openstack—keystone身份认证服务

最新推荐文章于 2024-03-22 00:15:00 发布
最新推荐文章于 2024-03-22 00:15:00 发布
阅读量1.1k 收藏 6
点赞数
文章标签: openstack keystone
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50344820/article/details/113471667
版权

文章目录

一、keystone身份服务功能

  • 身份认证:令牌管理、访问控制
  • 在经过身份认证后,提供路径指引服务
  • 用户授权:授权用户在一个服务中所拥有的权限(作用范围、有效期)
  • 用户管理:管理用户账户
  • 服务目录:提供可用于服务的API端点,即提供具体的URL路径(具体的路径)

二、keystone管理对象

keystone管理对象的内容非常丰富

  • user:指使用Openstack service的用户
  • Project(Tenant):可以理解为一个人,或者服务所拥有的资源的集合
  • Role:用于划分权限。通过User指定Role,使User获得Role对应操作权限
  • Authentication:确定用户身份的过程
  • Token:是一个字符串表示,作为访问资源的令牌。Token包含了在指定范围和有效时间内,可以被访问的资源。
  • Credentials:用于确认用户身份的凭证。用户的用户名和密码,或者是用户吗和API密钥,或者身份管理服务提供的认证令牌
  • Service:Openstack service,即Openstack中运行的组件服务。如nova、swift、glance、neutron、cinder等
  • Endpoint:一个可以通过网络来访问和定位某个Openstack service的地址,通常是一个URL。

三、keystone认证流程

在这里插入图片描述

3.1 认证流程的分析

大前提:在用户创建虚拟机的时候

① 概述上来看

  1. keystone在创建虚拟的过程中,对用户及其他组件之间的交互进行认证
  2. keystone会颁发令牌并进行校验

② 从整体认证流程角度来看:

  1. 首先user会通过命令或horizon的方式进行登录(验证方式包括令牌、密钥等);
  2. keystone会想user发送credentials用于表示验证成功,同时向user发送一个Token(可以使用服务的权限范围和时间)和Endpoint(API地址或者具体的URL);
  3. user通过Token和Endpoint向nova的API发送申请创建虚拟机的请求;
  4. nova会向keystone认证user的Token是否可用;
  5. keystone认证成功;
  6. nova拿着user的Token和Image向glance提出需要镜像的请求;
  7. glance会拿着nova给的Token向keystone认证,是否可用;
  8. keystone认证成功;
  9. glance会给nova具体的Image本身;
  10. nova拿着user的Token令牌和network需求向neutron发出请求;
  11. neutron拿着nova给的Token去向keystone认证,是否可用;
  12. keystone认证成功;
  13. neutron会提供给nova的具体的网络服务本身;
  14. nova开始创建VM,创建成功后返回信息给user;
  15. user收到虚拟机创建成功的信息。

③ 从宏观角度来看

  1. user通过命令行或者账号密码登录成功;
  2. user向nova发出创建虚拟机的请求;
  3. nova向glance拉取Image资源;
  4. nova向neutron拉取network资源;
  5. nova创建虚拟机成功;
  6. nova返回user创建虚拟机成功的信息。

四、keystone部署流程

4.1 创建数据库实例和数据库用户

mysql -uroot -p123456
MariaDB [(none)]> create database keystone;
Query OK, 1 row affected (0.003 sec)

MariaDB [(none)]> GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'localhost' IDENTIFIED BY 'KEYSTONE_DBPASS';
Query OK, 0 rows affected (0.012 sec)

MariaDB [(none)]> GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'%' IDENTIFIED BY 'KEYSTONE_DBPASS';
Query OK, 0 rows affected (0.000 sec)

MariaDB [(none)]> flush privileges;
Query OK, 0 rows affected (0.007 sec)

MariaDB [(none)]> exit

4.2 安装、配置keystone、数据库、Apache

4.2.1 安装keystone、httpd、mod_wsgi

# yum安装服务

yum -y install openstack-keystone httpd mod_wsgi

其中mod_wsgi包的作用是让apache能够代理pythone程序的组件;openstack的各个组件,包括API都是用python写的,但访问的是apache,apache会把请求转发给python去处理,这些包只安装在controler节点

# 简化keystone.conf文件的内容,使其更加人性化
cp -a /etc/keystone/keystone.conf{,.bak}
grep -Ev "^$|#" /etc/keystone/keystone.conf.bak > /etc/keystone/keystone.conf

# 通过pymysql模块访问mysql,指定用户名密码、数据库的域名、数据库名
openstack-config --set /etc/keystone/keystone.conf database connection mysql+pymysql://keystone:KEYSTONE_DBPASS@ct/keystone

在这里插入图片描述

#指定token的提供者;提供者就是keystone自己本身
openstack-config --set /etc/keystone/keystone.conf token provider fernet	# 其中Fernet是一种安全的消息传递格式

在这里插入图片描述

4.2.2 初始化认证服务数据库

su -s /bin/sh -c "keystone-manage db_sync" keystone

4.2.3 初始化fernet 密钥存储库

以下命令会生成两个密钥,生成的密钥放于/etc/keystone/目录下,用于加密数据

 keystone-manage fernet_setup --keystone-user keystone --keystone-group keystone
 keystone-manage credential_setup --keystone-user keystone --keystone-group keystone

在这里插入图片描述

4.2.4 配置bootstrap身份认证服务

keystone-manage bootstrap --bootstrap-password ADMIN_PASS \
--bootstrap-admin-url http://ct:5000/v3/ \
--bootstrap-internal-url http://ct:5000/v3/ \
--bootstrap-public-url http://ct:5000/v3/ \
--bootstrap-region-id RegionOne
  • 此步骤是初始化openstack,会把openstack的admin用户的信息写入到mysql的user表中,以及url等其他信息写入到mysql的相关表中;
  • admin-url是管理网(如公有云内部openstack管理网络),用于管理虚拟机的扩容或删除;如果共有网络和管理网是一个网络,则当业务量大时,会造成无法通过openstack的控制端扩容虚拟机,所以需要一个管理网;
  • internal-url是内部网络,进行数据传输,如虚拟机访问存储和数据库、zookeeper等中间件,这个网络是不能被外网访问的,只能用于企业内部访问
  • public-url是共有网络,可以给用户访问的(如公有云) #但是此环境没有这些网络,则公用同一个网络
  • 5000端口是keystone提供认证的端口
  • 需要在haproxy服务器上添加一条listen
  • 各种网络的url需要指定controler节点的域名,一般是haproxy的vip的域名(高可用模式)

4.3 配置Apache HTTP服务器

echo "ServerName ct" >> /etc/httpd/conf/httpd.conf

4.4 创建配置文件

ln -s /usr/share/keystone/wsgi-keystone.conf /etc/httpd/conf.d/

安装完mod_wsgi包后,会生成 wsgi-keystone.conf 这个文件,文件中配置了虚拟主机及监听了5000端口,mod_wsgi就是python的网关

4.5 开启服务

[root@ct httpd]# systemctl enable httpd
Created symlink from /etc/systemd/system/multi-user.target.wants/httpd.service to /usr/lib/systemd/system/httpd.service.
[root@ct httpd]# systemctl start httpd

4.6 配置管理员账户的环境变量

作用:
这些环境变量用于创建角色和项目使用,但是创建角色和项目需要有认证信息,所以通过环境变量声明用户名和密码等认证信息,欺骗openstack已经登录且通过认证,这样就可以创建项目和角色;也就是把admin用户的验证信息通过声明环境变量的方式传递给openstack进行验证,实现针对openstack的非交互式操作

 cat >> ~/.bashrc << EOF
export OS_USERNAME=admin		# 控制台登陆用户名
export OS_PASSWORD=ADMIN_PASS	# 控制台登陆密码
export OS_PROJECT_NAME=admin
export OS_USER_DOMAIN_NAME=Default
export OS_PROJECT_DOMAIN_NAME=Default
export OS_AUTH_URL=http://ct:5000/v3
export OS_IDENTITY_API_VERSION=3
export OS_IMAGE_API_VERSION=2
EOF

source ~/.bashrc	# 加载环境变量

4.7 通过配置环境变量,可以使用openstack命令进行一些操作

① openstack user list

openstack user list
+----------------------------------+-------+
| ID                               | Name  |
+----------------------------------+-------+
| 4feab927b87c43c5898c8e2ae4f1b6a9 | admin |
+----------------------------------+-------+

② 创建OpenStack 域、项目、用户和角色

openstack project create --domain default --description "Service Project" service
+-------------+----------------------------------+
| Field       | Value                            |
+-------------+----------------------------------+
| description | Service Project                  |
| domain_id   | default                          |
| enabled     | True                             |
| id          | 86e5467007af4bc4940295f78fb6508a |
| is_domain   | False                            |
| name        | service                          |
| options     | {}                               |
| parent_id   | default                          |
| tags        | []                               |
+-------------+----------------------------------+

③ 创建角色(可使用openstack role list查看)

openstack role create user
+-------------+----------------------------------+
| Field       | Value                            |
+-------------+----------------------------------+
| description | None                             |
| domain_id   | None                             |
| id          | e1a93d56003f4c29b9f566c4d4882f61 |
| name        | user                             |
| options     | {}                               |
+-------------+----------------------------------+

④ 查看openstack 角色列表

openstack role list
+----------------------------------+--------+
| ID                               | Name   |
+----------------------------------+--------+
| bafe2ad827684f31929eb77e3e005eb5 | member |
| e1a93d56003f4c29b9f566c4d4882f61 | user   |
| eafcc0fedde442678df563c38fb5aba6 | reader |
| f19e800ca2f64065ba820870b6f529ca | admin  |
+----------------------------------+--------+
  • admin为管理员
  • member为 租户
  • user为用户

⑤ 验证认证服务

即查看是否可以不指定密码就可以获取到token信息

openstack token issue
+------------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| Field      | Value                                                                                                                                                                                   	|
+------------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| expires    | 2021-01-31T15:00:06+0000                                                                                                                                                                |
| id         | 	gAAAAABgFrfmZgt2Qlsb1Nw6PncDIB1r7NlgUMo4xVGGmnArDdctDa6spDzG3eSN-E_BzECE7D3wOGWpfWBNorOHJ1Y-oQyQgLAiLwTEVOGxxgdtTnJSA9HTVoYtXeUMoWkkf-NfJ6SDztzpfuUZgVT8X3RreKQBgCcpH6vmqBYo0Zj9DvMdDP8 |
| project_id | d37379ecf6af49e9a2f6069000496e32                                                                                                                                                        	|
| user_id    | 4feab927b87c43c5898c8e2ae4f1b6a9                                                                                                                                                        |
+------------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+

五、小结

Keystone 组件是作为OpenStack 集群中统一认证、授权的模块,其核心功能就是针对于User(用户)、Tenant(租户)、Role(角色)、Token(令牌/凭证)的控制(手工编译部署即围绕此功能展开的)

  • User:使用 openstack 的用户。
  • Tenant:租户,可以理解为一个人、项目或者组织拥有的资源的合集。在一个租户中可以拥有很多个用户,这些用户可以根据权限的划分使用租户中的资源。
  • Role:角色,用于分配操作的权限。角色可以被指定给用户,使得该用户获得角色对应的操作权限。
  • Token:指的是一串比特值或者字符串,用来作为访问资源的记号。Token 中含有可访问资源的范围和有效时间,token 是用户的一种凭证,需要使用正确的用户名和密码向 Keystone 服务申请才能得到 token。
ZhulongQ
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
OpenStackkeystone身份认证服务
yemu880的博客
08-29 5444
keystone概述 概念 Keystone (OpenStack ldentity Service)是OpenStack中的一个独立的提供安全认证的模块,主要负责openstack用户的身份认证、令牌管理、提供访问资源的服务目录、以及基于用户角色的访问控制。 Keystone类似一个服务总线,或者说是整个Openstack框架的注册表,其他服务通过keystone来注册其服务的Endpoint(服务访问的URL),任何服务之间相互的调用,需要经过Keystone身份验证,来获得目标服务的Endpoi
OpenStackkeystone
weixin_45039547的博客
11-03 1526
keystone的功能及认证流程
openstack-Keystone身份认证服务
云计算
02-19 1370
openstack-Keystone身份认证服务Keystone概念主要功能Keystone的管理对象Keystone工作流程keystone访问流程 Keystone概念 Keystone (OpenStack Identity Service)是OpenStack中的一个独立的提供安全认证的模块,主要负责openstack用户的身份认证、令牌管理、提供访问资源的服务目录、以及基于用户角色的访问控制。 Keystone类似一个服务总线,或者说是整 个Openstack框架的注册表,其他服务通过keysto
OpenStackkeystone(用户认证)
weixin_42795092的博客
03-09 2151
1)管理用户及其权限2)维护OpenStack Services 的 Endpoint3)Authentication(认证)和 Authorization(授权)keystone的名词概念。
OpenStack8大核心服务精讲—— Keystone身份认证服务
Houtieyu的博客
12-24 1088
文章目录一:Keystone概念二:Keystone 主要功能三:Keystone的管理对象四:Keystone工作流程 一:Keystone概念 Keystone (OpenStack Identity Service)是OpenStack中的一个独立的提供安全认证的模块,主要负责openstack用户的身份认证、令牌管理、提供访问资源的服务目录、以及基于用户角色的访问控制。 Keystone类似一个服务总线,或者说是整 个Openstack框架的注册表,其他服务通过keystone来注册其服务
玩转企业云计算平台系列(三):Openstack 身份认证服务 Keystone
民工哥的博客
12-27 179
点击下方名片,设为星标!回复“1024”获取2TB学习资源!前面介绍了 Openstack 入门、基础环境部署等相关的知识点,今天我将详细的为大家介绍 Openstack 身份认证服务 Keystone相关知识,希望大家能够从中收获多多!如有帮助,请点在看、转发分享朋友圈支持一波!!!Keystone概念Keystone (OpenStack Identity Service)是OpenStack...
openstack keystone运维基础命令
WWNY666的博客
03-22 466
查看当前openstack系统中所有的端点地址信息查询。查看当前openstack 系统中的某一个用户信息。查看当前openstack 系统中的所有项目信息。创建alice用户 密码为123456。查看openstack 中系统的用户列表。查看某一个角色列表的详细信息。根据创建的角色进行用户绑定。最后利用--help查看文档。执行环境变量脚本进行授权。
安装openstack身份认证服务keystone
Young, Simple, Naive
11-08 650
前面用vagrant和virtualbox配置了一个虚拟机controller并且使用vagrant ssh controller登陆到controller(参考步骤),下面我们在controller中安装身份认证服务keystone #1 更新源 在/etc/apt/sources.list.d目录下新建grizzly.list 在其中写入如下内容 deb http://ubuntu-cloud...
OpenStack(T版)——身份认证(Keystone)服务介绍与安装
不知道
06-26 3320
OpenStack(T版)——身份认证(Keystone)服务介绍与安装
OpenStack——认证服务Keystone
01-27
KeystoneOpenStackIdentityService)是OpenStack框架中,负责身份验证、服务规则和服务令牌的功能, 它实现了OpenStack的IdentityAPI。Keystone类似一个服务总线,或者说是整个Openstack框架的注册表, 其他服务...
OpenStack Keystone的基本概念详细介绍
01-20
Keystone类似一个服务总线, 或者说是整个Openstack框架的注册表, 其他服务通过keystone来注册其服务的Endpoint(服务访问的URL),任何服务之间相互的调用, 需要经过Keystone身份验证, 来获得目标服务的...
rabbitmq-auth-backend-keystone:允许 RabbitMQ 使用 OpenStack Keystone 身份服务执行用户身份验证的插件
07-13
rabbitmq-auth-backend-keystone #Overview 该插件为 RabbitMQ 代理提供了使用 OpenStack Keystone 身份服务执行身份验证(确定谁可以登录)的能力。 授权(确定用户有什么权限)目前仍由RabbitMQ内部授权机制管理,...
openstack keystone 命令详细.docx
01-02
OpenStack KeystoneOpenStack 中的核心服务,主要负责身份管理和授权。它提供了认证服务目录、令牌管理和租户管理等核心功能。在使用 Keystone 的命令行工具时,了解和掌握相关命令是十分重要的。 1. 用户...
云计算|OpenStack|使用VMware安装华为云的R006版CNA和VRM---初步使用(二)
zsk_john的技术分享专用博客
08-13 2526
​ 在前面一篇文章云计算|OpenStack|使用VMware安装华为云的R006版CNA和VRM---初始安装(一)_华为cna_晚风_END的博客-CSDN博客 介绍了基于VMware虚拟机里嵌套部署华为云的云计算,不过仅仅是做到了在VRM的web界面添加计算节点CNA,后续的存储和网络创建并没有介绍,虚拟机的创建也没有,本文将补全这些内容。 ​
pillow_heif-0.17.0-pp39-pypy39_pp73-macosx_14_0_arm64.whl
07-27
基本介绍 名称与起源:Pillow,原名为PIL(Python Imaging Library),但PIL只支持Python 2版本。随着Python 3的普及,Pillow作为PIL的一个分支出现,兼容Python 3并提供更多的功能和改进。 主要功能:Pillow支持多种图像格式的打开、保存、显示以及基本的图像操作和处理,如裁剪、缩放、旋转、翻转、滤镜应用等。 跨平台性:Pillow库可以在不同的操作系统上运行,包括Windows、Linux和MacOS等。 主要功能模块 Pillow库包含多个功能模块,每个模块都提供了特定的图像处理功能。以下是一些常用的模块: Image:用于处理图像文件,提供打开、保存、调整大小、旋转、裁剪、滤镜等功能。 ImageDraw:提供在图像上绘制各种形状(如线条、矩形、圆形)和文本的功能。 ImageFont:用于加载和使用TrueType字体文件,以便在图像上绘制文本时设置字体样式、大小和颜色。 ImageFilter:提供各种滤镜效果,如模糊、锐化、边缘增强等,用于图像增强、特效处理和图像识别等应用。 ImageEnhance:用于调整图像的亮度、对比度、颜色饱和度等参数,使图像更加清晰、明亮或具有特定的调色效果。 高级功能 除了基本的图像处理功能外,Pillow还支持一些高级功能,如色彩空间转换、直方图均衡化等。这些功能可以帮助用户进行更复杂的图像处理和分析。
cykooz.resizer-3.0.0-cp310-cp310-macosx_11_0_arm64.whl
07-27
python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决!
[毕设]Delphi题库管理与试卷自动生成系统.zip
最新发布
07-27
[毕设]Delphi题库管理与试卷自动生成系统
131 种水果、蔬菜和坚果的 90380张的高质量图像数据集+图像识别与定位+该数据集相关的研究论文
07-27
<项目介绍> 包含131 种水果、蔬菜和坚果的 90380张的高质量图像数据集+该数据集相关的研究论文。可供深度学习图像识别与定位。 - 训练集大小:67700 个图像 测试集大小:22888 个图像 文件名格式:image_index_100.jpg(例如 32_100.jpg)或 r_image_index_100.jpg(例如 r_32_100.jpg)或 r2_image_index_100.jpg 或 r3_image_index_100.jpg。 “r”代表旋转水果。 “r2”表示水果绕第三轴旋转。 “100”来自图像尺寸(100x100 像素)。 水果是如何拍摄的: 1:使用 C920 摄像机拍摄水果。最好的网络摄像头之一。 2:在水果后面,我们放了一张白纸作为背景。 3:将水果和蔬菜种植在低速电机(3转/分钟)的轴中,并录制一段20秒的短片。 下载后请首先打开README.md文件(如有),仅供学习参考, 切勿用于商业用途。 --------
OpenStack Keystone身份验证的四大Token演变与优化
OpenStack-KeystoneOpenStack项目中的关键组件,主要负责提供身份认证服务,确保用户安全地访问OpenStack的各种服务。它通过生成和管理token来实现这一功能,token在OpenStack架构中扮演着至关重要的角色,它是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值