(本文所有提及OSP=OpenStack Platform)
1 管理项目
1) OpenStack 项目简介:
● Linux 中通过实施用户和组来控制对操作系统资源的访问
● OSP 利用域、项目、组和用户来组织OpenStack 资源
● admin 用户可用于登录Horizon 控制面板或通过命令行管理OpenStack。此
● admin 用户类似于Linux 操作系统中的root 用户。此用户属于admin 项目在OpenStack 中,身份验证和授权服务由OpenStack 身份服务提供, 其代号为 Keysto n e
● 用户通过身份服务API 端点进行身份验证,然后请求其它OpenStack 服务
● OSP 支持Keystone API 的版本2 和3,本课程使用版本2
2 )OpenStack 身份服务所用的术语:
● 项目:用户及其拥有的资源的集合。根据云提供商,这可用于映射客户、帐户或组织单元。OSP 附带了两个项目,名为admin 和services。 这两个项目属于default 域
● 用户: 代表使用OpenStack 服务的人员或云用户。RHOSP 附带了admin用户,该用户从属于admin 项目并且分配有admin 角色。
● 角色: 定义一组特权, 从而能够对OpenStack 服务执行特定的操作。RHOSP 附带了两个预定义角色,即admin 和 member_。member 角色提供项目中资源的普通用户访问权限。admin 角色提供整个OpenStack 环境的管理特权
● 凭据: 是Keystone 验证用户身份时需要的身份验证数据。此信息包含用户名、密码、项目名称、Keystone 端点和地区名称。通过利用此信息,在用户发出访问服务的请求时,Keystone提供身份验证令牌, 让用户能够访问该服务
● 地区: 用于在逻辑上表示不同的RHOSP 部署。这些部署可以按照地理位置来划分,并且相应地命名。例如,一个地区可以命名为in-mumbai,来代表位于印度孟买的OpenStack 部署。这些地区可以进一步划分为子地区
● 组:是域中的用户集合。通过分配角色到组,可以向该组中的所有用户分配特权。将用户从组中删除,便可撤销这些特权以及用户与项目或域的关联。Keystone API 的版本了中支持组
● 域: 是可以在单个身份域中定义的项目和用户的集合。域可以映射到个人、公司或云服务运营商。Keystone API 的版本3 中支持域。如果没有创建域,所有项目和用户都使用default 域
3)管理OpenStack 项目:
● 较早版本的OSP 中曾经使用“租户tenant”一词。项目可以映射到组织、帐户或客户
● 项目有助于用户使用单一OpenStack 环境,不必互相干扰权限和资源。例如,可以将上传到项目的镜像标记为专用镜像,使其他项目中的用户无法访问此镜像
● 可以将多个用户分配到一个项目。分配到项目的用户有权在该项目内创建和管理虚拟资源。一个用户还可与多个项目关联
● 创建和删除项目: 项目可以由admin 帐户创建,也可由分配了项目的admin 角色的用户创建
● 每个项目配置有一组资源配额,可以在创建项目时编辑。删除项目时,会同时移除该项目的所有用户关联
4) 利用OpenStack CLI 创建和删除项目:
● 提供Keystone 凭据文件, 使得OpenStack 命令行工具能够与OpenStack 服务通信。若要创建项目,用户必须具备管理员特权
● 通过op