OpenStack — Keystone

已于 2022-01-27 13:37:52 修改
阅读量3.5k 收藏 15
点赞数 3
分类专栏: 云计算 文章标签: 云计算
于 2022-01-27 12:59:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45804031/article/details/122713062
版权

文章目录

Keystone

Keystone(OpenStack Identity Service)是 OpenStack 框架中负责管理身份验证、服务访问规则和服务令牌功能的组件。用户访问资源需要验证用户的身份与权限,服务执行操作也需要进行权限检测,这些都需要通过 Keystone 来处理。Keystone 类似一个服务总线, 或者说是整个 Openstack 框架的注册表,OpenStack 服务通过 Keystone 来注册其 Endpoint(服务访问的URL),任何服务之间的相互调用,都需要先经过 Keystone 的身份验证,获得目标服务的 Endpoint ,然后再调用。
Keystone 的主要功能如下:

  • 管理用户及其权限;
  • 维护 OpenStack 服务的 Endpoint;
  • Authentication(认证)和 Authorization(鉴权)。

基础概念

Authentication

确认用户身份的过程。为了确认传入的请求,keystone会验证用户提供的一组凭证。

最初,这些凭证是用户名和密码,或者用户名和API key。

当keystone验证用户凭证时,它会发出一个认证令牌。用户在随后的请求中提供令牌。

Credentials

确认用户身份的凭证。

例如:

  • 用户名和密码
  • 用户名和API key
  • keystone服务提供的身份token。

Endpoint

网络可访问的地址,通常是URL,通过它您可以访问服务。

Endpoint 分为三类:

  • admin url :给admin用户使用,Port:35357
  • internal url:OpenStack内部服务使用来跟别的服务通信,Port:5000
  • public url:互联网用户可以访问的地址,Port:5000

Domain

域是定义用于管理Identity实体的管理边界的项目和用户的集合。域可以代表个人、公司或运营商拥有的空间。它们直接向系统用户公开管理活动。用户可以被授予域的管理员角色。域管理员可以在域中创建项目、用户和组,并为域中的用户和组分配角色。
Domain 可以认为是 project,user,group 的 namespace。 一个 domain 内,这些元素的名称不可以重复,但是在两个不同的domain内,它们的名称可以重复。因此,在确定这些元素时,需要同时使用它们的名称和它们的 domain 的 id 或者 name。

Group

组是一个Domain部分用户的集合。它可以让管理员快捷地对多个用户赋予相同的角色。例如将groupA赋予roleA,那么groupA中所有的用户都拥有roleA。移除角色亦是如此。

Project

在Domain下唯一。对资源或标识对象进行分组或隔离的容器。根据服务运营商的不同,项目可能映射到客户、帐户、组织或租户。

Region

表示OpenStack部署的总体划分。
如图所示:一个region拥有一套openstack,它们使用同一个keystone。当用户页面访问时,keystone会检测到多个region的存在并显示给用户,使得用户可以选择某一region进行访问。
在这里插入图片描述

Role

本身是一堆ACL集合,主要用于权限的划分。Role在Domain下是唯一的。其名称的意义在于policy.json根据role名称判断用户是否拥有执行操作的权限。
policy.json位于/etc/keystone/下,定义了某个role所能进行的操作。可以使用oslopolicy-policy-generator命令生成。

结合Domain,Project,admin还可以分为system admin,domain admin和project admin。

keystone默认提供三个角色:admin,member,reader。三者关系如下图,如果一个用户被赋予了admin角色,那么他还会拥有member,reader角色;如果被赋予了member角色,也就意味着它还拥有reader角色。
在这里插入图片描述

admin角色在相应范围内(system,domian,project)拥有最高权限。

reader角色在相应范围内提供资源的只读权限。

member介于以上两种角色之间。更多的应用于其他服务。在相应范围内提供查询,创建功能。

Service

OpenStack服务(Compute (nova)、Object Storage (swift)、Image service (glance)),提供一个或多个终端,供用户访问资源和执行操作。

Token

一个字母-数字的文本字符串,允许访问OpenStack api和资源。令牌可以在任何时候被撤销,并且在一定的时间内有效。

keystone目前提供两种token:Fernet token和JWS token。默认Fernet token。

User

使用OpenStack云服务的人、系统或服务的数字表示。用户拥有登录权限,可以使用指定的令牌访问资源。用户可以被直接分配到一个特定的project中。
用户表现为一个独立的API消费者。只在Domain下全局唯一。

Keystone在OpenStack中的工作流程

以创建VM为例:
在这里插入图片描述

_李少侠_
关注
  • 3
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
OpenStack Keystone的基本概念详细介绍
01-20
OpenStack Keystone的基本概念理解 Keystone简介   KeystoneOpenStack Identity Service)是OpenStack框架中,负责身份验证、服务规则和服务令牌的功能, 它实现了OpenStack的Identity API。Keystone类似一个服务总线, 或者说是整个Openstack框架的注册表, 其他服务通过keystone来注册其服务的Endpoint(服务访问的URL),任何服务之间相互的调用, 需要经过Keystone的身份验证, 来获得目标服务的Endpoint来找到目标服务。 Keystone基本概念介绍   1. User
openstack详解(七)——Keystone介绍
永远是少年
06-02 1997
今天继续给大家介绍Linux运维相关知识,本文主要内容是openstack Keystone介绍。 一、Keystone作用 二、用户认证介绍 三、服务目录介绍
OpenStack Keystone 总结
热门推荐
创新是灵魂,执行是生命。
05-15 1万+
一、概述 KeystoneOpenStack Identity Service)是 OpenStack 框架中负责管理身份验证、服务访问规则和服务令牌功能的组件。用户访问资源需要验证用户的身份与权限,服务执行操作也需要进行权限检测,这些都需要通过 Keystone 来处理。Keystone 类似一个服务总线, 或者说是整个 Openstack 框架的注册表,OpenStack 服务通过 Key...
OpenStackkeystone
weixin_45039547的博客
11-03 1469
keystone的功能及认证流程
OpenStack入门篇(七)之认证服务Keystone
Richardlygo的博客
08-30 390
一、Keystone的概述 KeystoneOpenstack的组件之一,用于为Openstack家族中的其它组件成员提供统一的认证服务,包括身份验证,令牌的发放和校验,服务列表,用户权限的定义等。Openstack中任何组件均依赖与Keystone提供的服务。 二、Keystone的功能 用户与认证 用户权限与用户行为追踪。 服务目录 为每个组件服务提供一个可用的服务目录和相应的A...
openstack-keystone
01-16
keystoneopenstack提供了身份验证机制,其中token是贯穿整个op的钥匙!
OpenStack-Keystone组件部署
Houtieyu的博客
12-15 854
文章目录前言OpenStack-Keystone组件部署一、创建数据库实例和数据库用户二、安装、配置keystone、数据库、Apache三、创建OpenStack 域、项目、用户和角色 前言 OpenStack组件安装的顺序 1、Keystone(apache) 2、glance 3、nova 4、neutron 注意事项 部署openstack组件时,需先行安装认证服务(keystone),而认证服务是使用Apache运行的,安装完成后才可以创建、管理账号,然后安装镜像服务(glance)、计
openstackkeystone
weixin_33847182的博客
07-01 95
一、什么是keystone   用于为openstack家族中的其它组件成员提供统一的认证服务,包括身份认证、令牌发放和校验、服务列表、用户权限定义等;   基本概念:     用户User:用于身份认证、一个用户可以关联到多个租户,即一个用户可以属于租户A同时属于租户B;     租户Tenant:相当于用户组的概念。一个租户可以容纳多个用户;     角色Role:关联到“用户-租户...
OpenStack 认证服务 KeyStone [二]
i4t abcdocker的博客
11-23 4924
OpenStack 认证服务 KeyStone [二]标签(空格分隔): openstack 时间:2016年11月23日openstack认证服务Keystone 介绍Keystone作用: 1.用户与认证:用户权限与用户行为跟踪; 2.服务目录:提供一个服务目录,包括所有服务项和相关Api的断点 3.SOA相关知识Keystone主要两大功能用户认证 服务目录(相当于一个注册中心)用户
Openstack keystone 安装包
11-23
Openstack keystone 安装包 简单快捷的搭建Keystone
openstack keystone 命令详细.docx
01-02
openstack keystone 命令详细openstack keystone 命令详细openstack keystone 命令详细openstack keystone 命令详细openstack keystone 命令详细openstack keystone 命令详细openstack keystone 命令详细openstack keystone 命令详细openstack keystone 命令详细
OpenStack Keystone
02-19
openstackOpenStack Keystone云计算云计算云计算
keystone4j:Keystone4J是openstack keystone组件的纯Java实现,它基于OpenStack Keystone构建
04-30
Keystone4J是openstack keystone组件的纯Java实现。 Keystone4J允许您通过构建一个Openstack身份服务器并管理令牌,服务目录,端点,域,项目,用户等,并且可以将其功能集成到您自己的Java程序中。 安装指南 可从...
云计算知识点-02
lv785的博客
04-27 1033
DataNode是HDFS文件系统的工作节点,DataNode会按照客户端或者是NameNode的调度来存储和检索数据,并定期向NameNode发送它所存储的数据块列表,DataNode是文件系统中真正存储数据的地方。通过这种虚拟化可以减少服务器的数量,提高服务器的使用效率,可以在一定程度上摆脱物理上的空间限制,实现随时随地随需的自由掌控。Glance(镜像服务组件),其作用是:提供虚拟机镜像的存储,查询和检索功能,为nova进行服务,依赖于存储服务(存储镜像本身)和数据库服务(存储镜像相关的数据)。
Amazon云计算AWS之[4]非关系型数据库服务SimpleDB和DynamoDB
缘友一世的博客
04-27 795
非关系型数据库服务主要用于存储结构化的数据,并为这些数据提供查找、删除等基本的数据库功能。AWS中提供的非关系型数据库主要包括SimpleDB和DynamoDB。
云计算知识点-03
最新发布
lv785的博客
04-28 682
云计算技术能将许许多多分散在低利用率服务器上的工作负载整合到云中,来提升资源的使用效率,而且云由专业管理团队运维,所以其PUE(powerUsageEffectiveness,电源使用效率)值比普通企业的数据中心出色很多,比如Google数据中心的PUE值在1.2左右,即每l元钱的电力花在计算资源上,只需再花2角钱的电力在制冷等设备上,而常见的PUE在2和3之间。在云中,不论是应用、服务和资源的部署,还是软硬件的管理,主要通过自动化的方式执行和管理,也极大地降低了整个云计算中心的人力成本。
云计算时代:SFP、SFP+、SFP28、QSFP+和QSFP28光纤模块详解
2401_83935859的博客
04-23 1464
不同类型的光纤模块具有不同的数据传输速率、体积、功耗等特点,适用于不同的网络需求和环境。在众多光纤模块中,SFP、SFP+、SFP28、QSFP+和QSFP28是最常见的几种类型。SFP(Small Form Factor Pluggable)模块是一种小型可插拔的光纤模块,具有高速、高效率的特点。SFP+(Small Form Factor Pluggable Plus)模块是基于SFP模块的升级版,支持更高的数据传输速率,最高可达10Gbps。小巧灵活:SFP模块体积小巧,方便设备部署和更换。
云计算与云服务
m0_71660867的博客
04-26 851
介绍云计算以及云服务
openstack keystone 命令行 csdn
07-30
OpenStack Keystone 是一个身份认证服务,提供了一套 API 接口,用于用户、项目和角色的管理。使用 OpenStack Keystone 命令行可以方便地进行对 Keystone 的配置和管理。 在命令行中,可以使用 "keystone" 命令来执行各种操作。一些常见的 Keystone 命令包括: 1. keystone user-create:创建一个用户。 2. keystone user-list:列出所有用户。 3. keystone project-create:创建一个项目。 4. keystone project-list:列出所有项目。 5. keystone role-create:创建一个角色。 6. keystone role-list:列出所有角色。 7. keystone user-role-add:给用户分配一个角色。 8. keystone user-role-list:列出用户的所有角色。 9. keystone service-create:创建一个服务。 10. keystone service-list:列出所有服务。 使用这些命令,我们可以在 OpenStack 中进行用户、项目和角色的创建、管理和授权。例如,可以使用 keystone user-create 命令创建一个新用户,然后使用 keystone project-create 命令创建一个新项目,并使用 keystone user-role-add 命令将用户分配到该项目的角色。 通过使用 OpenStack Keystone 命令行,我们能够更加方便地进行对 Keystone 的配置和管理,从而支持整个 OpenStack 环境的身份认证和授权功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

_李少侠_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值