keystone
keystone 是openstck的token,Catalog,policy验证组件,它主要有功能是!身份验证,服务列表,令牌发放,用户权限定义;
- 用户管理:跟踪用户,并且确认用户是否有权限
- 服务目录:提供目录,如果服务有效,就让服务坐落到该目录
keystone 内部的服务允许更多的端点;
- identity:用户,租户,角色,必须通过真实认证,而且也关联元数据
- token:管理身份认证,一旦用户被验证一次,就会产生token,
- Catalog:提供端点的注册,和端点的发现
- Policy:提供角色认证的基本引擎
每一个服务在keystone里面都有相应的配置keystone.conf,除了上面的还有下面的
- sql端点
- ladp 端点
keystone里面主要的用户,
- Users:一个使用者代表一个人,关联的信息有name,password,还有email
- Tenants:租户能被理解成project,group,组织,无论什么时候你请求openstack服务,你必须有一个特别的租户
- Roles:可以操作一个用户给把某些权利个一个Tanants;
小例子;
创建一个demo用户
keystone user-create --name demo --pass=123 --email=123@q.cpm
创建一个租户
keysteon tenant-create --name=demo
创建一个角色
keystone role-create --name=demo
关联一个角色用户,租户
keystone user-role-add --user=demo --role=demo --tenant-name=demo
>还有一种是官网山的方法
>创建一个工程
>$ openstack project create --domain default \
--description "Admin Project" admin
>创建一个用户
>$ openstack user create --domain default \
--password-prompt admin
>创建一个角色
>openstack role create admin
>把角色管理用户和工程
>openstack role add --project admin --user admin admin
>
* 另外补充的是
创建一个租户服务
keystone tenant-create --name=service
为服务创建一个服务用户
keystone user-create --name=nova --pass=123 --email=123.com
现在我们创建一个服务为用户和租户(老外是这样写的,但是感觉乖乖的)
keystone service-create --name nova --type compute --description ’OpenStack Compute Service’
给服务创建一个端点:
keystone endpoint-create --region myregion --service_id 1e93ee6c70f8468c88a5cb1b106753f3 --publicurl ’http://192.168.125.111:8774/v2/$(tenant_id)s’--adminurl ’http://192.168.125.111:8774/v2/$(tenant_id)s’--internalurl ’http://192.168.125.111:8774/v2/$(tenant_id)s’
除此之外,自己发现在openstack 15版本中有一个ec2-credentials选项可以对,应该是可以对ec2证书的的操作,具体能干什么我也不是太清楚,