（二）openstack服务 ------------认证 keystone

最新推荐文章于 2021-08-23 18:43:46 发布

（─__─）

最新推荐文章于 2021-08-23 18:43:46 发布

阅读量116

点赞数

分类专栏：虚拟化 openstack，ESXI / KVM 文章标签： linux

本文链接：https://blog.csdn.net/weixin_45697293/article/details/115485879

版权

虚拟化 openstack，ESXI / KVM 专栏收录该内容

18 篇文章 1 订阅

订阅专栏

文章目录

创建一个 service 项目
服务注册
- 测试 keystone 是否可以做用户验证

150控制端
151，152计算节点
153 mysql,rabbitMQ,memached
154 haproxy
在这里插入图片描述

keystone 简介

官方安装文档：https://docs.openstack.org/ocata/zh_CN/install-guide-rdo/index.html
Keystone 中主要涉及到如下几个概念：User、Tenant、Role、Token:

User：使用 openstack 的用户。

Tenant：租户,可以理解为一个人、项目或者组织拥有的资源的合集。在一个租户中可以拥有很多个用户，这些用户可以根据权限的划分使用租户中的资源。

Role：角色，用于分配操作的权限。角色可以被指定给用户，使得该用户获得角色对应的操作权限。

Token：指的是一串比特值或者字符串，用来作为访问资源的记号。Token 中含有可访问资源的范围和有效时间。

在这里插入图片描述

vim /etc/hosts
192.168.1.153 controller #表示控制端的在haproxy 的VIP
              也可以是控制端

keystone 数据库配置

创建数据库：在数据库服务器

mysql -uroot -p123456
MariaDB [(none)]> create database keystone;

MariaDB [(none)]> grant all on keystone.* to 'keystone'@'%' identified by '123456';

验证数据库
验证可以从 openstack 控制端使用 keystone 访问数据库：

mysql -ukeystone -p123456 -hVIP

然后通过haproxy的VIP看能否链接过去

安装 keystone（控制端）

openstack-keystone 是 keystone 服务，http 是 web 服务，mod_wsgi 是 python 的通用网关，

yum install -y openstack-keystone httpd mod_wsgi python-memcached

编辑 keystone 配置文件：

openssl rand -hex 10 #生成临时 token
a734fda7b075fb62b75c

vim /etc/keystone/keystone.conf

17 admin_token = a734fda7b075fb62b75c

	# [database]配置数据库部分  controller为haproxy
714 connection = mysql+pymysql://keystone:123456@controller/keystone

	#[token] 配置frenet UUID 令牌提供者
2833 provider = fernet

可以将后端的Mysql的ip在本地解析为一个域名
在配置的时候可以通过域名链接（方便以后的维护）

初始化并验证数据库：会生成很多表

su -s /bin/sh -c "keystone-manage db_sync" keystone

keystone 日志文件：

ll /var/log/keystone/keystone.log

初始化证书并验证：

keystone-manage fernet_setup --keystone-user keystone --keystone-group keystone

keystone-manage credential_setup --keystone-user keystone --keystone-group keystone

ll /etc/keystone/fernet-keys/
	-rw------- 1 keystone keystone 44 Sep 10 10:56 0
	-rw------- 1 keystone keystone 44 Sep 10 10:56 1

配置 keystone

配置 haproxy：让他可以转发5000和35357端口到后端服务器
转发到控制端的两个端口上

vim /etc/haproxy/haproxy.cfg

listen keystone-keystone
	 bind 192.168.10.100:5000
	 mode tcp
	 log global
	 balance source
	 server keystone1 192.168.1。150:5000 check inter 5000 rise 3 fall 3
	 
###如果有35357端口
listen keystone-admin-url
	 bind 192.168.10.100:35357
	 mode tcp
	 log global
	 balance source
	 server keystone1 192.168.10.201:35357 check inter 5000 rise 3 fall 3

重启haproxy

测试用telnet

telnet ip 端口

通过 apache 代理 python：
配置bootstarp身份认证服务（可以不需要）
(有这个步骤就不需要创建endpoint)

keystone-manage bootstrap \
--bootstrap-password ADMIN_PASS \
--bootstrap-admin-url http://controller:5000/v3/ \  #可能时35357
--bootstrap-internal-url http://controller:5000/v3/ \
--bootstrap-public-url http://controller:5000/v3/ \
--bootstrap-region-id RegionOne

在这里插入图片描述

1.admin-url：管理网(如公有云内部openstack管理网络)，用于管理虚拟机的扩容或删除；如果共有网络和管理网是一个网络，则当业务量大时，会造成无法通过openstack的控制端扩容虚拟机，所以需要一个管理网；

2.internal-url：内部网络，进行数据传输，如虚拟机访问存储和数据库、zookeeper等中间件，这个网络是不能被外网访问的，只能用于企业内部访问

3.public-url：共有网络，可以给用户访问的(如公有云) #但是此环境没有这些网络，则公用同一个网络
4.5000端口：keystone提供认证的端口

编辑 apache 配置文件：作为控制节点
这里也可以是域名

vim /etc/httpd/conf/httpd.conf
     #本机
ServerName ct:80

也就是
echo "ServerName controller" >> /etc/httpd/conf/httpd.conf

软连接配置文件：
wsgi-keystone.conf 必须有35357端口才行
注意O版本需要35357端口，之后的版本不需要

ln -s /usr/share/keystone/wsgi-keystone.conf /etc/httpd/conf.d/

启动 apache：

systemctl start httpd
systemctl enable httpd

在这里插入图片描述

创建域、用户、项目和角色：

配置admin账户

vim /root.bashrc

export OS_USERNAME=admin
export OS_PASSWORD=ADMIN_PASS
export OS_PROJECT_NAME=admin
export OS_USER_DOMAIN_NAME=Default
export OS_PROJECT_DOMAIN_NAME=Default
export OS_AUTH_URL=http://controller:35357/v3   #可能是5000
export OS_IDENTITY_API_VERSION=3
export OS_IMAGE_API_VERSION=2

. /root/.bashrc

创建默认域 default
一定要在上一步设置完成环境变量的前提下方可操作成功，否则会提示未认证。

命令格式为：openstack domain create --description "描述信息" 域名

openstack domain create --description "Default Domain" default
+-------------+----------------------------------+
| Field | Value |
+-------------+----------------------------------+
| description | Default Domain |
| enabled | True |
| id | 961b40ed4c6b40a9b266ce5e451a4292 |
| name | default |
+-------------+----------------------------------+

创建一个 admin 的项目：

命令格式为 openstack project --domain 域 --description "描述" 项目名

openstack project create --domain default --description "Admin Project"  admin


openstack project list

创建 admin 用户并设置密码为 admin：

openstack user create --domain default --password-prompt admin

openstack user list

创建 admin 角色：
一个项目里面可以有多个角色，目前角色只能创建在/etc/keystone/policy.json 文件中定义好的角色：

openstack role create admin
 
openstack role list

给 admin 用户授权：
将 admin 用户授予 admin 项目的 admin 角色，即给 admin 项目添加一个用户叫 admin，并将其添加至 admin 角色，角色是权限的一种集合：

openstack role add --project admin --user admin admin

创建 demo 项目(做演示)

该项目可用于演示和测试等

openstack project create --domain default --description "Demo Project"  demo

创建 demo 用户并设置密码为 demo：

openstack user create --domain default --password-prompt demo

创建一个 user 角色：
角色目前有 user 和 admin：

openstack role create user

把 demo 用户添加到 demo 项目：
然后赋予 user 权限：

openstack role add --project demo --user demo user

创建一个 service 项目

各服务之间与 keystone 进行访问和认证，service 用于给服务创建用户

openstack project create --domain default --description "Service Project" service

服务注册

将 keystone 服务地址注册到 openstack：

创建一个 keystone 认证服务：

openstack service list #查看当前的服务

有就不需要创建

然后再创建
openstack service create --name keystone --description "OpenStack Identity" identity

openstack service list #验证服务创建成功

在这里插入图片描述

创建 endpoint
如果创建错误或多创建了，就要全部删除再重新注册，因为你不知道哪一个是对的哪一个是错的，所以只能全部删除然后重新注册，注册的IP地址写keepalived的VIP，稍后配置haproxy：

这里的地址为haproxy的VIP
controller为haproxy  这里haproxy负责调度控制端
#公共端点
openstack endpoint create --region RegionOne identity public http://controller:5000/v3 
#私有端点
openstack endpoint create --region RegionOne identity internal http://controller:5000/v3 
#管理端点
openstack endpoint create --region RegionOne identity admin http://controller:35357/v3  # 可能是5000

openstack endpoint list  #查看一下

创建完成之后----->可能会有某些bug
删除 /v3/ 版本的内容
在这里插入图片描述

测试 keystone 是否可以做用户验证

验证 admin 用户，密码 admin，新打开一个窗口并进行以下操作：

在管理端的一个新的窗口中

声明版本为3
export OS_IDENTITY_API_VERSION=3

openstack --os-auth-url http://haproxy-VIP:35357/v3 \
--os-project-domain-name default --os-user-domain-name default \
--os-project-name admin --os-username admin token issue

在这里插入图片描述
验证 demo 用户，密码为 demo：

export OS_IDENTITY_API_VERSION=3

openstack --os-auth-url http://192.168.10.100:35357/v3 --os-project-domain-name default --os-user-domain-name default --os-project-name demo --os-username demo token issue

使用脚本设置环境变量：免密测试

openstack token issue

在这里插入图片描述

Admin 用户脚本内容：

[root@linux-host1 ~]# chmod a+x admin-ocata.sh
[root@linux-host1 ~]# cat admin-ocata.sh
#!/bin/bash
export OS_PROJECT_DOMAIN_NAME=default
export OS_USER_DOMAIN_NAME=default
export OS_PROJECT_NAME=admin
export OS_USERNAME=admin
export OS_PASSWORD=admin
export OS_AUTH_URL=http://VIP:35357/v3
export OS_IDENTITY_API_VERSION=3
export OS_IMAGE_API_VERSION=2

然后执行

openstack --os-auth-url http://haproxy-VIP:35357/v3 \
--os-project-domain-name default --os-user-domain-name default \
--os-project-name admin --os-username admin token issue

Demo 用户脚本内容：

[root@linux-host1 ~]# chmod a+x demo-ocata.sh
[root@linux-host1 ~]# cat demo-ocata.sh
#!/bin/bash
export OS_PROJECT_DOMAIN_NAME=default
export OS_USER_DOMAIN_NAME=default
export OS_PROJECT_NAME=demo
export OS_USERNAME=demo
export OS_PASSWORD=demo
export OS_AUTH_URL=http://VIP:5000/v3
export OS_IDENTITY_API_VERSION=3
export OS_IMAGE_API_VERSION=2

（─__─）

关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
（二）openstack服务 ------------认证 keystone

文章目录keystone 简介keystone 数据库配置安装 keystone（控制端）配置 keystone创建 demo 项目(做演示)创建一个 service 项目服务注册测试 keystone 是否可以做用户验证keystone 简介官方安装文档：https://docs.openstack.org/ocata/zh_CN/install-guide-rdo/index.htmlKeystone 中主要涉及到如下几个概念：User、Tenant、Role、Token:User：使用 ope
复制链接

扫一扫

专栏目录