openstack组件_云计算openstack核心组件——keystone身份认证服务(5)

最新推荐文章于 2023-05-20 10:22:29 发布
最新推荐文章于 2023-05-20 10:22:29 发布
阅读量286 收藏
点赞数
文章标签: openstack组件

一、Keystone介绍:

keystone 是OpenStack的组件之一,用于为OpenStack家族中的其它组件成员提供统一的认证服务,包括身份验证、令牌的发放和校验、服务列表、用户权限的定义等等。云环境中所有的服务之间的授权和认证都需要经过 keystone. 因此 keystone 是云平台中第一个即需要安装的服务。

作为 OpenStack 的基础支持服务,Keystone 做下面这几件事情:

  1. 管理用户及其权限
  2. 维护 OpenStack Services 的 Endpoint
  3. Authentication(认证)和 Authorization(鉴权)

学习 Keystone,得理解下面这些概念:

3e39d8059141b2c7c7f9deaeb3b5b437.png

User

User 指代任何使用 OpenStack 的实体,可以是真正的用户,其他系统或者服务。

27457ef876e931975f10d03431c19d7a.png

当 User 请求访问 OpenStack 时,Keystone 会对其进行验证。Horizon 在 Identity->Users 管理 User

618a7800e827a8f5436588085e367973.png

admin:openstack平台的超级管理员,负责openstack服务的管理和访问权限

demo: 常规(非管理)任务应该使用无特权的项目和用户,所有要创建 demo 项目和 demo 用户

除了 admin 和 demo,OpenStack 也为 nova、cinder、glance、neutron 服务创建了相应的 User。 admin 也可以管理这些 User。

c611fdf70b387aca9366baab61308b18.png

Credentials

Credentials 是 User 用来证明自己身份的信息,可以是:

1. 用户名/密码

2. Token

3. API Key

4. 其他高级方式

f3a3466bf0ece77b636e81cc06d243b2.png

Authentication

Authentication 是 Keystone 验证 User 身份的过程。User 访问 OpenStack 时向 Keystone 提交用户名和密码形式的 Credentials,Keystone 验证通过后会给 User 签发一个 Token 作为后续访问的 Credential。

a4a741a310f2e806fe78ac1d27121f53.png

Token

Token 是由数字和字母组成的字符串,User 成功 Authentication 后 Keystone 生成 Token 并分配给 User。

  1. Token 用做访问 Service 的 Credential
  2. Service 会通过 Keystone 验证 Token 的有效性
  3. Token 的有效期默认是 24 小时
e0e256565335fa822017d0924233feda.png

Project

Project 用于将 OpenStack 的资源(计算、存储和网络)进行分组和隔离。

根据 OpenStack 服务的对象不同,Project 可以是一个客户(公有云,也叫租户)、部门或者项目组(私有云)。

这里请注意:

  1. 资源的所有权是属于 Project 的,而不是 User。
  2. 在 OpenStack 的界面和文档中,Tenant / Project / Account 这几个术语是通用的,但长期看会倾向使用 Project
  3. 每个 User(包括 admin)必须挂在 Project 里才能访问该 Project 的资源。 一个User可以属于多个 Project。
  4. admin 相当于 root 用户,具有最高权限
90a0baff03bc58cf7a7026034e537c48.png

Horizon 在 Identity->Projects 中管理 Project

a1209852809b0f4ec50cd2e54f000412.png

通过 Manage Members 将 User 添加到 Project

586273ed28a6c6cd0f259e07a1ce9a1d.png
e6403688a2aec5cbe1cf1e34410d0d62.png

Service

OpenStack 的 Service 包括 Compute (Nova)、Block Storage (Cinder)、Object Storage (Swift)、Image Service (Glance) 、Networking Service (Neutron) 等。每个 Service 都会提供若干个 Endpoint,User 通过 Endpoint 访问资源和执行操作。

6e3e5c30bb8f449a6be72b02f94f283a.png

Endpoint

Endpoint 是一个网络上可访问的地址,通常是一个 URL。Service 通过 Endpoint 暴露自己的 API。 Keystone 负责管理和维护每个 Service 的 Endpoint。

e176903402f48ccce3b2997b3e8de808.png

可以使用下面的命令来查看 Endpoint。

# source devstack/openrc admin admin

# openstack catalog list

bf51c6b9c2d391762d5dae21cb95ea37.png

Role

安全包含两部分:Authentication(认证)和 Authorization(鉴权)

Authentication 解决的是“你是谁?”的问题

Authorization 解决的是“你能干什么?”的问题

Keystone 借助 Role 实现 Authorization:

  1. Keystone定义Role
3767877cd82830db78b81bb56de21a67.png

2. 可以为 User 分配一个或多个 Role,Horizon 的菜单为:Identity->Project->ManageMembers

e7fa91508eef100ae1b14faa6742db26.png

3. Service 决定每个 Role 能做什么事情 Service 通过各自的 policy.json 文件对 Role 进行访问控制。 下面是 Nova 服务 /etc/nova/policy.json 中的示例:

66fdc22943d5994372367724cae013b6.png

上面配置的含义是:对于 create、attach_network 和 attach_volume 操作,任何Role的 User 都可以执行; 但只有 admin 这个 Role 的 User 才能执行 forced_host 操作。

4. OpenStack 默认配置只区分 admin 和非 admin Role。 如果需要对特定的 Role 进行授权,可以修改 policy.json。

Openstack对User的验证除了身份验证,还需要鉴别 User 对某个Service是否有访问权限。Policy用来定义什么角色对应什么权限。对Keystone来说,Policy其实是一个JSON文件,默认是 /etc/keystone/policy.json 。通过Policy,Keystone实现了对User的权限管理。

5. openstack系统基本角色有两个:
一个是管理员: admin
一个是租户: _member_

二、Keystone基本架构:

1bc05cbbcb2ce80b09cb84501d35c900.png

•Token: 用来生成和管理token

•Catalog:用来存储和管理service/endpoint

•Identity:用来管理tenant/user/role和验证

•Policy:用来管理访问权限

三、通过例子认识Keystone:

我们通过“查询可用 image”这个实际操作让大家对这些概念建立更加感性的认识。User admin 要查看 Project 中的 image

第 1 步 登录

33ed6c8d0a1720f3f0462b96f5a8a0bb.png

当点击

732669b2444dedad9d0fef124d514aab.png

时,OpenStack 内部发生了哪些事情?请看下面

1c3607b57e2cc6b61da8e123aa437e53.png

Token 中包含了 User 的 Role 信息

第 2 步 显示操作界面

d68383d531829b44248b67f803c647f7.png

请注意,顶部显示 admin 可访问的 Project 为 “admin” 和 “demo”。 其实在此之前发生了一些事情:

664c919034a094693e8e3c2dc33b57ce.png

同时,admin 可以访问 Intance, Volume, Image 等服务

16d7c1d99b24903198687065321ce909.png

这是因为 admin 已经从 Keystone 拿到了各 Service 的 Endpoints

64d77b132dbdd17113ba8f0947ce8f09.png

第 3 步 显示 image 列表

点击 “Images”,会显示 image 列表

3e58834605b12172d1561c314f90fd80.png

背后发生了这些事:

首先 admin 将请求发送到 Glance 的 Endpoint

dc761df549cf782de0a40832d873c521.png

Glance 向 Keystone 询问 admin 身份是否有效

5bb53d9c4a1912ea27c9e39cbf1594a2.png

接下来 Glance 会查看 /etc/glance/policy.json 判断 admin 是否有查看 image 的权限

74ecc87fdcfe9f71e8104bc7b800857d.png

权限判定通过,Glance 将 image 列表发给 admin。

Troubleshoot

OpenStack 排查问题的方法主要是通过日志。

每个 Service 都有自己的日志文件。

Keystone 主要有两个日志: keystone.log 和 keystone_access.log,保存在 /var/log/apache2/ 目录里。

devstack 的 screen 窗口已经帮我们打开了这两个日志。 可以直接查看:

56bd3eb70973edcd8aa4e271ad5dab75.png

如果需要得到最详细的日志信息,可以在 /etc/keystone/keystone.conf 中打开 debug 选项

d5f9cf72b0b722723da7ecfaa1fb49e8.png

在非 devstack 安装中,日志可能在 /var/log/keystone/ 目录里。

架构图

5f4e9dfddf578d677dedd70818c9cfa3.png

四、keystone配置文件:

可以将如下的配置替换到自己的环境中

vim /etc/keystone/keystone.conf

[DEFAULT][assignment][auth][cache][catalog][cors][cors.subdomain][credential][database]connection = mysql+pymysql://keystone:KEYSTONE_DBPASS@controller/keystone[domain_config][endpoint_filter][endpoint_policy][eventlet_server][federation][fernet_tokens][healthcheck][identity][identity_mapping][kvs][ldap][matchmaker_redis][memcache][oauth1][oslo_messaging_amqp][oslo_messaging_kafka][oslo_messaging_notifications][oslo_messaging_rabbit][oslo_messaging_zmq][oslo_middleware][oslo_policy][paste_deploy][policy][profiler][resource][revoke][role][saml][security_compliance][shadow_users][signing][token]provider = fernet[tokenless_auth][trust]
weixin_39984952
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
错误:在keystone中无法找到默认角色user_第四章 keystone认证组件安装1
weixin_31514917的博客
01-30 578
1、在控制节点安装rabbitmq、memcached组件apt-get -y install rabbitmq-server memcached python-pymysql # 设置openstack用户 rabbitmqctl add_user openstack password #后一个password是密码,需要特别注意,要与后面组件访问时的密码一致 #设置openstack用户为...
错误:在keystone中无法找到默认角色user_理解 Keystone 的四种 Token
weixin_35568959的博客
01-13 938
Token 是什么通俗的讲,token 是用户的一种凭证,需拿正确的用户名/密码向 Keystone 申请才能得到。如果用户每次都采用用户名/密码访问 OpenStack API,容易泄露用户信息,带来安全隐患。所以 OpenStack 要求用户访问其 API 前,必须先获取 token,然后用 token 作为用户凭据访问 OpenStack API。四种 Token 的由来D 版本时,仅有 U...
错误:在keystone中无法找到默认角色user_云计算Openstack搭建-第三篇:Keystone安装...
weixin_36354131的博客
01-27 1177
继上一篇:云计算Openstack搭建教程-第二篇:基础软件篇 我们本篇就对Openstack服务组件进行一个大致的了解以及配置Keystone服务前言OpenStack系统由几个单独安装的关键服务组成。这些服务根据您的云需求一起工作,包括计算,身份,网络,图像,块存储,对象存储,遥测,编排和数据库服务。可以单独安装这些项目中的任何一个,并将它们配置为独立或作为连接的实体。组成一个最基础的云计算可...
k8s基础(14)之RBAC角色权限控制
qq_23435961的博客
09-21 1125
k8s基础()之RBAC角色权限控制 RBAC是基于角色的访问控制 (Role-Based Access Control) 在RBAC中,权限与角色相关联。Kubernetes 基于角色的访问控制使用rbac.authorization.k8s.io API组来实现权限控制,RBAC允许管理员通过Kubernetes API动态的配置权限策略。如果需要开启RBAC授权需要在apiserver组件中指定--authorization-mode=Node,RBAC 在Kubernetes中所有的API对象都保存
Could not find default role "user" in keystone.
iiiiiiiiiiii9的专栏
04-11 559
OpenStack——认证服务Keystone
01-27
KeystoneOpenStackIdentityService)是OpenStack框架中,负责身份验证、服务规则和服务令牌的功能, 它实现了OpenStack的IdentityAPI。Keystone类似一个服务总线,或者说是整个Openstack框架的注册表, 其他服务...
Openstack组件实现原理—Keystone认证功能
02-24
Keystone安装列表Openstack组件部署—Overview和前期环境准备Openstack组建部署—EnvironmentofControllerNodeOpenstack组件部署—Keystone功能介绍与认证实现流程Openstack组件部署—KeystoneInstall&...
openstack虚拟化云计算平台详细安装流程报告-单机.docx
11-28
OpenStack 中的身份验证是通过 Keystone 服务来实现的,包括: 1. 设置用户名和密码 2. 设置身份验证方式 3. 设置身份验证 Token 存储配置 OpenStack 中的存储配置包括: 1. 设置 Block Storage (Cinder) 2. ...
openstack报错记录,keystone,显示找不到资源
weixin_61954391的博客
05-20 750
解决报错、401、404、500、keytone、找不到url、找不到资源、基于这个url找不到资源 Failed to contact the endpoint at http://controller:35357/3 for discovery. Fallback to using that endpoint as the base url. The resource could not be found. (HTTP 404)
OpenStack实战—keystone04】
weixin_45093078的博客
12-29 1074
Keystone——身份认证组件Keystone (OpenStack Identity Service)是OpenStack中的一个独立的提供安全认证的模块,主要负责openstack用户的身份认证、令牌管理、提供访问资源的服务目录、以及基于用户角色的访问控制。
keystone 手动建立租户,用户,角色,服务,端口
hulaquancai的专栏
04-25 1336
分享地址 http://www.cnblogs.com/osxlinux/p/3388031.html
openstack架构构建---keystone原理部分
m0_57776598的博客
07-31 853
1.什么是keystonekeystoneopenstack认证服务的项目名称,也是整个云平台的入口,如果把openstack云平台比作一个“屋子”,那么keystone就是屋子的大门,任何一个行为都需要通过这个大门。因此leystone是一个负责身份管理和授权的组件 2.主要功能:实现用户的身份验证,基于角色的权限管理,及openstack其他它组件的访问地址和安全策略管理 角色:就是一组特权的集合,即使定义了用户能做什么,下文详细讲解 访问地址:比如现在一个用户需要访问nova组件,但是用
Keystone的安装及其配置
数字男孩的博客
01-07 7502
云计算基础架构平台构建与应用基于centos6.5 Keystone的安装及其配置 实训涉及节点 controller 实训目标 完成Keystone基本组件的安装; 完成Keystone数据库的创建以及授权; 完成Keystone主配置文件的修改; 完成Keystone安全与认证配置; 完成Keystone用户、租户、角色以及服务和端点的创建; 完成Keystone环境变量脚本的创建。 1、 ...
openstack mysql 密码_OpenStack Keystone配置产生错误Access denied for user 'keystone'@'10.0.2.15' (using pass...
weixin_32242475的博客
01-28 330
参照别人的一篇教程在Ubuntu上配置OpenStack,前边进行的都很顺利,当配置到keystone-manage db_sync时,产生如下的错误: 注意看最后一句,Access denied for user ‘keystone’@’10.0.2.15’ (using password: YES)”) None None访问被拒绝了,然后我试着直接用keystone访问数据库,发现也不行 ...
keystone详解
freedom00001的博客
10-18 2762
keystone简介 keystoneOpenStack核心组件之一,为OpenStack大家族中的其他组件提供统一的身份认证服务,包括身份认证、令牌发放和校验服务列表、定义用户权限等。OpenStack中所有服务的授权和认证都需要经过keystone,因此keystoneOpenStack中第一个需要安装的核心组件keystone原理 User user指代任何使用OpenStack...
openstack 之~keystone基础
weixin_30733003的博客
01-17 262
第一:keystone是什么?   keystoneOpenStack Identity Service 的项目名称,是一个负责身份管理验证、服务规则管理和服务令牌功能。它实现了openstack的identity API。或者说是整个openstack架构的注册表。   简单例子:谁家的房子不上锁,一家几口人之间晚上睡觉,还有关上门呢。keystone就是房子的一扇门,是家人(组件之间)...
OpenStack Keystone (2): 角色权限管理
金锐谈云
03-27 4140
Keystone中角色(role上)的存在就是为了控制不同的用户所拥有的权限,例如是否可以创建volume,是否能够创建computer等等。 在OpenStack中不同角色权限的控制在文件/etc/SERVICE_NAME/policy.json中设置,例如文件/etc/nova/policy.json中指定不同角色对计算服务的访问策略和权限,文件/etc/glance/policy.json中...
如何检查 OpenStack 组件的配置是否正确,如 Keystone
最新发布
06-02
5. 重启 Keystone 服务,使配置文件生效。 具体而言,可以使用以下命令来重启 Keystone 服务: ``` systemctl restart openstack-keystone.service ``` 如果重启服务后问题仍然存在,请检查 Keystone 相关服务的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值