openstack部件Keystone

最新推荐文章于 2023-07-13 17:56:43 发布
最新推荐文章于 2023-07-13 17:56:43 发布
阅读量125 收藏
点赞数
分类专栏: openstack
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rikkatang/article/details/111149148
版权

Keystone

1.身份服务

1.1简介

  • Keystone(OpenStack Identity Service)是OpenStack中的一个独立的提供安全认证的模块,主要负责openstack用户的身份认证、令牌管理、提供访问资源的服务目录、以及基于用户角色的访问控制。
  • Keystone类似一个服务总线,或者说是整个OpenStack框架的注册表,其他服务通过keystone来注册其服务的Endpoint(服务访问的URL),任何服务之间相互调用,需要经过Keystone的身份验证,来获得目标服务的Endpoint来找到目标服务。

1.2主要功能

  • 身份认证(Authentication):令牌的发放和效验
  • 用户授权(Authorization):授予用户在一个服务中所拥有权限
  • 用户管理(Account):管理用户账户
  • 服务目录(Service Catalog):提供可用服务的API端点

2.相关组件

相关概念

2.1User

OpenStack最基本的用户。

User即用户,他们代表可以通过keystone进行访问的人或程序。Users通过认证信息(credentials,如密码、API
Keys等)进行验证。

2.2Project(Tenant)

指分配给使用者的资源的集合。

Tenant即租户,它是各个服务中的一些可以访问的资源集合。例如,在Nova中一个tenant可以是一些机器,在Swift和Glance中一个tenant可以是一些镜像存储,在Neutron中一个tenant可以是一些网络资源。Users默认的总是绑定到某些tenant上。

2.3Role

Role即角色,Roles代表一组用户可以访问的资源权限,例如Nova中的虚拟机、Glance中的镜像。Users可以被添加到任意一个全局的或租户的角色中。在全局的role中,用户的role权限作用于所有的租户,即可以对所有的租户执行role规定的权限;在租户内的role中,用户仅能在当前租户内执行role规定的权限。

2.4Authentication

是一个字符串表示,作为访问资源的令牌。Token包含了在指定范围和有效时间内,可以被访问的资源

2.5Credentials

用于确认用户身份的凭证。用户的用户名和密码,或者是用户名和API密钥,或者身份管理服务提供的认证令牌

2.6Service

Service即服务,如Nova、Glance、Swift。根据前三个概念(User,Tenant和Role)一个服务可以确认当前用户是否具有访问其资源的权限。但是当一个user尝试着访问其租户内的service时,他必须知道这个service是否存在以及如何访问这个service,这里通常使用一些不同的名称表示不同的服务。

2.7Endpoint

服务的URL路径,暴露出来的访问点。

Endpoint,翻译为“端点”,我们可以理解它是一个服务暴露出来的访问点,如果需要访问一个服务,则必须知道他的endpoint。因此,在keystone中包含一个endpoint模板,这个模板提供了所有存在的服务endpoints信息。一个endpoint template包含一个URLs列表,列表中的每个URL都对应一个服务实例的访问地址,并且具有public、private和admin这三种权限。public url可以被全局访问,private url只能被局域网访问,admin url被从常规的访问中分离。

Endpoint分为三类:

  • admin url —>管理员用户使用 Port:35357
  • internal url —>openstack内部组件间互相通信 Port:5000 (组件之间通信基于Restful api)
  • public url —> 其他用户访问地址 Port:5000

2.8Domain

定义管理边界,可以包含多个project,user,role.

2.9Token

Token是访问资源的钥匙。它是通过Keystone验证后的返回值,在之后的与其他服务交互中只需要携带Token值即可。每个Token都有一个有效期,Token只在有效期内是有效的。

2.10Policy

OpenStack对User的验证除了OpenStack的身份验证以外,还需要鉴别User对某个Service是否有访问权限。Policy机制就是用来控制User对Tenant中资源(包括Services)的操作权限。对于Keystone service来说,Policy就是一个JSON文件,默认是/etc/keystone/policy.json。通过配置这个文件,Keystone Service实现了对User基于Role的权限管理。

3.认证流程

在这里插入图片描述

1.user使用命令或控制台登录,需要先将自己的资格证书发给keystone,认证成功后,keystone会给与用户一个临时令牌和一个访问服务的端点

2.user把临时的令牌交给keystone,发送创建虚拟机请求,nova收到令牌后,会向拿着令牌向keystone确认合法性,keystone认证成功后返回给nova

3.nova创建虚拟机需要镜像,所以拿着请求镜像服务的令牌给与glance服务,glance收到令牌后拿着令牌向keystone认证合法性,keystone认证成功后返回给glance,此时glance服务将nova所请求的镜像给与nova

4.nova创建虚拟机需要虚拟网络,所以向neutron发出请求,neutron收到nova给与的令牌向keystone认证合法性,是否可用,keystone认证成功后返回给neutron,随即neutron给与nova提供所需的网络服务
neutron收到nova给与的令牌向keystone认证合法性,是否可用,keystone认证成功后返回给neutron,随即neutron给与nova提供所需的网络服务,neutron收到nova给与的令牌向keystone认证合法性,是否可用,keystone认证成功后返回给neutron,随即neutron给与nova提供所需的网络服务

5.最后nova服务开始创建vm虚拟机,创建完成后返回信息给user: the vm is create sucessfull

Rikkatang
关注
专栏目录
openstack-keystone
weixin_51615178的博客
03-16 273
文章目录一、keystone身份服务二、keystone的主要功能三、keystone相关概念四、keystone认证流程五、OpenStack-Keystone组件部署步骤 一、keystone身份服务 keystoneopenstack identity service)是openstack中的一个独立的提供安全认证的模块,主要负责openstack用户身份认证、令牌管理、提供访问资源的服务目录、以及基于用户角色的访问控制keystone类似一个服务总线,或者说是整个openstack框架的注册表,其
Openstack架构构建及详解(2)--keystone组件
最新发布
m0_72758098的博客
04-09 1187
分享一些系统的面试题,大家可以拿去刷一刷,准备面试涨薪。
OpenStack模块精讲之Keystone
boyuser的博客
12-13 636
文章目录Keystone1.身份服务2.相关概念3.认证流程 Keystone 1.身份服务 简介 KeystoneOpenStack Identity Service)是OpenStack中的一个独立的提供安全认证的模块,主要负责openstack用户的身份认证、令牌管理、提供访问资源的服务目录、以及基于用户角色的访问控制。 Keystone类似一个服务总线,或者说是整个OpenStack框架的注册表,其他服务通过keystone来注册其服务的Endpoint(服务访问的URL),任何服务之间相互调用
三分钟带你入门了解openstackkeystone项目
LPFAM的博客
11-06 435
三分钟带你入门了解openstackkeystone项目 文章目录前言一:Keystone项目1.1:什么是keystone?有什么作用?1.2:Keystone的体系结构是怎样的?1.2.1:验证1.2.2:服务目录1.3:Keystone的认证流程图是怎样的?1.4:Keystone对接dashboard具体体现在哪里? 前言 一:Keystone项目 1.1:什么是keystone?有什么作用? Keystoneopenstack中的一个辅助项目,类似于LDAP服务,对用户、租户、角色和服务进行
学习OpenStack之环境部署一篇就够啦!!!(带你走进OpenStack世界)
下一个艺术家
12-14 3068
本篇博客详细介绍了OpenStack这个开源架构的基础的环境部署。
OpenStack Identity(Keystone)身份服务、体系结构与中间件讲解
01-10
Keystone 有两个主要部件:验证和服务目录 验证:提供了一个基于令牌的验证服务,主要有以下几个概念: 租户(Tenant) 使用OpenStack相关服务的一个组织。一个租户映射到一个Nova的“project-id”,在对象存储中,...
openstack部件之glance
Rikkatang的博客
12-22 491
文章目录前言一.Glance镜像服务1.镜像2.镜像服务二.glance的组成及作用2.1 glance-api2.2 glance-Registry三、关于镜像3.1 镜像文件格式3.2镜像状态3.3访问权限四.Glance架构详解五.Glance工作流程 前言 glance服务本身不提供镜像,是用来管理镜像。glance服务使用户能够发现,注册,检索虚拟机的镜像,它提供一个能够查询虚拟机镜像元数据和检索真实镜像的REST API。 一.Glance镜像服务 它在OpenStack中的项目名称为Glanc
openstack(二)Keystone组件部署
weixin_42776624的博客xDPNs5IBckV6
04-16 373
一、环境简介: OS:CentOS Linux release 7.7.1908 (Core) openstack:train 环境有限当前只跑单台 mysql复用,rabbitmq和memcached 角色 ip地址 主机名 conroller1 192.168.39.239 controller.local conroller1 192.168.39.239 control...
openstack
docker-mo的博客
07-13 88
openstack-M版搭建 适用于零基础同学
Keystone介绍
LiuXiaoXueer的博客
04-09 1051
目录 Keystone介绍 常用术语 Keystone认证模型 Domain、Project、User的关系 Keystone的认证过程 Keystone介绍 KeystoneOpenStack框架中提供身份验证服务规则和服务令牌功能,提供了认证服务的API,为OpenStack中各个组件提供了认证服务,类似于服务总线,或者说是整个OpenStack框架的注册表,其他的服务都...
openstack------Keystone身份认证服务
cuiwangfeng的博客
12-11 349
keystone主要功能: 1、管理用户及其权限 2、维护 OpenStack Services 的 Endpoint 3、Authentication(认证)和 Authorization(鉴权) keystone 的概念 管理对象 User:指使用Openstack service的用户,可以是人、服务、系统,但凡使用了Openstack service的对象都可以称为User。 Project(Tenant):可以理解为一个人、或服务所拥有的 资源集合 。在一个Project(Tenant)中可以包含
云计算学习2——keystone组件运维和测试
eryunyong的专栏
04-21 1501
如果把宾馆比作为Openstack,那么宾馆的中央管理系统就是Keystone,入住宾馆的人就是User 。在宾馆中拥有很多不同的房间,房间提供了不同的服务(Service)。 在入住宾馆前,User需要给出身份证(Credential),中央管理系统(Keystone)在确认User的身份后(Authenticaiton),会给你一个房卡(Token)和导航地图(Endpoint)。 不同VIP(Role)级别的User,拥有不同权限的房卡(Token),如果你的VIP(Role)等级高,你可以享受到豪华
keystone基础概念
zrl112233的博客
06-20 470
user:openstack用户 project:资源的集合 类似旅游项目 role:用于划分权限 类似于公司 经理 员工等职位 token:令牌 类似于公司中的工牌 credentials:用于确认用户身份的凭证(账号、密码) 类似用户的身份证 authentication:确定用户身份的过程 service:openstack中运行的组件服务 类似公司中的部门 en...
OpenStack-Keystone组件-详解
m0_62727902的博客
05-18 652
Keystone V3之前,用户的权限管理以每一个用户为单位,需要对每一个用户进行角色分配,并不存在一种对一组用户进行统一管理的方案,这给系统管理员带来了额外的工作和不便。3. User/API 向Keystone发送带有特定租户的凭证(交互权限),告诉Keystone User/API在哪个项目中,Keystone收到请求后,会发送一个项目的Token到User/API (访问权限),User/API 拿着Token和Endpoint找到可访问服务。经过验证后,会为每个单独的租户提供一个特定的令牌。
Keystone policy文件介绍
实践求真知
03-18 999
一 policy.json文件截图二 文件内容该文件描述的是执行某一个命令需要的权限。[root@controller0 ~]# cat /etc/keystone/policy.json { "admin_required": "role:admin or is_admin:1", "service_role": "role:service", "service_or_a...
OpenStack 中对于Users(用户)Roles(角色)Tenants(租户)project(项目)的理解
ai低吟浅唱的博客
03-27 4599
Keystone组建身份管理对于用户主要有三个概念: Users (用户) Roles(角色) Tenants (租户) project (项目) 下面参考OpenStack官方文档的解释: user In OpenStack Identity, entities represent individual API consumers and are owned by a
heat创建stack时为何要在keystone新建一个临时project
wifeisboss的博客
03-02 1556
查看heat的stack创建流程,在create_stack接口中,可以看到如下一段代码: def _create_stack_user(stack): if not stack.stack_user_project_id: try: stack.create_stack_user_p
OpenStackKeystone安装
05-13
安装Keystone之前,您需要确保已经安装并配置好了OpenStack Identity服务所需的依赖项。这些依赖项包括Python、MySQL数据库、Apache HTTP服务器、以及其他一些Python库。如果您还没有安装这些依赖项,请先安装它们。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值