OpenStack wallaby安装(2)—— 基础服务keystone安装

最新推荐文章于 2022-07-01 19:59:12 发布
最新推荐文章于 2022-07-01 19:59:12 发布
阅读量378 收藏 1
点赞数
分类专栏: Openstack Wallaby安装 笔记 文章标签: openstack 云原生 分布式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52059863/article/details/120387238
版权
一、安装和配置服务令牌功能的组件keystone(controller)

身份识别服务(keystone)概述
OpenStack 身份识别服务 为管理身份验证、授权和服务目录提供了单点集成。
身份识别服务通常是用户与之交互的第一个服务。经过身份验证后,最终用户可以使用其身份访问其他OpenStack服务。类似地,其他OpenStack服务利用身份服务来确保用户是他们所说的人,并发现其他服务在部署中的位置。身份识别服务还可以与一些外部用户管理系统(如LDAP)集成。
用户和服务可以使用由身份识别服务管理的服务目录来定位其他服务。顾名思义,服务目录是OpenStack部署中可用服务的集合。每个服务可以有一个或多个终端,每个终端可以是三种类型中的一种:admin、internal或public。在生产环境中,出于安全原因,不同的终端类型可能位于暴露给不同类型用户的不同网络上。例如,公共API网络可以从互联网上看到,因此客户可以管理他们的云。管理API网络可能仅限于管理云基础设施的组织内的运营商。内部API网络可能仅限于包含OpenStack服务的主机。此外,OpenStack支持多个区域以实现可伸缩性。为简单起见,本指南对所有终端类型和默认RegionOne区域使用管理网络。在身份识别服务中创建的区域、服务和终端共同构成部署的服务目录。部署中的每个OpenStack服务都需要一个服务条目,其中包含存储在身份识别服务中的相应终端。这一切都可以在安装和配置身份识别服务后完成。
身份识别服务包含以下组件:

  1. Server(服务端):集中式服务器使用RESTful接口提供身份验证和授权服务。
  2. Drivers(驱动程序):驱动程序或服务后端集成到集中式服务器。它们用于访问OpenStack外部存储库中的标识信息,并且可能已经存在于部署OpenStack的基础设施中(例如,SQL数据库或LDAP服务器)。
  3. Modules(模块):中间件模块在使用身份识别服务的OpenStack组件的地址空间中运行。这些模块拦截服务请求,提取用户凭据,并将其发送到集中式服务器进行授权。中间件模块和OpenStack组件之间的集成使用Python Web服务器网关接口。
安装配置
yum install openstack-keystone httpd python3-mod_wsgi

vim /etc/keystone/keystone.conf

:set nu
G

2000多行配置太难找位置了,
做个备份,去除注释后就40多行,配置好找多了

cp /etc/keystone/keystone.conf /etc/keystone/keystone.conf.bak
grep -Ev '^$|#' /etc/keystone/keystone.conf.bak >/etc/keystone/keystone.conf
vim /etc/keystone/keystone.conf

增加下面的配置,KEYSTONE_DBPASS可替换为数据库设置的密码。

[database]
connection = mysql+pymysql://keystone:KEYSTONE_DBPASS@controller/keystone
[token]
provider = fernet

同步数据库

su -s /bin/sh -c "keystone-manage db_sync" keystone

初始化Fernet key

keystone-manage fernet_setup --keystone-user keystone --keystone-group keystone
keystone-manage credential_setup --keystone-user keystone --keystone-group keystone

引导身份识别服务
在Queens发布之前,keystone需要在两个单独的端口上运行,以容纳Identity v2 API,该API通常在端口357上运行单独的仅管理的服务。删除v2 API后,keystone可以在所有接口的同一端口上运行。

keystone-manage bootstrap --bootstrap-password ADMIN_PASS \
  --bootstrap-admin-url http://controller:5000/v3/ \
  --bootstrap-internal-url http://controller:5000/v3/ \
  --bootstrap-public-url http://controller:5000/v3/ \
  --bootstrap-region-id RegionOne

编辑/etc/httpd/conf/httpd.conf文件并配置ServerName选项以引用控制器节点:
tips:如果ServerName条目不存在,则需要添加它。

sudo sh -c 'echo "ServerName controller" >> /etc/httpd/conf/httpd.conf'

创建指向/usr/share/keystone/wsgi-keystone.conf文件的链接:

ln -s /usr/share/keystone/wsgi-keystone.conf /etc/httpd/conf.d/

安全部署应将web服务器配置为使用SSL或在SSL终止符后面运行。

启动Apache HTTP服务,并将其配置为在系统引导时启动:

systemctl enable httpd.service
systemctl start httpd.service

通过设置适当的环境变量来配置管理帐户:

export OS_USER_DOMAIN_NAME=Default
export OS_PROJECT_DOMAIN_NAME=Default
export OS_PROJECT_NAME=admin
export OS_USERNAME=admin
export OS_PASSWORD=ADMIN_PASS
export OS_AUTH_URL=http://controller:5000/v3
export OS_IDENTITY_API_VERSION=3

这里显示的这些值是从keystone manage引导创建的默认值。
将ADMIN_PASS替换为keystone install configure rdo中[keystone manage bootstrap]

创建域、项目、用户和角色
keystone manage bootstrap步骤中已经存在“默认”域,但创建新域的正式方法是:

openstack domain create --description "An Example Domain" example

创建服务项目(该项目包含您添加到环境中的每个服务的唯一用户):

openstack project create --domain default \
  --description "Service Project" service

常规(非管理员)任务应使用非特权项目和用户。例如创建myproject项目和myuser。
创建myproject项目:

openstack project create --domain default \
  --description "Demo Project" myproject

创建myuser用户:

openstack user create --domain default \
  --password-prompt myuser

创建myrole角色:

openstack role create myrole

将myrole角色添加到myproject项目和myuser用户(关联项目,用户,角色):

openstack role add --project myproject --user myuser myrole

您可以重复以上命令以创建其他项目和用户。

验证操作

取消设置临时OS_AUTH_URL和OS_PASSWORD环境变量:

unset OS_AUTH_URL OS_PASSWORD

作为管理员用户,请求身份验证令牌:

openstack --os-auth-url http://controller:5000/v3 \
  --os-project-domain-name Default --os-user-domain-name Default \
  --os-project-name admin --os-username admin token issue

作为上一节中创建的myuser用户,请求身份验证令牌:

openstack --os-auth-url http://controller:5000/v3 \
  --os-project-domain-name Default --os-user-domain-name Default \
  --os-project-name myproject --os-username myuser token issue
创建OpenStack客户端环境脚本

前面的部分结合使用了环境变量和命令选项,通过openstack客户端与身份识别服务交互。为了提高客户端操作的效率,OpenStack支持简单的客户端环境脚本(也称为OpenRC文件)。这些脚本通常包含所有客户端的通用选项,但也支持唯一选项。有关更多信息,请参阅OpenStack最终用户指南

创建脚本

为admin、demo projects和users创建客户端环境脚本。后续将引用这些脚本来为客户端操作加载适当的凭据。

tips:客户端环境脚本的路径不受限制。为方便起见,您可以将脚本放置在任何位置,但请确保脚本可访问并位于适合您部署的安全位置,因为它们确实包含敏感凭据。

创建和编辑admin-openrc文件,并添加以下内容(使用身份识别服务中admin用户设置的密码替换ADMIN_PASS):

export OS_PROJECT_DOMAIN_NAME=Default
export OS_USER_DOMAIN_NAME=Default
export OS_PROJECT_NAME=admin
export OS_USERNAME=admin
export OS_PASSWORD=ADMIN_PASS
export OS_AUTH_URL=http://controller:5000/v3
export OS_IDENTITY_API_VERSION=3
export OS_IMAGE_API_VERSION=2

创建并编辑demo-openrc文件,并添加以下内容(使用身份识别服务中demo用户设置的密码替换ADMIN_PASS):

export OS_PROJECT_DOMAIN_NAME=Default
export OS_USER_DOMAIN_NAME=Default
export OS_PROJECT_NAME=myproject
export OS_USERNAME=myuser
export OS_PASSWORD=DEMO_PASS
export OS_AUTH_URL=http://controller:5000/v3
export OS_IDENTITY_API_VERSION=3
export OS_IMAGE_API_VERSION=2
使用脚本

要以特定项目和用户的身份运行客户机,只需在运行之前加载关联的客户机环境脚本即可。例如:
加载admin-openrc文件填充环境变量以使用身份识别服务的位置、admin project和用户凭据:

. admin-openrc
Mr.猿日记
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
第23版:OpenStack Wallaby已上线!
ITguancha的博客
04-16 586
CDT 2021年4月14日上午10:15发布(北京时间4月14日晚上11:15) OpenStack社区正式发布第23个版本 – Wallaby, OpenStack专注于开源基础设施软件的广泛开发与部署,作为全球三大活跃的开源项目之一(包括Linux kernel与Chromium),始终注重激发全球社区活力,提升社区开发者的参与度。 最新版Wallaby增强了安全性能,实现了与其他开源技术的进一步集成,进而强化了开源基础设施在云原生领域的应用。来自45个国家140家组织/机构的800多位贡献者所提交
openstack-wallaby部署(基于centos-stream8)
最新发布
w975121565的博客
09-11 1479
openstack-wallaby部署(基于centos-stream8)
OpenStack wallaby安装(ProxmoxVE + CentOS8 Stream)
m0_52059863的博客
09-15 734
OpenStack安装(PVE+CentOS8 Stream) 学习备份 目录OpenStack安装(PVE+CentOS8 Stream)前置环境配置一、网络与防火墙配置二、时间同步NTP三、安装openstack包(controller)四、安装MariaDB数据库(controller)五、消息队列rabbitmq-server(controller)六、缓存Memcached(controller)七、Etcd (controller)基础服务安装(controller)一、安装和配置服务令牌功能
openstackwallaby版本安装(centos stream 8-allinone)
weixin_44271177的博客
01-17 1647
centOS stream 8的openstack分布式安装(wallaby版本) 注意:安装过程中所有的密码我均设置为123456 1. 安装前的准备 1.1下载centOS stream 8 官方网站https://www.centos.org/centos-stream/ 随便选择一个国内镜像进行下载 1.2下载VMware 16 pro 网上有教程安装好 1.3创建一个虚拟机allinone 1.3.1创建 1.3.2 centos8安装 安装过程稍后完善 1.4配置静态IP
openstack-wallaby-InstallGuide.pdf
07-06
openstack-wallaby安装手册(英文)
OpenStack——认证服务Keystone
01-27
KeystoneOpenStackIdentityService)是OpenStack框架中,负责身份验证、服务规则和服务令牌的功能, 它实现了OpenStack的IdentityAPI。Keystone类似一个服务总线,或者说是整个Openstack框架的注册表, 其他服务...
第2章OpenStack安装部署第1节Keystone安全认证服务.pdf
02-18
(3) 安装 chrony 服务,并设置开机自启动 yum install chrony systemctl enable chronyd.service systemctl start chronyd.service (4) 更新系统,安装 centos7 下的 mitaka 依赖文件(使用“ OpenStack 模板 1...
centos下最简安装openstack——使用packstack详解
09-30
在本文中,我们将深入探讨如何在CentOS操作系统下进行OpenStack的最简化安装,主要采用的是packstack工具。首先,确保你的系统满足基本要求,即拥有一台64位的CentOS系统,至少有两个硬盘和两张网卡。CentOS 6.4的...
OpenStack Victoria版安装部署实例教程
03-07
配置Cinder包括安装服务,配置存储后端(如LVM或Ceph),创建卷类型和服务端点。 最后,教程还包含了一章专门处理OpenStack安装过程中可能遇到的问题,帮助用户解决故障和异常情况。 总的来说,OpenStack Victoria...
Ubuntu Server 20.04最小部署openstack Wallaby(六)——Horizon
我的天空 我的梦
09-10 386
Horizon是管理OpenStack的Dashboard,方便我们操作OpenStack。部署在Controller节点。 安装程序 sudo apt-get install openstack-dashboard 修改配置文件 sudo vim /etc/openstack-dashboard/local_settings.py 修改以下变量 OPENSTACK_HOST = "controller" ALLOWED_HOSTS = ['*'] SESSION_ENGINE = 'd
OpenStack完整安装手册(CentOS)
10-26
OpenStack完整安装手册(CentOS).
Ubuntu Server 20.04最小部署openstack Wallaby(四)——Nova
我的天空 我的梦
09-10 370
Compute服务与其他OpenStack服务协作,协调各种工作,是OpenStack的核心服务,这里需要操作Controller和Compute两个节点。 1. Controller节点配置 创建数据库(注意替换NOVA_DBPASS) mysql -u root -p MariaDB [(none)]> CREATE DATABASE nova_api; MariaDB [(none)]> CREATE DATABASE nova; MariaDB [(none)]> CREA
OpenStack wallaby安装(1)—— 前置环境配置
m0_52059863的博客
09-20 807
下载CentOS Stream 8上传到PVE的ISO镜像中, 创建两台虚拟机分别为controller和compute1,最小安装并使用华为云的软件源:baseurl=https://repo.huaweicloud.com/$contentdir/$stream/BaseOS/$basearch/os/ 一、网络与防火墙配置 因为第二块网卡为后加,所以均为新加配置文件,运行uuidgen ens19获取uuid controller-第一块网卡:vim /etc/sysconfig/network-sc
你可能没发现,新版本OpenStack Wallaby与Kubernetes更紧密了
开源云中文社区
04-30 703
就在十多年前,Amazon Elastic Cloud、AWS的前身和Microsoft Azure向人们展示了云计算的意义。NASA艾姆斯研究中心和Rackspace的开发人员认为有一种...
Keystone安装配置
chaNgfa的博客
05-16 5909
Keystone安装配置 (1)数据库各服务库的创建和授权 tips:配置 OpenStack 身份认证服务前,必须创建一个数据库和管理员令牌。由于其余服务也需要用到数据库,此处将所有的服务所需要的库都进行创建并授权 View Code (2)keystone服务配置:/etc/keystone/keystone.conf 在 [database] 部分,配置数据库访问: [database]...
OpenStack Victoria搭建(五) Keystone认证服务
qq_40277608的博客
07-01 1235
OpenStack环境搭建,keystone
OpenStack安装部署
chengxuyuanyonghu的专栏
04-05 7672
OpenStack是一个美国国家航空航天局和Rackspace合作研发的,以Apache许可证授权,并且是一个自由软件和开放源代码项目。 OpenStack主要包括以下几个子项目:OpenStack Compute(Nova)、云对象存储Cloud ObjectStorage(Swift)、镜像管理 (Glance)、身份识别Identity(Keystone),网络连接管理Networ
实验06 Keystone安装与配置
inexaustible的博客
11-15 1759
一、实验目的: 1、掌握OpenStack环境搭建的基础工作 2、掌握keystone安装与配置方法 3、掌握keystone基础接口的调用方法 二、实验步骤: 1、利用最初创建的快照克隆两台CentOS服务器,克隆的两台分别修改主机名为xxx-controller和xxx-compute1,修改IP地址为192.168.xx.10和192.168.xx.20。(xxx为自己姓名拼音,...
4,控制节点安装Keystone
王磊l的博客
04-13 487
文章目录4.1 创建Keystone相关数据库4.2 安装配置Keystone4.2.1 安装Keystone4.2.2 配置Keystone4.3 初始化Keystone数据库4.3.1 同步Keystone数据库4.3.2 验证数据库4.4 初始化Fernet令牌库4.5 配置启动Apache4.5.1 修改Apache配置文件4.5.2 配置虚拟主机4.5.3 启动并且配置自启动4.6 初始...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值