OpenStack — Keystone

_李少侠_

已于 2022-01-27 13:37:52 修改

阅读量3.9k

点赞数 3

分类专栏：云计算文章标签：云计算

于 2022-01-27 12:59:33 首次发布

本文链接：https://blog.csdn.net/weixin_45804031/article/details/122713062

版权

云计算专栏收录该内容

19 篇文章 4 订阅

订阅专栏

文章目录

Keystone

Keystone（OpenStack Identity Service）是 OpenStack 框架中负责管理身份验证、服务访问规则和服务令牌功能的组件。用户访问资源需要验证用户的身份与权限，服务执行操作也需要进行权限检测，这些都需要通过 Keystone 来处理。Keystone 类似一个服务总线，或者说是整个 Openstack 框架的注册表，OpenStack 服务通过 Keystone 来注册其 Endpoint（服务访问的URL），任何服务之间的相互调用，都需要先经过 Keystone 的身份验证，获得目标服务的 Endpoint ，然后再调用。
Keystone 的主要功能如下：

管理用户及其权限；
维护 OpenStack 服务的 Endpoint；
Authentication（认证）和 Authorization（鉴权）。

基础概念

Authentication

确认用户身份的过程。为了确认传入的请求，keystone会验证用户提供的一组凭证。

最初，这些凭证是用户名和密码，或者用户名和API key。

当keystone验证用户凭证时，它会发出一个认证令牌。用户在随后的请求中提供令牌。

Credentials

确认用户身份的凭证。

例如：

用户名和密码
用户名和API key
keystone服务提供的身份token。

Endpoint

网络可访问的地址，通常是URL，通过它您可以访问服务。

Endpoint 分为三类：

admin url ：给admin用户使用，Port：35357
internal url：OpenStack内部服务使用来跟别的服务通信，Port：5000
public url：互联网用户可以访问的地址，Port：5000

Domain

域是定义用于管理Identity实体的管理边界的项目和用户的集合。域可以代表个人、公司或运营商拥有的空间。它们直接向系统用户公开管理活动。用户可以被授予域的管理员角色。域管理员可以在域中创建项目、用户和组，并为域中的用户和组分配角色。
Domain 可以认为是 project，user，group 的 namespace。一个 domain 内，这些元素的名称不可以重复，但是在两个不同的domain内，它们的名称可以重复。因此，在确定这些元素时，需要同时使用它们的名称和它们的 domain 的 id 或者 name。

Group

组是一个Domain部分用户的集合。它可以让管理员快捷地对多个用户赋予相同的角色。例如将groupA赋予roleA，那么groupA中所有的用户都拥有roleA。移除角色亦是如此。

Project

在Domain下唯一。对资源或标识对象进行分组或隔离的容器。根据服务运营商的不同，项目可能映射到客户、帐户、组织或租户。

Region

表示OpenStack部署的总体划分。
如图所示：一个region拥有一套openstack，它们使用同一个keystone。当用户页面访问时，keystone会检测到多个region的存在并显示给用户，使得用户可以选择某一region进行访问。
在这里插入图片描述

Role

本身是一堆ACL集合，主要用于权限的划分。Role在Domain下是唯一的。其名称的意义在于policy.json根据role名称判断用户是否拥有执行操作的权限。
policy.json位于/etc/keystone/下，定义了某个role所能进行的操作。可以使用oslopolicy-policy-generator命令生成。

结合Domain，Project，admin还可以分为system admin，domain admin和project admin。

keystone默认提供三个角色：admin，member，reader。三者关系如下图，如果一个用户被赋予了admin角色，那么他还会拥有member，reader角色；如果被赋予了member角色，也就意味着它还拥有reader角色。
在这里插入图片描述