一、keystone身份服务
1.1Keystone身份服务概述
Keystone是OpenStack中的一个独立的提供安全认证的模块,主要负责OpenStack用户的身份认证、领跑管理、提供访问资源的服务目录、以及基于用户角色的访问控制
keystone类似一个服务总线,或者说是整个OpenStack框架的注册表,其他服务通过keystone来注册其服务的Endpoint(服务访问的URL),任何服务之间相互的调用,需要经过keystone的身份验证,来获得目标服务的Endpoint来找到目标服务
1.2Keystone身份服务主要功能
身份认证:对用户进行身份认证,并对应权限范围,令牌的发放和校验
用户授权:授予用户在一个服务中所拥有权限,以token令牌的方式标识用户对应拥有的权限范围
用户管理:提供用户访问资源的寻址功能(URL),管理用户账户
服务目录:所有服务的交互、调用,均需要keystone进行认证,提供可用服务的API端点
1.3管理对象
User:指使用Openstack service的用户,nova glance(跑在OpenStack里面,是需要一个用户进行管理的)
Project(Tenant):可以理解为一个人或服务所拥有的资源集合
Role:用于划分权限,通过给User指定Role, 使User获得Role对应操作权限
Authentication:确定用户身份的过程
Token:是一个字符串表示,作为访问资源的令牌。Token包含了在指定范围和有效时间内可以被访问的资源
Credentials:用于确认用户身份的凭证,用户的用户名和密码,或者是用户名和API密钥,或者身份管理服务提供的认证令牌。
Service Openstack service, 即Openstack中运行的组件服务。如nova、swift、glance、 neutron、 cinder等
Endpoint:一个可以通过网络来访问和定位某个Openstack service的地址,通常是一个URL(即apache的api (位置点))
1.4Keystone认证流程
user登陆(keystone认证)
user进入控制台/命令行界面(位置点)
user发起创建虚拟的请求(向keystone认证指引位置点)
请求达到nova组件(向keystone认证)
nova会开始执行请求,并且调用创建实例所需要的glance、neutron等资源(向keystone认证,指引对应服务的位置点)
glance和neutron服务收到请求后(向keystone认证)
nova 拿到资源后,调用对应资源,创建实例,最后将创建结果返回给用户
二、OpenStack-keystone组件部署
2.1OpenStack组件安装的顺序
Keystone(apache)
glance
nova
neutron
cinder ①部署OpenStack组件时,需先行安装认证服务(keystone),而认证服务是使用Apache运行的,安装完成后才可以创建、管理账号,然后安装镜像服务(glance)、计算服务(nova)、网络服务(neutron) ②其中计算服务和网络服务分为管理端和客户端,所以需要在OpenStack的管理安装计算服务和网络服务的管理端,在创建虚拟机的node接地那上安装计算服务和网络客户端,最后安装dashboard服务,OpenStack各种组件的API都是通过Apache运行的 ③OpenStack的管理端负责创建、管理虚拟机过程的调度 ④通过OpenStack管理端创建虚拟机的相关数据最终都会记录到mysql(mariadb)中;node节点没有权限往数据库中写数据,只有控制端有权限,并且node节点与控制住端通讯是通过rabbitmq间接通讯,node节点会监听rabbitmq,控制端也会监听rabbitmq,控制端把创建虚拟机的指令发送到rabbitmq,由监听rabbitmq指定队列的node节点接收消息并创建虚拟机
2.2创建数据库实例和数据库用户
[ root@ct ~ ] # mysql - uroot - p123456
MariaDB [ ( none) ] > create database keystone;
MariaDB [ ( none) ] > grant all privileges on keyston. * to 'keystone'@' localhost'identified by 'keystone_dbpass';
MariaDB [ ( none) ] > grant all privileges on keystone. * to 'keystone'@' % ' identified by 'keystone_dbpass';
MariaDB [ ( none) ] > flush privileges;
MariaDB [ ( none) ] > exit
2.3安装、配置keystone、数据库、Apache
2.3.1安装keystone、httpd、mod_wsgi
###mod_wsgi包的作用是让apache能够代理python程序的组件;OpenStack的各个组件,包括API都是用Python写的,但是访问的是apache,apache会把请求转发给Python去处理,这些包只安装在controler节点
[ root@ct ~ ] # yum - y install openstack- keystone httpd mod_wsgi
[ root@ct ~ ] # cd / etc/ keystone/
[ root@ct keystone] # cp - a keystone. conf{
, . bak}
[ root@ct keystone] # grep - Ev "^$|#" keystone. conf. bak > keystone. conf
###通过pymysql模块访问mysql,指定用户名密码、数据库的域名、数据库名
[ root@ct keystone] # openstack- config -- set / etc/ keystone/ keystone. conf database connection mysql+ pymysql: / / keystone: keystone_dbpass@/ keystone
###指定token的提供者;提供者就是keystone自己本身
[ root@ct keystone] # openstack- config -- set / etc/ keystone/ keystone. conf token provider fernet
2.3.2初始化认证服务数据库
[ root@ct ~ ] # su - s / bin/ sh - c "keystone-manage db_sync" keystone
2.3.3初始化fernet密钥存储库
以下命令会生成两个密钥,生成的密钥放于/etc/keystone/目录下,用于加密数据
[ root@ct keystone] # keystone- manage fernet_setup -- keystone- user keystone -- keystone- group keystone
[ root@ct keystone] # keystone- manage credential_setup -- keystone- user keystone -- keystone