【openstack】Nova中的policy

本文深入探讨了Nova系统中基于policy.json的权限控制机制,特别是如何通过policy.json文件定义不同操作的策略,以实现对创建虚拟机等操作的权限管理。详细解释了rule、role和generic三种策略类型及其工作原理,以及Nova如何动态更新策略而不需重启进程。
摘要由CSDN通过智能技术生成

Nova中的policy

本博客欢迎转发,但请保留原作者信息!内容系本人学习、研究和总结,如有雷同,实属荣幸!

任何对外暴露接口的系统,都必须有分权分域以及认证鉴权的功能。在openstack中,keystone组件用来对用户进行认证,说白了就是看用户是否是系统的合法用户,而policy机制则主要看用户的操作是否满足特定的条件,比如一些接口是特权接口(仅限管理员使用),普通用户不允许调用。下面以Nova中创建虚拟机为例,讲述Nova中policy机制的原理。

在nova.compute.api.API::create()函数中:



<!--[endif]-->

_check_create_policies函数就是完成校验的工作。


首先,policy.json文件预定义了不同操作的策略,目前有三种类型策略,rule类型,role类型,generic类型。1.rule定义了一些要从文件中读取的规则,比如rule:admin_or_owner,admin_or_owner的定义内容需要再从文件中读取。

2.role定义了基于用户身份(context[‘roles’])的规则,比如role:admin,要求只有admin用户才能匹配成功。

3.generic类型基于参数,比如project_id:%(project_id)s,其中%(project_id)是通过参数中的字典传递进来的,然后会与context中的project_id作比较。而is_admin:True则是直接将True与context中is_admin的值作比较。

举个例子:

"admin_or_owner": [["is_admin:True"], ["project_id:%(project_id)s"]],

"compute:create": [["rule:admin_or_owner"]],

这是定义创建虚拟机操作的策略。表示只有admin或tenant内的用户可以进行创建虚拟机操作。

其次,每次进行判断前,都会对policy.json文件进行读取,如果文件相对前一次读取没有改变,则直接从缓存中获取文件内容,否则重新读取文件内容。这也是Nova支持动态策略的原因,即可以根据需要动态的修改policy.json的内容,而不需要重启进程即可让策略生效。

貌似Quantum中的policy机制与Nova类似,在Quantum Admin Guide中的Authentication and Authorization章节也有阐述。大家可以作为参考。


PS: 新手初学,不严谨或不正确的地方,望各路大神指正!

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值