OpenStack之keystone简介

最新推荐文章于 2023-04-24 07:30:00 发布
最新推荐文章于 2023-04-24 07:30:00 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: Openstack 文章标签: openstack 云平台 云计算
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_28705319/article/details/54619468
版权

1.什么是keystone

keystone是 OpenStack Identity Service 的项目名称,是一个负责身份管理与授权的组件。
主要功能:实现用户的身份认证,基于角色的权限管理,及openstack其他组件的访问地址和安全策略管理

2.为什么要有keystone

OpenStack是一个庞大的组合,各个组件之间的通讯免不了会有安全风险,keystone就是各个组件之间通讯的安全保障

3.keystone的功能

OpenStack的各个组件理论上是互相独立存在,互不依赖的,但为了安全考虑,所有组件都依赖于keystone


keystone的两个功能:

(1)用户管理:验证用户身份的合法性。

(2)服务目录管理:提供服务目录(ServiceCatalog:包括service和endpoint)服务,类似于UDDI服务的概念,用户(无论是Dashboard, APIClient)都需要访问Keystone获取服务列表,以及每个服务的地址(Openstack中称为Endpoint)

4.keystone概念详解

User:使用Openstack组件的客户端可以是人、服务、系统,任何的客户端来访问openstack组件,都需要有一个用户名。

Credentials:是用于确认用户身份的凭证,说白了就是‘信物’,具体可以是:
用户名和密码
用户名和API key
一个 Keystone 分配的身份token
Authentication:
是验证用户身份的过程。Keystone 服务通过检查用户的 Credential 来确定用户的身份。
最开始,使用用户名/密码或者用户名/API key作为credential。当用户的credential被验证后,Kestone 会给用户分配一个 authentication token 供该用户后续的请求使用。 
Keystone中通过Policy(访问规则)来做到基于用户角色(Role)的访问控制。

Token:
是一个数字字符串,访问资源时需要"亮出"你的令牌。在keystone中主要是引入令牌机制来保护用户对于资源的访问,同时引入PKI(公钥基础实施)对令牌加以保护。
Token包含了在指定范围和有效时间内可以被访问的资源。EG. 在Nova中一个tenant可以是一些虚拟机,在Swift和Glance中一个tenant可以是一些镜像存储,在Network中一个tenant可以是一些网络资源。

Role:
本质就是一堆ACL的集合,用于划分权限
可以通过给User指定Role,使User获得Role对应的操作权限。
Keystone返回给User的Token包含了Role列表,被访问的Services会判断访问它的User和User提供的Token中所包含的Role,及每个role访问资源或者进行操作的权限。
系统默认使用管理Role admin和成员Role _member_ 。
user验证时必须带有Project(Tenant)

Policy:
对于Keystone service来说,Policy就是一个JSON文件,默认是/etc/keystone/policy.json。通过配置这个文件,Keystone实现了对User基于Role的权限管理。
OpenStack对User的验证除了OpenStack的身份验证以外,还需要鉴别User对某个Service是否有访问权限。Policy机制就是用来控制User对Project(Tenant)中资源的操作权限。

Project(Tenant):
是一个人、或服务所拥有的资源集合。不同的Project之间资源是隔离的,资源可以设置配额。
在一个Project(Tenant)中可以包含多个User,每一个User都会根据权限的划分来使用Project(Tenant)中的资源。比如通过Nova创建虚拟机时要指定到某个Project中,在 Cinder创建卷也要指定到某个Project中。
User访问Project的资源前,必须要与该Project关联,并且指定User在Project下的Role,一个assignment(关联)即:Project-User-Role

Service:即Openstack中运行的各个组件服务。

Endpoint:
是一个可以通过网络来访问和定位某个Openstack service的地址,通常是一个URL
不同的region有不同的endpoint(我们可以通过endpoint的region属性去定义多个region)。
当Nova需要访问Glance服务去获取image 时,Nova通过访问Keystone拿到Glance的endpoint,然后通过访问该endpoint去获取Glance服务。
Endpoint 分为三类:
admin url –> 给admin用户使用,Port:35357
internal url –> OpenStack内部服务使用来跟别的服务通信,Port:5000
public url –> 其它用户可以访问的地址,Port:5000

Service与Endpoint关系介绍:
在openstack中,每一个service都有三种endpoint. Admin, public, internal(创建完service后需要为其创建API EndPoint. )
Admin是用作管理用途的,如它能够修改user/tenant(project)。
public 是让客户调用的,比如可以部署在外网上让客户可以管理自己的云。
internal是openstack内部调用的。
三种endpoints 在网络上开放的权限一般也不同。Admin通常只能对内网开放,public通常可以对外网开放,internal通常只能对安装有openstack对服务的机器开放。 

我们使用keystone为服务5d533c68-d234-11e6-a0d7-0088653ea1ec定制endpoint:

$ keystone endpoint-create \
--region RegionOne \
--service-id=5d533c68-d234-11e6-a0d7-0088653ea1ec \
--publicurl='https://public-ip:8776/v1/%(tenant_id)s' \
--internalurl='https://management-ip:8776/v1/%(tenant_id)s' \
--adminurl='https://management-ip:8776/v1/%(tenant_id)s'
然后你可以配置 OpenStack service 使用另一个 service 的 endpoint 的 internalurl 去访问另一个资源。

endpoint举例

了解了上述的那些keystone中一些名词的基本概念后,画张图来说明一下keystone的内部工作流程   

  比如说,某公司年会组织跟团去旅游(公司相当于一个group,公司的员工相当于User)。到了晚上要住店,首先要先到前台登记(前台就相当于Keystone),对前台(keystone)来说,你要住店要拿出你的证明(对keystone来说就是要证明你是你)。

  怎么办?拿出身份证,这里的身份证就相当于(Credentials中的用户名和密码),前台(keystone)会进行验证你的身份信息(Authentication),验证成功后,前台(Keystone)会给你一个房卡(Credentials中的Token),并且有不同的房卡(比如:普通卡,会员卡,白金卡等),不同的卡有不同的权限(Role),并且拿到房卡后,前台(keystone)会给你一个导航图(Endpoint)让你找到你的房间。并且一个酒店不光会有住宿服务,可能还有别的服务(service),像餐饮,娱乐,按摩等等,比如说要去吃饭,不知道路线怎么走,看一下导航图(endpoint)就知道了,到餐饮部门(service)会有三个路线(Endpoint)可以走。为什么会有三个,领导层通道 --> 走后门(admin),内部员工通道 -->(internal),客人通道  -->(public)。知道如何去,也有了权限(Token/Role)到了餐饮部门,当你点餐的时候,会让你刷上你的会员卡(这个步骤就是service像keystone确认你有没有权限),验证成功后,你就可以点餐吃饭


官方介绍:
1.User:has account credentials, is associated with one or more projects or domains
user是账户凭证,是与一个或多个项目或相关的域

2.Group: a collection of users, is associated with one or more projects or domains
group就是用户的一个集合,与一个或多个项目或相关的域

3.Project(Tenant): unit of ownership in OpenStack, contains one or more users
project(tenant)是一个单位,指在openstatck中可用的资源,它包含一个或多个用户

4.Domain:unit of ownership in OpenStack, contains users, groups and projects
domain是一个单位,它包含用户、组和项目

5.Role:a first-class piece of metadata associated with many user-project pairs
role一个用户与project相关联的元素据

6.Token:identifying credential associated with a user or user and project
Token鉴定凭证关联到用户或者用户和项目

7.Extras:bucket of key-value metadata associated with a user-project pair
extras关于用户-项目的关系,还可以设置一些其他的属性

8.Rule:describes a set of requirements for performing an action
rule描述了一组要求 执行一个动作

5.keystone和其他组件之间的关系

不多废话,直接上图


6.创建VM的简单工作流程

7.Keystone工作流程官方详解


       1.用户/API 想创建一个实例,首先会将自己的credentials发给keystone。认证成功后,keystone会颁给用户/API一个临时的令牌(Token) 和一个访问服务的Endpoint。 PS:Token没有永久的

    2.用户/API 把临时Token提交给keystone,keystone并返回一个Tenant(Project)

    3.用户/API 向keystone发送带有特定租户的凭证,告诉keystone用户/API在哪个项目中,keystone收到请求后,会发送一个项目的token 到用户/API  PS:第一个Token是来验证用户/API是否有权限与keystone通信,第二个Token是来验证用户/API是否有权限访问我 keystone的其它服务。用户/API 拿着token和Endpoint找到可访问服务

    4.服务向keystone进行认证,Token是否合法,它允许访问使用该服务(判断用户/API中role权限)?

    5.keystone向服务提供额外的信息。用户/API是允许方法服务,这个Token匹配请求,这个Token是用户/API的

    6.服务执行用户/API发起的请求,创建实例

    7.服务会将状态报告给用户/API。最后返回结果,实例已经创建


awmpy
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OpenStackkeystone
weixin_45039547的博客
11-03 1502
keystone的功能及认证流程
OpenstackKeyStone学习(一)
yolanda1988的博客
08-31 1592
Openstack简介OpenStack是一个美国国家航空航天局和Rackspace合作研发的云计算软件,以Apache许可证授权,并且是一个自由软件和开放源代码项目。OpenStack是IaaS(基础设施即服务)平台,让任何人都可以自行建立和提供云端运算服务。以下是5个OpenStack的重要构成部分:1、Nova —计算服务;2.Swift — 存储服务;3.Glance –
Openstack核心组件之Keystone的概念及部署
m0_49526543的博客
12-16 2540
Keystone一.Keystone的作用和架构1.1什么是Keystone?1.2Keystone提供服务注册机制1.3Keystone架构二.Keystone服务内容2.1身份识别(identity)服务2.2资源管理服务2.3角色鉴权机制2.4令牌请求与颁布服务- 范围令牌(scoped token)2.5服务目录-服务(service )和端点(endpoint)2.6服务目录-服务(service)和端点(endpoint) 一.Keystone的作用和架构 1.1什么是Keystone? key
openstack详解(七)——Keystone介绍
永远是少年
06-02 2028
今天继续给大家介绍Linux运维相关知识,本文主要内容是openstack Keystone介绍。 一、Keystone作用 二、用户认证介绍 三、服务目录介绍
什么是openstack
阿澈不吃蒜的博客
04-24 3500
除此之外,OpenStack还提供了Swift(对象存储)、Cinder(块存储)、Neutron(网络)、Keystone(身份认证)、Glance(镜像)、Horizon(Web控制台)等多个模块,可以满足不同用户的需求。它由一系列的云计算工具和服务组成,包括计算、存储、网络和身份验证等,支持公有云、私有云、混合云和边缘计算等场景。总之,OpenStack是一个功能强大、灵活性高、可扩展性好的云计算平台,可以帮助用户快速搭建自己的云计算环境,提供稳定、高效、安全的云计算服务。案例:搭建一个nginx。
openstack-keystone
01-16
keystoneopenstack提供了身份验证机制,其中token是贯穿整个op的钥匙!
OpenStack——认证服务Keystone
01-27
KeystoneOpenStackIdentityService)是OpenStack框架中,负责身份验证、服务规则和服务令牌的功能, 它实现了OpenStack的IdentityAPI。Keystone类似一个服务总线,或者说是整个Openstack框架的注册表, 其他服务...
OpenStack 安装 Keystone.doc
07-08
OpenStack 安装 Keystone OpenStack 安装 KeystoneOpenStack 体系下面的认证、授权、和目录服务管理的重要组件。Keystone 通常是我们接触 OpenStack 的第一个组件,它可以管理其他 OpenStack 服务,每个服务都...
Openstack keystone 安装包
11-23
Openstack keystone 安装包 简单快捷的搭建Keystone
OpenStack Keystone 总结
热门推荐
创新是灵魂,执行是生命。
05-15 1万+
一、概述 KeystoneOpenStack Identity Service)是 OpenStack 框架中负责管理身份验证、服务访问规则和服务令牌功能的组件。用户访问资源需要验证用户的身份与权限,服务执行操作也需要进行权限检测,这些都需要通过 Keystone 来处理。Keystone 类似一个服务总线, 或者说是整个 Openstack 框架的注册表,OpenStack 服务通过 Key...
OpenStack- 基本概念之keystone
鬼刺
02-21 820
1 keystone的功能 管理用户及其权限 维护OpenStack Services(openstack服务)的 Endpoint(连接地址) Authentication(认证)和 Authorization(授权) 注:搭建好其他服务之后,如果不告诉keystone有这个服务的话就无法使用这个服务,而endpoint是服务的连接地址,必须把endpoint告知给keystone,...
基于Openstack的私有云搭建实践1——概述、原理与整体规划
弗里曼的小伙伴
11-27 2893
1 目标:将所有的功能都抽象为服务,通过网络接口提供给用户使用。 云计算(cloud computing)是基于互联网的相关服务的增加、使用和交付模式,通常涉及通过互联网来提供动态易扩展且经常是虚拟化的资源。 云是网络、互联网的一种比喻说法。过去在图中往往用云来表示电信网,后来也用来表示互联网和底层基础设施的抽象。因此,云计算甚至可以让你体验每秒10万亿次的运算能力,拥有这么强大的计算能力可以模拟核爆炸、预测气候变化和市场发展趋势。用户通过电脑、笔记本、手机等方式接入数据中心,按自己的需求进行运算。
OpenStack keystone详解及调优
Nicholas的专栏
11-28 5945
Keystone基本概念介绍 User User即用户,他们代表可以通过keystone进行访问的人或程序。Users通过认证信息(credentials,如密码、API Keys等)进行验证。 Tenant Tenant即租户,它是各个服务中的一些可以访问的资源集合。例如,在Nova中一个tenant可以是一些机器,在Swift和Glance中一个tenant可以是一些镜
openstack-keystone中的权限管理理解
sufetion的专栏
10-08 4781
1)endpoint即提供服务的地址,服务(service)是个抽象的概念,endpoint需要绑定在service上; 2)权限即是否被允许访问openstack中某些服务; 3)角色代表一系列的权限; 4)用户需要绑定在相应的角色上,才能拥有这个角色的权限; 5)用户可以属于一个或者多个租户,用户在同一个租户中可以有一个或者多个角色; 以下摘自网络资源
openstack架构构建---keystone原理部分
m0_57776598的博客
07-31 852
1.什么是keystonekeystoneopenstack认证服务的项目名称,也是整个云平台的入口,如果把openstack云平台比作一个“屋子”,那么keystone就是屋子的大门,任何一个行为都需要通过这个大门。因此leystone是一个负责身份管理和授权的组件 2.主要功能:实现用户的身份验证,基于角色的权限管理,及openstack其他它组件的访问地址和安全策略管理 角色:就是一组特权的集合,即使定义了用户能做什么,下文详细讲解 访问地址:比如现在一个用户需要访问nova组件,但是用
手动搭建OpenStackkeystone
thq1443765353的博客
06-07 817
keystone是什么? openstack是一个SOA架构,各个项目独立提供先关的服务,且互不依赖,如nova提供计算服务,glance提供镜像服务等。防止耦合性,且扩展性不高实际上所有的组件都依赖keystone
Openstack中的keystone服务的相关理解
Mars--的博客
05-27 4319
Keystone主要功能:管理用户及其权限;维护openstack service的endpoint;Authentication(认证)和Authorization(授权)。 在keystone服务中涉及到三个组件:Server、Drivers和Modules。 Serve组件:提供一个RESTful的接口,接收用户的请求并对其进行认证以及授权。 Drivers组件:主要从后端存储获取...
keystone详解
freedom00001的博客
10-18 2762
keystone简介 keystoneOpenStack的核心组件之一,为OpenStack大家族中的其他组件提供统一的身份认证服务,包括身份认证、令牌发放和校验服务列表、定义用户权限等。OpenStack中所有服务的授权和认证都需要经过keystone,因此keystoneOpenStack中第一个需要安装的核心组件。 keystone原理 User user指代任何使用OpenStack...
OpenStack Keystone的基本概念理解
weixin_30725467的博客
01-04 261
Keystone简介   KeystoneOpenStack Identity Service)是OpenStack框架中,负责身份验证、服务规则和服务令牌的功能, 它实现了OpenStack的Identity API。Keystone类似一个服务总线, 或者说是整个Openstack框架的注册表, 其他服务通过keystone来注册其服务的Endpoint(服务访问的URL),任何服务之间相...
OpenStackKeystone安装
最新发布
05-13
安装Keystone之前,您需要确保已经安装并配置好了OpenStack Identity服务所需的依赖项。这些依赖项包括Python、MySQL数据库、Apache HTTP服务器、以及其他一些Python库。如果您还没有安装这些依赖项,请先安装它们。 以下是在Ubuntu 18.04操作系统上安装Keystone的步骤: 1.安装Keystone软件包: ``` sudo apt-get update sudo apt-get install keystone ``` 2.编辑Keystone配置文件/etc/keystone/keystone.conf,将[database]部分中的连接信息修改为您的MySQL数据库连接信息,例如: ``` [database] connection = mysql+pymysql://keystone:PASSWORD@controller/keystone ``` 3.编辑/etc/apache2/sites-available/wsgi-keystone.conf文件,将WSGIScriptAlias行中的/var/www/cgi-bin/keystone修改为/usr/bin/keystone-wsgi-public: ``` WSGIScriptAlias / /usr/bin/keystone-wsgi-public ``` 4.创建一个新的数据库并将权限授予Keystone: ``` sudo mysql -u root -p CREATE DATABASE keystone; GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'localhost' IDENTIFIED BY 'PASSWORD'; GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'%' IDENTIFIED BY 'PASSWORD'; exit ``` 5.初始化Keystone数据库: ``` sudo su -s /bin/sh -c "keystone-manage db_sync" keystone ``` 6.为管理员创建一个新的OpenStack Identity服务用户: ``` export OS_USERNAME=admin export OS_PASSWORD=ADMIN_PASS export OS_PROJECT_NAME=admin export OS_USER_DOMAIN_NAME=Default export OS_PROJECT_DOMAIN_NAME=Default export OS_AUTH_URL=http://controller:5000/v3 export OS_IDENTITY_API_VERSION=3 export OS_IMAGE_API_VERSION=2 ``` 7.创建管理员用户、服务、终端节点和角色: ``` openstack user create --domain default --password-prompt admin openstack role create admin openstack role add --project admin --user admin admin openstack service create --name keystone --description "OpenStack Identity" identity openstack endpoint create --region RegionOne identity public http://controller:5000/v3 openstack endpoint create --region RegionOne identity internal http://controller:5000/v3 openstack endpoint create --region RegionOne identity admin http://controller:35357/v3 ``` 8.重新启动Apache HTTP服务器: ``` sudo service apache2 restart ``` 现在,您已经成功地安装和配置了Keystone服务。您可以使用OpenStack命令行工具或其他OpenStack服务来验证Keystone是否正常工作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值