OpenStack T版服务组件之Keystone身份服务

最新推荐文章于 2024-05-19 17:03:37 发布
最新推荐文章于 2024-05-19 17:03:37 发布
阅读量678 收藏 1
点赞数
文章标签: 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiaoshu__/article/details/119881383
版权

文章目录

一、keystone身份服务

1.1Keystone身份服务概述

  • Keystone是OpenStack中的一个独立的提供安全认证的模块,主要负责OpenStack用户的身份认证、领跑管理、提供访问资源的服务目录、以及基于用户角色的访问控制
  • keystone类似一个服务总线,或者说是整个OpenStack框架的注册表,其他服务通过keystone来注册其服务的Endpoint(服务访问的URL),任何服务之间相互的调用,需要经过keystone的身份验证,来获得目标服务的Endpoint来找到目标服务

1.2Keystone身份服务主要功能

  • 身份认证:对用户进行身份认证,并对应权限范围,令牌的发放和校验
  • 用户授权:授予用户在一个服务中所拥有权限,以token令牌的方式标识用户对应拥有的权限范围
  • 用户管理:提供用户访问资源的寻址功能(URL),管理用户账户
  • 服务目录:所有服务的交互、调用,均需要keystone进行认证,提供可用服务的API端点

1.3管理对象

  • User:指使用Openstack service的用户,nova glance(跑在OpenStack里面,是需要一个用户进行管理的)
  • Project(Tenant):可以理解为一个人或服务所拥有的资源集合
  • Role:用于划分权限,通过给User指定Role, 使User获得Role对应操作权限
  • Authentication:确定用户身份的过程
  • Token:是一个字符串表示,作为访问资源的令牌。Token包含了在指定范围和有效时间内可以被访问的资源
  • Credentials:用于确认用户身份的凭证,用户的用户名和密码,或者是用户名和API密钥,或者身份管理服务提供的认证令牌。
  • Service Openstack service, 即Openstack中运行的组件服务。如nova、swift、glance、 neutron、 cinder等
  • Endpoint:一个可以通过网络来访问和定位某个Openstack service的地址,通常是一个URL(即apache的api (位置点))

1.4Keystone认证流程

  • user登陆(keystone认证)
  • user进入控制台/命令行界面(位置点)
  • user发起创建虚拟的请求(向keystone认证指引位置点)
  • 请求达到nova组件(向keystone认证)
  • nova会开始执行请求,并且调用创建实例所需要的glance、neutron等资源(向keystone认证,指引对应服务的位置点)
  • glance和neutron服务收到请求后(向keystone认证)
  • nova 拿到资源后,调用对应资源,创建实例,最后将创建结果返回给用户

二、OpenStack-keystone组件部署

2.1OpenStack组件安装的顺序

  • Keystone(apache)
  • glance
  • nova
  • neutron
  • cinder
    ①部署OpenStack组件时,需先行安装认证服务(keystone),而认证服务是使用Apache运行的,安装完成后才可以创建、管理账号,然后安装镜像服务(glance)、计算服务(nova)、网络服务(neutron)
    ②其中计算服务和网络服务分为管理端和客户端,所以需要在OpenStack的管理安装计算服务和网络服务的管理端,在创建虚拟机的node接地那上安装计算服务和网络客户端,最后安装dashboard服务,OpenStack各种组件的API都是通过Apache运行的
    ③OpenStack的管理端负责创建、管理虚拟机过程的调度
    ④通过OpenStack管理端创建虚拟机的相关数据最终都会记录到mysql(mariadb)中;node节点没有权限往数据库中写数据,只有控制端有权限,并且node节点与控制住端通讯是通过rabbitmq间接通讯,node节点会监听rabbitmq,控制端也会监听rabbitmq,控制端把创建虚拟机的指令发送到rabbitmq,由监听rabbitmq指定队列的node节点接收消息并创建虚拟机

2.2创建数据库实例和数据库用户

[root@ct ~]# mysql -uroot -p123456
MariaDB [(none)]> create database keystone;
MariaDB [(none)]> grant all privileges on keyston.* to 'keystone'@'localhost'identified by 'keystone_dbpass';
MariaDB [(none)]> grant all privileges on keystone.* to 'keystone'@'%' identified by 'keystone_dbpass';
MariaDB [(none)]> flush privileges;
MariaDB [(none)]> exit

2.3安装、配置keystone、数据库、Apache

2.3.1安装keystone、httpd、mod_wsgi

###mod_wsgi包的作用是让apache能够代理python程序的组件;OpenStack的各个组件,包括API都是用Python写的,但是访问的是apache,apache会把请求转发给Python去处理,这些包只安装在controler节点
[root@ct ~]# yum -y install openstack-keystone httpd mod_wsgi
[root@ct ~]# cd /etc/keystone/
[root@ct keystone]# cp -a keystone.conf{,.bak}
[root@ct keystone]# grep -Ev "^$|#" keystone.conf.bak >keystone.conf

###通过pymysql模块访问mysql,指定用户名密码、数据库的域名、数据库名
[root@ct keystone]# openstack-config --set /etc/keystone/keystone.conf database connection mysql+pymysql://keystone:keystone_dbpass@/keystone

###指定token的提供者;提供者就是keystone自己本身
[root@ct keystone]# openstack-config --set /etc/keystone/keystone.conf token provider fernet
    //Fernet:一种安全的消息传递格式

2.3.2初始化认证服务数据库

[root@ct ~]# su -s /bin/sh -c "keystone-manage db_sync" keystone  //su切换环境;-s:指定切换的环境

在这里插入图片描述

2.3.3初始化fernet密钥存储库

  • 以下命令会生成两个密钥,生成的密钥放于/etc/keystone/目录下,用于加密数据
[root@ct keystone]# keystone-manage fernet_setup --keystone-user keystone --keystone-group keystone
[root@ct keystone]# keystone-manage credential_setup --keystone-user keystone --keystone-group keystone

2.3.4配置bootstrap身份认证服务

[root@ct ~]#  keystone-manage bootstrap --bootstrap-password ADMIN_PASS \
> --bootstrap-admin-url http://ct:5000/v3/ \
> --bootstrap-internal-url http://ct:5000/v3/ \
> --bootstrap-public-url http://ct:5000/v3/ \
> --bootstrap-region-id RegionOne    //指定一个区域名称
  • 此步骤是初始化openstack,会把openstack的admin用户的信息写入到mysql的user表中,以及url等其他信息写入到mysql的相关表中;
  • admin-url是管理网(如公有云内部openstack管理网络),用于管理虚拟机的扩容或删除;如果共有网络和管理网是一个网络,则当业务量大时,会造成无法通过openstack的控制端扩容虚拟机,所以需要一个管理网;
  • internal-url是内部网络,进行数据传输,如虚拟机访问存储和数据库、zookeeper等中间件,这个网络是不能被外网访问的,只能用于企业内部访问
  • public-url是共有网络,可以给用户访问的(如公有云) #但是此环境没有这些网络,则公用同一个网络
  • 5000端口是keystone提供认证的端口
    以下部分指的是openstack多节点的配置
  • 需要在haproxy服务器上添加一条listen
  • 各种网络的url需要指定controler节点的域名,一般是haproxy的vip的域名(高可用模式)

2.3.5配置Apache HTTP服务器

[root@ct ~]# echo “ServerName controller” >> /etc/httpd/conf/httpd.conf

2.3.6创建配置文件

### 安装完mod_wsgi包后,会生成 wsgi-keystone.conf 这个文件,文件中配置了虚拟主机及监听了5000端口,mod_wsgi就是python的网关
[root@ct ~]# ln -s /usr/share/keystone/wsgi-keystone.conf /etc/httpd/conf.d
### 开启服务
[root@ct conf.d]# systemctl enable httpd
Created symlink from /etc/systemd/system/multi-user.target.wants/httpd.service to /usr/lib/systemd/system/httpd.service.
[root@ct conf.d]# systemctl start httpd

在这里插入图片描述

2.3.7配置管理员账户的环境变量

  • 这些环境变量用于创建角色和项目使用,但是创建角色和项目需要有认证信息,所以通过环境变量声明用户名和密码等认证信息,欺骗openstack已经登录且通过认证,这样就可以创建项目和角色;也就是把admin用户的验证信息通过声明环境变量的方式传递给openstack进行验证,实现针对openstack的非交互式操作
[root@ct ~]# vim ~/.bashrc
export OS_USERNAME=admin #控制台登陆用户名
export OS_PASSWORD=ADMIN_PASS #控制台登陆密码
export OS_PROJECT_NAME=admin
export OS_USER_DOMAIN_NAME=Default
export OS_PROJECT_DOMAIN_NAME=Default
export OS_AUTH_URL=http://ct:5000/v3
export OS_IDENTITY_API_VERSION=3
export OS_IMAGE_API_VERSION=2
[root@ct ~]# source ~/.bashrc

在这里插入图片描述

2.3.8配置环境变量

  • 使用OpenStack命令进行操作
[root@ct ~]#  openstack user list
+----------------------------------+-------+
| ID                               | Name  |
+----------------------------------+-------+
| 1f3c53ab11d44c29baa5cc695e8dc668 | admin |
+----------------------------------+-------+

2.3.9创建OpenStack 域、项目、用户和角色

  • 创建一个项目(project),创建在指定的domain(域)中,指定描述信息,project名称为service(可使用openstack domain list 查询)
[root@ct ~]# openstack project create --domain default --description "Service Project" service 
+-------------+----------------------------------+
| Field       | Value                            |
+-------------+----------------------------------+
| description | Service Project                  |
| domain_id   | default                          |
| enabled     | True                             |
| id          | 09e78e5f60e84a6ca9126d22aba9be45 |
| is_domain   | False                            |
| name        | service                          |
| options     | {}                               |
| parent_id   | default                          |
| tags        | []                               |
+-------------+----------------------------------+

2.3.10创建角色(可使用openstack role list查看)

[root@ct ~]# openstack role create user
+-------------+----------------------------------+
| Field       | Value                            |
+-------------+----------------------------------+
| description | None                             |
| domain_id   | None                             |
| id          | ec18e9b44ec2492aaa0cee6672ede992 |
| name        | user                             |
| options     | {}                               |
+-------------+----------------------------------+

2.3.11查看openstack 角色列表

[root@ct ~]# openstack role list
+----------------------------------+--------+
| ID                               | Name   |
+----------------------------------+--------+
| 18df1bb710b94f0bababbf0bd8b73bdd | admin  |
| 52f458601bef4c249f0ca58ee27e2db8 | reader |
| ec18e9b44ec2492aaa0cee6672ede992 | user   |
| fa1cefb2e33c44af9e702bcb4edecac3 | member |
+----------------------------------+--------+

2.3.12查看是否可以不指定密码就可以获取到token信息(验证认证服务)

[root@ct ~]# openstack token issue
+------------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| Field      | Value                                                                                                                                                                                   |
+------------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| expires    | 2021-08-23T18:39:38+0000                                                                                                                                                                |
| id         | gAAAAABhI91apTG9bXptc8q3Zjb7X6Qx0UZSZN5VqHmChvCLLc3zNT6sbDU9B0KSfjaVmeAclQVIUrFAHaipSk7edIvyFXEdwjiKCSJ3rljWZQnnJ3Ci5SeySiLZoUQuxzz7r4atVX-RdfU3Bqt5wIwAsfVQyDqyEGGzdUtmtZCXorYWO5n7f2U |
| project_id | af6f14b190dc4cefba54d4f3773baa69                                                                                                                                                        |
| user_id    | 1f3c53ab11d44c29baa5cc695e8dc668                                                                                                                                                        |
+------------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
爱喝白云拿铁
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
OpenStack——认证服务Keystone
02-24
KeystoneOpenStackIdentityService)是OpenStack框架中,负责身份验证、服务规则和服务令牌的功能,它实现了OpenStack的IdentityAPI。Keystone类似一个服务总线,或者说是整个Openstack框架的注册表,其他服务通过keystone来注册其服务的Endpoint(服务访问的URL),任何服务之间相互的调用,需要经过Keystone身份验证,来获得目标服务的Endpoint来找到目标服务Keystone主要功能:管理用户及其权限;维护OpenStackServices的Endpoint;Authentication(认证)和Aut
OpenStack Identity(Keystone)身份服务、体系结构与中间件讲解
01-10
OpenStack Identity(Keystone服务为运行OpenStack Compute上的OpenStack云提供了认证和管理用户、帐号和角色信息服务,并为OpenStack Object Storage提供授权服务Keystone体系结构 Keystone 有两个主要部件:验证和服务目录 验证:提供了一个基于令牌的验证服务,主要有以下几个概念: 租户(Tenant) 使用OpenStack相关服务的一个组织。一个租户映射到一个Nova的“project-id”,在对象存储中,一个租户可以有多个容器。根据不同的安装方式,一个租户可以代表一个客户、帐号、组织或项目。 用户(U
openstack-keystone:OpenStack Keystone身份服务安装-Ansible角色
05-12
Keystone OpenStack Ansible角色 地位 在主分支上 在开发部门 在Ansible Galaxy上 OpenStack Keystone身份服务安装。 使用Juno在Ubuntu Precise(12.04)和Trusty(14.04)上进行了测试。 要求 已经配置了用户和数据库的DBMS(如果适用)。 对于RHEL / CentOS,需要RHOSP或RDO存储库。 角色变量 梯形失真校正(由此角色设置) 名称 默认值 描述 keystone_database_url sqlite:////var/lib/keystone/keystone.db 数据库URI keystone_admin_bind_host 0.0.0.0 应在哪个IP Keystone管理员服务上进行监听 keystone_admin_port 35357 所需的Keystone
openstackkeystone身份认证服务
weixin_50344820的博客
01-31 1092
文章目录keystone身份服务功能 keystone身份服务功能 身份认证:令牌管理、访问控制 在经过身份认证后,提供路径指引服务 用户授权:授权用户在一个服务中所拥有的权限 用户管理:管理用户账户 服务目录:提供可用于服务的API端点 ...
Openstack系列④】Centos 7.6 openstack Rocky本 安装keystone身份认证服务
weixin_43353602的博客
10-29 320
Centos 7.6 openstack Rocky本 安装keystone身份认证服务一、数据库准备1.用root登录MySQL数据库服务器。2.创建名为keystone数据库3.授予对keystone数据库的适当访问权限4.退出数据库访问客户端二、安装和配置 Keystone 组件1.安装软件包2.编辑/etc/keystone/keystone.conf文件并完成以下操作:1)在该[database]部分中,配置数据库访问:2)在该[token]部分中,配置Fernet令牌提供者3.填充身份服务
OpenStack——Keystone
weixin_51615030的博客
03-12 1494
OpenStack——Keystone一、keystone身份服务二、keystone的主要功能三、keystone的相关概念四、keystone部署步骤1、创建数据库实例和数据库用户2、安装、配置keystone数据库、Apache①安装keystone软件包②初始化认证服务数据库③初始化fernet秘钥存储库④配置bootstrap身份认证服务⑤配置Apache服务器⑥创建配置文件⑦配置管理员账户的环境变量⑧创建OpenStack域、项目、用户和角色⑨创建角色(可使用openstack role l.
【云计算学习笔记(十三)】之KeyStone介绍
开发小鸽
05-17 3786
文章目录本文章由公号【开发小鸽】发布!欢迎关注!!!一. Keystone的意义(一)什么是Keystone(二)使用Keystone的意义二. Keystone的功能(一)用户管理(二)服务目录管理三. 认证服务中的关键词(一)User(用户)(二)Credentials(凭证)(三)Authentication(验证)(四)Token(令牌)(五)Tenant(租户)(六)Service(服务)(七)Endpoint(端点)(八)Role(角色)(九)Keystone Client(Keystone命令
OpenStack(T)——身份认证(Keystone)服务介绍与安装
不知道
06-26 2795
OpenStack(T)——身份认证(Keystone)服务介绍与安装
2.部署Keystone服务
阿澈不吃蒜的博客
06-14 887
OpenStack的框架体系中Keystone的作用类似于一个服务总线,为OpenStack提供身份管理服务,包括用户认证,服务认证和口令认证,其他服务通过Keystone来注册服务的Endpoint(端点),针对服务的任何调动都要通过Keystone身份认证,并获得Endpoint(端点)来进行访问。keystone组件是第一个要安装的组件,其他组件之间通信都是需要通过keystone进行认证;然后,glance组件负责镜像管理,启动实例时提供镜像服务,可存储各个不同操作系统的镜像;
OpenStack Keystone架构一:Keystone基础
weixin_33831673的博客
11-15 514
一 什么是keystone keystoneOpenStack身份服务,暂且可以理解为一个'与权限有关'的组件。 二 为何要有keystone Keystone项目的主要目的是为访问openstack的各个组件(nova,cinder,glance...)提供一个统一的验证方式,具体的: openstack是由众多组件构成的一套系统,该系统的功能是...
OpenStack之认证服务Keystone
01-13
配套pdf
Openstack组件实现原理—Keystone认证功能
02-24
Keystone安装列表Openstack组件部署—Overview和前期环境准备Openstack组建部署—EnvironmentofControllerNodeOpenstack组件部署—Keystone功能介绍与认证实现流程Openstack组件部署—KeystoneInstall&...
curl 访问openstack keystone v3 时出现The request you have made requires authentication 401
热门推荐
yanko
12-02 1万+
1.主要原因是 Keystone是基于Http RESTful风格的API接口。既然如此,它就应该有一个WEB服务器,以及相关的应用程序。 Openstack-status查看服务是否开启 Openstack-keystone认证服务需要开启才能使用curl https://bugzilla.redhat.com/show_bug.cgi?id=1213149
keystone服务
weixin_34310785的博客
07-06 793
keystone的概念:keystoneopenstack组件之一,用于为openstack家族中的其他组件成员统一的认证服务,包括:身份认证、令牌的发放与校验、服务列表、用户权限定义等。基本概念:User:用户 -身份认证,一个用户可以关联到多个租户Tenant(租户)-相当于用户组的概念,一个租户可以包括多个用户role(角色)-关联到“用户-租户对”的元数据。可以关...
Tomcat 配置keystoreFile和keystorePass 启动异常解决
Enjoy life,Enjoy coding!!
03-16 1万+
可能是根本本有关系 我的本是:apachetomcat6.0.39 错误配置: <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false"
docker是PaaS,与openstack是IaaS的关系
weixin_34014277的博客
07-26 3952
    个人理解Docker的每一个虚机其实是宿主操作系统中的一个进程。主要是一种虚拟化技术。OpenStack主要解决的是基础架构云的云服务问题。OpenStack是在虚拟化技术之上的一层,主要解决系统部署管理的自动化。OpenStack可以兼容多种虚拟化技术包括:PowerVM, KVM, VMware, Docker等。   openstack是Iaas,是管理IT资源的,利用ope...
云计算与大数据 第13章 云操作系统OpenStack习题带答案
m0_63394128的博客
08-29 6660
3、OpenStack中负责身份验证、服务规则和服务令牌功能的管理的组件是( Keystone )。2、用户和操作系统之间的接口主要分为( 命令 )界面、( 编程 )接口和图形界面。B.Glance为虚拟机镜像提供存储、查询和检索服务,为Nova虚拟机提供镜像服务。C.全局角色适用于所有项目中的资源权限,而项目内角色只适合自己项目内的权限。B.OpenStack中的一个项目可以有多个用户,一个用户只属于一个项目。...
mysql事务(原理)
最新发布
m0_74347016的博客
05-19 585
mysql事务原理
openstack keystone服务
04-23
KeystoneOpenStack项目中的身份验证服务,它提供了身份验证、授权和服务目录等功能。Keystone可以集成各种身份验证机制,如密码、令牌和LDAP等。同时,它允许管理员为OpenStack项目的用户、角色和权限建立层次结构...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值