OpenStack服务组件01--keystone

最新推荐文章于 2023-06-14 15:09:32 发布
最新推荐文章于 2023-06-14 15:09:32 发布
阅读量429 收藏 3
点赞数
分类专栏: 云计算 文章标签: openstack
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_55905026/article/details/119901089
版权

OpenStack服务组件01--keystone

Keyston身份服务

keystone(OpenStack Identity Service)时OpenStack中的一个独立的提供安全认证的模块,主要辅助openstack用户的身份认证、令牌管理、提供访问资源的服务目录、以及基于用户角色的访问控制

Keyston身份服务简介

1、主要功能:

  • 身份认证:对用户进行身份认证,并对应权限范围
  • 用户授权(令牌管理权限):以token令牌的方式标识用户对应拥有的权限范围
  • 用户管理(寻址功能):提供用户访问资源的寻址功能(URL)
  • 服务目录:所有服务的交互/调用,均需要keyston进行认证

2、管理对象

  • User:指使用Openstack service的用户,nova glance(跑在OpenStack里面,是需要一个用户进行管理的)
  • Project(Tenant):可以理解为一个人或服务所拥有的资源集合
  • Role:用于划分权限,通过给User指定Role, 使User获得Role对应操作权限
  • Authentication:确定用户身份的过程
  • Token:是一个字符串表示,作为访问资源的令牌。Token包含了在指定范围和有效时间内可以被访问的资源
  • Credentials:用于确认用户身份的凭证,用户的用户名和密码,或者是用户名和API密钥,或者身份管理服务提供的认证令牌。
  • Service Openstack service, 即Openstack中运行的组件服务。如nova、swift、glance、 neutron、 cinder等
  • Endpoint:一个可以通过网络来访问和定位某个Openstack service的地址,通常是一个URL(即apache的api (位置点))

3、keystone认证过程

  • 1.user 登陆(keystone 认证)
  • 2.user 进入控制台/命令行界面(位置点)
    -3.user 发起创建虚拟的请求(向keystone认证指引位置点)
  • 4.请求到达nova组件(向keystone认证 )
  • 5.nova会开始执行请求,并且调用创建实例所需要的glance、neutron等资源(向keystone
    认证,指引对应服务的位置点)
  • 6.glance和neutron 服务收到请求后(向keystone认证)才会给与nova对应的资源
  • 7.nova 拿到资源后,调用对应资源,创建实例,最后将创建结果返回给用户(成功/ 失败/ 原因)

Keystone身份服务组件安装

1、创建数据库实例和数据库用户

[root@ct etcd]# mysql -uroot -p
Enter password:		//123456
MariaDB [(none)]> show databases;	//查看所有库
+--------------------+
| Database           |
+--------------------+
| information_schema |
| mysql              |
| performance_schema |
+--------------------+
3 rows in set (0.00 sec)

//创建keystone库
MariaDB [(none)]> create database keystone;
Query OK, 1 row affected (0.00 sec)

//给keystone用户提权(keystone库的所有权限)
MariaDB [(none)]> grant all privileges on keystone.* to 'keystone'@'localhost' identified by 'KEYSTONE_DBPASS';
Query OK, 0 rows affected (0.00 sec)

MariaDB [(none)]> grant all privileges on keystone.* to 'keystone'@'%' identified by 'keystone_dbpass';
Query OK, 0 rows affected (0.00 sec)

//刷新权限表,立即生效
MariaDB [(none)]> flush privileges;
Query OK, 0 rows affected (0.00 sec)

//查看keystone用户的权限
MariaDB [(none)]> show grants for keystone;
+---------------------------------------------------------------------------------------------------------+
| Grants for keystone@%                                                                                   |
+---------------------------------------------------------------------------------------------------------+
| GRANT USAGE ON *.* TO 'keystone'@'%' IDENTIFIED BY PASSWORD '*FF724598B678F31550B345B58190004400A7665A' |
| GRANT ALL PRIVILEGES ON `keystone`.* TO 'keystone'@'%'                                                  |
+---------------------------------------------------------------------------------------------------------+
2 rows in set (0.00 sec)

2.安装、配置keystone、数据库、Apache

1.安装keystone、apache

mod_wsgi包的作用是让apache能够代理python程序的组件;openstack的各个组件,包括API都是用python写的,但访问的是apache,apache会把请求转发给python去处理,这些包只安装在controler节点

[root@ct ~]# yum -y install openstack-keystone httpd mod_wsgi
2.配置keystone
//将配置文件备份
[root@ct etcd]# cd /etc/keystone/
[root@ct keystone]# cp -a keystone.conf{,.bak}

//过滤出不以$或#开头的行并覆盖配置文件文件
[root@ct ~]# grep -Ev "^$|#" /etc/keystone/keystone.conf.bak > /etc/keystone/keystone.conf

//通过pymysql模块连接mysql。指定用户名密码、数据库的域名、数据库名
[root@ct ~]# openstack-config --set /etc/keystone/keystone.conf database connection   mysql+pymysql://keystone:KEYSTONE_DBPASS@ct/keystone

//指定token的提供者;提供者就是keystone自己本身
[root@ct ~]# openstack-config --set /etc/keystone/keystone.conf token provider fernet    //Fernet:一种安全的消息传递格式
3.初始化数据库
//使用keystone的身份切换环境来执行操作
[root@ct ~]# su -s /bin/sh -c "keystone-manage db_sync" keystone

[root@ct keystone]# mysql -uroot -p
Enter password:
MariaDB [(none)]> use keystone
MariaDB [keystone]> show tables

在这里插入图片描述

4.初始化fernet密钥存储库

以下命令会生成两个密钥,生成的密钥放于/etc/keystone/目录下,用于加密数据

[root@ct ~]# keystone-manage fernet_setup --keystone-user keystone --keystone-group keystone   //生成密钥文件
[root@ct ~]# keystone-manage credential_setup --keystone-user keystone --keystone-group keystone    //生成凭证文件
[root@ct ~]# ls /etc/keystone/
credential-keys            fernet-keys    keystone.conf.bak  policy.json
default_catalog.templates  keystone.conf  logging.conf       sso_callback_template.html
5.配置bootstrap身份认证服务

初始化openstack,会把openstack的admin用户的信息写入到mysql的user表中,以及url等其他信息写入到mysql的相关表中

[root@ct ~]# keystone-manage bootstrap --bootstrap-password ADMIN_PASS \
> --bootstrap-admin-url http://ct:5000/v3/ \
> --bootstrap-internal-url http://ct:5000/v3/ \
> --bootstrap-public-url http://ct:5000/v3/ \
> --bootstrap-region-id RegionOne

此步骤是:初始化openstack,会把openstack的admin用户的信息写入到mysql的user表中,以及url等其他信息写入到mysql的相关表中;

  • admin-url:是管理网(如公有云内部openstack管理网络),用于管理虚拟机的扩容或删除;如果共有网络和管理网是一个网络,则当业务量大时,会造成无法通过openstack的控制端扩容虚拟机,所以需要一个管理网;
  • internal-url:是内部网络,进行数据传输,如虚拟机访问存储和数据库、zookeeper等中间件,这个网络是不能被外网访问的,只能用于企业内部访问
  • public-url:是共有网络,可以给用户访问的(如公有云) #但是此环境没有这些网络,则公用同一个网络
    5000端口:是keystone提供认证的端口

以下部分指的是openstack多节点的配置
#需要在haproxy服务器上添加一条listen
#各种网络的url需要指定controler节点的域名,一般是haproxy的vip的域名(高可用模式)

6.配置apache服务器
[root@ct ~]# echo "ServerName controller" >> /etc/httpd/conf/httpd.conf

//让apache调用wsgi
[root@ct ~]# ln -s /usr/share/keystone/wsgi-keystone.conf /etc/httpd/conf.d/

//开机启动
[root@ct ~]# systemctl enable httpd
Created symlink from /etc/systemd/system/multi-user.target.wants/httpd.service to /usr/lib/systemd/system/httpd.service.

//启动httpd
[root@ct ~]# systemctl start httpd

[root@ct ~]# netstat -antp | grep 80
tcp        0      0 192.168.220.111:2380    0.0.0.0:*               LISTEN      30639/etcd          
tcp        0      0 127.0.0.1:4369          127.0.0.1:39149         ESTABLISHED 28094/epmd          
tcp6       0      0 :::80                   :::*                    LISTEN      33577/httpd
7.配置管理员账户的环境变量
[root@ct ~]# vi ~/.bashrc
//添加以下内容
export OS_USERNAME=admin 
export OS_PASSWORD=ADMIN_PASS 
export OS_PROJECT_NAME=admin
export OS_USER_DOMAIN_NAME=Default
export OS_PROJECT_DOMAIN_NAME=Default
export OS_AUTH_URL=http://ct:5000/v3
export OS_IDENTITY_API_VERSION=3
export OS_IMAGE_API_VERSION=2
[root@ct ~]# source ~/.bashrc
8.查看当前所有用户列表
[root@ct ~]# openstack user list
+----------------------------------+-------+
| ID                               | Name  |
+----------------------------------+-------+
| 072f869badb6499b9601860d4e5a8a71 | admin |
+----------------------------------+-------+

3、创建OpenStack 域、项目、用户和角色

1.创建一个项目
[root@ct ~]# openstack project create --domain default --description "Service Project" service
+-------------+----------------------------------+
| Field       | Value                            |
+-------------+----------------------------------+
| description | Service Project                  |
| domain_id   | default                          |
| enabled     | True                             |
| id          | ed87dde26909437d950f7f92be4ba3cc |
| is_domain   | False                            |
| name        | service                          |
| options     | {}                               |
| parent_id   | default                          |
| tags        | []                               |
+-------------+----------------------------------+

//查看指定域
[root@ct ~]# openstack domain list
+---------+---------+---------+--------------------+
| ID      | Name    | Enabled | Description        |
+---------+---------+---------+--------------------+
| default | Default | True    | The default domain |
+---------+---------+---------+--------------------+
2.创建角色
[root@ct ~]# openstack role create user
+-------------+----------------------------------+
| Field       | Value                            |
+-------------+----------------------------------+
| description | None                             |
| domain_id   | None                             |
| id          | 1e2d55ce128141a4afd9a1fa2b65616e |
| name        | user                             |
| options     | {}                               |
+-------------+----------------------------------+

//查看角色列表
[root@ct ~]# openstack role list
+----------------------------------+--------+
| ID                               | Name   |
+----------------------------------+--------+
| 1e2d55ce128141a4afd9a1fa2b65616e | user   |
| 481aa0aef123453b9c63f349fb0106bd | reader |
| 762205a4dc6d4033b7dab988f4282333 | member |
| 895052be419a488f839f7b8ef70580b0 | admin  |
+----------------------------------+--------+
//admin为管理员,member:租户,user:用户
3.验证认证服务

查看是否可以不指定密码就可以获取到token信息(验证认证服务)

[root@ct ~]# openstack token issue
+------------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| Field      | Value                                                                                                                                                                                   |
+------------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| expires    | 2021-08-24T17:41:24+0000                                                                                                                                                                |
| id         | gAAAAABhJSE0FjnwrYvU4DwkJPrye4wEAeiEiZQ-GcF78A1wma4U9cGsQDpgFhPUhb7uDvDYPgJVHpXvkats1vO4V90OxpIC7YThQlS-qgI6vT3U2Wa-zDp4ZYPqBdcAzLyKMyC99gsUOvCyFyydpGzKZKvry9mJ7e0pbemowoohaiudwOXH3po |
| project_id | e09212b45eee4b0a91281c7c306cebe6                                                                                                                                                        |
| user_id    | 072f869badb6499b9601860d4e5a8a71                                                                                                                                                        |
+------------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
XuZoVv
关注
专栏目录
openstack------keystone安装部署
IvyXYW的博客
03-10 694
OpenStack-Keystone组件部署注意事项一、创建数据库实例和数据库用户二、安装、配置keystone、数据库、Apache2.1安装keystone、httpd、mod_wsgi初始化认证服务数据库初始化fernet 密钥存储库配置bootstrap身份认证服务配置Apache HTTP服务器创建配置文开启服务配置管理员账户的环境变量三、创建OpenStack 域、项目、用户和角色创建一个项目(project)创建角色查看openstack 角色列表查看是否可以不指定密码就可以获取到token
Openstack组件---KeyStone(1)
f791473571的博客
07-10 227
KEYSTONE架构图 KeystoneOpenStack用于身份验证 和高级授权的身份服务。它目前支持基于令牌的和用户服务授权。 基础概念 概念 解释 User User 指代任何使用 OpenStack 的实体,可以是真正的用户,其他系统或者服务。当 User 请求访问 OpenStack 时,Keystone 会对其进行验证。 Tenant(Project) Project 用于将 OpenStack 的资源(计算、存储和网络)进行分组和隔离。在企业私有云中,Project
末学者笔记--OpenStack(5): keystone身份认证服务
a578231963的博客
07-05 409
一、Keystone介绍: keystoneOpenStack组件之一,用于为OpenStack家族中的其它组件成员提供统一的认证服务,包括身份验证、令牌的发放和校验、服务列表、用户权限的定义等等。云环境中所有的服务之间的授权和认证都需要经过 key...
OpenStack——Keystone
weixin_51615030的博客
03-12 1811
OpenStack——Keystone一、keystone身份服务二、keystone的主要功能三、keystone的相关概念四、keystone部署步骤1、创建数据库实例和数据库用户2、安装、配置keystone、数据库、Apache①安装keystone包②初始化认证服务数据库③初始化fernet秘钥存储库④配置bootstrap身份认证服务⑤配置Apache服务器⑥创建配置文⑦配置管理员账户的环境变量⑧创建OpenStack域、项目、用户和角色⑨创建角色(可使用openstack role l.
openstack核心组件-keystone-身份验证服务
PpikachuP的博客
04-09 1305
keystoneOpenStack组件之一,用于为OpenStack家族中的其它组件成员提供统一的认证服务,包括身份验证、令牌的发放和校验、服务列表、用户权限的定义等等。云环境中所有的服务之间的授权和认证都需要经过 keystone. 因此 keystone 是云平台中第一个即需要安装的服务。 作为 OpenStack 的基础支持服务Keystone 做下面这几事情: -管理用户及其权限...
OpenStack平台的搭建(3)------KeyStone服务的搭建
往事流年的博客
04-11 581
Mysql数据库安装成功后开始安装keystone身份验证服务 备份keystone的主配置文,并在配置文中指定数据库的位置 使用 keystone 用户和密码创建数据库和表 Keystone服务器配置完成后进行相应的身份验证服务器的配置 随机生成admin的管理令牌 把令牌信息写入用户的环境变量,保证令牌信息不丢失,方便后面调用 echo "export ADMI...
OpenStack T版服务组件--Glance
LX199707的博客
08-28 603
一,Glance 介绍 1.什么是Glance glance即image service(镜像服务),是为虚拟机的创建提供镜像服务 2. Glance服务组成 1 Image Service的功能是管理Image,让用户能够发现、获取和保存Image。 2 在Openstack中,提供Image Servce的是Glance,其具体功能如下: 提供REST API让用户能够查询和获取image的元数据和image本身。 支持多种方式存储image,包括普通的文系统,Swift、Amazon S3等。 对I
Openstack组件---KeyStone(2)
f791473571的博客
07-10 434
keystone的四种Token token 是用户的一种凭证,需拿正确的用户名/密码向 Keystone 申请才能得到。如果用户每次都采用用户名/密码访问 OpenStack API,容易泄露用户信息,带来安全隐患。所以 OpenStack 要求用户访问其 API 前,必须先获取 token,然后用 token 作为用户凭据访问 OpenStack API。 Token类型 由来 UUID D 版本时,仅有 UUID 类型的 Token,UUID token 简单易用,却容易给 Keyst
OpenStack-Keystone组件部署-----T版
m0_50854537的博客
02-05 1817
文章目录一、部署须知1.1、OpenStack组件安装顺序1.2、管理端与客户端二、Keystone组件部署流程2.1、创建数据库实例和数据库用户2.2、安装、配置keystone、数据库、Apache2.2.1、安装keystone、httpd、mod_wsgi2.2.2、初始化认证服务数据库2.2.3、初始化fernet 密钥存储库2.2.4、配置bootstrap身份认证服务2.2.5、配置Apache HTTP服务器2.2.6、创建配置文2.2.7、开启服务2.2.8、配置管理员账户的环境变量2.
OpenStack------nova组件部署
IvyXYW的博客
03-17 326
OpenStack------nova组件部署一、nova组件部署位置二、计算节点Nova服务配置查看各个组件的 api 是否正常查看是否能够拿到镜像查看cell的api和placement的api是否正常,只要其中一个有误,后期无法创建虚拟机小结 一、nova组件部署位置 控制节点ct 服务 名称 ​nova-api nova主服务 ​nova-scheduler nova调度服务 ​nova-condutor nova数据库服务,提供数据库访问 ​nova-novncprox
OpenStack Keystone架构一:Keystone基础
weixin_33670786的博客
03-02 237
一 什么是keystonekeystoneOpenStack的身份服务,暂且可以理解为一个'与权限有关'的组件。二 为何要有keystoneKeystone项目的主要目的是为访问openstack的各个组件(nova,cinder,glance...)提供一个统一的验证方式,具体的:openstack是由众多组件构成的一套系统,该系统的功能是对外提供服务,因而我们可以将其定...
OpenStack KeyStone
lizhuohang_的博客
12-05 550
OpenStack KeyStone查表 2021SC@SDUSC 一.KeyStoneOpenStack 项目中的KeyStone身份认证服务组件提供了认证,授权和目录的服务,其他OpenStack项目中的服务组件都需要使用它,彼此之间相互协作。当一个OpenStack服务组件收到用户的请求时,首先要交给KeyStone身份认证服务组件是唯一可以提供身份认证的服务组件组件构成 Server :使用一个程序接口提供认证和授权服务。 Drivers:集成到服务器中,用作OpenStack项目
openstack--keystone
Fiest snow的博客
06-03 222
简述及概念 keystoneOpenStack组件之一,用于OpenStack家族中的其他组件成员提供统一的认证服务 所有的服务之间的授权和认证都需要经过keystone 因此是云平台中第一个需要安装的服务 概念 作为OpenStack的基础支持服务keystone坐下面这几事 1、管理用户及其权限 2、维护OpenStack services的endpoint 3、authentication(认证)和authorization(鉴定) 学习keystone 得理解下面的个概念 user
openstack详解(七)——Keystone介绍
永远是少年
06-02 2087
今天继续给大家介绍Linux运维相关知识,本文主要内容是openstack Keystone介绍。 一、Keystone作用 二、用户认证介绍 三、服务目录介绍
2.部署Keystone服务
阿澈不吃蒜的博客
06-14 1181
OpenStack的框架体系中Keystone的作用类似于一个服务总线,为OpenStack提供身份管理服务,包括用户认证,服务认证和口令认证,其他服务通过Keystone来注册服务的Endpoint(端点),针对服务的任何调动都要通过Keystone的身份认证,并获得Endpoint(端点)来进行访问。keystone组件是第一个要安装的组件,其他组件之间通信都是需要通过keystone进行认证;然后,glance组件负责镜像管理,启动实例时提供镜像服务,可存储各个不同操作系统的镜像;
OpenStackkeystone(身份认证服务
yemu880的博客
08-29 5486
keystone概述 概念 Keystone (OpenStack ldentity Service)是OpenStack中的一个独立的提供安全认证的模块,主要负责openstack用户的身份认证、令牌管理、提供访问资源的服务目录、以及基于用户角色的访问控制。 Keystone类似一个服务总线,或者说是整个Openstack框架的注册表,其他服务通过keystone来注册其服务的Endpoint(服务访问的URL),任何服务之间相互的调用,需要经过Keystone的身份验证,来获得目标服务的Endpoi
OpenStack 的主要组件
QiZhuoWoNiuLiuLang的博客
10-29 1367
一 三大核心组件 Nova:computer Neutron:Networking Swift:Storage 二 Openstack Computer(Nova) 1 Nova是云计算环境的主要控制器,主要采用Python语言编写。 2 使用目前成熟的虚拟化技术(KVM、XenServer)来管理和自动化计算资源池的操作。 3 OpenStack只是作为一个平台存在,并不充当计算资源的提供者和资源的消费者。 三 Openstack object Storage(Swift) 1 Swift是OpenS
OpenStack —— Keystone基本原理及部署
Ghostpant的博客
12-14 860
Keystone简介Keystone的功能Keystone基本概念UserProjectTokenRoleServiceEndpointCredentialsAuthentication 简介 keystoneOpenStack组件之一,用于为OpenStack家族中的其它组件成员提供统一的认证服务,包括身份验证、令牌的发放和校验、服务列表、用户权限的定义等等。云环境中所有的服务之间的授权和认证都需要经过 keystone. 因此 keystone 是云平台中第一个即需要安装的服务Keystone
Openstack中的keystone服务的相关理解
Mars--的博客
05-27 4368
Keystone主要功能:管理用户及其权限;维护openstack service的endpoint;Authentication(认证)和Authorization(授权)。 在keystone服务中涉及到三个组件:Server、Drivers和Modules。 Serve组件:提供一个RESTful的接口,接收用户的请求并对其进行认证以及授权。 Drivers组件:主要从后端存储获取...
OpenStack----swift 块存储服务理论部分
最新发布
06-12
OpenStack Swift 是一个开源的分布式对象存储系统,它是 OpenStack 项目中的一部分,用于提供大规模、冗余且高可用的存储服务。Swift 的设计目标是作为云存储平台的核心组件,支持在线备份、文共享和大规模数据...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值