keystone代码概要分析及服务并行化

最新推荐文章于 2024-04-02 18:41:34 发布
最新推荐文章于 2024-04-02 18:41:34 发布
阅读量2.1k 收藏 1
点赞数
分类专栏: openstack 文章标签: keystone
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weiyuanke/article/details/23789309
版权

openstack采用了token认证的机制,各api的调用都会涉及到token的验证问题,使得keystone成为一个性能的瓶颈,如下图所示:

1353889977_8355

 

token的验证环节包括:验证请求中包含的token是否有效、过期,该token对应的用户组和用户id,对应的授权服务访问地址等;

 

性能瓶颈的解决-1:

由于openstack中的各api都是wsgi服务,并且都用到了keystoneclient提供的一个中间件(wsgi filter)auth_token,对应的文件位于:keystoneclient/middleware/auth_token.py。该中间件采用memcache来缓存token的相关信息到本地,从而减少各服务对keystone的直接访问,不过默认情况下缓存并未启用。为此,添加如下配置到nova.conf、cinder.conf,... ...

[keystone_authtoken]
auth_uri = http://keystone_server:5000/
auth_host = keystone_server
auth_port = 35357
auth_protocol = http
admin_tenant_name = service
admin_user = nova
admin_password = password
memcache_servers = 127.0.0.1:11211
token_cache_time = 3600 #token本地缓存的失效时间设置为1个小时。
cache = true

auth_token中间件中,token认证的相关代码片段如下:

        try:
            token_id = cms.cms_hash_token(user_token)
            cached = self._cache_get(token_id)
            if cached:
                return cached
            if cms.is_ans1_token(user_token):
                verified = self.verify_signed_token(user_token)
                data = json.loads(verified)
            else:
                data = self.verify_uuid_token(user_token, retry)
            self._cache_put(token_id, data)
            return data
        except Exception as e:
            self.LOG.debug('Token validation failure.', exc_info=True)
            self._cache_store_invalid(user_token)
            self.LOG.warn("Authorization failed for token %s", user_token)
            raise InvalidUserToken('Token authorization failed')

 

性能瓶颈的解决-2: (keystone的并行化)

当前的keystone实现中并没有采用并行化的机制,keystone-all运行时分别发起两个进程、绑定到两个socket上,分别处理5000和35357端口上的请求。

    #管理端口请求的处理
    servers.append(create_server(CONF.config_file[0],
                                 'admin',
                                 CONF.bind_host,
                                 int(CONF.admin_port)))
    #业务端口请求的处理
    servers.append(create_server(CONF.config_file[0],
                                 'main',
                                 CONF.bind_host,
                                 int(CONF.public_port)))

def serve(*servers):
    signal.signal(signal.SIGINT, sigint_handler)
    #
    for server in servers:
        server.start()

keystone并行化的patch如下:

https://github.com/peterfeiner/keystone/commit/workers-for-grizzly.patch

大概的修改如下:

(1)引入了多线程下共享的socket

(2)根据配置选项works的大小,发起多个进程处理api的请求

 

代码修改之后,还需对keystone的配置做适当更新:

keystone默认的token存储后端为基于内存的k-v,范围在一个进程的空间内。并行化之后,多个进程需共享访问token的存储后端,这里采用memcache。

修改keystone.conf,并安装memcache服务

[token]
# driver = keystone.token.backends.memcache.Token

 

测试数据(很粗略的对比)

并行化之前,并发访问keystone以认证token,结果为6.65个请求每秒。

并行化之后为13个请求每秒

系统资源如下:

Untitled

over

韦远科
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
OpenStack——认证服务Keystone
02-24
Keystone类似一个服务总线,或者说是整个Openstack框架的注册表,其他服务通过keystone来注册其服务的Endpoint(服务访问的URL),任何服务之间相互的调用,需要经过Keystone的身份验证,来获得目标服务的Endpoint来...
OpenStack keystone详解及调优
Nicholas的专栏
11-28 5988
Keystone基本概念介绍 User User即用户,他们代表可以通过keystone进行访问的人或程序。Users通过认证信息(credentials,如密码、API Keys等)进行验证。 Tenant Tenant即租户,它是各个服务中的一些可以访问的资源集合。例如,在Nova中一个tenant可以是一些机器,在Swift和Glance中一个tenant可以是一些镜
GZ075 云计算应用赛题第10套
weixin_43454620的博客
01-16 1125
​ 2023年全国职业院校技能大赛(高职组) “云计算应用”赛项赛卷10 某企业根据自身业务需求,实施数字转型,规划和建设数字平台,平台聚焦“DevOps开发运维一体”和“数据驱动产品开发”,拟采用开源OpenStack搭建企业内部私有云平台,开源Kubernetes搭建云原生服务平台,选择国内主流公有云平台服务,基于数字平台底座,面向业务开发边缘计算云应用产品。 拟将该任务交给工程师A与B,分工协助完成云平台服务部署、云应用开发、云系统运维等任务,系统架构如图1所示,IP地址规划如表1所示。
2023年全国职业院校技能大赛(高职组)“云计算应用”赛项赛卷10
m0_72536055的博客
08-10 1152
某企业根据自身业务需求,实施数字转型,规划和建设数字平台,平台聚焦“DevOps开发运维一体”和“数据驱动产品开发”,拟采用开源OpenStack搭建企业内部私有云平台,开源Kubernetes搭建云原生服务平台,选择国内主流公有云平台服务,基于数字平台底座,面向业务开发边缘计算云应用产品。企业选择国内公有云提供商,选择云主机、云网络、云硬盘、云防火墙、负载均衡等服务,可创建Web服务,共享文件存储服务,数据库服务,数据库集群等服务。(并设置服务开机自启。
openstack kilo keystone token问题及性能优
流金岁月的专栏
06-10 4124
1. 将token存放至memcached 由于token在每次访问都会产生,默认有效期是24小时,增长速度非常快,token表数据越来越多,很可能一天就产生几百MB的数据。这种情况下,可以考虑写个定时脚本清理token表。更好的方法是将token放到memcaced中,利用memcached特性,自动删除不使用的缓存,有关memcached的配置参考《ubuntu 14.04 memcache
Openstack组件---KeyStone(2)
f791473571的博客
07-10 395
keystone的四种Token token 是用户的一种凭证,需拿正确的用户名/密码向 Keystone 申请才能得到。如果用户每次都采用用户名/密码访问 OpenStack API,容易泄露用户信息,带来安全隐患。所以 OpenStack 要求用户访问其 API 前,必须先获取 token,然后用 token 作为用户凭据访问 OpenStack API。 Token类型 由来 UUID D 版本时,仅有 UUID 类型的 Token,UUID token 简单易用,却容易给 Keyst
n阶keystone函数_keystone变换_matlab
07-14
**n阶Keystone变换**是图像处理领域中的一个重要概念,主要应用于校正因投影设备的几何失真导致的图像变形。这种失真通常发生在投影仪、相机或遥感设备等光学系统中,使得图像在远离中心的位置出现扭曲,就像石头从...
OpenStack Identity(Keystone)身份服务、体系结构与中间件讲解
01-10
OpenStack Identity(Keystone服务为运行OpenStack Compute上的OpenStack云提供了认证和管理用户、帐号和角色信息服务,并为OpenStack Object Storage提供授权服务Keystone体系结构 Keystone 有两个主要部件:...
OpenStack之认证服务Keystone
01-13
OpenStack的认证服务Keystone是云平台的核心组件之一,它负责提供身份管理和授权服务,确保只有经过验证的用户和应用程序可以访问资源。Keystone通过颁发、验证和管理身份令牌来控制OpenStack服务的访问。 安装与...
2023年全国职业院校技能大赛(高职组)“云计算应用”赛项赛卷8
君逍遥o
05-14 852
2023年全国职业院校技能大赛(高职组)“云计算应用”赛项赛卷8
openstack虚拟机发放速度优
追寻神迹
03-03 5096
原文链接 http://www.51gocloud.com/?p=1885原生openstack环境下创建虚拟机耗时较长,相比AWS发放时间(20s左右)还是有很大差距;本文围绕这一问题进行展开,针对各瓶颈点给出优思路。整体思路类似如何让汽车在路上跑的更快,首先要解决的问题是让单个汽车在路上跑的快,我们可以通过修公路来解决,尽可能让路平滑,没有坑坑洼洼,这样汽车在运行过程中可以一直处于高速运行状
OpenStack —— Keystone基本原理及部署
Ghostpant的博客
12-14 834
Keystone简介Keystone的功能Keystone基本概念UserProjectTokenRoleServiceEndpointCredentialsAuthentication 简介 keystone是OpenStack的组件之一,用于为OpenStack家族中的其它组件成员提供统一的认证服务,包括身份验证、令牌的发放和校验、服务列表、用户权限的定义等等。云环境中所有的服务之间的授权和认证都需要经过 keystone. 因此 keystone 是云平台中第一个即需要安装的服务Keystone
Openstack并行性能加速(转)
Better Me的博客
03-31 4908
在google时,看到一篇极佳的博客,Boosting OpenStack’s Parallel Performance,内容聚焦于OpenStack并发性能的,在接触OpenStack以来,很少有看到谈论OpenStack性能的文章,而这篇博客作者Peter Feiner对此问题写的极其用心,详尽而全面,故将其转载过来,并翻译一下,帖在这儿。 在开始正式的翻译之前,需要先明确一下简单的
2023年全国职业院校技能大赛(高职组)“云计算应用”赛项赛卷5
君逍遥o
05-14 620
2023年全国职业院校技能大赛(高职组)“云计算应用”赛项赛卷5
keystone组件
weixin_33739523的博客
01-19 398
引: 什么是keystone 为何要有keystone keystone的功能 keystone概念详解 keystone与openstack其他组件关系 keystone与其他组件协同工作流程 keystone工作流程详解一、什么是keystone keystone是 OpenStack Identity Service 的项目名称,...
openstack keystone token 超时时间扩展
u010521366的博客
08-31 5057
由于测试时间长,本人keystone 1小时后token超期,本人ubuntu系统。 失败方法: 用openstack-cofig来扩展token,根本找不到openstack-config命令,有博客说centos下安装openstack-utils即可,但是在ubuntu下我没找到 成功方法: 参考 https://access.redhat.com/solutions/152
Openstack架构构建及详解(2)--keystone组件
最新发布
2401_83817916的博客
04-02 449
由于篇幅限制,小编在此截出几张知识讲解的图解《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》点击传送门即可获取!” />由于篇幅限制,小编在此截出几张知识讲解的图解[外链图片转存中…(img-eIpkWjo8-1712054454294)][外链图片转存中…(img-K9inZGrE-1712054454294)][外链图片转存中…(img-j5tCjQXX-1712054454295)][外链图片转存中…(img-XdJWW10N-1712054454295)]
华为HCIE学习之Openstack keystone组件
qq_48440248的博客
03-07 495
华为HCIE学习之keystone
keystone 认证深度研究分析
Miss_yang_Cloud的博客
06-07 1677
一、Keystone Token深度概述 Keystone作为openstack项目基础认证模块,目前支持的token类型分别是uuid、pkiz、pki、fernet。 首先,简要叙述一下这四种类型的原理及其优缺点。 uuid 比较简单,采用随机生成的序列(128位,以16进制表示)作为id,并构造token内容,需要持久后端数据库支撑,比如mysql数据库存储。优点,实现简单;缺点是
keystone代码如何写
03-25
代码实现包括 Model、View、Controller 和路由等,下面是一个基于 Keystone.js 的入门代码示例: 1. 首先需要安装 Keystone.js: ``` npm install -g generator-keystone ``` 2. 创建一个新的 Keystone.js 应用...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值