【OpenStack组件KeyStone介绍】

已于 2022-10-13 20:18:17 修改
阅读量408 收藏
点赞数
分类专栏: openstack 文章标签: openstack java 运维
于 2022-10-09 16:00:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_47592482/article/details/127228403
版权

文章目录

OpenStack KeyStone

一、KeyStone

  • KeyStone介绍

1.KeyStone是OpenStack的组件之一,用于OpenStack中其它组件成员提供统一的认证服务,包括身份验证、令牌发放和校验、服务列表、用户权限定义等等,云环境中所有的服务之间的授权和认证都需要经过 keystone. 因此 keystone 是云平台中第一个即需要安装的服务。

  • KeyStone

1.管理用户及其权限

2.维护 OpenStack Services 的 Endpoint

3.Authentication(认证)和 Authorization(鉴权)

在这里插入图片描述

User 指代任何使用 OpenStack 的实体,可以是真正的用户,其他系统或者服务。

当我们使用User访问OpenStack horizon时,keystone在身份管理>用户可以看到

①.admin:openstack平台的超级管理员,负责openstack服务的管理和访问权限

②.demo: 常规(非管理)任务应该使用无特权的项目和用户,所有要创建 demo 项目和 demo 用户

③.除了 admin 和 demo,OpenStack 也为 nova、cinder、glance、neutron 服务创建了相应的 User。 admin 也可以管理这些 User。

在这里插入图片描述

  • Credentials

Credentials时User用来证明自己的身份信息:

①、用户名、密码

②、Token

③、API Key

④、其他方式

  • Authentication

Authentication 是 Keystone 验证 User 身份的过程。User 访问 OpenStack 时向 Keystone 提交用户名和密码形式的 Credentials,Keystone 验证通过后会给 User 签发一个 Token 作为后续访问的 Credential

  • Token

Token 是由数字和字母组成的字符串,User 成功 Authentication 后 Keystone 生成 Token 并分配给 User。

①.Token 用做访问 Service 的 Credentiale

②.Service 会通过 Keystone 验证 Token 的有效性

③.Token 的有效期默认是 24 小时

  • Token

Project 用于将 OpenStack 的资源(计算、存储和网络)进行分组和隔离。

根据 OpenStack 服务的对象不同,Project 可以是一个客户(公有云,也叫租户)、部门或者项目组(私有云)。

  • Project

当我们通过OpenStack horizon访问时可以通过"身份管理>项目"查看

①.资源的所有权是属于 Project 的,而不是 User。

②.在 OpenStack 的界面和文档中,Tenant / Project / Account 这几个术语是通用的,但长期看会倾向使用 Project

③.每个 User(包括 admin)必须挂在 Project 里才能访问该 Project 的资源。 一个User可以属于多个 Project。

④.admin 相当于 root 用户,具有最高权限

  • Services

OpenStack 的 Service 包括 Compute (Nova)、Block Storage (Cinder)、Object Storage (Swift)、Image Service (Glance) 、Networking Service (Neutron) 等。每个 Service 都会提供若干个 Endpoint,User 通过 Endpoint 访问资源和执行操作。

  • Endpoint

Endpoint 是一个网络上可访问的地址,通常是一个 URL。Service 通过 Endpoint 暴露自己的 API。 Keystone 负责管理和维护每个 Service 的 Endpoint。

可以通过"openstack catalog list"来查看endpoint

[root@controller ~]# . admin-openrc.sh 
[root@controller ~]# openstack catalog list
+-----------+-----------+-----------------------------------------+
| Name      | Type      | Endpoints                               |
+-----------+-----------+-----------------------------------------+
| placement | placement | RegionOne                               |
|           |           |   internal: http://controller:8778      |
|           |           | RegionOne                               |
|           |           |   admin: http://controller:8778         |
|           |           | RegionOne                               |
|           |           |   public: http://controller:8778        |
|           |           |                                         |
| nova      | compute   | RegionOne                               |
|           |           |   internal: http://controller:8774/v2.1 |
|           |           | RegionOne                               |
|           |           |   public: http://controller:8774/v2.1   |
|           |           | RegionOne                               |
|           |           |   admin: http://controller:8774/v2.1    |
|           |           |                                         |
| glance    | image     | RegionOne                               |
|           |           |   public: http://controller:9292        |
|           |           | RegionOne                               |
|           |           |   admin: http://controller:9292         |
|           |           | RegionOne                               |
|           |           |   internal: http://controller:9292      |
|           |           |                                         |
| keystone  | identity  | RegionOne                               |
|           |           |   internal: http://controller:5000/v3/  |
|           |           | RegionOne                               |
|           |           |   admin: http://controller:5000/v3/     |
|           |           | RegionOne                               |
|           |           |   public: http://controller:5000/v3/    |
|           |           |                                         |
| neutron   | network   | RegionOne                               |
|           |           |   internal: http://controller:9696      |
|           |           | RegionOne                               |
|           |           |   admin: http://controller:9696         |
|           |           | RegionOne                               |
|           |           |   public: http://controller:9696        |
|           |           |                                         |
+-----------+-----------+-----------------------------------------+
  • Role

KeyStone借助Role来实现Authentication

①.Keystone定义Role

②.通过OpenStack horizon “身份管理”>“角色”>"member"查看.

③.Services决定每个Role可以做什么事情,Services通过各自的policy.json文件对Role进行访问控制.

④.OpenStack默认只区分admin角色和非admin角色,想要对特定的role授权只能修改policy.json文件

⑤.OpenStack对user的验证除了身份验证,还需要鉴别user对某个Services是否具有访问权限,policy就是用来定义什么角色对应的权限,对Keystone来说,Policy其实是一个JSON文件,默认是 /etc/keystone/policy.json 。通过Policy,Keystone实现了对User的权限管理。

二、KeyStone的基本架构

  • Token: 用来生成和管理token

  • Catalog:用来存储和管理service/endpoint

  • Identity:用来管理tenant/user/role和验证

  • Policy:用来管理访问权限

在这里插入图片描述

HaLo_Grace肄繇
关注
专栏目录
openstack(T)keystone相关
weixin_50344914的博客
02-22 297
openstack(T)keystone相关openstackkeystonekeystone身份服务管理对象认证流程openstackkeystone组件部署流程**创建数据库实例和数据库用户****安装配置keystone、数据库、Apache****安装keystone、httpd、mod_wsgi****初始化认证服务数据库****初始化fernet 密钥存储库(以下命令会生成两个密钥,生成的密钥放于/etc/keystone/目录下,用于加密数据)****配置bootstrap身份认证服务*
Openstack组件——Keystone解析
m0_50650953的博客
01-29 1393
Keystone解析一、Keystone简介二、Keystone主要功能三、Keystone基本概念三、Keystone访问流程 一、Keystone简介 Keystone(OpenStack Identity Service)是 OpenStack 框架负责管理身份验证、服务规则和服务令牌功能的模块。用户访问资源需要验证用户的身份与权限,服务执行操作也需要进行权限检测,这些都需要通过 Keystone 来处理。Keystone类似一个服务总线, 或者说是整个Openstack框架的注册表, 其他服务通过
末学者笔记--OpenStack(5): keystone身份认证服务
a578231963的博客
07-05 410
一、Keystone介绍keystoneOpenStack组件之一,用于为OpenStack家族的其它组件成员提供统一的认证服务,包括身份验证、令牌的发放和校验、服务列表、用户权限的定义等等。云环境所有的服务之间的授权和认证都需要经过 key...
OpenStack-Keystone组件部署
Houtieyu的博客
12-15 908
文章目录前言OpenStack-Keystone组件部署一、创建数据库实例和数据库用户二、安装配置keystone、数据库、Apache三、创建OpenStack 域、项目、用户和角色 前言 OpenStack组件安装的顺序 1、Keystone(apache) 2、glance 3、nova 4、neutron 注意事项 部署openstack组件时,需先行安装认证服务keystone),而认证服务是使用Apache运行的,安装完成后才可以创建、管理账号,然后安装镜像服务(glance)、计
openstackkeystone组件
mcc
01-28 1646
Keystone (OpenStack ldentity Service)是OpenStack的一个独立的提供安全认证的模块,主要负责openstack用户的身份认证、令牌管理、提供访问资源的服务目录、以及基于用户角色的访问控制。 Keystone类似一个服务总线,或者说是整个Openstack框架的注册表,其他服务通过keystone来注册其服务的Endpoint(服务访问的URL),任何服务之间相互的调用,需要经过Keystone的身份验证,来获得目标服务的Endpoint来找到目标服务。 主要功能
keystone组件
weixin_33739523的博客
01-19 406
引: 什么是keystone 为何要有keystone keystone的功能 keystone概念详解 keystoneopenstack其他组件关系 keystone与其他组件协同工作流程 keystone工作流程详解一、什么是keystone keystoneOpenStack Identity Service 的项目名称,...
Openstack组件实现原理—Keystone认证功能
02-24
Keystone安装列表Openstack组件部署—Overview和前期环境准备Openstack组建部署—EnvironmentofControllerNodeOpenstack组件部署—Keystone功能介绍与认证实现流程Openstack组件部署—KeystoneInstall&...
openstack组件keystone部署
Rikkatang的博客
12-21 155
文章目录一,创建数据库实例和数据库用户二,安装配置keystone、数据库三,配置Apache HTTP服务器四,配置管理员账户的环境变量总结 前言 部署openstack组件时,需先行安装认证服务keystone),而认证服务是使用Apache运行的,安装完成后才可以创建、管理账号,然后安装镜像服务(glance)、计算服务(nova)、网络服务(neutron) 其计算服务和网络服务分为管理端和客户端,所以需要在openstack的管理端安装****计算服务*和*网络服务*的*管理端****,在创
OpenStackkeystone
weixin_45039547的博客
11-03 1563
keystone的功能及认证流程
OpenStack T版服务组件--Keyston身份服务
LX199707的博客
08-26 574
一,keyston 介绍 1.KeystoneOpenStack组件之一, 用于为OpenStack家族的其它组件成员提供统的认证服务,包括身份验证、令牌的发放和校验、服务列表、用户权限的定义等。 2. 基本概念 User User即用户,他们代表可以通过keystone进行访问的人或程序。Users通过认证信息(credentials,如密码、API Keys等)进行验证。 Tenant Tenant即租户(或项目),它是各个服务的一些可以访问的资源集合。例如,在Nova一个tenant可以是一
二、OpenStackkeystone组件介绍安装
weixin_30951231的博客
04-10 237
一、Keystone介绍   keystoneOpenStack组件之一,用于为OpenStack家族的其它组件成员提供统一的认证服务,包括身份验证、令牌的发放和校验、服务列表、用户权限的定义等等。云环境所有的服务之间的授权和认证都需要经过 keystone. 因此 keystone 是云平台第一个即需要安装服务。 作为 OpenStack 的基础支持服务Keystone 做...
Keystone 组件
一个码农的前三十年
07-07 1317
Keystone组件提供统一的完整的OpenStack身份验证,服务目录,令牌和访问策略服务。其数据源可以来自SQL、LDAP、Key/Value。大多数使用者会采用定制化的Keystone认证服务,本博客后续将提供一个定制化开发实例。
OpenStack服务组件01--keystone
weixin_55905026的博客
08-25 433
OpenStack服务组件01--keystoneKeyston身份服务Keyston身份服务简介1、主要功能:2、管理对象3、keystone认证过程Keystone身份服务组件安装1、创建数据库实例和数据库用户2.安装配置keystone、数据库、Apache1.安装keystone、apache2.配置keystone3.初始化数据库4.初始化fernet密钥存储库5.配置bootstrap身份认证服务6.配置apache服务器7.配置管理员账户的环境变量8.查看当前所有用户列表3、创建OpenSt
OpenStack(二)——Keystone组件
qq_48107890的博客
08-28 195
1 2 3 4 5 6 7
OpenStackkeystone组件
weixin_33858336的博客
08-04 225
一、部署OpenStack1、环境OS:CentOS6.5 X86_64各节点时间同步、能基于主机名通信,清空iptables,关闭SElinux,禁用WorkManager服务各节点的主机/etc/hosts文件配置:cat/etc/hosts 127.0.0.1localhostlocalhost.localdomainlocalhost4localhost...
OpenStack KeyStone
lizhuohang_的博客
12-05 552
OpenStack KeyStone查表 2021SC@SDUSC 一.KeyStoneOpenStack 项目KeyStone身份认证服务组件提供了认证,授权和目录的服务,其他OpenStack项目服务组件都需要使用它,彼此之间相互协作。当一个OpenStack服务组件收到用户的请求时,首先要交给KeyStone身份认证服务组件是唯一可以提供身份认证的服务组件组件构成 Server :使用一个程序接口提供认证和授权服务。 Drivers:集成到服务,用作OpenStack项目
openstack详解(七)——Keystone介绍
永远是少年
06-02 2090
今天继续给大家介绍Linux运维相关知识,本文主要内容是openstack Keystone介绍。 一、Keystone作用 二、用户认证介绍 三、服务目录介绍
Keystone组件详解
ZXJ_asu的博客
05-26 4022
了解openstack keystone组件
【云计算】实验3:Keystone 组件
qq_45614178的博客
01-21 2764
云计算实验:Keystone 组件
openstack组件介绍
最新发布
11-17
OpenStack是一个开源的云计算平台,由一系列组件组成。以下是对一些常见的OpenStack组件介绍: 1. Nova:Nova是OpenStack的计算服务组件,用于管理和调度虚拟机实例。它提供了API和控制面板,用于创建、更新和删除虚拟机,并监控它们的资源使用情况。 2. Neutron:Neutron是OpenStack的网络服务组件,负责虚拟网络的管理。它可以创建和管理虚拟网络、网络子网以及虚拟机之间的网络连接。 3. Cinder:Cinder是OpenStack的块存储服务组件,用于提供持久化存储。它可以创建和管理块存储卷,并将其附加到虚拟机实例。 4. Swift:Swift是OpenStack的对象存储服务组件,用于存储和检索非结构化的数据。它采用分布式架构,可以在多个存储节点之间存储和复制数据,提供高可靠性和可扩展性。 5. Glance:Glance是OpenStack的镜像服务组件,用于管理虚拟机镜像。它可以上传、下载和删除镜像,并为虚拟机实例提供镜像服务。 6. KeystoneKeystoneOpenStack的身份认证服务组件,负责为整个OpenStack平台提供身份验证和授权。它管理用户、角色和项目,并为其他组件提供认证和授权服务。 以上只是OpenStack的部分组件介绍,还有其他组件如Horizon(OpenStack的Web控制台)、Heat(OpenStack的编排服务组件)等。通过使用这些组件OpenStack可以提供完整的云计算解决方案,包括计算、网络、存储等功能,使用户能够方便地构建和管理自己的私有云环境。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值