OpenStack网络指南(24)基于角色的访问控制 (RBAC)

最新推荐文章于 2024-09-29 08:36:43 发布
最新推荐文章于 2024-09-29 08:36:43 发布
阅读量2.4k 收藏
点赞数
分类专栏: openstack网络指南 文章标签: openstack
本文介绍了基于角色的访问控制(RBAC)策略框架的应用方法,包括如何授予特定项目的资源访问权,以及如何创建、查看和删除RBAC策略条目。同时探讨了共享标志与RBAC条目的关系。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

基于角色的访问控制(RBAC)策略框架允许运营商和用户授予对特定项目的资源的访问权。

支持的对象与特定项目共享

目前,可以使用此功能授予的访问权限受以下支持:
网络上的常规端口创建权限(自Liberty)。
绑定QoS策略权限到网络或端口(自Mitaka)。
将路由器网关连接到网络(自Mitaka)。

与特定项目共享对象

通过创建允许目标项目对该对象的access_as_shared操作的策略条目来实现与特定项目共享对象。

与特定项目共享网络

创建要共享的网络:

$ neutron net-create secret_network

Created a new network:
+---------------------------+--------------------------------------+
| Field                     | Value                                |
+---------------------------+--------------------------------------+
| admin_state_up            | True                                 |
| id                        | 6532a265-43fb-4c8c-8edb-e26b39f2277c |
| mtu                       | 1450                                 |
| name                      | secret_network                       |
| port_security_enabled     | True                                 |
| provider:network_type     | vxlan                                |
| provider:physical_network |                                      |
| provider:segmentation_id  | 1031                                 |
| router:external           | False                                |
| shared                    | False                                |
| status                    | ACTIVE                               |
| subnets                   |                                      |
| tenant_id                 | de56db175c1d48b0bbe72f09a24a3b66     |
+---------------------------+--------------------------------------+

使用neutron rbac-create命令创建策略条目(在此示例中,我们要共享的项目的ID为e28769db97d9449da658bc6931fcb683):

$ neutron rbac-create --target-tenant e28769db97d9449da658bc6931fcb683 \
  --action access_as_shared --type network 6532a265-43fb-4c8c-8edb-e26b39f2277c

Created a new rbac_policy:
+---------------+--------------------------------------+
| Field         | Value                                |
+---------------+--------------------------------------+
| action        | access_as_shared                     |
| id            | 1edebaf8-3fa5-47b9-b3dd-ccce2bd44411 |
| object_id     | 6532a265-43fb-4c8c-8edb-e26b39f2277c |
| object_type   | network                              |
| target_tenant | e28769db97d9449da658bc6931fcb683     |
| tenant_id     | de56db175c1d48b0bbe72f09a24a3b66     |
+---------------+--------------------------------------+

target-tenant参数指定需要访问网络的项目。 action参数指定项目允许执行的操作。 type参数表示目标对象是网络。 最后一个参数是我们授予访问权限的网络的ID。
项目e28769db97d9449da658bc6931fcb683现在将能够看到网络运行neutron net-list和neutron net-show时,也将能够在该网络上创建端口。 其他用户(管理员和所有者除外)将无法查看网络。
要删除该项目的访问,请删除允许使用neutron rbac-delete命令的策略:

$ neutron rbac-delete 1edebaf8-3fa5-47b9-b3dd-ccce2bd44411
Deleted rbac_policy: 1edebaf8-3fa5-47b9-b3dd-ccce2bd44411

如果该项目在网络上有端口,则服务器将阻止在端口被删除之前删除策略:

$ neutron rbac-delete 1edebaf8-3fa5-47b9-b3dd-ccce2bd44411
RBAC policy on object 6532a265-43fb-4c8c-8edb-e26b39f2277c
cannot be removed because other objects depend on it.

该过程可以重复任何次数以共享具有任意数量的项目的网络。

与特定项目共享QoS策略

创建用于共享的QoS策略:

$ neutron qos-policy-create secret_policy

Created a new policy:
+-------------+--------------------------------------+
| Field       | Value                                |
+-------------+--------------------------------------+
| description |                                      |
| id          | e45e6917-3f3f-4835-ad54-d12c9151541d |
| name        | secret_policy                        |
| rules       |                                      |
| shared      | False                                |
| tenant_id   | 5b32b072f8354942ab13b6decb1294b3     |
+-------------+--------------------------------------+

使用neutron rbac-create命令创建RBAC策略条目(在此示例中,我们要共享的项目的ID为a6bf6cfbcd1f4e32a57d2138b6bd41d1):

$ neutron rbac-create --target-tenant a6bf6cfbcd1f4e32a57d2138b6bd41d1 \
  --action access_as_shared --type qos-policy e45e6917-3f3f-4835-ad54-d12c9151541d

Created a new rbac_policy:
+---------------+--------------------------------------+
| Field         | Value                                |
+---------------+--------------------------------------+
| action        | access_as_shared                     |
| id            | ec2e3db1-de5b-4043-9d95-156f582653d0 |
| object_id     | e45e6917-3f3f-4835-ad54-d12c9151541d |
| object_type   | qos_policy                           |
| target_tenant | a6bf6cfbcd1f4e32a57d2138b6bd41d1     |
| tenant_id     | 5b32b072f8354942ab13b6decb1294b3     |
+---------------+--------------------------------------+

target-tenant参数指定需要访问QoS策略的项目。 action参数指定项目允许执行的操作。 type参数表示目标对象是QoS策略。 最后一个参数是我们授予访问权限的QoS策略的ID。
项目a6bf6cfbcd1f4e32a57d2138b6bd41d1现在将能够看到运行neutron qos-policy-list和neutron qos-policy-show的QoS策略,并且也能够将其绑定到其端口或网络。 没有其他用户(管理员和所有者除外)将能够看到QoS策略。
要删除该项目的访问,请删除允许使用neutron rbac-delete命令的RBAC策略:

$ neutron rbac-delete e45e6917-3f3f-4835-ad54-d12c9151541d
Deleted rbac_policy: e45e6917-3f3f-4835-ad54-d12c9151541d

如果该项目具有应用QoS策略的端口或网络,则服务器将不会删除RBAC策略,直到QoS策略不再使用:

$ neutron rbac-delete e45e6917-3f3f-4835-ad54-d12c9151541d
RBAC policy on object e45e6917-3f3f-4835-ad54-d12c9151541d
cannot be removed because other objects depend on it.

此过程可以重复任意次数,以与任意数量的项目共享qos策略。

“共享”标志如何与这些条目相关

如其他指南条目中所介绍的,neutron提供了一种使对象(网络,qos策略)可用于每个项目的手段。 这是使用支持的对象上的共享标志完成的:

$ neutron net-create global_network --shared

Created a new network:
+---------------------------+--------------------------------------+
| Field                     | Value                                |
+---------------------------+--------------------------------------+
| admin_state_up            | True                                 |
| id                        | 9a4af544-7158-456d-b180-95f2e11eaa8c |
| mtu                       | 1450                                 |
| name                      | global_network                       |
| port_security_enabled     | True                                 |
| provider:network_type     | vxlan                                |
| provider:physical_network |                                      |
| provider:segmentation_id  | 1010                                 |
| router:external           | False                                |
| shared                    | True                                 |
| status                    | ACTIVE                               |
| subnets                   |                                      |
| tenant_id                 | de56db175c1d48b0bbe72f09a24a3b66     |
+---------------------------+--------------------------------------+

这相当于在网络上创建一个允许每个项目在该网络上执行操作access_as_shared的策略。 Neutron将它们视为同一个东西,因此该网络的策略条目应该使用neutron rbac-list命令可见:

$ neutron rbac-list

+--------------------------------------+-------------+--------------------------------------+
| id                                   | object_type | object_id                            |
+--------------------------------------+-------------+--------------------------------------+
| ec2e3db1-de5b-4043-9d95-156f582653d0 | qos_policy  | e45e6917-3f3f-4835-ad54-d12c9151541d |
| e7b7a4a7-8c3e-4003-9e15-5a9464c1ecea | network     | fcc63ae1-c56e-449d-8fb0-4f49f3cc8b55 |
+--------------------------------------+-------------+--------------------------------------+

使用neutron rbac-show命令查看详细信息:

$ neutron rbac-show fcc63ae1-c56e-449d-8fb0-4f49f3cc8b55

+---------------+--------------------------------------+
| Field         | Value                                |
+---------------+--------------------------------------+
| action        | access_as_shared                     |
| id            | fcc63ae1-c56e-449d-8fb0-4f49f3cc8b55 |
| object_id     | 9a4af544-7158-456d-b180-95f2e11eaa8c |
| object_type   | network                              |
| target_tenant | *                                    |
| tenant_id     | de56db175c1d48b0bbe72f09a24a3b66     |
+---------------+--------------------------------------+

输出显示该条目允许网络类型的对象9a4af544-7158-456d-b180-95f2e11eaa8c上的操作access_as_shared target_tenant *,这是表示所有项目的通配符。
当前,共享标志仅仅是到网络的底层RBAC策略的映射。 在网络上将标志设置为True会创建一个通配符RBAC条目。 将其设置为False将删除通配符条目。
当运行neutron net-list或neutron net-show时,共享标志由服务器根据每个网络的调用项目和RBAC条目计算。 对于QoS对象,分别使用neutron qos-policy-list或neutron qos-policy-show。 如果有通配符条目,共享标志总是设置为True。 如果只有与特定项目共享的条目,则只有该对象共享的项目才会看到该标志为True,其余将看到该标志为False。

允许将网络用作外部网络

要使网络可用作特定项目(而不是所有项目)的外部网络,请使用access_as_external操作。
1.创建要作为外部网络使用的网络:

$ neutron net-create secret_external_network

Created a new network:
+---------------------------+--------------------------------------+
| Field                     | Value                                |
+---------------------------+--------------------------------------+
| admin_state_up            | True                                 |
| availability_zone_hints   |                                      |
| availability_zones        |                                      |
| created_at                | 2016-04-30T06:51:46                  |
| description               |                                      |
| id                        | f9e39715-f7da-4bca-a74d-fc3675321661 |
| ipv4_address_scope        |                                      |
| ipv6_address_scope        |                                      |
| mtu                       | 1450                                 |
| name                      | secret_external_network              |
| port_security_enabled     | True                                 |
| provider:network_type     | vxlan                                |
| provider:physical_network |                                      |
| provider:segmentation_id  | 1073                                 |
| router:external           | False                                |
| shared                    | False                                |
| status                    | ACTIVE                               |
| subnets                   |                                      |
| tags                      |                                      |
| tenant_id                 | dfe49b63660e494fbdbf6ad2ca2a810f     |
| updated_at                | 2016-04-30T06:51:46                  |
+---------------------------+--------------------------------------+

2.使用neutron rbac-create命令创建策略条目(在此示例中,我们要共享的项目的ID为e28769db97d9449da658bc6931fcb683):
target-tenant参数指定需要访问网络的项目。 action参数指定项目允许执行的操作。 type参数指示目标对象是网络。 最后一个参数是我们授予外部访问权限的网络的ID。
现在项目e28769db97d9449da658bc6931fcb683能够看到网络当运行neutron net-list和neutron net-show并且可以连接路由器网关端口到那个网络。 没有其他用户(管理员和所有者除外)能够查看网络。
要删除该项目的访问,请删除允许使用neutron rbac-delete命令的策略:

$ neutron rbac-delete c26b3b05-5781-48a1-a36a-fb63072b5e56
Deleted rbac_policy: c26b3b05-5781-48a1-a36a-fb63072b5e56

如果该项目具有连接到该网络的路由器网关端口,则服务器防止在端口被删除之前删除该策略:

$ neutron rbac-delete c26b3b05-5781-48a1-a36a-fb63072b5e56
RBAC policy on object f9e39715-f7da-4bca-a74d-fc3675321661
cannot be removed because other objects depend on it.

该过程可以重复任何次数,以使网络可用作任意数量的项目的外部。
如果网络在创建期间标记为外部,它现在隐式地创建通配符RBAC策略,授予每个人访问以保留之前的行为,然后添加此功能。

$ neutron net-create global_external_network --router:external

Created a new network:
+---------------------------+--------------------------------------+
| Field                     | Value                                |
+---------------------------+--------------------------------------+
| admin_state_up            | True                                 |
| availability_zone_hints   |                                      |
| availability_zones        |                                      |
| created_at                | 2016-04-30T07:00:57                  |
| description               |                                      |
| id                        | cb78991c-cdde-445b-a8ca-d819b9266756 |
| ipv4_address_scope        |                                      |
| ipv6_address_scope        |                                      |
| is_default                | False                                |
| mtu                       | 1450                                 |
| name                      | global_external_network              |
| port_security_enabled     | True                                 |
| provider:network_type     | vxlan                                |
| provider:physical_network |                                      |
| provider:segmentation_id  | 1007                                 |
| router:external           | True                                 |
| shared                    | False                                |
| status                    | ACTIVE                               |
| subnets                   |                                      |
| tags                      |                                      |
| tenant_id                 | dfe49b63660e494fbdbf6ad2ca2a810f     |
| updated_at                | 2016-04-30T07:00:57                  |
+---------------------------+--------------------------------------+

在标准路由器上方的输出中:external属性为True,如预期。 现在,通配符策略在RBAC策略列表中可见:

$ neutron rbac-list --object_id=cb78991c-cdde-445b-a8ca-d819b9266756 \
  -c id -c target_tenant

+--------------------------------------+---------------+
| id                                   | target_tenant |
+--------------------------------------+---------------+
| 2b72fe2e-20cf-4856-af12-3ac0733604d8 | *             |
+--------------------------------------+---------------+

您可以使用与任何其他RBAC access_as_external策略相同的约束来修改或删除此策略。

防止常规用户彼此共享对象

默认的policy.json文件不允许普通用户使用通配符与每个其他项目共享对象; 但是,它将允许他们与特定项目ID共享对象。
如果操作员希望阻止正常用户执行此操作,则policy.json中的“create_rbac_policy”:条目可以从“”调整为“rule:admin_only”。

OpenStack 认证管理
skrloinking的博客
09-04 143
OpenStack Identity,代号为Keystone,是OpenStack默认的身份管理系统如图所示,Keystone属于共享服务层,为OpenStack其他项目提供认证。
OpenStack Newton部署官方指南
loveoneselfok的博客
08-31 1311
作者:独笔孤行@TaoCloud 本文档主要基于OpenStack官方文档,对官方文档加以更加详细的说明和解读,更适合新手部署学习OpenStack。 官方文档中主要为英文,只有M版和L版有中文版,但存在部分翻译错误,不建议新手使用。在此提供官方文档链接:https://docs.openstack.org/newton/install/ 若在虚拟机中部署OpenStack网络要选择vxla...
OpenStack组件间的关系及控制访问流程
热爱我的热爱
12-20 991
组件间的关系: Horizon和KeyStone服务和所有组件都有联系 剩下的服务都是以虚拟机为主体进行运转 控制访问流程图:
访问控制技术
daydayup8888的博客
06-12 1193
因为我所参与的项目涉及到访问控制,所以总结出几种比较常见访问控制以及openstack内部的访问控制。 1.访问列表 2.基于角色 3.基于属性(ABAC) 基于属性的访问控制是以决策过程中涉及的相关实体的属性(而不仅仅是标识)为基础涉及的一种访问控制机制。它能够根据相关实体属性的动态变化,适时更新访问控制决策,从而提供一种细粒度、更灵活的访问控制方法。 ABAC利用现有实体(用户、资源、
openstack 好文
weixin_34205826的博客
03-21 545
别以为真懂Openstack: 虚拟机创建的50个步骤和100个知识点 2016年08月14日 20:33:47 peach_li 阅读数:12256 转载自...
OpenStack(Train版)安装部署(十四)】之Keystone的API测试,报错处理
开发小鸽
10-07 2106
文章目录本文章由公号【开发小鸽】发布!欢迎关注!!!1.OpenStack Rest API介绍2.Identity鉴权服务的API使用(1)概述(2)错误响应码对应的原因(3)获取用户的登录token信息(4)获取token对应的服务目录(5)获取token对应的项目范围(6)获取token对应的domain域(7)获取某个用户的程序凭证信息(8)获取某个用户的访问规则(9)获取所有的项目信息(10)创建用户的程序凭证信息(11)解决403报错问题(12)解决401报错问题(13)获取所有的域信息(14)
OpenStack云管理指南
04-05
最后,指南会指导管理员如何启动身份服务,并提供使用用户名和密码的认证中间件示例,以及基于角色访问控制RBAC)来保护身份API。 3. 仪表板 仪表板部分通常会介绍如何自定义OpenStack仪表板,例如Horizon,...
OpenStack中的身份认证与访问管理
OpenStack的身份和访问管理中,RBAC(基于角色访问控制)和ABAC(基于属性的访问控制)是两种常见的权限管理方式。RBAC关注用户的角色角色定义了权限集合,用户通过角色获得相应的权限。ABAC则更加灵活,它...
云计算Openstack Cinder
最新发布
王小工小工历程
09-29 1944
提供REST API:允许用户通过HTTP请求查询和管理卷(volume)、卷快照(volume snapshot)以及卷类型(volume type)等存储资源。响应请求:接收来自客户端(如OpenStack Dashboard、命令行工具等)的请求,并调用Cinder的其他子组件(如cinder-volume、cinder-scheduler)来处理这些请求。验证和授权:在处理请求之前,通常会验证客户端的身份和权限,确保只有合法的用户才能访问存储资源。
OpenStack建设公有云平台实践
10-18
例如,利用Neutron的安全组功能可以实现网络级别的访问控制,Keystone提供基于角色访问控制RBAC),以确保只有授权的用户和应用才能访问云资源。 总的来说,《OpenStack建设公有云平台实践》这本书深入浅出地...
OpenStack 入门体验
Linux运维老纪的博客
08-20 735
openStack 是一个通过数据中心控制计算资源、存储资源和网络资源的云平台。同时它又是一款开源软件,以 Apache 许可证授权的自由软件和开放源代码项目,支持所有类型的云环境。OpenStack 的目标是提供简单实施、可扩展以及丰富功能集的云产品,来自全世界的云计算专家共同维护该云项目。OpenStack 通过多种补充服务提供了 IaaS 解决方案,每一种服务均提供了相应的应用程序接口(简称 API), 以促进各组件之间的整合。本章详细介绍OpenStack云平台部署。
Neutron Role-based Access Control for Networks
weixin_33824363的博客
08-01 67
neutron的rbac可以简单认为是用于网络共享给其它项目的。社区实现的bp:https://review.openstack.org/#/c/192555/ 具体操作:https://developer.rackspace.com/blog/A-First-Look-at-RBAC-in-the-Liberty-Release-of-Neutron/ 转载于:h...
RBAC 操作与实现
赤焰军
09-27 4308
1 RBAC简介 RBAC(Role-Based Access Control)策略框架使得操作者允许一个或多个项目(租户)访问自己的资源。通过创建rbac_policy,指定action{access_as_share,access_as_external}、target_tenant_id、object_type{network, qos_policy}等参数来完成。     RBAC可指
Openstack horizon 通过policy进行定制化
Lan Qi Song 的博客
12-04 1711
Openstack的horzion组件目前只提供了部分的Openstack管理操作,有些功能只能通过命令行完成,命令行对于没有技术背景的客户来说是一种很糟糕的体验。同时,horzion中一些功能的默认权限可能并不完全符合某些客户的应用场景,所有经常有必要对horizon进行一些定制化的处理。 Openstack admin guide只介绍了简单的定制化处理,包括网站的标题、logo以及
OpenStack Keystone (2): 角色权限管理
金锐谈云
03-27 4386
Keystone中角色(role上)的存在就是为了控制不同的用户所拥有的权限,例如是否可以创建volume,是否能够创建computer等等。 在OpenStack中不同角色权限的控制在文件/etc/SERVICE_NAME/policy.json中设置,例如文件/etc/nova/policy.json中指定不同角色对计算服务的访问策略和权限,文件/etc/glance/policy.json中...
您必须了解的4种OpenStack Neutron网络类型
cumj63710的博客
06-25 4172
如果您托管的OpenStack虚拟实例需要网络连接,则必须创建一个网络。 有多种类型的网络,为了做出正确的选择,您至少需要了解两个非常重要的网络属性:“ router:external”和“ shared”。 除非您知道这些属性及其组合的含义,否则很难做出最佳的网络选择。 在本文中,我们将解释这些属性指示的四种网络类型以及如何配置它们,并简要解释一些典型的用例。 其中一些练习适用于租户,而...
OpenStack公共组件oslo之十二——oslo.policy
上善若水的木偶戏
11-30 3891
        众所周知,OpenStack使用基于角色的权限访问控制RBAC),在RBAC中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简化了权限的管理。在一个组织中,角色是为了完成各种工作而创造,用户则依据它的责任和资格来被指派相应的角色,用户可以很容易地从一个角色被指派到另一个角色角色可依新的需求和系统的合并而赋予新的权限,而权限也可根据需要而从某角色中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值