OpenStack T版服务组件之Keystone身份服务

---

一、keystone身份服务

1.1Keystone身份服务概述

• Keystone是OpenStack中的一个独立的提供安全认证的模块，主要负责OpenStack用户的身份认证、领跑管理、提供访问资源的服务目录、以及基于用户角色的访问控制
• keystone类似一个服务总线，或者说是整个OpenStack框架的注册表，其他服务通过keystone来注册其服务的Endpoint（服务访问的URL），任何服务之间相互的调用，需要经过keystone的身份验证，来获得目标服务的Endpoint来找到目标服务

1.2Keystone身份服务主要功能

• 身份认证：对用户进行身份认证，并对应权限范围，令牌的发放和校验
• 用户授权：授予用户在一个服务中所拥有权限，以token令牌的方式标识用户对应拥有的权限范围
• 用户管理：提供用户访问资源的寻址功能(URL)，管理用户账户
• 服务目录：所有服务的交互、调用，均需要keystone进行认证，提供可用服务的API端点

1.3管理对象

• User：指使用Openstack service的用户，nova glance(跑在OpenStack里面，是需要一个用户进行管理的)
• Project(Tenant)：可以理解为一个人或服务所拥有的资源集合
• Role：用于划分权限，通过给User指定Role, 使User获得Role对应操作权限
• Authentication：确定用户身份的过程
• Token：是一个字符串表示，作为访问资源的令牌。Token包含了在指定范围和有效时间内可以被访问的资源
• Credentials：用于确认用户身份的凭证，用户的用户名和密码，或者是用户名和API密钥,或者身份管理服务提供的认证令牌。
• Service Openstack service, 即Openstack中运行的组件服务。如nova、swift、glance、 neutron、 cinder等
• Endpoint：一个可以通过网络来访问和定位某个Openstack service的地址,通常是一个URL(即apache的api (位置点))

1.4Keystone认证流程

• user登陆（keystone认证）
• user进入控制台/命令行界面（位置点）
• user发起创建虚拟的请求（向keystone认证指引位置点）
• 请求达到nova组件（向keystone认证）
• nova会开始执行请求，并且调用创建实例所需要的glance、neutron等资源（向keystone认证，指引对应服务的位置点）
• glance和neutron服务收到请求后（向keystone认证）
• nova 拿到资源后，调用对应资源，创建实例，最后将创建结果返回给用户

二、OpenStack-keystone组件部署

2.1OpenStack组件安装的顺序

• Keystone（apache）
• glance
• nova
• neutron
• cinder
  ①部署OpenStack组件时，需先行安装认证服务（keystone），而认证服务是使用Apache运行的，安装完成后才可以创建、管理账号，然后安装镜像服务（glance）、计算服务（nova）、网络服务(neutron)
  ②其中计算服务和网络服务分为管理端和客户端，所以需要在OpenStack的管理安装计算服务和网络服务的管理端，在创建虚拟机的node接地那上安装计算服务和网络客户端，最后安装dashboard服务，OpenStack各种组件的API都是通过Apache运行的
  ③OpenStack的管理端负责创建、管理虚拟机过程的调度
  ④通过OpenStack管理端创建虚拟机的相关数据最终都会记录到mysql（mariadb）中；node节点没有权限往数据库中写数据，只有控制端有权限，并且node节点与控制住端通讯是通过rabbitmq间接通讯，node节点会监听rabbitmq，控制端也会监听rabbitmq，控制端把创建虚拟机的指令发送到rabbitmq，由监听rabbitmq指定队列的node节点接收消息并创建虚拟机

2.2创建数据库实例和数据库用户

[root@ct ~]# mysql -uroot -p123456
MariaDB [(none)]> create database keystone;
MariaDB [(none)]> grant all privileges on keyston.* to 'keystone'@'localhost'identified by 'keystone_dbpass';
MariaDB [(none)]> grant all privileges on keystone.* to 'keystone'@'%' identified by 'keystone_dbpass';
MariaDB [(none)]> flush privileges;
MariaDB [(none)]> exit

2.3安装、配置keystone、数据库、Apache

2.3.1安装keystone、httpd、mod_wsgi

###mod_wsgi包的作用是让apache能够代理python程序的组件；OpenStack的各个组件，包括API都是用Python写的，但是访问的是apache，apache会把请求转发给Python去处理，这些包只安装在controler节点
[root@ct ~]# yum -y install openstack-keystone httpd mod_wsgi
[root@ct ~]# cd /etc/keystone/
[root@ct keystone]# cp -a keystone.conf{
   ,.bak}
[root@ct keystone]# grep -Ev "^$|#" keystone.conf.bak >keystone.conf

###通过pymysql模块访问mysql，指定用户名密码、数据库的域名、数据库名
[root@ct keystone]# openstack-config --set /etc/keystone/keystone.conf database connection mysql+pymysql://keystone:keystone_dbpass@/keystone

###指定token的提供者；提供者就是keystone自己本身
[root@ct keystone]# openstack-config --set /etc/keystone/keystone.conf token provider fernet
    //Fernet：一种安全的消息传递格式

2.3.2初始化认证服务数据库

[root@ct ~]# su -s /bin/sh -c "keystone-manage db_sync" keystone  //su切换环境；-s：指定切换的环境

2.3.3初始化fernet密钥存储库

• 以下命令会生成两个密钥，生成的密钥放于/etc/keystone/目录下，用于加密数据

[root@ct keystone]# keystone-manage fernet_setup --keystone-user keystone --keystone-group keystone
[root@ct keystone]# keystone-manage credential_setup --keystone-user keystone --keystone