Openstack (keystone 身份认证)

最新推荐文章于 2024-03-09 20:01:59 发布
最新推荐文章于 2024-03-09 20:01:59 发布
阅读量846 收藏
点赞数
分类专栏: openstack
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47365365/article/details/113823743
版权

keystone简介

keystone 是OpenStack的组件之一,用于为OpenStack家族中的其它组件成员提供统一的认证服务,包括身份验证、令牌的发放和校验、服务列表、用户权限的定义等等。云环境中所有的服务之间的授权和认证都需要经过 keystone

keystone工作

管理用户及其权限
维护 OpenStack Services 的 Endpoint
Authentication(认证)和 Authorization(鉴权)

服务

#主节点(keystone服务依靠httpd)
#systemctl enable httpd.service
#systemctl start httpd.service

基本名词解释

在这里插入图片描述
user
在这里插入图片描述
User 指代任何使用 OpenStack 的实体,可以是真正的用户,其他系统或者服务。

[root@yun2 log]# openstack user list
±---------------------------------±----------+
| ID | Name |
±---------------------------------±----------+
| 0d1172ac468c4b7185bc6aef48e9f97d | admin |
| 2cdcf92000894eed971389af8bcc18df | cinder |
| 44197ea8943b4940bf26bda9e2019a25 | glance |
| 9b9baaf5f4e54d8b84c2c18fc0360bea | placement |
| a0cc358d272b44c8807672c0cc0faa27 | nova |
| bb8a918057084a278a3d5b7107e7e8a6 | neutron |
| c06816b1bde24dd5a84f7cf53f9fb197 | demo |
±---------------------------------±----------+

admin:openstack平台的超级管理员,负责openstack服务的管理和访问权限
demo: 常规(非管理)任务应该使用无特权的项目和用户,所有要创建 demo 项目和 demo 用户
除了 admin 和 demo,OpenStack 也为 nova、cinder、glance、neutron 服务创建了相应的 User,admin 也可以管理这些 User。

credentials
在这里插入图片描述
Credentials 是 User 用来证明自己身份的信息,可以是:

1.用户名/密码
2.Token
3.API Key
4.其他高级方式

authentication
在这里插入图片描述
Authentication 是 Keystone 验证 User 身份的过程。User 访问 OpenStack 时向 Keystone 提交用户名和密码形式的 Credentials,Keystone 验证通过后会给 User 签发一个 Token 作为后续访问的 Credential。

token
在这里插入图片描述
Token 是由数字和字母组成的字符串,User 成功 Authentication 后 Keystone 生成 > Token 并分配给 User。

1.Token 用做访问 Service 的 Credential
2.Service 会通过 Keystone 验证 Token 的有效性
3.Token 的有效期默认是 24 小时

project
在这里插入图片描述Project 用于将 OpenStack 的资源(计算、存储和网络)进行分组和隔离。
根据 OpenStack 服务的对象不同,Project 可以是一个客户(公有云,也叫租户)、部门或者项目组(私有云)

注意:
1.资源的所有权是属于 Project 的,而不是 User。
2.在 OpenStack 的界面和文档中,Tenant / Project / Account 这几个术语是通用的,但长期看会倾向使用 Project
3.每个 User(包括 admin)必须挂在 Project 里才能访问该 Project 的资源。 一个User可以属于多个 Project。
4.admin 相当于 root 用户,具有最高权限
[root@yun2 log]# openstack project list
±---------------------------------±--------+
| ID | Name |
±---------------------------------±--------+
| 0e5426ebfffb4581b85dce45436576cc | admin |
| 8e5b458ff7914270a78b290a74cac742 | service |
| d5765818b47d4bfb999d7710453a5c8a | demo |
±---------------------------------±--------+

service
在这里插入图片描述OpenStack 的 Service 包括 Compute (Nova)、Block Storage (Cinder)、Object Storage (Swift)、Image Service (Glance) 、Networking Service (Neutron) 等。每个 Service 都会提供若干个 Endpoint,User 通过 Endpoint 访问资源和执行操作

[root@yun2 log]# openstack service list
±---------------------------------±----------±----------+
| ID | Name | Type |
±---------------------------------±----------±----------+
| 1c31129027c94ac9aedbde8d679927a1 | keystone | identity |
| 2aeb7a8d97f8477ab6da3a38d04636a5 | placement | placement |
| 3cae0bffa0304c05a4ee2dcde525eb98 | neutron | network |
| 52b89010650a4ee9b68776b5c76a6d7b | glance | image |
| 9cd96bdd4404416a97a7d25b472f7bcb | cinderv3 | volumev3 |
| b03e2059becf4acea1e2717b9ccc0f55 | nova | compute |
| c1c27c7b77704a9387ab08b21841d396 | cinderv2 | volumev2 |
±---------------------------------±----------±----------+

endpoint
在这里插入图片描述
Endpoint 是一个网络上可访问的地址,通常是一个 URL。Service 通过 Endpoint 暴露自己的 API。 Keystone 负责管理和维护每个 Service 的 Endpoint。

[root@yun2 log]# openstack catalog list
±----------±----------±-----------------------------------------------------------------+
| Name | Type | Endpoints |
±----------±----------±-----------------------------------------------------------------+
| keystone | identity | RegionOne |
| | | public: http://yun2:5000/v3/ |
| | | RegionOne |
| | | admin: http://yun2:35357/v3/ |
| | | RegionOne |
| | | internal: http://yun2:5000/v3/ |
| | | |
| placement | placement | RegionOne |
| | | public: http://yun2:8778 |
| | | RegionOne |
| | | admin: http://yun2:8778 |
| | | RegionOne |
| | | internal: http://yun2:8778 |
| | | |
| neutron | network | RegionOne |
| | | internal: http://yun2:9696 |
| | | RegionOne |
| | | public: http://yun2:9696 |
| | | RegionOne |
| | | admin: http://yun2:9696 |
| | | |
| glance | image | RegionOne |
| | | public: http://yun2:9292 |
| | | RegionOne |
| | | admin: http://yun2:9292 |
| | | RegionOne |
| | | internal: http://yun2:9292 |
| | | |
| cinderv3 | volumev3 | RegionOne |
| | | admin: http://yun2:8776/v3/0e5426ebfffb4581b85dce45436576cc |
| | | RegionOne |
| | | public: http://yun2:8776/v3/0e5426ebfffb4581b85dce45436576cc |
| | | RegionOne |
| | | internal: http://yun2:8776/v3/0e5426ebfffb4581b85dce45436576cc |
| | | |
| nova | compute | RegionOne |
| | | internal: http://yun2:8774/v2.1 |
| | | RegionOne |
| | | public: http://yun2:8774/v2.1 |
| | | RegionOne |
| | | admin: http://yun2:8774/v2.1 |
| | | |
| cinderv2 | volumev2 | RegionOne |
| | | admin: http://yun2:8776/v2/0e5426ebfffb4581b85dce45436576cc |
| | | RegionOne |
| | | public: http://yun2:8776/v2/0e5426ebfffb4581b85dce45436576cc |
| | | RegionOne |
| | | internal: http://yun2:8776/v2/0e5426ebfffb4581b85dce45436576cc |
| | | |
±----------±----------±-----------------------------------------------------------------+
在这里插入图片描述
防火墙
firewall-cmd --add-port=3306/tcp --permanent
firewall-cmd --add-port=80/tcp --permanent
firewall-cmd --add-port=123/udp --permanent
firewall-cmd --add-port=22/tcp --permanent
firewall-cmd --add-port=35357/tcp --permanent
firewall-cmd --add-port=5000/tcp
firewall-cmd --add-port=5000/tcp --permanent
firewall-cmd --add-port=9292/tcp --permanent
firewall-cmd --add-port=9696/tcp --permanent
firewall-cmd --add-port=8778/tcp --permanent
firewall-cmd --add-port=8776/tcp --permanent
firewall-cmd --add-port=8774/tcp --permanent
firewall-cmd --reload

role
在这里插入图片描述
安全包含两部分:
1.Authentication(认证)—>解决的是“你是谁?”的问题
2.Authorization(鉴权)—>解决的是“你能干什么?”的问题. keystone 借助 role 实现 Authorization

[root@yun2 log]# openstack role list
±---------------------------------±---------+
| ID | Name |
±---------------------------------±---------+
| 9fe2ff9ee4384b1894a90878d3e92bab | member |
| aa2d974d95b14ecd92e2a5bdf20f2605 | admin |
| c5d4fd60f60f4fe58a2ad9295ee180cc | user |
±---------------------------------±---------+

keystone基本架构
在这里插入图片描述
Token: 用来生成和管理token
Catalog:用来存储和管理service ,endpoint
Identity:用来管理tenant ,user,role和验证
Policy:用来管理访问权限
在这里插入图片描述

风口上的云
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
OpenStackkeystone
weixin_45039547的博客
11-03 1527
keystone的功能及认证流程
OpenStackkeystone身份认证服务)
yemu880的博客
08-29 5444
keystone概述 概念 Keystone (OpenStack ldentity Service)是OpenStack中的一个独立的提供安全认证的模块,主要负责openstack用户的身份认证、令牌管理、提供访问资源的服务目录、以及基于用户角色的访问控制。 Keystone类似一个服务总线,或者说是整个Openstack框架的注册表,其他服务通过keystone来注册其服务的Endpoint(服务访问的URL),任何服务之间相互的调用,需要经过Keystone的身份验证,来获得目标服务的Endpoi
个人笔记Openstack中的常用命令
weixin_69225106的博客
02-14 2375
2.新建卷(size的单位为GB)4.将卷连接到instance。20.将用户数据文件注入云主机。3.查看指定镜像的详细信息。6.查看云主机的控制台日志。5.显示实例的详细信息。7.设置云主机的元数据。2.列出认证服务目录。4.创建并启动云主机。17.调整云主机大小。
keystone详解
freedom00001的博客
10-18 2812
keystone简介 keystoneOpenStack的核心组件之一,为OpenStack大家族中的其他组件提供统一的身份认证服务,包括身份认证、令牌发放和校验服务列表、定义用户权限等。OpenStack中所有服务的授权和认证都需要经过keystone,因此keystoneOpenStack中第一个需要安装的核心组件。 keystone原理 User user指代任何使用OpenStack...
OpenStack(T版)——身份认证(Keystone)服务介绍与安装
不知道
06-26 3323
OpenStack(T版)——身份认证(Keystone)服务介绍与安装
OpenStackkeystone(用户认证)
weixin_42795092的博客
03-09 2159
1)管理用户及其权限2)维护OpenStack Services 的 Endpoint3)Authentication认证)和 Authorization(授权)keystone的名词概念。
OpenStack——认证服务Keystone
01-27
KeystoneOpenStackIdentityService)是OpenStack框架中,负责身份验证、服务规则和服务令牌的功能, 它实现了OpenStack的IdentityAPI。Keystone类似一个服务总线,或者说是整个Openstack框架的注册表, 其他服务...
OpenStack Keystone的基本概念详细介绍
01-20
 KeystoneOpenStack Identity Service)是OpenStack框架中,负责身份验证、服务规则和服务令牌的功能, 它实现了OpenStack的Identity API。Keystone类似一个服务总线, 或者说是整个Openstack框架的注册表, 其他...
openstack keystone 命令详细.docx
01-02
OpenStack KeystoneOpenStack 中的核心服务,主要负责身份管理和授权。它提供了认证、服务目录、令牌管理和租户管理等核心功能。在使用 Keystone 的命令行工具时,了解和掌握相关命令是十分重要的。 1. 用户...
OpenStack认证管理
最新发布
03-20
- **身份认证(Identity)**:Keystone管理用户、用户组和项目的生命周期,包括创建、更新、删除等操作。 - **令牌管理(Token)**:为认证成功的用户提供令牌(Token),该令牌用于后续的服务请求认证。 - **服务管理...
了解和使用keystone(三)创建admin用户
热门推荐
愷风(Wei)的专栏
09-10 1万+
admin用户可以用来创建domain,project,user。在keystone.conf中,通过设定admin_token,提供了一个初始的管理员令牌,假定为ADMIN,我们用这个令牌来创建admin用户。这是个管理的问题,如果分配给不同的人员,应该要使用不同的username/password。 配置环境变量 $ openstack --os-token=ADMIN --os-url=
OpenStack组件——Keyston身份认证服务
weixin_56665913的博客
08-28 2304
1、主要功能 身份认证:对用户进行身份认证,并对应权限范围 用户授权(令牌管理权限):以token令牌的方式标识用户对应拥有的权限范围 用户管理(寻址功能):提供用户访问资源的寻址功能(URL) 服务目录:所有服务的交互/调用,均需要keyston进行认证 ...
手动搭建OpenStackkeystone
thq1443765353的博客
06-07 834
keystone是什么? openstack是一个SOA架构,各个项目独立提供先关的服务,且互不依赖,如nova提供计算服务,glance提供镜像服务等。防止耦合性,且扩展性不高实际上所有的组件都依赖keystone
OpenStack Victoria搭建(五) Keystone认证服务
qq_40277608的博客
07-01 1223
OpenStack环境搭建,keystone
搭建Openstack环境以及Openstack认证服务
wwy0324的博客
11-01 1706
一、简介 什么是openstack OpenStack 是一系列开源工具(或开源项目)的组合,主要使用池化虚拟资源来构建和管理私有云及公共云。其中的六个项目主要负责处理核心云计算服务,包括计算、网络、存储、身份和镜像服务。还有另外十多个可选项目,用户可把它们捆绑打包,用来创建独特、可部署的云架构。 OpenStack 中有哪些项目? OpenStack 架构由大量开源项目组成。其中包含 6 个稳定可靠的核心服务,用于处理计算、网络、存储、身份和镜像; 同时,还为用户提供了十多种开发成熟度各异的可选服务
openstack-stein.noarch(S版)环境搭建
CSDNfengwang的博客
04-28 2458
一、openstack准备环境 节点 系统 IP地址 网卡模式 控制节点(controller) CentOS-7.5-x86_64-DVD-1804.iso 192.168.1.100 NAT模式 计算节点(compute) CentOS-7.5-x86_64-DVD-1804.iso 192.168.1.200 NAT模式 二、基础环境配置 controller节点和compute节点配置 关闭防火墙并...
OpenStack 学习笔记 (一)
dizhai7933的博客
07-16 256
后续的文章都贴在:臭蛋上 这一系列笔记已经记录很长一段时间了,种种原因没有贴出来,现在陆陆续续的贴出来。可能由于自己理解的 错误和疏忽,导致存在错误,欢迎大家指正,交流。 所有的源码分析都是基于OpenStack Folsom版本。 参考文档:http://hi.baidu.com/chenshake/item/184767c22c1231ba0d0a7b...
OpenStack关键技术系列: KeyStone鉴权认证系统详解
架构师技术联盟
05-30 2494
      今天,我们深入到每一个服务组件详细的来说说OpenStack了,接下来还是从比较重要的Keystone组件服务说起。      先来举几个平时能够看到的例子:...
OpenStack Keystone认证核心,架构与流程解析
OpenStack Keystone 是一个关键的组件,它的主要功能是为OpenStack环境提供身份管理和认证服务。Keystone通过以下核心概念工作: 1. **用户(User)**: 用户代表云平台的实体用户,他们需要访问OpenStack服务。 2. ...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值