二·Openstack 管理项目与用户

(本文所有提及OSP=OpenStack Platform)

1 管理项目

1） OpenStack 项目简介:

● Linux 中通过实施用户和组来控制对操作系统资源的访问
● OSP 利用域、项目、组和用户来组织OpenStack 资源
● admin 用户可用于登录Horizon 控制面板或通过命令行管理OpenStack。此
● admin 用户类似于Linux 操作系统中的root 用户。此用户属于admin 项目在OpenStack 中，身份验证和授权服务由OpenStack 身份服务提供， 其代号为 Keysto n e
● 用户通过身份服务API 端点进行身份验证，然后请求其它OpenStack 服务
● OSP 支持Keystone API 的版本2 和3,本课程使用版本2

2 ）OpenStack 身份服务所用的术语:

● 项目:用户及其拥有的资源的集合。根据云提供商，这可用于映射客户、帐户或组织单元。OSP 附带了两个项目，名为admin 和services。 这两个项目属于default 域

● 用户: 代表使用OpenStack 服务的人员或云用户。RHOSP 附带了admin用户，该用户从属于admin 项目并且分配有admin 角色。

● 角色: 定义一组特权， 从而能够对OpenStack 服务执行特定的操作。RHOSP 附带了两个预定义角色，即admin 和 member_。member 角色提供项目中资源的普通用户访问权限。admin 角色提供整个OpenStack 环境的管理特权

● 凭据: 是Keystone 验证用户身份时需要的身份验证数据。此信息包含用户名、密码、项目名称、Keystone 端点和地区名称。通过利用此信息，在用户发出访问服务的请求时，Keystone提供身份验证令牌， 让用户能够访问该服务

● 地区: 用于在逻辑上表示不同的RHOSP 部署。这些部署可以按照地理位置来划分，并且相应地命名。例如，一个地区可以命名为in-mumbai,来代表位于印度孟买的OpenStack 部署。这些地区可以进一步划分为子地区

● 组:是域中的用户集合。通过分配角色到组，可以向该组中的所有用户分配特权。将用户从组中删除，便可撤销这些特权以及用户与项目或域的关联。Keystone API 的版本了中支持组

● 域: 是可以在单个身份域中定义的项目和用户的集合。域可以映射到个人、公司或云服务运营商。Keystone API 的版本3 中支持域。如果没有创建域，所有项目和用户都使用default 域

3）管理OpenStack 项目:

● 较早版本的OSP 中曾经使用“租户tenant”一词。项目可以映射到组织、帐户或客户

● 项目有助于用户使用单一OpenStack 环境，不必互相干扰权限和资源。例如，可以将上传到项目的镜像标记为专用镜像，使其他项目中的用户无法访问此镜像

● 可以将多个用户分配到一个项目。分配到项目的用户有权在该项目内创建和管理虚拟资源。一个用户还可与多个项目关联

● 创建和删除项目: 项目可以由admin 帐户创建，也可由分配了项目的admin 角色的用户创建

● 每个项目配置有一组资源配额，可以在创建项目时编辑。删除项目时，会同时移除该项目的所有用户关联

4） 利用OpenStack CLI 创建和删除项目:

● 提供Keystone 凭据文件， 使得OpenStack 命令行工具能够与OpenStack 服务通信。若要创建项目，用户必须具备管理员特权
● 通过op