openstack之keystone

最新推荐文章于 2024-09-17 19:22:22 发布
原创 最新推荐文章于 2024-09-17 19:22:22 发布 · 520 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了Keystone作为OpenStack核心组件的功能,包括身份验证、授权、服务注册及资源访问控制。Keystone通过管理用户、凭证、令牌、项目和服务端点,实现了OpenStack生态内的统一认证和权限管理。

keystone

为什么需要Keystone?
原因是openstack是一个框架,是一组项目而不是单个项目.我们需要给这一组项目提供一个统一的验证方式。
在这里插入图片描述

文章目录

一、Keystone介绍:

keystone 是OpenStack的组件之一,用于为OpenStack家族中的其它组件成员提供统一的认证服务,包括身份验证、令牌的发放和校验、服务列表、用户权限的定义等等。云环境中所有的服务之间的授权和认证都需要经过 keystone. 因此 keystone 是云平台中第一个即需要安装的服务。

作为 OpenStack 的基础支持服务,Keystone 做下面这几件事情:

  • 管理用户及其权限
  • 维护 OpenStack Services 的 Endpoint
  • Authentication(认证)和 Authorization(鉴权)

学习 Keystone,得理解下面这些概念:

①User(用户)

User 指代任何使用 OpenStack 的实体,可以是真正的用户,其他系统或者服务。

当 User 请求访问 OpenStack 时,Keystone 会对其进行验证。Horizon 在 Identity->Users 管理 User

除了 admin 和 demo,OpenStack 也为 nova、cinder、glance、neutron 服务创建了相应的 User。 admin 也可以管理这些 User。

②Credentials(凭证)

Credentials 是 User 用来证明自己身份的信息,可以是

  1. 用户名/密码
  2. Token
  3. API Key
  4. 其他高级方式

③Authentication(验证)

Authentication 是 Keystone 验证 User 身份的过程。User 访问 OpenStack 时向 Keystone 提交用户名和密码形式的 Credentials,Keystone 验证通过后会给 User 签发一个 Token 作为后续访问的 Credential。

④Token(令牌)

Token 是由数字和字母组成的字符串,User 成功 Authentication 后 Keystone 生成 Token 并分配给 User。

  • Token 用做访问 Service 的 Credential
  • Service 会通过 Keystone 验证 Token 的有效性
  • Token 的有效期默认是 24 小时

⑤Project(租户)

Project 用于将 OpenStack 的资源(计算、存储和网络)进行分组和隔离。
根据 OpenStack 服务的对象不同,Project 可以是一个客户(公有云,也叫租户)、部门或者项目组(私有云)。

这里请注意:

  • 资源的所有权是属于 Project 的,而不是 User。
  • 在 OpenStack 的界面和文档中,Tenant / Project / Account 这几个术语是通用的,但长期看会倾向使用 Project
  • 每个 User(包括 admin)必须挂在 Project 里才能访问该 Project 的资源。 一个User可以属于多个 Project。
  • admin 相当于 root 用户,具有最高权限

Horizon 在 Identity->Projects 中管理 Project

通过 Manage Members 将 User 添加到 Project

⑥Service(服务)

OpenStack 的 Service 包括 Compute (Nova)、Block Storage (Cinder)、Object Storage (Swift)、Image Service (Glance) 、Networking Service (Neutron) 等。每个 Service 都会提供若干个 Endpoint,User 通过 Endpoint 访问资源和执行操作。

⑦Endpoint(端点)

Endpoint 是一个网络上可访问的地址,通常是一个 URL。Service 通过 Endpoint 暴露自己的 API。 Keystone 负责管理和维护每个 Service 的 Endpoint。

可以使用下面的命令来查看 Endpoint

# source devstack/openrc admin admin
# openstack catalog list

⑧Role(角色)

全包含两部分:Authentication(认证)和 Authorization(鉴权)

Authentication 解决的是“你是谁?”的问题
Authorization 解决的是“你能干什么?”的问题

Keystone 借助 Role 实现 Authorization:

  • Keystone定义Role

  • 可以为 User 分配一个或多个 Role,Horizon 的菜单为:
    Identity->Project->ManageMembers

  • Service 决定每个 Role 能做什么事情 Service 通过各自的 policy.json 文件对 Role 进行访问控制。 下面是 Nova 服务 /etc/nova/policy.json 中的示例:

上面配置的含义是:对于 create、attach_network 和 attach_volume 操作,任何Role的 User 都可以执行; 但只有 admin 这个 Role 的 User 才能执行 forced_host 操作。
OpenStack 默认配置只区分 admin 和非 admin Role。 如果需要对特定的 Role 进行授权,可以修改 policy.json。

⑨总结

在这里插入图片描述

二、Keystone基本架构:

  • Token: 用来生成和管理token
  • Catalog:用来存储和管理service/endpoint
  • Identity:用来管理tenant/user/role和验证
  • Policy:用来管理访问权限

三、通过例子认识Keystone:

我们通过“查询可用 image”这个实际操作让大家对这些概念建立更加感性的认识。User admin 要查看 Project 中的 image

第 1 步 登录

当点击时,OpenStack 内部发生了哪些事情?请看下面

Token 中包含了 User 的 Role 信息

第 2 步 显示操作界面

请注意,顶部显示 admin 可访问的 Project 为 “admin” 和 “demo”。 其实在此之前发生了一些事情:

同时,admin 可以访问 Intance, Volume, Image 等服务

这是因为 admin 已经从 Keystone 拿到了各 Service 的 Endpoints

第 3 步 显示 image 列表
点击 “Images”,会显示 image 列表

背后发生了这些事:
首先 admin 将请求发送到 Glance 的 Endpoint

Glance 向 Keystone 询问 admin 身份是否有效

接下来 Glance 会查看 /etc/glance/policy.json 判断 admin 是否有查看 image 的权限

权限判定通过,Glance 将 image 列表发给 admin。

Troubleshoot

OpenStack 排查问题的方法主要是通过日志。

每个 Service 都有自己的日志文件。
Keystone 主要有两个日志: keystone.log 和 keystone_access.log,保存在 /var/log/apache2/ 目录里。

devstack 的 screen 窗口已经帮我们打开了这两个日志。 可以直接查看:

如果需要得到最详细的日志信息,可以在 /etc/keystone/keystone.conf 中打开 debug 选项

四、keystone配置文件

vim /etc/keystone/keystone.conf
[DEFAULT]
 
[assignment]
 
[auth]
 
[cache]
 
[catalog]
 
[cors]
 
[cors.subdomain]
 
[credential]
 
[database]
connection = mysql+pymysql://keystone:KEYSTONE_DBPASS@controller/keystone
 
[domain_config]
 
[endpoint_filter]
 
[endpoint_policy]
 
[eventlet_server]
 
[federation]
 
[fernet_tokens]
 
[healthcheck]
 
[identity]
 
[identity_mapping]
 
[kvs]
 
[ldap]
 
[matchmaker_redis]
 
[memcache]
 
[oauth1]
 
[oslo_messaging_amqp]
 
[oslo_messaging_kafka]
 
[oslo_messaging_notifications]
 
[oslo_messaging_rabbit]
 
[oslo_messaging_zmq]
 
[oslo_middleware]
 
[oslo_policy]
 
[paste_deploy]
 
[policy]
 
[profiler]
 
[resource]
 
[revoke]
 
[role]
 
[saml]
 
[security_compliance]
 
[shadow_users]
 
[signing]
 
[token]
provider = fernet
 
[tokenless_auth]
 
[trust]

五、组件之间通信方式

内部:用户认证过程
**加粗样式**

外部:组件之间
在这里插入图片描述

内部:用户角色服务的交互图
在这里插入图片描述

OpenStackkeystone(用户认证)
weixin_42795092的博客
03-09 3227
1)管理用户及其权限2)维护OpenStack Services 的 Endpoint3)Authentication(认证)和 Authorization(授权)keystone的名词概念。
OpenStackkeystone(T版)
wuhao930715的博客
08-23 810
这里写目录标题一、概述二、主要功能三、相关概念四、认证流程五、创建虚拟机的过程六、部署 一、概述 Keystone (OpenStack ldentity Service)是OpenStack中的一个独立的提供安全认证的模块,主要负责OpenStack用户的身份认证、令牌管理、提供访问资源的服务目录、以及基于用户角色的访问控制。 1、用户身份认证、令牌管理、提供服务对应的地址(URL)。 2、所有服务的交互/调用,均需要keystone进行认证、令牌管理。 二、主要功能 1、身份认证(Authenticat
一、keystone— 身份认证服务
Sky_fantasy_的博客
04-13 977
keystoneOpenStack的组件之一,用于为OpenStack家族中的其它组件成员提供统一的认证服务,包括身份验证、令牌的发放和校验、服务列表、用户权限的定义等等。云环境中所有的服务之间的授权和认证都需要经过 keystone. 因此 keystone 是云平台中第一个即需要安装的服务。 作为 OpenStack 的基础支持服务,Keystone 做下面这几件事情: 管理用户...
OpenStackkeystone(身份认证服务)
yemu880的博客
08-29 5802
keystone概述 概念 Keystone (OpenStack ldentity Service)是OpenStack中的一个独立的提供安全认证的模块,主要负责openstack用户的身份认证、令牌管理、提供访问资源的服务目录、以及基于用户角色的访问控制。 Keystone类似一个服务总线,或者说是整个Openstack框架的注册表,其他服务通过keystone来注册其服务的Endpoint(服务访问的URL),任何服务之间相互的调用,需要经过Keystone的身份验证,来获得目标服务的Endpoi
从基础到理解——OpenStack的详解之路
wang961226的博客
12-10 673
Openstack介绍 是美国国家宇航局(NASA)和Rackspace合作开发的一个开源项目,目的是为公有云和社区云提供软件,但因其灵活性,也可以定制私有云。它是为云计算服务的,提供存储空间、计算能力等资源服务的Web Service。简单来说,OpenStack就是一个操作系统,一套软件,一套IaaS(基础设施即服务)软件,对资源进行管理,并且以服务的形式提供给上层应用或者用户去使用。 二 云计算的三种服务模式 2.1、基础设施及服务(Infrastructure as a Service,Ia
keystone— 身份认证服务
weixin_33794672的博客
12-14 773
一、Keystone介绍: keystoneOpenStack的组件之一,用于为OpenStack家族中的其它组件成员提供统一的认证服务,包括身份验证、令牌的发放和校验、服务列表、用户权限的定义等等。云环境中所有的服务之间的授权和认证都需要经过 keystone. 因此 keystone 是云平台中第一个即需要安装的服务。 作为 OpenStack 的基础支持服务...
OpenStack实践系列②认证服务Keystone
reblue520的专栏
05-27 325
OpenStack实践系列②认证服务Keystone 三、实战OpenStack之控制节点3.1 CentOS7的时间同步服务器chrony 下载chrony # yum install -y chrony   修改其配置文件 # vim /etc/chrony.conf allow 192.168/16 chrony开机自启动,并且启动 # sys...
openstackkeystone介绍
查士丁尼绵_的博客
09-17 1640
KeystoneOpenStack的身份认证服务,提供用户管理、服务注册与RBAC权限控制等功能。其核心概念包括:domain(多租户隔离)、user(用户实体)、project(资源分组)、role(权限策略)和token(访问凭证)。Keystone支持三种认证方式(Token、外部、本地)和服务端点管理。RBAC通过policy文件实现权限控制,如限制非admin用户创建云硬盘。常用操作包括用户/服务的创建与管理,以及端点配置。以Nova创建实例为例,展示了KeystoneOpenStack组件间
OpenStackkeystone
weixin_45039547的博客
11-03 1695
keystone的功能及认证流程
学会OpenStackKeystone服务一篇就够了!!!
下一个艺术家
12-17 3952
Keystone (OpenStack Identity Service)是OpenStack中的一个独立的提供安全认证的模块,主要负责openstack用户的身份认证、令牌管理、提供访问资源的服务目录、以及基于用户角色的访问控制。 Keystone类似一个服务总线,或者说是整 个Openstack框架的注册表,其他服务通过keystone来注册其服务的Endpoint (服务访问的URL),任何服务之间相互的调用,需要经过Keystone的身份验证。
Swift中配置Keystone服务(转)
weixin_30414635的博客
07-25 157
Swift中配置Keystone服务 初始化工作 #后台启动Keystone服务 #keystone-all>/var/keystone-all/start.log2>&1& 设置环境变量 exportSERVICE_TOKEN=ADMIN exportSERVICE_ENDPOINT=http://172.20.8.129:35357/v2....
keystone服务
nlfdpzq的博客
11-23 528
keystone服务运维 一,创建用户 二,创建项目 三,创建角色 四,绑定用户和项目权限(给与权限才能登陆) 五,查看user用户经常使用的 命令 (1)user list查询当前用户列表 (2)user delete删除用户 (3)user show查看用户完整信息 (4)user set 修改用户名(也可以修改密码等) 六,project项目常用的命令 (1)project list项目列表查询 (2)project create创建新项目 (3)project show
OpenStack Keystone架构一:Keystone基础
weixin_33831673的博客
11-15 646
一 什么是keystone keystoneOpenStack的身份服务,暂且可以理解为一个'与权限有关'的组件。 二 为何要有keystone Keystone项目的主要目的是为访问openstack的各个组件(nova,cinder,glance...)提供一个统一的验证方式,具体的: openstack是由众多组件构成的一套系统,该系统的功能是...
keystone认证服务
wang_8218的博客
06-16 1807
OpenStack云计算平台中,Keystone是一个核心组件,主要用于提供统一的认证服务。
Keystone 认证服务
timedown的博客
11-01 1279
项目介绍​KeystoneOpenstack框架中负责身份认证、服务管理、服务规则和服务令牌的功能,它实现了Openstack的Identity API。​Keystone是整个openstack框架的注册表,其他服务通过keystone来注册其服务的endpoint,任何服务之间相互的调用,都需要经过keystone的...
openstack-keystone服务
gsl371的专栏
12-19 1595
为了提升客户端操作的效率,OpenStack支持简单的客户端环境变量脚本即OpenRC 文件。这些脚本通常包含客户端所有常见的选项,当然也支持独特的选项。本指南的接下来的部分会引用这些脚本,为客户端操作加载合适的的凭证。认证服务为openstack服务提供认证服务,认证服务使用了域,项目,用户和角色的组合。在你配置 OpenStack 身份认证服务前,你必须创建一个数据库和管理员令牌。使用特定租户和用户运行客户端,你可以在运行之前简单地加载相关客户端脚本。部分,配置Fernet UUID令牌的提供者。
OpenStack(T版)——身份认证(Keystone)服务介绍与安装
不知道
06-26 4385
OpenStack(T版)——身份认证(Keystone)服务介绍与安装
2.部署Keystone服务
阿澈不吃蒜的博客
06-14 1515
OpenStack的框架体系中Keystone的作用类似于一个服务总线,为OpenStack提供身份管理服务,包括用户认证,服务认证和口令认证,其他服务通过Keystone来注册服务的Endpoint(端点),针对服务的任何调动都要通过Keystone的身份认证,并获得Endpoint(端点)来进行访问。keystone组件是第一个要安装的组件,其他组件之间通信都是需要通过keystone进行认证;然后,glance组件负责镜像管理,启动实例时提供镜像服务,可存储各个不同操作系统的镜像;
[root@controller ~]# systemctl status openstack-keystone Unit openstack-keystone.service could not be found. [root@controller ~]# systemctl start openstack-keystone Failed to start openstack-keystone.service: Unit not found.
最新发布
03-08
<think>嗯,用户遇到了关于OpenStack Keystone服务的问题,执行systemctl status和start命令时显示服务未找到。我需要仔细分析可能的原因,并提供解决方案。 首先,用户可能没有安装Keystone服务。在基于RHEL的系统上,软件包名称通常是openstack-keystone,使用yum或dnf安装。需要检查是否已正确安装。 其次,软件包名称可能因发行版不同而有所变化。例如,Ubuntu上的包名可能不同,但用户使用的是CentOS/RHEL,所以应确认正确的包名和仓库是否启用。 另外,用户可能安装了Keystone但没有启用或启动服务。需要提醒用户使用systemctl enable和start命令,并确认安装后是否进行了必要的配置,比如数据库设置、Fernet密钥生成和Apache配置,因为现代OpenStack版本可能将Keystone作为Apache模块运行,而不是独立的服务。 此外,如果用户从源代码安装,服务文件可能不在标准位置,需要手动创建。或者,用户可能误删了服务文件,需要重新安装软件包。 最后,建议用户检查安装步骤,确认是否遗漏了某些环节,并查看日志文件以获取更多信息。需要分步骤引导用户逐一排查,确保问题得到解决。</think>当遇到`openstack-keystone.service`服务未找到的情况时,通常由以下原因导致: --- ### **1. 未安装 Keystone 服务** #### 现象特征 - 执行 `systemctl status/start` 命令时提示 **"Unit not found"** - 系统中缺少 `/usr/lib/systemd/system/openstack-keystone.service` 文件 #### 解决方法 **步骤 1:确认软件包是否安装** ```bash rpm -qa | grep openstack-keystone ``` - 若没有输出结果,说明未安装 **步骤 2:安装 Keystone 软件包** ```bash yum install openstack-keystone httpd mod_wsgi -y ``` - 注意:现代 OpenStack 版本(如 Queens+)通常将 Keystone 集成到 Apache 中,需同时安装 `httpd` 和 `mod_wsgi` --- ### **2. 服务名称不匹配** #### 现象特征 - 不同发行版或安装方式可能导致服务名称差异 - 例如:部分环境使用 `keystone.service` 而非 `openstack-keystone.service` #### 解决方法 **尝试通用服务名查询** ```bash systemctl list-unit-files | grep -i keystone ``` --- ### **3. 服务未启用或未配置** #### 现象特征 - 已安装软件包但未完成初始化配置 - 未生成 systemd 服务文件 #### 解决方法 **步骤 1:检查配置文件完整性** ```bash ls /etc/keystone/keystone.conf ``` **步骤 2:执行数据库初始化**(需先配置数据库连接) ```bash su -s /bin/sh -c "keystone-manage db_sync" keystone ``` **步骤 3:生成 Fernet 密钥** ```bash keystone-manage fernet_setup --keystone-user keystone --keystone-group keystone keystone-manage credential_setup --keystone-user keystone --keystone-group keystone ``` **步骤 4:启动 Apache 服务**(替代传统 systemd 服务) ```bash systemctl enable httpd --now ``` --- ### **4. 软件源问题** #### 现象特征 - 使用非标准软件源导致包名不一致 - 例如:从源码安装时未生成服务文件 #### 解决方法 **验证软件源配置** ```bash yum repolist | grep openstack ``` - 确保已启用正确的 OpenStack 仓库(如 `centos-openstack-zed`) --- ### **5. 服务文件被误删除** #### 现象特征 - 其他服务管理正常,仅 Keystone 异常 - `/usr/lib/systemd/system/` 目录下无相关服务文件 #### 解决方法 **重新安装软件包** ```bash yum reinstall openstack-keystone -y ``` --- ### **关键日志检查位置** | 日志路径 | 作用 | |---------|------| | `/var/log/httpd/keystone_*.log` | Apache 整合后的 Keystone 日志 | | `/var/log/keystone/keystone.log` | 传统独立服务日志(若存在) | | `/var/log/messages` | 系统级服务启动错误 | --- ### **总结处理流程** ```bash # 1. 确认安装 yum install openstack-keystone httpd mod_wsgi -y # 2. 完成基础配置 keystone-manage db_sync keystone-manage fernet_setup ... keystone-manage bootstrap ... # 3. 启动 Apache 服务 systemctl enable httpd --now # 4. 验证服务状态 curl -s http://controller:5000/v3/ | python -m json.tool ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值