一 keystone简介
- keystone(openstack identity service)是openstack框架中负责身份验证、服务规则和服务令牌的功能, 它实现了openstack的Identity API。
- keystone类似一个服务总线,或者说是挣个openstack框架的注册表, 其他服务通过keystone来注册其服务的Endpoint(服务访问的URL),任何服务之间的相互调用,需要经过keystone的身份验证来获得目标服务的Endpoint来找到目标服务。
二 keystone基本概念介绍
2.1 名词解释
- User
User就是用户,它代表可以通过keystone进行访问的人或者程序。 User通过认证信息(credentials, 如用户名密码、API Keys等)进行验证。 - Tenant
Tenant就是租户。他是各个服务中一些可以访问的资源集合。例如:Nova中一个tenant可以使一些机器, 在Swift和Glance中一个tenant可以是一些镜像存储。user默认的总是绑定到某些tenant上。 - Role
Role就是角色。Role代表一组用户可以访问的资源权限。例如Nova中的虚拟机、Glance中的镜像。Users可以被添加到任意一个全局的或者租户内的角色中。在全局的role中,用户的role权限作用于所有的租户,也就是说所有的租户都有角色role所规定的权限;在租户内的role中,用户仅拥有租户内橘色规定的权限。 - Policy
OpenStack对User的验证除了OpenStack的身份验证以外,还需要鉴别User对某个Service是否有访问权限。Policy机制就是用来控制User对Tenant中资源(包括Services)的操作权限。对于Keystone service来说,Policy就是一个JSON文件,默认是/etc/keystone/policy.json。通过配置这个文件,Keystone Service实现了对User基于Role的权限管理 - Service
Service即服务,如Nova、Glance、Swift。根据前三个概念(User、Tenant、Role)一个服务可以确认当前用户是否具有访问其资源的权限。但是当一个User尝试着访问其租户内的Service时,他必须知道这个Service是否存在以及如何访问这个Service,这里通常用一些不同的名称表示不同的服务。在面提到的Role,实际上也是可以绑定到某个service。例如:当swift需要一个管理员权限的访问进行对象创建时,对于相同的role我们不一定需要对nova进行管理权限的访问。为了实现这个目标,我们应该创建两个role,一个绑定到swift,一个绑定到nova,从而实现对swift进行管理权限的访问但不会影响到nova或者其他服务。 - Endpoint
Endpoint,我们称之为“端点”,可以将之理解为一个服务爆楼出来的访问点,如果需要访问一个服务,则必须知道他的Endpoint。因此,在keystone中包含一个endpoint模板(endpoint template, 在安装keystone的时候我们可以再conf文件夹下看到这个文件),这个模板他拱了所有存在的服务endpoints信息。一个endpoint template包含一个URL列表,列表中的每个URL都对应一个服务实例的访问地址,并且具有public、private、admin这三种权限。public url可以被全局访问,private url只能被局域网访问, admin url被从常规的访问中分离。
2.2 概念含义举例说明
keystone 里面的概念很多,有:User,Credentials,Authentication,Token,Tenant,Service,Endpoint,Role。在这么多概念中,其实最主要的就是 User 和 Tenant 。由于一些安全,服务问题,才引发了其它的概念。
那什么叫做 User ,Tenant 呢?这里我举个比较好理解的例子。我们去宾馆住的时候,我们自己就相当于 User ,而宾馆就是 Tenant 。这是最简单的情况,宾馆值提供房间,我们只需要住房。
随着后来生活物质等的提高,这种现象就变了。我们去宾馆住的时候,很多东西都不一样,比如,开房间要身份证,房间的钥匙是一个可以当卡刷的牌子,我们进出宾馆的时候需要用自己的钥匙来开启宾馆的大门;还有就是,宾馆不仅仅是用来住的了,它可以给我们提供饮食,娱乐,健身等各种服务;而且服务层次的不同,房间也不同,房间里面的配置豪华程度也不一样。在这种情况下,描述我们和宾馆之间的关系就复杂一些了,这就引发了一些新的概念。
举完这个例子, keystone 中的各种概念就可以和例子中的事物相挂钩了。
| 概念 | 含义 |
|---|---|
| OpenStack | 宾馆 |
| Keystone | 中英管理系统 |
| User | 住宾馆的人 |
| Credentials | 旅客的身份证 |
| Authentication | 确定旅客身份的过程 |
| Token | 房卡(用身份证换临时房卡) |
| Service | 宾馆可以提供的服务类别,比如大保健、洗浴等 |
| Endpoint | 服务提供场所的地址 |
| Role | VIP等级, VIP等级越高,拥有的权限越大 |
### 2.3 keytone与其他服务的交互过程
三 keystone V3的新特性
3.1 新特性
- 将Tenant改成为Project
- 引入Domain的概念
- 引入Group的概念
3.2 新特性说明
3.2.1 Domin
问题描述:在Keystone V2中,资源分配是以Tenant为单位的,这不太符合现实世界中的层级关系。如一个公司在 Openstack中拥有两个不同的项目,他需要管理两个Tenant来分别对应这两个项目,并对这两个Tenant中的用户分别分配角色。由于在Tenant之上并不存在一个更高层的概念,无法对 Tenant 进行统一的管理,所以这给多 Tenant 的用户带来了不便。
答: V3 利用 Domain 的概念实现真正的多租户(multi-tenancy)架构,Domain 担任 Project 的高层容器。云服务的客户是 Domain 的所有者,他们可以在自己的 Domain 中创建多个 Projects、Users、Groups 和 Roles。通过引入 Domain,云服务客户可以对其拥有的多个 Project 进行统一管理,而不必再向过去那样对每一个 Project 进行单独管理。
简而言之,Domain的引入是为了将多个Project进行封装,成为单一实体再交付给相应的一个客户使用。
3.2.2 Group说明
问题描述:在 Keystone V2中,用户的权限管理是以每一个用户为单位,需要对每一个用户进行角色分配,并不存在一种对一组用户进行统一管理的方案,这给系统管理员带来了额外的工作和不便。
答: V3引入了Group的概念,Group 是一组 Users 的容器,可以向 Group 中添加用户,并直接给 Group 分配角色,那么在这个 Group 中的所有用户就都拥有了 Group 所拥有的角色权限。通过引入 Group 的概念,Keystone V3 实现了对用户组的管理,达到了同时管理一组用户权限的目的。这与 V2 中直接向 User/Project 指定 Role 不同,使得对云服务进行管理更加便捷。
类比操作系统中的用户组,是批量便捷操作的体现
3.3 V3的组织结构
一个 Domain 包含有 3 个 Project,可以通过 Group1 将 Role Sysadmin直接赋予 Domain1,那么 Group1 中的所有用户将会对 Domain1 中的所有 Projects 都拥有管理员权限。也可以通过 Group2 将 Role Engineer 只赋予 Project3,这样 Group2 中的 User 就只拥有对 Project3 相应的权限,而不会影响其它 Projects。
7103
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
