openstack的keystone认证服务

最新推荐文章于 2022-11-03 20:37:18 发布
最新推荐文章于 2022-11-03 20:37:18 发布
阅读量2.2k 收藏 1
点赞数
分类专栏: OpenStack 文章标签: 云计算
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huhaiyangFIVE/article/details/111238900
版权

目录

一、keystone 简介

keystone 是OpenStack的组件之一,用于为OpenStack家族中的其它组件成员提供统一的认证服务,包括身份验证、令牌的发放和校验、服务列表、用户权限的定义等等。云环境中所有的服务之间的授权和认证都需要经过 keystone. 因此 keystone 是云平台中第一个即需要安装的服务。

二、keystone主要功能

  • 管理用户及其权限
  • 其他组件地址管理:负责存放其他组件URL路径的目录
  • 3A服务认证:账号(账户管理)、身份认证、办法授权

三、keystone基本概念

3.1 keystone介绍

在这里插入图片描述

keystone的相关概念可以以一个城市的酒店服务来举例说明:

酒店就类似于project项目,酒店提供住宿的服务service,user相当于客人,endpoint相当于客人住酒店时的询问的酒店的地址,role为角色,如客人定了个豪华套房,name他就是贵宾,定了标间,他就是普通客人,credentials相当于入住酒店时提供的身份证,酒店前台利用身份证获取身份信息并提供房间,这个过程相当于authentication,办理入住后拿到的房卡相当于token,利用token就可以刷开房间门进行住宿这项service。

① 用户(User)

  • 用户:指代任何使用 OpenStack 的实体,可以是真正的用户,其他系统或者服务。。就像Linux系统里的用户有普通用户、root、系统用户等。
  • 在OS中是通过一串字符串来表示,id
  • 用户在登录时会分配到令牌,通过令牌来访问其他服务

② 凭证(Credentials)

  • 是用户用来验证自己身份信息的数据,如令牌、用户名密码、apikey等

③ 验证( Authentication)

  • 验证是否合法、令牌是否有效(是否过期)。是 Keystone 验证 User 身份的过程。User 访问 OpenStack 时向 Keystone 提交用户名和密码形式的 Credentials,Keystone 验证通过后会给 User 签发一个 Token 作为后续访问的 Credential。

④ 令牌(Token)

  • 用于访问各个服务api或资源的一串字符串,临时令牌具有一定的时效性,过期便失效。是由数字和字母组成的字符串,User 成功 Authentication 后 Keystone 生成 Token 并分配给 User。

    • Token 用做访问 Service 的 Credential

    • Service 会通过 Keystone 验证 Token 的有效性

    • Token 的有效期默认是 24 小时

⑤ 租户( oject)

  • 独立的资源容器。oject 用于将 OpenStack 的资源(计算、存储和网络)进行分组和隔离。
    根据 OpenStack 服务的对象不同,Project 可以是一个客户(公有云,也叫租户)、部门或者项目组(私有云)。

    这里请注意:

    • 资源的所有权是属于 Project 的,而不是 User。
    • 在 OpenStack 的界面和文档中,Tenant / Project / Account 这几个术语是通用的,但长期看会倾向使用 Project
    • 每个 User(包括 admin)必须挂在 Project 里才能访问该 Project 的资源。 一个User可以属于多个 Project。
    • admin 相当于 root 用户,具有最高权限
    • Horizon 在 Identity->Projects 中管理 Project
    • 通过 Manage Members 将 User 添加到 Project

⑥ 服务(service)

  • OS中提供的服务,如glance镜像,nova计算,swift存储。服务提供了一个或多个端口以供访问。(OpenStack 的 Service 包括 Compute (Nova)、Block Storage (Cinder)、Object Storage (Swift)、Image Service (Glance) 、Networking Service (Neutron) 等。每个 Service 都会提供若干个 Endpoint,User 通过 Endpoint 访问资源和执行操作。)

⑦ 端点、端口(Endpoint)

  • 用于访问某个服务的URL地址,api接口。

  • 一个端点模板包含一个URL列表,列表中的每个URL都对应一个服务实例的访问地址并且具有三种权限

    • Admin:只能被管理员访问

    • Public:可以被全局访问

    • Private:只能被openstack 内部服务访问

⑧ 角色(Role)

  • 用户权限的集合,如管理员拥有最高权限。Role就是角色。Role代表一组用户可以访问的资源权限。例如Nova中的虚拟机、Glance中的镜像。Users可以被添加到任意一个全局的或者租户内的角色中。在全局的role中,用户的role权限作用于所有的租户,也就是说所有的租户都有角色role所规定的权限;在租户内的role中,用户仅拥有租户内橘色规定的权限。

3.2 Keystone基本架构

在这里插入图片描述

  • Token: 用来生成和管理token

  • Catalog:用来存储和管理service/endpoint

  • Identity:用来管理tenant/user/role和验证

  • Policy:用来管理访问权限

3.2 访问请求控制(Token)

  • Service(nova,glance,swift等服务需要在keystone上注册)
  • Endpoint(service暴露出来的访问地址)
  • Token(访问资源的令牌,具有时效性)

3.4 注册表服务 (Catalog)

openstack服务需要注册到keystone注册表中

四、keystone 工作流程

4.1 工作流程图

在这里插入图片描述

4.2 工作过程描述

  • ① user使用命令或控制台登录,需要先将自己的资格证书发给keystone,认证成功后,keystone会给与用户一个临时令牌和一个访问服务的端点
  • ② user把临时的令牌交给keystone,发送创建虚拟机请求,nova收到令牌后,会向拿着令牌向keystone确认合法性,keystone认证成功后返回给nova
  • ③ nova创建虚拟机需要镜像,所以拿着请求镜像服务的令牌给与glance服务,glance收到令牌后拿着令牌向keystone认证合法性,keystone认证成功后返回给glance,此时glance服务将nova所请求的镜像给与nova
  • ④ nova创建虚拟机需要虚拟网络,所以向neutron发出请求,neutron收到nova给与的令牌向keystone认证合法性,是否可用,keystone认证成功后返回给neutron,随即neutron给与nova提供所需的网络服务
  • ⑤ 最后nova服务开始创建vm虚拟机,创建完成后返回信息给user: the vm is create sucessfull
-黄油小熊-
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Keystone验证过程
云计算
11-27 2475
Keystone验证过程 使用nova list命令跟踪: /usr/lib/python2.6/site-packages/novaclient/shell.py 667行 其中self.cs.authenticate()主要是去keystone获取token ,具体方法如下:   /usr/lib/python2.6/site-packages/novaclient/cli
keystone 身份验证流程(1)
spch2008的专栏
07-19 6967
之前在网上看到一张keystone工作流程图,如下:     credentials实际就是用户名,密码种类的东西。通过用户名与密码向keystone进行注册,取得一个token。   curl -d '{"auth": {"tenantName": "$YOUR_TENANT_NAME", "passwordCredentials":{"username": "$YOUR_USER_N
Openstack组件实现原理 — Keystone认证功能
weixin_34348111的博客
06-18 483
目录 目录 前言 Keystone安装列表 Keystone架构 Keystone的管理对象 一个理解Keystone管理对象功能的例子 Keystone管理对象之间的关系 Keystone V3的新特性 V3的改进 Authorization授权功能的应用 Authentication认证功能的应用过程 ...
OpenStack Victoria搭建(五) Keystone认证服务
qq_40277608的博客
07-01 1222
OpenStack环境搭建,keystone
Openstack Keystone 认证流程(八)--总结
02-16 1801
花了差不多一星期的时间,总算是坚持下来了。以前都不太喜欢到处贴代码的风格,但是轮到自己,还是一样。 最后一篇,就不再贴代码了。前面对用户名及密码认证基本上都过了一次。但里面都是很细节的东西,而且没有太多的逻辑及框架, 最后一篇, 基于问题及框架来总结下。Q: KeystoneOpenstack中是干什么的? Keystone是进行3A认证的, 是所有服务的起始点,只有经过认证,其它的服务才会认
OpenStack——认证服务Keystone
01-27
KeystoneOpenStackIdentityService)是OpenStack框架中,负责身份验证、服务规则和服务令牌的功能, 它实现了OpenStack的IdentityAPI。Keystone类似一个服务总线,或者说是整个Openstack框架的注册表, 其他服务...
Openstack组件实现原理—Keystone认证功能
02-24
Keystone安装列表Openstack组件部署—Overview和前期环境准备Openstack组建部署—EnvironmentofControllerNodeOpenstack组件部署—Keystone功能介绍与认证实现流程Openstack组件部署—KeystoneInstall&...
OpenStack认证服务Keystone
最新发布
01-13
OpenStack认证服务Keystone是云平台的核心组件之一,它负责提供身份管理和授权服务,确保只有经过验证的用户和应用程序可以访问资源。Keystone通过颁发、验证和管理身份令牌来控制OpenStack服务的访问。 安装与...
openstack keystone 命令详细.docx
01-02
OpenStack KeystoneOpenStack 中的核心服务,主要负责身份管理和授权。它提供了认证服务目录、令牌管理和租户管理等核心功能。在使用 Keystone 的命令行工具时,了解和掌握相关命令是十分重要的。 1. 用户...
Openstack Keystone 认证流程(二)--门
02-09 2410
千里之行, 始于脚下Linus 大师有名名言:talk is cheap show me the code 这里我们借用一下大师的风格, 从代码开始。 代码版本: keystone-2013.2.1 1. 认证API及结果对于Openstack来说, 执行任何命令的第一件事, 就是进行认证。 我们可以先看看认证是怎么进行的。以下命令摘自:OpenStack API Quick Start
Openstack组件部署 — Keystone功能介绍与认证实现流程
weixin_33998125的博客
06-13 448
目录 目录 前文列表 Keystone认证服务 Keystone认证服务中的概念 Keystone的验证过程 简单来说 前文列表 Openstack组件部署 — Overview和前期环境准备 Openstack组建部署 — Environment of Controller Node Keys...
openstack(T版):keystone认证
Ryougi_Shiki_uio的博客
08-24 621
keystone身份认证服务 keystone的主要功能 keystone的管理对象 keystone认证流程 keystone服务的部署
Openstack组件---KeyStone(2)
f791473571的博客
07-10 392
keystone的四种Token token 是用户的一种凭证,需拿正确的用户名/密码向 Keystone 申请才能得到。如果用户每次都采用用户名/密码访问 OpenStack API,容易泄露用户信息,带来安全隐患。所以 OpenStack 要求用户访问其 API 前,必须先获取 token,然后用 token 作为用户凭据访问 OpenStack API。 Token类型 由来 UUID D 版本时,仅有 UUID 类型的 Token,UUID token 简单易用,却容易给 Keyst
OpenStackkeystone简介
qq_28705319的博客
01-19 1154
1.什么是keystone keystoneOpenStack Identity Service 的项目名称,是一个负责身份管理与授权的组件。 主要功能:实现用户的身份认证,基于角色的权限管理,及openstack其他组件的访问地址和安全策略管理 2.为什么要有keystone OpenStack是一个庞大的组合,各个组件之间的通讯免不了会有安全风险,keystone就是各个组件之
Keystone— 身份认证服务
weixin_30551963的博客
12-21 260
1.keystone 一.Keystone 做下面这几件事情: 1、管理用户及其权限 2、维护 OpenStack Services 的 Endpoint 3、Authentication(认证)和 Authorization(鉴权) 二. keystone 的概念 User:指使用Openstack service的用户,...
OpenStack Keystone架构一:Keystone基础
weixin_33831673的博客
11-15 527
一 什么是keystone keystoneOpenStack的身份服务,暂且可以理解为一个'与权限有关'的组件。 二 为何要有keystone Keystone项目的主要目的是为访问openstack的各个组件(nova,cinder,glance...)提供一个统一的验证方式,具体的: openstack是由众多组件构成的一套系统,该系统的功能是...
OpenStackkeystone
weixin_45039547的博客
11-03 1522
keystone的功能及认证流程
Keystone认证服务详细操作流程
weixin_57994384的博客
05-12 3303
第3章 全局服务类部署(上) 3.1 认证服务 3.1.1 服务简介 做为云操作系统的Keystone认证服务,主要提供两个功能: ①用户身份认证:为系统提供是否为合法用户的判断功能。对user的管理和保存,管理user的tenant、role、group、domain等,保存user的存放、验证、令牌管理等。 ②服务目录列表:显示系统提供的服务列表。其他服务通过keystone来注册其服务的Endpoint(服务访问的URL),任何服务之间的相互调用,需要经过keystone的身份验证来获得目标
openstack详解(七)——Keystone介绍
永远是少年
06-02 2059
今天继续给大家介绍Linux运维相关知识,本文主要内容是openstack Keystone介绍。 一、Keystone作用 二、用户认证介绍 三、服务目录介绍
OpenStack认证服务Keystone详解
它为OpenStack的其他服务提供认证功能,使得外部请求在调用OpenStack服务时必须先通过Keystone获取有效的Token。同时,Keystone也负责维护服务端点信息,确保服务的可发现性。 2. Keystone架构 Keystone的架构设计...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值