keystonemiddleware支持SASL--系列3

最新推荐文章于 2022-09-29 15:02:07 发布
最新推荐文章于 2022-09-29 15:02:07 发布
阅读量162 收藏
点赞数
分类专栏: oslo公共库 openstack
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33970713/article/details/107392659
版权

这一篇写如何使用demo代码对keystonemiddleware进行测试。

  • 存储函数执行结果 keystone heat nova等项目把一些固定的属性和查询请求的结果放到cache里面,加速访问。
  • 存储keystone token token创建完成之后,不需要修改,会有大量的读操作,适合放到cache中
  • 存储keystonemiddleware token 为neutron,cinder,nova等各个项目缓存从keystone获得的token。
  • 存储horizon用户会话数据 主要是django支持使用

存储函数执行结果

优势在于,很多查询函数的结果是固定的,但是又比较常用,查询一次之后,按照key-value存到cache中,再次查询时不需要访问数据库,直接从内存缓存中根据key将结果取出,可以提高很多速度。或者还有一些查询请求,查询的参数千变万化,但是结果只有固定的几类,这种更适合使用cache加速。

  • sql 将token存放在数据库中,使用这种方法需要定期清理过期token,防止token表太大影响性能。
  • memcache 将token存放到memcache中,token本身创建之后不会被修改,只会被读,所以很适合放到cache中,加速访问,放到cache中也不需要写脚本定期清理数据库中的过期token。
  • memcache_pool 在memcache的基础上,实现了memcache的连接池,可以在线程之间复用连接。

使用memcache_pool的优势在于什么地方呢?

memcache driver的缺点在于,memcache本身是分布式的设计,但是并不是高可用的,如果controller-1上的的cache服务被重启,这个节点上的所有token都会丢失掉,会带来一些错误。

比这更糟糕的是,如果controller1网络不可达或者宕机,那么我们会观察到几乎每个openstack api请求都会有3s以上的卡顿。这是因为openstack默认使用python-memcached访问memcache,它提供的操作keystone的client继承自Thread.local类,和构建它的线程绑定。openstack服务启动后,会启动一定数量的子进程,每个http request到达,会有一个子进程接收,孵化一个线程去处理这个请求。如果用到memcache,线程会调用python-memcached
构建一个client类,通过这个client的实例对memcache进行操作。如果访问到网络不可达的memcache节点,卡住,操作超时,将这个节点标识为30秒内不可用,在这个线程内,不会再因此而卡住,但是这个http请求结束之后,下一个http请求过来,重新孵化的线程会reinit这个client,新的client丢失了旧的client的状态,还是可能会访问到卡住的memcache节点上。

社区之所以要做memcache_pool,就是为了解决这个问题,将client统一由pool管理起来,memcache节点的状态,也由pool管理起来,这样每个子进程里只会卡第一次,所以强烈推荐使用memcache_pool驱动而不是memcache。社区将memcache_pool的代码从keystone复制到oslo_cache项目中,希望所有使用memcache的项目都通过它的memcachepool去访问,避免这个问题。其中,nova在M版本支持,heat在L版本支持。

具体的各个服务如何配置使用memcache_pool driver这里不再赘述。

 

keystonemiddleware/opts.py文件是列出所有的配置项

[filter:authtoken]

paste.filter_factory = keystonemiddleware.auth_token:filter_factory

 

 

由于已经改好了代码,没法像oslo.cache那样直接写一个demo进行测试,只好把这些代码直接放到openstack环境中进行测试了!

但是直接放进去之后,出现nova list无法执行的错误,认证这边出现了问题

结果只能回退快照,对比环境中的keystonemiddleware代码和git下载下来的代码,发现在auth_token/_opts.py文件中有一些差异

改完差异之后,直接把改动的代码合进去之后,上面的错误就没有了!

 

配置文件修改:

/etc/nova/nova.conf:71:[keystone_authtoken]
/etc/nova/nova-cpu.conf:69:[keystone_authtoken]
/etc/cinder/cinder.conf:2:[keystone_authtoken]
/etc/placement/placement.conf:15:[keystone_authtoken]
/etc/glance/glance-registry.conf:20:[keystone_authtoken]
/etc/glance/glance-api.conf:24:[keystone_authtoken]
/etc/neutron/neutron.conf:873:[keystone_authtoken]

需要在上面的配置文件中,添加如下的配置信息才行:

memcache_sasl_enable = True
memcache_usrname = ***
memcache_password = ***

memcache_use_advanced_pool = True

可根据实际需要来选择是否开启memcache_use_advanced_pool = True选项,如果不开启,直接用bmemcached.Client连接,开启的话,则用用户池调用的是_bmemcached_pool文件

在调试的时候,在这个地方将参数打出来,看看是否有用户名和密码传进去,也可以依次判断用户名和密码是否正确,以及哪些服务的配置文件还没有配置用户名和密码

可以看出来,在服务没有配置用户名和密码的时候,访问memcache会出现Invalid magic的错误

同时这个日志是在n-api.service中打印出来的,所以可以看一下这个服务的配置文件是否正确配置了!

Jorhson_Deng
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Keystone中间件keystonemiddleware.zip
07-18
keystonemiddleware 包括了用于提供认证和授权功能的 Keystone 中间件模块。最突出的模块是keystonemiddleware.auth_token,此包不会公开任何 CLI 或者 Python API 功能。
OpenStack学习笔记(二)
m0_51734025的博客
06-23 1183
视频讲解:keystone简单来说是用来做认证的概念详解:User:使用Openstack组件的客户端可以是人、服务。系统,任何访问Openstack组件的客户端都需要有一个用户名Project:1、是一个人或服务所拥有的资源集合。不同的Project之间资源是隔离的,资源可以设置配额;2、在一个Project中可以包含多个User,每个User都会根据权限的划分来使用Project中的资源。3、User访问Project的资源前,必须要与该Project关联,并且指定User在Project下的Role,
keystonemiddleware中的token 认证
cengjch2011的专栏
10-28 5508
在系统访问api时,都要经过auth_token认证,只有认证成功才能继续访问api,所以弄清api认证的流程很有必要。 token认证包括了三个认证过程,即:cache认证,本地认证和远程认证; 1、根据token信息从token cache获取token id 和具体的token信息(json字符串,cached);返回cached; 2、如果token cache中没有,则使用cm
ERROR keystonemiddleware.auth_token [-] Bad response code while validating token: 400
Michael_XiaoQ的博客
02-01 3940
2018-02-01 15:29:13.453 60498 WARNING keystonemiddleware.auth_token [-] Use of the auth_admin_prefix, auth_host, auth_port, auth_protocol, identity_uri, adm in_token, admin_user, admin_password, and
keystonemiddleware支持SASL--系列1
qq_33970713的博客
07-09 215
系列2: 在实际测试中,发现nova在调用keystonemiddleware的时候,keystonemiddleware也会访问memcached服务。 如果memcached开启SASL认证功能,而keystonemiddleware没有这个认证功能,就会出现访问失败的现象; 在keystonemiddleware组件中的class AuthProtocol(BaseAuthProtocol)函数中会注册配置项: self._conf = config.Config('auth_token
sasl-0.3.1-cp39-cp39-win-amd64
08-11
win-sasl-0.3.1-cp39-cp39-win_amd64,sasl-0.3.1-cp39-cp39-win_amd64
cyrus-sasl-plain-2.1.26-23.el7.x86_64.rpm
11-30
离线安装包,亲测可用
cyrus-sasl-2.1.26-23.el7.x86_64.rpm
11-30
离线安装包,亲测可用
win-sasl-0.3.1-cp38-cp38-win-amd64
最新发布
08-11
win-sasl-0.3.1-cp38-cp38-win_amd64,win-sasl-0.3.1-cp38-cp38-win_amd64,win-sasl-0.3.1-cp38-cp38-win_amd64
cyrus-sasl-devel-2.1.23-13.el6.i686.rpm
06-26
cyrus-sasl-devel-2.1.23-13.el6.i686.rpm
keystonemiddleware:OpenStack身份(Keystone)中间件。 在opendev.org上维护的代码镜像
05-04
团队和存储库标签 OpenStack Identity API的中间件(Keystone) 该软件包包含中间件模块,这些中间件模块旨在为除Keystone < >之外的Web服务提供身份验证和授权功能。 最突出的模块是keystonemiddleware.auth_token 。 该软件包不提供任何CLI或Python API功能。 有关贡献的信息,请参见CONTRIBUTING.rst 。 许可证:Apache许可证,版本2.0 文档: : 资料来源: : 错误: : 发行说明: : 有关其他信息,请参考父项目Keystone
keystone 身份验证流程(3)
spch2008的专栏
07-19 6422
quantum端采用的身份验证。 /etc/quantum/api-paste.ini中 [filter:authtoken] paste.filter_factory = keystone.middleware.auth_token:filter_factory auth_host = 172.16.4.1 auth_port = 35357 auth_protocol = http adm
Keystone中间件WSGI环境变量总结
weixin_34101229的博客
11-04 139
  OpenStack keystonemiddleware接收前一个WSGI过滤器传来的WSGI环境信息,进行验证工作后传递给下一个中间件,本文探讨keystone中间件究竟有哪些WSGI环境变量。      说明:下文中以 HTTP\_ 开头的header对应标准http header, 以 HTTP_X 开头的header对应扩展的http header,WSGI环境信息用于在不同的WS...
了解和使用keystone(五)获取token
愷风(Wei)的专栏
09-10 9789
创建一个json文件,作为HTTP消息的内容 $ cat token-request.json { "auth": { "identity": { "methods": [ "password" ], "password": { "us
解决openstack的neutron服务不能访问 CRITICAL keystonemiddleware.auth_token
虾米的博客
11-24 4781
问题提出:前段时间不小心删除了service项目(租户),neutron服务一切正常,就是网络服务不能访问。查看日志/var/log/neutron/service.log,发现错误原因: CRITICAL keystonemiddleware.auth_token [-] Unable to validate token: Identity server rejected authorizat
OpenStack--虚拟机操作(挂起、暂停和搁置)
qq_33970713的博客
08-25 5299
1 OpenStack虚拟机三种操作 1.1 挂起和恢复(suspend和resume) 挂起: openstack中的挂起(suspend)操作是将虚拟机的内存保存到磁盘中,会释放虚拟机在宿主机中的资源。调用libvirt中的方法是managedSave(0)方法,会将虚拟机的内存信息保存到/var/lib/libvirt/qemu/save/目录下。如果虚拟机再次启动的时候,会自动从该目录下,用内存文件启动;启动完成之后,该文件会自动消失。 恢复: openstack中对挂起的虚拟机进行恢复.
memcached开启sasl功能
qq_33970713的博客
06-19 1870
【摘要】 memcached 是一套被广泛使用的开源高性能的、分布式内存对象缓存系统,基于C/S架构。 OpenStack的Nova等组件使用memcached作为缓存系统,由于memcached默认不开启认证机制, 导致客户端无需认证即可读取、修改缓存内容。本文介绍如何给memcached增加认证机制 可以参考https://bbs.huaweicloud.com/blogs/108069 首先安装sasl: 执行rpm -qa | grep sasl 查看是否有安装sasl功能模块 ...
如何通过网页直接修改gerrit上面的代码
qq_33970713的博客
04-27 1516
原因是: 在用git 提交代码的时候,报错误: 是因为HTTP密码的原因,但是生成界面的时候,一直无法生成密码: 导致一直无法用git 提及提交代码,因此本次介绍一下如何通过网页来提交代码: S1: 找到相应的代码库 S2: 找到要修改的库文件之后 S3: 填写必要的信息 S4: 点击CREATE,开启创建分支,点击EDIT,编辑文件 S5: 点击ADD,选择要修改的文件,然后修改,publish,进行发布,即可完成 ...
oslo_messaging学习系列之二《OpenStack中使用消息队列》
qq_33970713的博客
09-29 1168
rabbitmq系列
ubuntu cyrus-sasl-plain 安装
06-07
您可以通过以下步骤在 Ubuntu 上安装 cyrus-sasl-plain: 1. 打开终端并更新软件包列表: ``` sudo apt-get update ``` 2. 安装 cyrus-sasl-plain: ``` sudo apt-get install cyrus-sasl-plain ``` 3. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值