谈谈OpenStack的鉴权过程

最新推荐文章于 2024-03-09 20:01:59 发布
最新推荐文章于 2024-03-09 20:01:59 发布
阅读量1.9k 收藏 3
点赞数 1
分类专栏: OpenStack 文章标签: openstack
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013553406/article/details/51622304
版权
OpenStack在跨模块操作时需要配置认证信息,如Nova向neutron的请求。用户通过keystone认证获取token,Nova使用该token向keystone验证合法性。neutron的pipeline中的authtoken关键处理会补充请求头并进行token校验。当创建虚拟机时,若Nova以非admin权限的service租户调用neutron,会导致权限不足的错误。解决方案是为service租户的neutron用户赋予admin权限。
摘要由CSDN通过智能技术生成

OpenStack跨模块认证

我们知道OpenStack模块之间相互都需要配置认证信息用于HTTP请求认证,比如Nova向neutron发送请求配置如下:auth

这个配置有何用?
当一个用户从portal发起一个操作时,比如创建一个虚拟机。此时用户需要经过keystone的认证,并且获取合规的token,然后拿着token向nova发起一个创建虚拟机的请求。请求来到nova模块,nova需要去keystone那里确认此token的合法性,这个时候向keystone发起确认一个token合法性的时候就需要一个身份,这就是以上跨模块访问时需要一个身份配置。token确认合法后,nova才向neutron发起请求。当neutron收到一个请求时还要确认租户信息的合法性。

我们先看下neutron执行流程的pipeline:

[composite:neutronapi_v2_0]
 use = call:neutron.auth:pipeline_factory
 noauth = request_id catch_errors extensions neutronapiapp_v2_0
 keystone = request_id catch_errors authtoken keystonecontext extensions neutronapiapp_v2_0

其中authtoken是认证的关键处理
/keystonemiddleware/auth_token/__init__.py代码片段:

def filter_factory(global_conf, **local_conf):
      """Return a WSGI filter app for use with paste.deploy."""
         conf = global_conf.copy()
        conf.update(local_conf)
        def auth_filter(app):
            return AuthProtocol(app, conf)
        return auth_filter

其中AuthProtocol继承BaseAuthProtocol,也就是说根据wsgi规范会调用BaseAuthProtocol的__call__函数.

    @webob.dec.wsgify(RequestClass=_request._AuthTokenRequest)
    def __call__(self, req):
        "&
最低0.47元/天 解锁文章
Ixurong
关注
专栏目录
OpenStack之keystone
weixin_45039547的博客
11-03 1562
keystone的功能及认证流程
openstack keystone token鉴权 代码走读
hello
08-06 256
keystonemiddleware token校验
openstack-policy鉴权
weixin_33863087的博客
08-18 178
2019独角兽企业重金招聘Python工程师标准>>> ...
openstack】Nova中的policy
云计算?
11-10 126
Nova中的policy 本博客欢迎转发,但请保留原作者信息!内容系本人学习、研究和总结,如有雷同,实属荣幸! 任何对外暴露接口的系统,都必须有分权分域以及认证鉴权的功能。在openstack中,keystone组件用来对用户进行认证,说白了就是看用户是否是系统的合法用户,而policy机制则主要看用户的操作是否满足特定的条件,比如一些接口是特权接口(仅限管理员使用),普通用户不允许调用。下面...
浅谈openstack鉴权模块keystone
cbaabc321123的专栏
11-07 1863
由于工作需要对于研究openstack鉴权部分已有大半年,从G版本到现在的havana,期待着Icehouse,虽然期间也零零碎碎的接触过别的模块,但是始终keystone才是我的主场,下面废话也不多说,进入正题。     keystone中最容易让人迷惑的不是每个对象的概念,而是它们之间错综复杂的关系,首先对于基本概念这里也不免俗套的要先介绍一遍:     user:顾名思义,用户。  
简单谈谈OpenStack中的网络隔离
01-10
最近,关于xx公有云的用户网络,由于隔离问题引发安全讨论,大家顿时对啥“经典网络”、“VPC”等概念兴趣大增,大家的热议中多次提到AWS的VPC,亚马逊的AWS怎么搞的,我们不得而知,但是我们可以聊聊OpenStack的,...
谈谈OpenStack的八年之痒.docx
10-24
### OpenStack的发展与挑战 #### 一、OpenStack的现状及背景 自2010年发布首个版本以来,OpenStack作为一个开源云平台项目,在过去八年中经历了快速发展和转变。从最初的雄心壮志——旨在成为能够同时满足公有云和...
OpenStack之keystone(用户认证)
最新发布
weixin_42795092的博客
03-09 2321
1)管理用户及其权限2)维护OpenStack Services 的 Endpoint3)Authentication(认证)和 Authorization(授权)keystone的名词概念。
Openstack horizon 通过policy进行定制化
Lan Qi Song 的博客
12-04 1640
Openstack的horzion组件目前只提供了部分的Openstack管理操作,有些功能只能通过命令行完成,命令行对于没有技术背景的客户来说是一种很糟糕的体验。同时,horzion中一些功能的默认权限可能并不完全符合某些客户的应用场景,所有经常有必要对horizon进行一些定制化的处理。 Openstack admin guide只介绍了简单的定制化处理,包括网站的标题、logo以及
末学者笔记--OpenStack(5): keystone身份认证服务
a578231963的博客
07-05 410
一、Keystone介绍: keystone 是OpenStack的组件之一,用于为OpenStack家族中的其它组件成员提供统一的认证服务,包括身份验证、令牌的发放和校验、服务列表、用户权限的定义等等。云环境中所有的服务之间的授权和认证都需要经过 key...
Openstack搭建(流水账)
dianzhanxing8021的博客
07-05 293
Openstack管理三大资源:1、网络资源2、计算资源3、存储资源 Keystone 做服务注册 Glance 提供镜像服务 Nova 提供计算服务 Nova scheduler决策虚拟主机创建在哪个主机(计算节点)上 Neutron 控制网络服务 ##安装过程(环境redhat7.5)#base ##yum install -yhttp://fedoraproject....
openstack policy 鉴权过程分析
少帅的天空
03-13 9544
1. openstack 鉴权简单介绍       众所周知,openstack通过keystone用来完成authenticate(认证),真正的鉴权(authorize)是在各个模块分别做的,具体实现为每个模块都有一个policy文件,叫policy.json,里面定义了鉴权用的rules。    以nova为例,policy文件的位置在:/etc/nova/policy.json,下面先来看
OpenStack Trove组件WSGI和RPC调用流程
上善若水的木偶戏
06-08 1909
本文是基于OpenStack Mitaka版本的Trove组件对WSGI和RPC调用流程进行分析。而OpenStack其他组件的处理流程也都大同小异,因此了解了trove的WSGI和RPC调用流程,学习OpenStack其他组件就可以举一反三了。
Nova API服务 之 处理HTTP请求的流程
每天进步一点点。。。的博客
10-30 2853
一、回顾 1、Nova API服务的主要功能都在osapi_compute_app_v2应用程序中实现。osapi_compute_app_v2应用程序对应的工 厂方法是APIRouter类的factory方法。APIRouter类的factory方法会返回一个APIRouter对象。当客户端发送HTTP请 求的时候,会调用APIRouter对象的__call__方法。 2、APIRout
OpenStack Keystone概念、命令和配置小结
热门推荐
崔炳华
01-22 1万+
1       概述 Keystone(OpenStackIdentity Service)是OpenStack框架中,负责身份验证、服务规则和服务令牌的功能,它实现了OpenStack的Identity API。同时作为一个通用的云OS验证系统可以和已有的后端用户目录服务整合,例如:LDAP。 Keystone可以分解为两个核心功能,单点登录和服务发现。Keystone类似一个服务总线,或者
openstack搭建过程
03-31
OpenStack搭建过程可以分为以下几个步骤: 1. 准备环境:安装操作系统、配置网络、安装必要的软件包和依赖项。 2. 配置数据库:安装和配置数据库服务(如MySQL或MariaDB)。 3. 安装Keystone:安装和配置Keystone身份认证服务,包括创建用户、角色、服务和端点等。 4. 安装Glance:安装和配置Glance镜像服务,包括创建镜像、上传镜像等。 5. 安装Nova:安装和配置Nova计算服务,包括创建主机、网络等。 6. 安装Neutron:安装和配置Neutron网络服务,包括创建网络、子网、路由器等。 7. 安装Horizon:安装和配置Horizon仪表盘服务,用于管理和监控OpenStack。 8. 测试:进行各项测试,确保OpenStack服务正常运行。 以上是OpenStack搭建的基本步骤,具体实现过程可能因版本、操作系统、网络环境等因素而有所不同。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值