前言
OpenStack云计算平台的组件有很多,该先安装哪个组件呢?为什么要先安装它?
一、项目陈述
由于OpenStack云计算平台是由众多组件构成的一套复杂系统,哪些组件被允许连入系统、进入系统后允许使用其他哪些组件功能,都需要一个认证单元去判断和决定。Keystone在OpenStack云计算平台中就是这个认证单元,负责各个组件的认证工作。
二、Keystone的基本名词概念
1.项目(Project)
项目是供用户使用的资源集合,不同的项目之间的资源是隔离的。比如李四开了一个会员制网吧,里面有很多提供给用户使用的资源,如电脑、游戏、咖啡、图书等等,这个网吧就可以看做一个项目。
2.服务(Service
服务是项目中各个组件提供的服务。该网吧对外提供多种服务,如上网区提供上网服务,休闲区提供咖啡服务,阅览室提供图书阅览服务。)
3.端点(Endpoint)
端点是一个用来访问或定位某个服务的地址。每个服务都有自己的服务地址,需要某个服务就访问某个地址。如要读书就要去阅览室,服务地址就是端点。
4.用户(User)
用户是任何拥有身份验证信息来使用OpenStack的实体,可以是真正的使用人、其他系统或者某一服务。这个网吧(项目)里,李四、网管和来上网的人都是用户,都可以使用该项目的服务。
5.角色(Role)
角色是预定义的权限集合。如李四的角色是老板,有查账的权限;网管的角色是管理员,负责收银和软硬件管理;其他人的角色是顾客,只能上网与消费。
6.认证(Authentication)、凭据(Credentials)
认证是Keystone验证用户身份的过程,凭据是认证用户身份时需要的身份验证数据。用户来到网吧(项目)以后并不是马上就可以使用服务,得把身份凭据提供出来由系统进行认证。
** 7.令牌(Token)**
令牌是一个加密字符串,是访问资源的“通行证”。当通过认证后会给用户一个令牌,每次使用服务都要先验证持有该令牌的用户是否有权使用该服务(如不是VIP用户,则不能进入VIP区)。
8.组(Group)
组是部分用户的集合,通过分配角色到组,可以批量向在该组中的所有用户分配权限。如果用户很多,给每个用户单独分配权限非常麻烦,可以将若干个用户分为一组,如VIP组、战队组等,只需要给组分配权限,用户加入某个组就自动拥有了这个组的所有权限。
9.域(Domain)
域是项目和用户的集合。随着业务扩大,有其他网吧(不同的项目)加盟,此时其中一个网吧的会员可以自动成为其他网吧会员。为便于管理,可以把部分项目和用户划分到一个域中,并规定只有本域中的用户才能使用本域中项目的资源。
三、相关概念关系解释
1.域、项目、角色、组的关系
域是用户和项目的集合,项目是资源的集合,角色是权限的集合,组是用户的集合。角色可以分配给用户或者组,这个用户和组里的所有用户就获得了该角色的所有权限。获得了权限的用户就可以使用和管理同域中的项目提供的资源。
2.OpenStack中默认存在的域、项目、角色、用户
- 域:OpenStack默认存在“Default”域,如果没有另外创建域,所有项目和用户都将属于“Default”域。
- 项目:OpenStack自带“admin”项目。
- 角色:OpenStack自带两个预定义角色,即“admin”和“member”,“member”角色集合了普通用户的访问权限,而“admin”角色集合了对整个OpenStack进行管理的特权。
- 用户:OpenStack中自带“admin”用户,该用户属于“admin”项目并且分配有“admin”角色。
3.端点类型
admin-url:给admin用户提供服务的地址。
internal-url:给内部组件提供服务的地址。
public-url:给其他公共用户提供服务的地址。
三、Keystone的组件架构
| 模块 | 功能 |
|---|---|
| 令牌 | 令牌模块,该模块用来生成和管理令牌 |
| 目录 | 目录模块,用来存储和管理服务以及与之对应的端点信息 |
| 验证 | 验证模块,用来管理项目、用户、角色和提供认证服务 |
| 策略 | 策略模块,用来存储和管理所有的访问权限 |
四、Keystone认证的基本步骤
用户给Keystone提供凭证用于登录系统。登录成功后Keystone将签发令牌给用户。以后每次调用其他组件服务的时候都要出示令牌并由Keystone对令牌进行验证通过后才能继续使用服务。
总结
Keystone在OpenStack云计算平台中就负责各个组件的认证工作。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
