一、keystone身份服务
keystone(openstack identity service)是openstack中的一个独立的提供安全认证的模块,主要负责openstack用户身份认证、令牌管理、提供访问资源的服务目录、以及基于用户角色的访问控制
keystone类似一个服务总线,或者说是整个openstack框架的注册表,其他服务通过keystone来注册其服务的Endpoint(服务访问的URL),任何服务之间相互调用,需要经过keystone的身份验证,来获得目标服务的Endpoint来找到目标服务
归纳:keystone提供了多种认证和授权方式,指引后端endpoint
二、keystone的主要功能
身份认证(Authentication):令牌的发放和校验
用户授权(Authorization):授予用户在一个服务中所拥有权限
用户管理(Account):管理用户账户
服务目录(Service Catalog):提供可用服务的API端点
三、keystone相关概念
user:指使用openstack service的用户
Project(Tenant):可以理解为一个人或者服务所拥有的资源集合
Role:用户划分权限。通过给user指定role,使user获得role对应操作权限
Authentication:确定用户身份的过程
Token:是一个字符串表示,作为访问资源的令牌。Token包含了在指定范围和有效时间内,可以被访问的资源
Credentials:用于确认用户身份的凭证,用户的用户名和密码,或者是用户名和API密钥,或者身份管理服务提供的认证令牌
Service:openstack service,即openstack中运行的组件服务,如nova、swif、glance、neutron、cinder等
Endpoint:一个可以通过网络来访问和定位某个openstack service的地址,通常是一个URL
小结下:因为组件点到点的交互是通过API来完成的,API是由Apache所承载的,Apache提供了一个URL,所以说API和API