OpenStack Victoria搭建(五) Keystone认证服务

已于 2022-07-21 14:53:27 修改
阅读量1.2k 收藏 5
点赞数
分类专栏: OpenStack Windows 文章标签: 运维 linux
于 2022-07-01 19:59:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40277608/article/details/125452079
版权

介绍

什么是 Keystone

Keystone是 OpenStack Identity Service 的项目名称,是一个负责身份管理与授权的组件

主要功能: 实现用户的身份认证,基于角色的权限管理,及 OpenStack 其他组件的访问地址和安全策略管理。

为什么需要 Keystone

Keystone 项目的主要目的是给整个 OpenStack 的各个组件(nova,cinder,glance…)提供一个统一的验证方式

  • 用户管理
    • Account账户
    • Authentication 身份认证
    • Authorization 授权
  • 服务目录管理

术语

User (用户)
一个人、系统或服务在 OpenStack中的数字表示。已经登录的用户分配令牌环以访问资源。用户可以直接分配给特定的租户,就像隶属于每个组。

Credentials (凭证)
用于确认用户身份的数据。例如:用户名和密码,用户名和API key,或由认证服务提供的身份验证令牌。

Authentication(验证)
确认用户身份的过程。

Token(令牌)
一个用于访问 OpenStack API和资源的字母数字字符串。一个临时令牌可以随时撤销,并且持续一段时间有效。

Tenant(租户)
一个组织或孤立资源的容器。租户和可以组织或隔离认证对象。根据服务运营的要求,一个租户可以映射到客户、账户、组织或项目。

Service(服务)
OpenStack服务,例如计算服务(nova),对象存储服务(swift),或镜像服务(glance)。它提供一个或多个端点,共用户访问资源和执行操作。

Endpoing(端点)
一个用于访问某个服务的可以通过网络进行访问的地址,通常是一个URL地址。

Role(角色)
定制化的包含特定用户权限和特权的权限集合。

Keystone Client(keystone命令行工具)
Keystone 的命令行工具。通过该工具可以创建用户、角色、服务和端点等。

keystone与其他组件协同工作流程

keystone是用户与云平台交互的第一个服务,一旦认证通过,用户就会使用自己的身份来访问其他的opnestack服务,同样,被访问的openstack服务会去跟keystone再次确认用户(不能只能用户的片面之词)并且通过keystone可以发现其他服务(catalog的原因),keystone的还可以整合其他的用户管理系统,比如LDAP
在这里插入图片描述

keystone工作流程详解

  1. User从Keystone获取令牌以及服务列表;
  2. User访问服务时,亮出自己的令牌。
  3. 相关的服务向Keystone求证令牌的合法性。

在这里插入图片描述

  1. 用户alice登录keystone系统(password或者token的方式),获取一个临时的token和catalog服务目录(v3版本登录时,如果没有指定scope,project或者domain,获取的临时token没有任何权限,不能查询project或者catalog)。
  2. alice通过临时token获取自己的所有的project列表。
  3. alice选定一个project,然后指定project重新登录,获取一个正式的token,同时获得服务列表的endpoint,用户选定一个endpoint,在HTTP消息头中携带token,然后发送请求(如果用户知道project name或者project id可以直接第3步登录)。
  4. 消息到达endpoint之后,由服务端(nova)的keystone中间件(pipeline中的filter:authtoken)向keystone发送一个验证token的请求。(token类型:uuid需要在keystone验证token,pki类型的token本身是包含用户详细信息的加密串,可以在服务端完成验证)
  5. keystone验证token成功之后,将token对应用户的详细信息,例如:role,username,userid等,返回给服务端(nova)。
  6. 服务端(nova)完成请求,例如:创建虚拟机。
  7. 服务端返回请求结果给alice。

安装和配置

本节介绍如何在控制器节点上安装和配置 OpenStack Identity 服务,代号为 keystone。出于可扩展性目的,此配置部署了 Fernet 令牌和 Apache HTTP 服务器来处理请求。

配置数据库

  1. 使用数据库访问客户端以root用户身份连接数据库服务器:
    mysql -u root -p
  2. 创建keystone数据库:
    MariaDB [(none)]> CREATE DATABASE keystone;
  3. 授予对keystone数据库的适当访问权限:
    MariaDB [(none)]> GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'localhost' \
IDENTIFIED BY 'KEYSTONE_DBPASS';
MariaDB [(none)]> GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'%' \
IDENTIFIED BY 'KEYSTONE_DBPASS';
    替换KEYSTONE_DBPASS为合适的密码。
  4. 退出数据库访问客户端。

安装和配置组件

✔ 笔记
默认配置文件因发行版而异。您可能需要添加这些部分和选项,而不是修改现有的部分和选项。此外,配置片段中的省略号 ( …) 表示您应该保留的潜在默认配置选项。

  1. 运行以下命令来安装软件包:

    yum install openstack-keystone httpd python3-mod_wsgi

    ✔ 笔记
    对于 RHEL7/Centos7 及以上安装包 mod_wsgi。

  2. 编辑/etc/keystone/keystone.conf文件并完成以下操作:

    • 在该[database]部分中,配置数据库访问:

      [database]
#  ...
connection = mysql+pymysql://keystone:KEYSTONE_DBPASS@controller/keystone

      替换KEYSTONE_DBPASS为您为数据库选择的密码。

      笔记
      注释掉或删除connection该部分中的任何其他选项 [database]。

      笔记
      在此示例中,主机controller必须是可解析的。

    • 在该[token]部分中,配置 Fernet 令牌提供程序:

      [token]
# ...
provider = fernet

  3. 填充身份服务数据库:

    su -s /bin/sh -c "keystone-manage db_sync" keystone

  4. 初始化 Fernet 密钥存储库:

    笔记
    和标志用于指定将用于运行 keystone 的操作系统的用户/组–keystone-user。–keystone-group提供这些是为了允许在另一个操作系统用户/组下运行 keystone。在下面的示例中,我们调用 user & group keystone。

    keystone-manage fernet_setup --keystone-user keystone --keystone-group keystone
keystone-manage credential_setup --keystone-user keystone --keystone-group keystone

  5. 引导身份服务:

    ✔ 笔记
    在 Queens 发布之前,keystone 需要在两个单独的端口上运行以适应 Identity v2 API,后者通常在端口 35357 上运行单独的仅管理员服务。删除 v2 API 后,keystone 可以在同一端口上运行所有接口。

     keystone-manage bootstrap --bootstrap-password ADMIN_PASS \
  --bootstrap-admin-url http://controller:5000/v3/ \
  --bootstrap-internal-url http://controller:5000/v3/ \
  --bootstrap-public-url http://controller:5000/v3/ \
  --bootstrap-region-id RegionOne

    替换ADMIN_PASS为适合管理用户的密码。

配置 Apache HTTP 服务器

  1. 编辑/etc/httpd/conf/httpd.conf文件并配置 ServerName选项以引用控制器节点:

    ServerName controller

    如果该ServerName条目尚不存在,则需要添加该条目。

  2. 创建/usr/share/keystone/wsgi-keystone.conf文件的链接:

    ln -s /usr/share/keystone/wsgi-keystone.conf /etc/httpd/conf.d/

SSL

安全部署应将 Web 服务器配置为使用 SSL 或在 SSL 终结器后面运行。

完成安装

  1. 启动 Apache HTTP 服务并将其配置为在系统启动时启动:
    systemctl enable httpd.service
systemctl start httpd.service
  2. 通过设置适当的环境变量来配置管理帐户:
    export OS_USERNAME=admin
export OS_PASSWORD=ADMIN_PASS
export OS_PROJECT_NAME=admin
export OS_USER_DOMAIN_NAME=Default
export OS_PROJECT_DOMAIN_NAME=Default
export OS_AUTH_URL=http://controller:5000/v3
export OS_IDENTITY_API_VERSION=3
    此处显示的这些值是从创建的默认值。keystone-manage bootstrap
    替换为keystone-install-configure-rdo中命令中ADMIN_PASS使用的密码 。keystone-manage bootstrap

创建域、项目、用户和角色

Identity 服务为每个 OpenStack 服务提供身份验证服务。身份验证服务使用域、项目、用户和角色的组合。

创建域

openstack domain create --description "An Example Domain" example

在这里插入图片描述

创建服务

openstack project create --domain default \
  --description "Service Project" service

在这里插入图片描述

创建项目

openstack project create --domain default --description "Demo Project" demo

在这里插入图片描述

创建用户

openstack user create --domain default  --password-prompt demo

创建角色

openstack role create demo

在这里插入图片描述

将role角色添加到demo项目和demo用户

openstack role add --project demo --user demo demo

验证

  1. 取消设置临时变量OS_AUTH_URL和OS_PASSWORD 环境变量:

    unset OS_AUTH_URL OS_PASSWORD

  2. 作为admin用户,请求一个身份验证令牌:

    openstack --os-auth-url http://controller:5000/v3 \
  --os-project-domain-name Default --os-user-domain-name Default \
  --os-project-name admin --os-username admin token issue

    在这里插入图片描述

  3. 作为user在上面创建的用户,请求一个身份验证令牌:

    openstack --os-auth-url http://controller:5000/v3 \
  --os-project-domain-name Default --os-user-domain-name Default \
  --os-project-name demo --os-username demo token issue

在这里插入图片描述

创建 OpenStack 客户端环境脚本

前面的部分使用环境变量和命令选项的组合通过 openstack客户端与身份服务进行交互。为了提高客户端操作的效率,OpenStack 支持简单的客户端环境脚本,也称为 OpenRC 文件。这些脚本通常包含所有客户端的通用选项,但也支持独特的选项。

创建脚本

为项目和用户admin创建客户端环境脚本。

  1. 创建并编辑admin_openrc文件并添加以下内容:

    export OS_PROJECT_DOMAIN_NAME=Default
export OS_USER_DOMAIN_NAME=Default
export OS_PROJECT_NAME=admin
export OS_USERNAME=admin
export OS_PASSWORD=ADMIN_PASS
export OS_AUTH_URL=http://controller:5000/v3
export OS_IDENTITY_API_VERSION=3
export OS_IMAGE_API_VERSION=2

    替换为您在身份服务中ADMIN_PASS为用户admin选择的密码。

  2. 创建并编辑demo_openrc文件并添加以下内容:

    export OS_PROJECT_DOMAIN_NAME=Default
export OS_USER_DOMAIN_NAME=Default
export OS_PROJECT_NAME=demo
export OS_USERNAME=demo
export OS_PASSWORD=DEMO_PASS
export OS_AUTH_URL=http://controller:5000/v3
export OS_IDENTITY_API_VERSION=3
export OS_IMAGE_API_VERSION=2

    替换为您在身份服务中DEMO_PASS为用户demo选择的密码。

使用脚本

要将客户端作为特定项目和用户运行,您只需在运行它们之前加载关联的客户端环境脚本。例如:

  1. 加载文件以使用身份服务的位置以及项目和用户凭据admin-openrc填充环境变量:admin
    source ./admin_openrc
  2. 请求身份验证令牌:
    openstack token issue
    在这里插入图片描述
mabaishun
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OpenStackkeystone
weixin_45039547的博客
11-03 1522
keystone的功能及认证流程
OpenStack最新版本--Victoria发布亮点与初体验
NewTyun的博客
10-14 3786
前言:OpenStack是一个云操作系统,可控制整个数据中心内的大型计算,存储和网络资源池,所有资源均通过具有通用身份验证机制的API进行管理和配置。还提供了一个仪表板,可让管理员进行控...
Centos 8安装部署openstack Victoria
小白典的博客
02-28 8108
文章目录OpenStack基础介绍硬件最低要求安装环境一、基础服务安装1、基本配置2、基础服务3、SQL数据库4、消息队列5、Memcached缓存6、Etcd集群二、KeyStone服务安装1、创库授权2、安装KeyStone相关软件包3、配置Apache HTTP服务4、创建域,项目,用户和角色三、Glance服务安装1、创库授权2、创建glance用户并关联角色3、创建glance服务并注册API4、安装并配置glance四、Placement服务安装1、创库授权2、配置用户和Endpoint3、创建
OpenStack Victoria搭建(八)安装和配置 Nova 服务
qq_40277608的博客
07-02 1301
openstack,nova
OpenStack搭建keystone(2)
最新发布
今天记得早睡的博客
04-20 249
在安装和配置Identity服务之前,必须创建数据库。创建OpenStack客户端环境脚本。
身份认证服务(Keystone)安装配置,这一篇就够了!!
考研渣渣斌斌的博客
11-27 5883
实验目标 OpenStack:Identity service 为认证管理,授权管理和服务目录服务管理提供单点整合。其它 OpenStack 服务将身份认证服务当做通用统一 API 来使用。此外,提供用户信息但是不在 OpenStack 项目中的服务(如 LDAP 服务)可被整合进先前存在的基础设施中。为了从 identity 服务中获益,其他的 OpenStack 服务需要与它合作。当某个 OpenStack 服务收到来自用户的请求时,该服务询问Identity 服务,验证该用户是否有权限进行此次请求。
OpenStack——认证服务Keystone
01-27
KeystoneOpenStackIdentityService)是OpenStack框架中,负责身份验证、服务规则和服务令牌的功能, 它实现了OpenStack的IdentityAPI。Keystone类似一个服务总线,或者说是整个Openstack框架的注册表, 其他服务...
Openstack组件实现原理—Keystone认证功能
02-24
Keystone安装列表Openstack组件部署—Overview和前期环境准备Openstack组建部署—EnvironmentofControllerNodeOpenstack组件部署—Keystone功能介绍与认证实现流程Openstack组件部署—KeystoneInstall&...
OpenStack认证服务Keystone
01-13
OpenStack认证服务Keystone是云平台的核心组件之一,它负责提供身份管理和授权服务,确保只有经过验证的用户和应用程序可以访问资源。Keystone通过颁发、验证和管理身份令牌来控制OpenStack服务的访问。 安装与...
Keystone认证服务详细操作流程
weixin_57994384的博客
05-12 3303
第3章 全局服务类部署(上) 3.1 认证服务 3.1.1 服务简介 做为云操作系统的Keystone认证服务,主要提供两个功能: ①用户身份认证:为系统提供是否为合法用户的判断功能。对user的管理和保存,管理user的tenant、role、group、domain等,保存user的存放、验证、令牌管理等。 ②服务目录列表:显示系统提供的服务列表。其他服务通过keystone来注册其服务的Endpoint(服务访问的URL),任何服务之间的相互调用,需要经过keystone的身份验证来获得目标
关于OpenStack的openrc凭据解析
北观止的博客
06-08 2651
如果使用命令行工具对OpenStack云系统发起查询请求,必须有合适的凭据。 获得使用命令行客户端的认证证书,最简单的方式是用OpenStack控制面板,登录dashboard之后,右上角可以下载OpenStack RC 文件。使用这种方法生成可以在shell脚本中源化(source)的文件填入命令行工具需要的环境变量,以了解服务端点和认证信息在何处。 登录控制面板的用户会指定openrc文件的文件名,比如demo-openrc.sh。作为管理员登录,文件名就是admin-openrc.sh。 .
Keystone 认证服务
timedown的博客
11-01 1162
项目介绍​KeystoneOpenstack框架中负责身份认证服务管理、服务规则和服务令牌的功能,它实现了Openstack的Identity API。​Keystone是整个openstack框架的注册表,其他服务通过keystone来注册其服务的endpoint,任何服务之间相互的调用,都需要经过keystone的...
openstack keystone部署
DK
08-20 757
openstack keystone部署 https://blog.csdn.net/andrew6_success/article/details/85250480#commentBox https://www.cnblogs.com/yaohong/p/7601470.html keystone 工作原理https://www.cnblogs.com/charles1ee/p/629...
使用packstack在centos8中部署openstack-victoria
qq_25650463的博客
03-18 997
注意点,整个过程中不能随便混合使用centos的源和redhat的源,否则会导致过程中出现各种问题 步骤1)节点名称修改 [root@localhost ~]# hostnamectl set-hostname “controller” [root@localhost ~]# exec bash [root@controller ~]# cat /etc/sysconfig/network Created by anaconda HOSTNAME=controller 在控制节点和计算节点修改配置文件 /e
OpenStack Victoria 集群部署-Glance部署 - Ubuntu20.04
盲盒岛
04-20 719
Glance部署 :5.1 配置Glance数据库5.2 加载管理凭证5.3 创建glance相关服务凭证5.4 创建glance API endpoints5.5 部署与配置glance - ALL Controller5.6 glance服务验证5.7添加pcs资源至此,Glance服务已部署完毕,如有问题请联系我改正,感激不尽!5.x 部署过程遇到的问题汇总 Glance 具体功能如下: 1 提供 RESTful API 让用户能够查询和获取镜像的元数据和镜像本身; 2 支持多种方式存储镜像,包括
OpenStack Victoria版——4.控制节点-Glance镜像服务组件
北观止的博客
05-01 716
4.控制节点-Glance镜像服务组件 文章目录创建glance相关数据库、凭据与API端点1.创建glance数据库并授权2.创建服务凭据3.创建镜像服务的 API 端点(endpoint)glance相关软件安装与配置1.检查Python版本2.安装glance软件3.配置文件修改(1)glance-api.conf4.同步glance数据库5.glance镜像服务启动并设置开机自启镜像上传验证1.下载镜像2.加载环境变量,获取管理员权限3.上传镜像4.查看镜像信息Glance安装配置完成 创建gla
OpenStack Victoria版——7.1控制节点-Neutron网络服务组件
北观止的博客
05-02 1151
7.1控制节点-Neutron网络服务组件 文章目录一、创建neutron相关数据库、服务凭证和API端点1.创建neutron数据库2.创建neutron服务凭据3.创建neutron网络服务的API端点(endpoint)二、neutron相关软件安装与配置1.安装neutron相关软件2.配置网络选项一:Provider networks(1)配置neutron服务组件(2)配置模块化层2(ML2)插件(3)配置Linux网桥代理(4)配置DHCP代理3.创建网络选项一:provider netwo
OpenStack Victoria版——6.1控制节点-Nova计算服务组件
北观止的博客
05-01 1109
6.1控制节点-Nova计算服务组件 创建Nova相关数据库、凭据与API端点 1.创建数据库并授权 mysql -uroot -proot 需要创建3个数据库,分别是:nova_api,nova,nova_cell0,设置密码为111111 CREATE DATABASE nova_api; CREATE DATABASE nova; CREATE DATABASE nova_cell0; GRANT ALL PRIVILEGES ON nova_api.* TO 'nova'@'localhost
openstack网络模式之vlan分析
热门推荐
少帅的天空
12-09 3万+
openstack neutron中定义了四种网络模式:# tenant_network_type = local# tenant_network_type = vlan   # Example: tenant_network_type = gre# Example: tenant_network_type = vxlan   本文主要以vlan为例,并结合local来详细的分析下openstac
OpenStack认证服务Keystone详解
它为OpenStack的其他服务提供认证功能,使得外部请求在调用OpenStack服务时必须先通过Keystone获取有效的Token。同时,Keystone也负责维护服务端点信息,确保服务的可发现性。 2. Keystone架构 Keystone的架构设计...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值