heat创建stack时为何要在keystone新建一个临时project

最新推荐文章于 2022-05-26 22:27:56 发布
最新推荐文章于 2022-05-26 22:27:56 发布
阅读量1.5k 收藏
点赞数 2
分类专栏: OpenStack-Heat项目 文章标签: project
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wifeisboss/article/details/50777935
版权

查看heat的stack创建流程,在create_stack接口中,可以看到如下一段代码:

        def _create_stack_user(stack):
            if not stack.stack_user_project_id:
                try:
                    stack.create_stack_user_project_id()
                except exception.AuthorizationFailure as ex:
                    stack.state_set(stack.action, stack.FAILED,
                                    six.text_type(ex))
进一步查看create_stack_user_project_id的实现,其实就是调用了keystone client的相关接口。

(具体可以参考heat_keystoneclient.py的create_stack_domain_project接口实现)

而该接口会在keystone服务上新建一个project。

而在删除stack时,又会通过Stack的_delete_credentials把这个project删除。


那么这个临时创建的project是用来干什么的呢?
查看nova的server资源的代码实现,如果USER_DATA_FORMAT类型是SOFTWARE_CONFIG,

会调用_populate_deployments_metadata对metadata进行一些处理。

而_populate_deployments_metadata中有如下段落:

        if self.transport_poll_server_heat(props):
            occ.update({'heat': {
                'user_id': self._get_user_id(),
                'password': self.password,
                'auth_url': self.context.auth_url,
                'project_id': self.stack.stack_user_project_id,
                'stack_id': self.stack.identifier().stack_path(),
                'resource_name': self.name}})

        elif self.transport_zaqar_message(props):
            queue_id = self.physical_resource_name()
            self.data_set('metadata_queue_id', queue_id)
            zaqar_plugin = self.client_plugin('zaqar')
            zaqar = zaqar_plugin.create_for_tenant(
                self.stack.stack_user_project_id, self._user_token())
            queue = zaqar.queue(queue_id)
            occ.update({'zaqar': {
                'user_id': self._get_user_id(),
                'password': self.password,
                'auth_url': self.context.auth_url,
                'project_id': self.stack.stack_user_project_id,
                'queue_id': queue_id}})
可以看到,如果software_config数据是通过heat或zaqar服务向VM提供,

那么stack_user_project_id就会作为参数传递给VM。

而VM在访问heat或zaqar服务的时候,就会用到这个project参数。


之所以会新建一个独立的project,而不是直接用发起创建stack操作的project,

应该是从权限控制角度考虑。通过新的project只能访问相关software_config资源。

试想如果把创建stack的project作为参数发送给了VM,VM其实就拥有了对该project关联资源的操作权限,

这是不安全的。


wifeisboss
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
ByteBank:为 Keystone 服务器创建的项目
07-05
字节银行 为 Keystone 服务器创建的项目 开发商 GMT+1 迈克尔·皮尔斯
OpenStack部署之Keystone项目(7-2)
志当存高远
05-21 245
OpenStack部署之Keystone(7-2)一、相关概念1、Keystone身份服务2、主要功能3、相关名词4、图解二、部署keystone1、创建数据库实例和数据库用户2、安装、配置keystone、数据库、Apache3、初始化认证4、配置bootstrap身份认证服务5、配置管理员账户的环境变量6、创建OpenStack 域、项目、用户和角色 一、相关概念 1、Keystone身份服务 openstack一个SOA架构,各个项目独立提供先关的服务,且互不依赖,如nova提供计算服务,glanc
Openstack——Keystone项目部署
Shadow__Flow的博客
12-16 347
目录前言一、创建数据库实例和数据库用户二、安装、配置keystone、数据库、Apache三、创建OpenStack 域、项目、用户和角色 前言 部署openstack组件,需先行安装认证服务(keystone),而认证服务是使用Apache运行的,安装完成后才可以创建、管理账号,然后安装镜像服务(glance)、计算服务(nova)、网络服务(neutron). 其中计算服务和网络服务分为管理端和客户端,所以需要在openstack的管理端安装计算服务和网络服务的管理端,在创建虚拟机的node节点上安装
OpenStack模块精讲之Keystone
boyuser的博客
12-13 621
文章目录Keystone1.身份服务2.相关概念3.认证流程 Keystone 1.身份服务 简介 Keystone(OpenStack Identity Service)是OpenStack中的一个独立的提供安全认证的模块,主要负责openstack用户的身份认证、令牌管理、提供访问资源的服务目录、以及基于用户角色的访问控制。 Keystone类似一个服务总线,或者说是整个OpenStack框架的注册表,其他服务通过keystone来注册其服务的Endpoint(服务访问的URL),任何服务之间相互调用
通过heat创建stack的代码流程分析heat stack-create
weixin_30349597的博客
02-18 329
Heat-api发送RPC请求 Heat/api/openstack/v1/stacks.py @util.policy_enforce ...
image_stack:并排在另一个下方并排创建一堆图像
05-05
该软件包为您提供了一个widget ,可轻松创建所需的图像堆栈。 此程序包创建的UI主要在许多应用程序的个人资料图片堆栈中找到,但可以在您觉得不错的任何地方使用。 酒馆套餐: 中篇文章:安装在pubspec.yaml的...
Exercise-Tracker-Project:创建一个Mern Stack应用来跟踪不同用户的健身活动
04-16
本项目"Exercise-Tracker-Project"利用MERN堆栈(MongoDB、Express.js、React和Node.js)技术,构建了一个功能完备的平台,让用户能够跟踪并管理自己的健身活动。下面我们将深入探讨MERN堆栈的关键组件及其在该项目...
techdegree-project-1:树屋Fullstack JavaScript的第一个项目
05-18
【标题】"techdegree-project-1:树屋Fullstack JavaScript的第一个项目"是一个针对技术学习者设计的实践项目,旨在帮助他们深入理解并掌握全栈JavaScript开发的基础知识。在这个项目中,参与者将有机会运用...
project-1-fullstack:我的第一个全栈项目
04-18
"project-1-fullstack:我的第一个全栈项目" 标题揭示了这是一个开发者初次尝试的全栈应用项目,旨在实践并整合从客户端到服务器端的整个开发流程。 全栈开发的核心在于理解并掌握多种技术,包括但不限于HTML、CSS、...
todo:Mern stack Todo应用程序,您可以在其中创建和编辑待办事项
05-26
在Shell中添加临时环境变量 在.env添加开发环境变量 我可以使用装饰器吗? 与API后端集成 节点 Ruby on Rails 在开发中代理API请求 在开发中使用HTTPS 在服务器上生成动态<meta>标记 预渲染为静态HTML文件 ...
Openstack组件(原理篇)—Ceilometer、keystone、Glance、Heat
01-20
总之,Ceilometer、Keystone、Glance 和 Heat 是 OpenStack 中不可或缺的部分,它们共同协作,为用户提供了一个强大且灵活的云计算环境。了解这些组件的工作原理和交互方式,对于管理和维护OpenStack云平台至关重要...
elk-stack-project:我的第一个网络安全新手训练营项目
03-27
(图/johnKelly_ELKStack_project.drayio.png) 这些文件已经过测试,并用于在Azure上生成实ELK部署。 它们可用于重新创建上图所示的整个部署。 或者,可以使用YAML文件的选定部分来仅安装其中的某些片段,例如...
Taskstack:Taskstack一个免费的开源看板项目管理应用程序
02-05
Taskstack一个专为项目管理设计的免费开源工具,它采用看板式界面,帮助用户高效地组织和跟踪任务。看板方法在敏捷开发中广泛使用,它允许团队成员直观地看到项目的进度,通过将任务卡片移动到不同的列来表示任务...
create-full-stack:使用一个命令设置一个TypeScript完整堆栈
05-15
创建完整堆栈使用一个命令设置一个TypeScript完整堆栈。 –如何创建新的完整堆栈。 –如何开发使用“创建完整堆栈”引导的应用程序。 创建完整堆栈可在macOS和Linux上运行。 如果无法解决问题,请检查或提出。 寻找...
C++中用两个标准容器stack,实现一个队列的方法详解
09-05
在C++编程中,有我们可能需要利用现有的标准容器来模拟其他数据结构,例如使用两个栈(stack)来实现一个队列(queue)。队列是一种先进先出(FIFO)的数据结构,而栈则是后进先出(LIFO)的数据结构。通过巧妙地...
Heat入门第一步
peachli
12-23 2521
Heat 类似于AWS的CloudFormation, 是OpenStack Orchestration进程的一个项目,OpenStack Orchestration旨在创建一个人性化的服务去管理整个云架构,服务和应用的生命周期。heat实现了一种自动化的通过简单定义和配置就能实现的云部署方式。可以在heat模板中定义连串相关任务(例如用某配置开几台虚拟机,然后再去在其中一台中安装一个mysql服
Heat服务安装配置
xuqiaobo的博客
05-10 2387
Openstack项目中的Heat编排服务组件是编排资源的一个工具,它能够生成一个模板,改模板通过资源、参数、输入、彼此的约束和依赖等参数描述被执行的任务。 1)准备阶段、 在安装和配置heat编排服务组件之前,首先创建数据库、服务证书和API endpoint,Heat编排服务组件需要在keystone身份认证服务中添加信息 (1)创建数据库 1,在操作系统终端连接数据库 2,创建He
Keystone组件详解
ZXJ_asu的博客
05-26 3889
了解openstack keystone组件
OpenStack入门以及一些资料之(四、Heat
julykobe的专栏
05-06 4418
先把链接放上,以后有空再展开。   OpenStack中的Heat进阶: http://blog.csdn.net/lynn_kong/article/details/17195047
C++创建一个stack
最新发布
05-22
创建一个 `stack`,你需要包含 `<stack>` 头文件,并使用 `std::stack` 模板类来创建一个对象。以下是一个简单的示例: ```c++ #include #include <stack> int main() { std::stack<int> myStack; // 添加...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值