作原理 https://www.cnblogs.com/charles1ee/p/6293387.html
keystone 的认证方式 https://www.cnblogs.com/dhplxf/p/7966890.html
keystone认证方式:UUID、PKI、Fernet;
官网安装教程 https://docs.openstack.org/keystone/latest/install/index.html
openstack命令手册 https://blog.csdn.net/weixin_41711331/article/details/83992164
官网 keystone v3 api https://docs.openstack.org/keystone/latest/api_curl_examples.html#unscoped
(1.获取无范围的令牌
2.获取项目范围的令牌
3.获取域范围的令牌(请注意,您首先需要在域上进行角色分配!)
4.从令牌获取令牌
5.撤消令牌
6.列表域名
7.创建域名
8.列出项目
9.禁用项目
10.列出服务
11.列出端点
12.列出用户
13.创建用户
14.显示用户的详细信息
15.更改密码(使用默认策略,这可以作为用户完成)
16.重置密码(使用默认策略,这需要管理员)
17.在项目上创建组角色分配
18.建立信任)
github软件包 https://github.com/openstack/keystone
配置环境:centos 7
[root@dk ~]# uname -a
Linux dk 3.10.0-957.27.2.el7.x86_64 #1 SMP Mon Jul 29 17:46:05 UTC 2019 x86_64 x86_64 x86_64 GNU/Linux
关闭防火墙
systemctl disable firewalld.service
systemctl stop firewalld.service
关闭SElinux
sed -i ‘s/SELINUX=enforcing/SELINUX=disabled/g’ /etc/selinux/config
setenforce 0
安装mysql
yum install ‐y mysql mariadb‐server.x86_64
systemctl enable mariadb.service
systemctl start mariadb.service
mysql ‐u root ‐p
CREATE DATABASE keystone;
GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'localhost' IDENTIFIED BY
'KEYSTONE_DBPASS';
允许本地keystone用户登录 进行所有操作
GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'%' IDENTIFIED BY 'KEYSTONE_DBPASS';
允许远端设备登录 进行所有操作,设定口令为 KEYSTONE_DBPASS
select,insert,update,delete,create,drop,index,alter,grant,references,reload,shutdown,process,file等14个权限。
ps: KEYSTONE_DBPASS可以换成自己的密码
编辑/etc/keystone/keystone.conf
文件并完成以下操作:
[root@dk ~]# cat /etc/keystone/keystone.conf
[database]
connection = mysql+pymysql://keystone:000000@localhost/keystone
[token]
# ...
provider = fernet
su -s /bin/sh -c "keystone-manage db_sync" keystone
useradd -M -s /sbin/nologin keystone
keystone-manage fernet_setup --keystone-user keystone --keystone-group keystone
keystone-manage credential_setup --keystone-user keystone --keystone-group keystone
keystone-manage bootstrap --bootstrap-password ADMIN_PASS --bootstrap-admin-url http://localhost:5000/v3/ --bootstrap-internal-url http://localhost:5000/v3/ --bootstrap-public-url http://localhost:5000/v3/ --bootstrap-region-id RegionOne
keystone-manage bootstrap --bootstrap-password ADMIN_PASS \
--bootstrap-admin-url http://localhost:5000/v3/ \
--bootstrap-internal-url http://localhost:5000/v3/ \
--bootstrap-public-url http://localhost:5000/v3/ \
--bootstrap-region-id RegionOne
[root@dk ~]# curl -i -H "Content-Type: application/json" -d '{"auth":{"identity":{"methods":["password"],"password":{"user":{"name":"admin","domain":{"id":"default"},"password":"ADMIN_PASS"}}}}}' "http://localhost:5000/v3/auth/tokens" ;echo
成功 RESPONSE:
HTTP/1.1 201 CREATED
Date: Tue, 20 Aug 2019 06:13:14 GMT
Server: Apache/2.4.6 (CentOS) mod_wsgi/3.4 Python/2.7.5
X-Subject-Token: gAAAAABdW497qlbm9YOCG6e9HgX1qHHwXewZ4MYOxv0XtKlxq4qFIWys0F56pXA_yaxTMf6pbW-oAZXbf3pM44D2Hufa97kPBFCEM4xnOA0yI57pMY0G9C-4RL3dMmeBQoIzaa6xTI3sdWRyVS_i_I-NgkgJjs3lSA
Vary: X-Auth-Token
x-openstack-request-id: req-30c496b0-d4f9-4558-8db5-b91d9098cdf5
Content-Length: 312
Content-Type: application/json
{"token": {"issued_at": "2019-08-20T06:13:15.000000Z", "audit_ids": ["j6twxtk6Q0u11mbHMKMBhA"], "methods": ["password"], "expires_at": "2019-08-20T07:13:15.000000Z", "user": {"password_expires_at": null, "domain": {"id": "default", "name": "Default"}, "id": "22511e2e94384a6da027e215a5df269c", "name": "admin"}}}
keystone-manage
keystone-manage is the command line tool which interacts with the Keystone service to 初始化 and 更新 数据 within Keystone. Generally, keystone-manage is only used for operations that cannot be accomplished with the HTTP API, such 数据的导入导出 and 数据库迁移.
keystone-status
keystone-status是一个命令行工具,可帮助运营商升级其部署。
keystone 介绍
Keystone在openstack中提供身份认证、服务目录功能。openstack中的所有其他服务必须向keystone注册其API服务端点endponit,keystone还维护着一个策略引擎,该引擎提供基于规则的访问和服务授权,keystone服务自身由多个提供者组成,它们包括:Identify(身份)、Resource(资源)、Authorizaition(认证)、Token(令牌)、Catalog(目录)、Policy(策略)。keystone有几种主要数据类型:
用户:拥有帐户凭据,与一个或多个项目或域相关联
组:用户集合,与一个或多个项目或域相关联
项目:OpenStack中的所有权单位,包含一个或多个用户
域:OpenStack中的所有权单位,包含用户,组和项目
角色:与许多用户 - 项目对相关联的一流元数据。一个3元组,有一个Role,一个Resource和一个Identity
令牌:识别与用户或用户和项目相关联的凭证,一旦用户的凭证已经过验证,令牌服务就会验证和管理用于验证请求的令牌
附加:与用户 - 项目对关联的一桶键值元数据。
规则:描述执行操作的一组要求。给定要检查的匹配列表,只需验证凭据是否包含匹配项。
通用数据模型允许用户和组之间的多对多关系到项目和域;
项目
Projects代表ownershipOpenStack 的基本单元,因为OpenStack中的所有资源都应归特定项目所有。项目本身必须由特定域拥有,因此所有项目名称不是 全局唯一的,但对于其域是唯一的。如果未指定项目的域,则将其添加到默认域。
域
Domains是项目,用户和组的高级容器。每个都归一个域所有。每个域定义一个名称空间,其中存在API可见的名称属性。Keystone提供了一个默认域名,名称为“默认”。
在Identity v3 API中,属性的唯一性如下:
域名。所有领域的全球独特性。
角色名称。在拥有的域内独一无二。
用户名。在拥有的域内独一无二。
项目名。在拥有的域内独一无二。
团队名字。在拥有的域内独一无二。
由于其容器体系结构,域可以用作委派OpenStack资源管理的方式。如果授予适当的分配,则域中的用户仍可以访问另一个域中的资源。
学习keystone主要需要理解下面的图,用户使用自己的用户名、密码从keystone获取身份令牌,然后再拿获取的身份令牌通过openstack的api接口找openstack其它各个组件申请资源,各个组件拿到用户申请后会拿着收到的用户令牌去找keystone进行验证,防止伪造令牌或令牌过期。
从Kilo版本开始,keystone已经引入了Fernet来加强加密身份验证令牌的方法,有助于解决UUID和PKI令牌引起的系统性能问题,从Mitaka版本开始完全支持Fernet,建议配置keystone时启用Fernet令牌。令牌默认一小时失效,具体配置在/etc/keystone/keystone.conf中的【token】中配置。
Keystone 主要有两个日志:
keystone.log 和 keystone_access.log
保存在 /var/log/apache2/ 目录里。
如果需要得到最详细的日志信息,可以在 /etc/keystone/keystone.conf 中打开 debug 选项
安装openstack命令
https://github.com/openstack/python-openstackclient
pip install python-openstackclient
配置环境变量:
export OS_USERNAME=admin
export OS_PASSWORD=ADMIN_PASS
export OS_PROJECT_NAME=admin
export OS_USER_DOMAIN_NAME=Default
export OS_PROJECT_DOMAIN_NAME=Default
export OS_AUTH_URL=http://localhost:5000/v3
export OS_IDENTITY_API_VERSION=3
openstack --help
<<OpenStack从零开始学>>。
租户操作命令:
展示租户 : 项目列表
Openstack project list
创建租户 : 项目创建描述名称
Openstack project create --description 'Demo Project' myDemoProject
禁用租户: 项目设置项目id 禁用
Openstack project set 7cc7482e8d734d6690d6e7ab3270afc0 --disable
启用租户: 项目设置项目id 启用
openstack project set 7cc7482e8d734d6690d6e7ab3270afc0 --enable
更新租户名称: 项目设置项目id名称
openstack project set 7cc7482e8d734d6690d6e7ab3270afc0 --name newProject
显示租户信息: 项目显示项目id
openstack project show 7cc7482e8d734d6690d6e7ab3270afc0
删除租户: 项目删除 项目id
openstack project delete 7cc7482e8d734d6690d6e7ab3270afc0
用户操作命令
展示所有用户: 用户列表
openstack userlist
创建用户:用户创建 密码提示 用户名称
说明:创建用户必须制定名称,可选项包括租户id和密码,建议创建用户指定可选信息,否则无法dashboard登录。
openstack usercreate --password-prompt myDemoUser
然后输入密码即可
禁用用户: 用户设置 用户名 禁用
openstack userset myDemoUser --disable
启用用户: 用户设置 用户名 启用
openstack userset myDemoUser --enable
更新用户名称: 用户设置 用户名 新名字
openstack userset myDemoUser --name newMyDemoUser
删除用户: 用户删除 用户名
openstack userdelete newMyDemoUser
角色操作命令
展示所有角色: 角色列表
openstack rolelist
创建角色: 角色创建 角色名
openstack rolecreate newMyRole
分配角色: 角色添加 用户名 租户id 角色名
说明:需要查看用户,租户,角色三个信息。实际上是分配角色给用户的同时,指定用户对应的租户信息
openstack rolelist
openstack userlist
openstack project list
openstack roleadd --user myuser --project fd3064ffb1b347a1a321a1474ea4768a myrole
确认操作结果:
角色列表 用户名 项目名
openstack rolelist --user myuser --project demo
删除角色: 角色删除 用户名 项目id 角色名
openstack roleremove --user myuser --project fd3064ffb1b347a1a321a1474ea4768a myrole
主机硬件配置模板命令
显示所有硬件配置模板: 计算组件 模板列表
nova flavor-list
创建主机类型: 计算组件 模板创建 模板名称 id 内存(MB) 硬盘(GB) cpu个数
novaflavor-create minFlavor 1000 512 5 1
说明: id参数为auto会自动生成
nova flavor-createmin auto 1024 10 1
说明: --is-public 定义模板是否共享, -rxtx-factor 定义虚拟网卡带宽
novaflavor-create --is-public true min2 auto 512 1 1 -rxtx-factor .1
命令执行失败
创建主机类型,分配给租户,时期称为私有主机类型
说明: 计算组件 模板获取添加 模板租户id
novaflavor-create --is-public false auto min2 512 5 1
novaflavor-access-add min fd3064ffb1b347a1a321a1474ea4768a
说明:通过extra_spec参数可以为已有的主机类型设置更多的限制。
查看具体信息: nova help flavor-key
删除主机类型: 计算组件 模板删除 模板id
novaflavor-delete 1000
管理安全组
作用:安全组是IP过滤规则的集合,控制对虚拟机实例的访问。可用于租户内的所有虚拟机实例。
默认:所有租户有默认安全组,可以指定其他安全组。默认安全组会拒绝对虚拟机实例内的访问,允许虚拟机向外访问
同一网络的主机节点,可以在/etc/nova/nova.conf文件中定义allow_same_net_traffic参数共享相同
安全组规则。
查看安全组:
加载环境变量
source openrcadmin admin
显示所有安全组: 计算组件 安全组列表
novasecgroup-list
显示安全组内所有规则: 计算组件 安全组列表规则 默认
novasecgroup-list-rules default
创建安全组: 计算组件 安全组创建 组名描述
novasecgroup-create AllGranted "Allow All Visited"
添加安全组规则: 计算组件 安全组添加规则 安全组名称 ip协议 源端口 目的端口 CIDR
novasecgroup-add-rule AllGranted tcp 80 80 0.0.0.0/24
查看规则是否设置成功: 计算组件 安全组列表规则 安全组名称
novasecgroup-list-rules AllGranted
删除安全组:计算组件 安全组删除 组名
novasecgroup-delete AllGranted
资源使用率统计
展示主机节点及其nova服务: 计算组件 主机列表
nova host-list
主机节点资源使用率统计信息:计算组件 主机描述 主机名称
novahost-describe localhost.localdomain
实例使用率统计
显示所有实例信息: 计算组件 列表
nova list
实例诊断信息: 计算组件 诊断 实例名称
nova diagnosticsmyinstance
查询每个租户下的资源统计信息:计算组件 使用列表
nova usage-list