OpenStack KeyStone
一、KeyStone
- KeyStone介绍
1.KeyStone是OpenStack的组件之一,用于OpenStack中其它组件成员提供统一的认证服务,包括身份验证、令牌发放和校验、服务列表、用户权限定义等等,云环境中所有的服务之间的授权和认证都需要经过 keystone. 因此 keystone 是云平台中第一个即需要安装的服务。
- KeyStone
1.管理用户及其权限
2.维护 OpenStack Services 的 Endpoint
3.Authentication(认证)和 Authorization(鉴权)
User 指代任何使用 OpenStack 的实体,可以是真正的用户,其他系统或者服务。
当我们使用User访问OpenStack horizon时,keystone在身份管理>用户可以看到
①.admin:openstack平台的超级管理员,负责openstack服务的管理和访问权限
②.demo: 常规(非管理)任务应该使用无特权的项目和用户,所有要创建 demo 项目和 demo 用户
③.除了 admin 和 demo,OpenStack 也为 nova、cinder、glance、neutron 服务创建了相应的 User。 admin 也可以管理这些 User。
- Credentials
Credentials时User用来证明自己的身份信息:
①、用户名、密码
②、Token
③、API Key
④、其他方式
- Authentication
Authentication 是 Keystone 验证 User 身份的过程。User 访问 OpenStack 时向 Keystone 提交用户名和密码形式的 Credentials,Keystone 验证通过后会给 User 签发一个 Token 作为后续访问的 Credential
- Token
Token 是由数字和字母组成的字符串,User 成功 Authentication 后 Keystone 生成 Token 并分配给 User。
①.Token 用做访问 Service 的 Credentiale
②.Service 会通过 Keystone 验证 Token 的有效性
③.Token 的有效期默认是 24 小时
- Token
Project 用于将 OpenStack 的资源(计算、存储和网络)进行分组和隔离。
根据 OpenStack 服务的对象不同,Project 可以是一个客户(公有云,也叫租户)、部门或者项目组(私有云)。
- Project
当我们通过OpenStack horizon访问时可以通过"身份管理>项目"查看
①.资源的所有权是属于 Project 的,而不是 User。
②.在 OpenStack 的界面和文档中,Tenant / Project / Account 这几个术语是通用的,但长期看会倾向使用 Project
③.每个 User(包括 admin)必须挂在 Project 里才能访问该 Project 的资源。 一个User可以属于多个 Project。
④.admin 相当于 root 用户,具有最高权限
- Services
OpenStack 的 Service 包括 Compute (Nova)、Block Storage (Cinder)、Object Storage (Swift)、Image Service (Glance) 、Networking Service (Neutron) 等。每个 Service 都会提供若干个 Endpoint,User 通过 Endpoint 访问资源和执行操作。
- Endpoint
Endpoint 是一个网络上可访问的地址,通常是一个 URL。Service 通过 Endpoint 暴露自己的 API。 Keystone 负责管理和维护每个 Service 的 Endpoint。
可以通过"openstack catalog list"来查看endpoint
[root@controller ~]# . admin-openrc.sh
[root@controller ~]# openstack catalog list
+-----------+-----------+-----------------------------------------+
| Name | Type | Endpoints |
+-----------+-----------+-----------------------------------------+
| placement | placement | RegionOne |
| | | internal: http://controller:8778 |
| | | RegionOne |
| | | admin: http://controller:8778 |
| | | RegionOne |
| | | public: http://controller:8778 |
| | | |
| nova | compute | RegionOne |
| | | internal: http://controller:8774/v2.1 |
| | | RegionOne |
| | | public: http://controller:8774/v2.1 |
| | | RegionOne |
| | | admin: http://controller:8774/v2.1 |
| | | |
| glance | image | RegionOne |
| | | public: http://controller:9292 |
| | | RegionOne |
| | | admin: http://controller:9292 |
| | | RegionOne |
| | | internal: http://controller:9292 |
| | | |
| keystone | identity | RegionOne |
| | | internal: http://controller:5000/v3/ |
| | | RegionOne |
| | | admin: http://controller:5000/v3/ |
| | | RegionOne |
| | | public: http://controller:5000/v3/ |
| | | |
| neutron | network | RegionOne |
| | | internal: http://controller:9696 |
| | | RegionOne |
| | | admin: http://controller:9696 |
| | | RegionOne |
| | | public: http://controller:9696 |
| | | |
+-----------+-----------+-----------------------------------------+
- Role
KeyStone借助Role来实现Authentication
①.Keystone定义Role
②.通过OpenStack horizon “身份管理”>“角色”>"member"查看.
③.Services决定每个Role可以做什么事情,Services通过各自的policy.json文件对Role进行访问控制.
④.OpenStack默认只区分admin角色和非admin角色,想要对特定的role授权只能修改policy.json文件
⑤.OpenStack对user的验证除了身份验证,还需要鉴别user对某个Services是否具有访问权限,policy就是用来定义什么角色对应的权限,对Keystone来说,Policy其实是一个JSON文件,默认是 /etc/keystone/policy.json 。通过Policy,Keystone实现了对User的权限管理。
二、KeyStone的基本架构
-
Token: 用来生成和管理token
-
Catalog:用来存储和管理service/endpoint
-
Identity:用来管理tenant/user/role和验证
-
Policy:用来管理访问权限