每天学习opensatck(17)

最新推荐文章于 2019-07-31 14:35:56 发布
最新推荐文章于 2019-07-31 14:35:56 发布
阅读量482 收藏
点赞数
分类专栏: 日志 IT技术 openstack问题专栏
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zongyimin/article/details/54617536
版权

keystone组件的讲解

作为 OpenStack 的基础支持服务,Keystone 做下面这几件事情:

  1. 管理用户及其权限

  2. 维护 OpenStack Services 的 Endpoint

  3. Authentication(认证)和 Authorization(鉴权)

学习 Keystone,得理解下面这些概念:

User

User 指代任何使用 OpenStack 的实体,可以是真正的用户,其他系统或者服务。

当 User 请求访问 OpenStack 时,Keystone 会对其进行验证。

Horizon 在 Identity->Users 管理 User

除了 admin 和 demo,OpenStack 也为 nova、cinder、glance、neutron 服务创建了相应的 User。 admin 也可以管理这些

User。

Credentials

Credentials 是 User 用来证明自己身份的信息,可以是: 1. 用户名/密码 2. Token 3. API Key 4. 其他高级方式

Authentication

Authentication 是 Keystone 验证 User 身份的过程。

User 访问 OpenStack 时向 Keystone 提交用户名和密码形式的 Credentials,Keystone 验证通过后会给 User 签发一个 Token

作为后续访问的 Credential。

Token

Token 是由数字和字母组成的字符串,User 成功 Authentication 后由 Keystone 分配给 User。

  1. Token 用做访问 Service 的 Credential

  2. Service 会通过 Keystone 验证 Token 的有效性

  3. Token 的有效期默认是 24 小时

Project

Project 用于将 OpenStack 的资源(计算、存储和网络)进行分组和隔离。 根据 OpenStack 服务的对象不同,Project 可以是

一个客户(公有云,也叫租户)、部门或者项目组(私有云)。

这里请注意:

  1. 资源的所有权是属于 Project 的,而不是 User。

  2. 在 OpenStack 的界面和文档中,Tenant / Project / Account 这几个术语是通用的,但长期看会倾向使用 Project

  3. 每个 User(包括 admin)必须挂在 Project 里才能访问该 Project 的资源。 一个User可以属于多个 Project。

  4. admin 相当于 root 用户,具有最高权限

Horizon 在 Identity->Projects 中管理 Project

通过 Manage Members 将 User 添加到 Project 中

Service

OpenStack 的 Service 包括 Compute (Nova)、Block Storage (Cinder)、Object Storage (Swift)、Image Service (Glance) 、

Networking Service (Neutron) 等。

每个 Service 都会提供若干个 Endpoint,User 通过 Endpoint 访问资源和执行操作。

Endpoint

Endpoint 是一个网络上可访问的地址,通常是一个 URL。 Service 通过 Endpoint 暴露自己的 API。 Keystone 负责管理和维护每个 Service 的 Endpoint。

可以使用下面的命令来查看 Endpoint。

root@devstack-controller:~# source devstack/openrc admin admin

root@devstack-controller:~# openstack catalog list

Role

安全包含两部分:Authentication(认证)和 Authorization(鉴权) Authentication 解决的是“你是谁?”的问题,

Authorization 解决的是“你能干什么?”的问题,Keystone 是借助 Role 来实现 Authorization 的:

  1. Keystone定义Role

  2. 可以为 User 分配一个或多个 Role Horizon 的菜单为 Identity->Project->Manage Members
  3. Service 决定每个 Role 能做什么事情 Service 通过各自的 policy.json 文件对 Role 进行访问控制。 下面是 
Nova 服务 /etc/nova/policy.json 中的示例

上面配置的含义是:对于 create、attach_network 和 attach_volume 操作,任何Role的 User 都可以执行;

但只有 admin 这个 Role 的 User 才能执行 forced_host 操作。

OpenStack 默认配置只区分 admin 和非 admin Role。 如果需要对特定的 Role 进行授权,可以修改 policy.json。


本节我们通过“查询可用 image”这个实际操作让大家对这些概念建立更加感性的认识。

User admin 要查看 Project 中的 image

第 1 步 登录


当点击时,OpenStack 内部发生了哪些事情?请看下面

Token 中包含了 User 的 Role 信息

第 2 步 显示操作界面

请注意,顶部显示 admin 可访问的  Project 为 “admin” 和 “demo”。 其实在此之前发生了一些事情:

同时,admin 可以访问 Intance, Volume, Image 等服务

这是因为 admin 已经从 Keystone 拿到了各 Service 的 Endpoints

第 3 步 显示 image 列表

点击 “Images”,会显示 image 列表

背后发生了这些事:

首先,admin 将请求发送到 Glance 的 Endpoint

Glance 向 Keystone 询问 admin 身份的有效性。

接下来 Glance 会查看 /etc/glance/policy.json。 判断 admin 是否有查看 image 的权限

权限判定通过,Glance 将 image 列表发给 admin。

Troubleshoot

OpenStack 排查问题的方法主要是通过日志。 每个 Service 都有自己的日志文件。

Keystone 主要有两个日志: keystone.log 和 keystone_access.log 保存在 /var/log/apache2/ 目录里。

devstack 的 screen 窗口已经帮我们打开了这两个日志。 可以直接查看:

如果需要得到最详细的日志信息,可以在 /etc/keystone/keystone.conf 中打开 debug 选项

在非 devstack 安装中,日志可能在 /var/log/keystone/ 目录里。


闫_先_生_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
每天学习opensatck(1)
zongyimin的博客
12-05 1078
1.opensatck学习不易原因: OpenStack 涉及的知识领域极广  可以说涵盖了IT基础设施的所有范围。计算、存储、网络、虚拟化、高可用、安全、灾备。。。。。。无所不包。即便是像CloudMan这种每天都在这个领域工作的人也感觉压力颇大 OpenStack 是一个平台,不是一个具体的实施方案 OpenStack的各个组件都采用Driver的架构,支持各种具体
openstack使用2——制作centos7镜像
liuhui_charmingglobe的博客
03-03 1万+
一、前言使用镜像是安装好的系统做成镜像,在创建云主机后用户可以进入对Centos系统进行配置的界面,省去安装系统的麻烦。 直接使用Centos的iso作为镜像,用户在创建完虚拟机打开安装系统时,安装程序无法识别到本地磁盘,只有为虚拟机添加了块存储,才能识别出磁盘。但这样做会导致linux系统安装在块存储中,不方便块存储断开与虚拟机的连接。二、制作镜像下载centos7的操作系统的官方镜像上传至co
opensatck基础知识----AMQP的基础概念
每天进步一点点。。。的博客
04-09 708
Kombu是一个为Python写的消息库,目标是为AMQ协议提供一个傻瓜式的高层接口,让Python中的消息传递变得尽可能简单,并且也提供一些常见消息传递问题的解决方案。 AMQP全称Advanced Message QueuingProtocol,是一个开放标准协议,定义一个异步消息传递所使用的应用层协议规范。知名的RabbitMQ服务器就是它的一个实现。RabbitMQ实现了AMQP的消息中
所有关于OpenStack Rocky版本的信息都在这里
开源云中文社区
09-03 3256
第18版OpenStack——Rocky包含着巨大的成功。Rocky受人工智能、机器学习、NFV和边缘计算等用例的驱动,提供增强的升级功能,并支持各种硬件架构,包括裸机。...
opensatck安装
10-25
openstack的安装,详细文档,安装到cinder,按照里面的版本,一般不会出错,除非版本兼容问题,或者一些个人机器的问题。
opensatck安装配置
12-06
opensatck安装配置
opensatck-node-exporter
最新发布
08-11
opensatck-node-exporter
opensatck镜像测试cirros-0.4.0-x86-64-disk
02-09
总之,"opensatck镜像测试cirros-0.4.0-x86_64-disk"涉及到的是在OpenStack平台上使用Cirros操作系统镜像进行虚拟机实例的创建和测试。这个过程涵盖镜像的下载、注册、配置、启动以及连接测试,是学习和调试...
openstack重启的服务命令汇总
实践求真知
03-18 1万+
一 重启openstack的整个服务openstack-service restart[root@controller0 ~]# openstack-service restart Stopping neutron: [ OK ] Starting neutron: [ OK ] Stopping openstack-glance-api: [ OK ] Starting openst...
OpenStack Swift 云存储技术详解
duxingxia356的专栏
12-31 1792
Swift云存储技术详解:综述与概念   OpenStack Object Storage (Swift) 是用来创建冗余的、可扩展的对象存储(引擎)的开源软件。通过阅读Swift的技术文档,我们可以理解其中的设计的原理和实现的方法 。   Swift项目已经进展有两年了,对外开放也一年有余,在国外的社区你可以获得许多帮助,但在国内只能找到一些零零散散不齐全的资料,许多人更喜欢坐享其成
使用openstack中遇到的报错和使用笔记
cpf945的博客
07-31 5878
1.无法使用openstack CIL时: 方法: ①在devstack目录下 新建 openrc.ch vim openrc.sh ②在openrc.sh文件中写入: OS_USERNAME=admin OS_PASSWORD=admin OS_TENANT_NAME=admin OS_AUTH_URL=http://URL #这个ULR 和本机环境有关;从/etc/keystone/keys...
Openstack安装过程中出现的一些问题及解决
热门推荐
weixin_43467082的博客
02-13 2万+
Openstack安装过程中出现的一些问题及解决 摘要: 一、Centos7安装Mitika问题 1.问题:在keystone安装阶段请求认证令牌出现错误 1 2 3 4 5 6 7 8 9 10 11 12 # vim admin-openrc export OS_PROJECT_DOMAIN_NAME=default expor… 一、Centos7安装Mitika问题 1.问题:在keyst...
centos7使用devstack安装openstack mitaka
liukuan73的专栏
04-13 5693
1.cd /home/lk    git clone https://git.openstack.org/openstack-dev/devstack 2.为避免网络的各种问题浪费时间,提前把各种所需包下载到本地:    mkdir /opt/stack    chown -R lk:lk /opt/stack    cd /opt/stack    git clone -b stab
在Ubuntu14.04环境下使用Devstack搭建Openstack
战五渣,想要春天
03-18 2780
一. 安装环境 (1) 系统环境:Ubuntu14.04 下载地址:http://www.ubuntu.com/download/desktop/ (2)openstack:icehouse 二. 安装过程 1. 首先安装Ubuntu14.04操作系统并更新系统,安装gitapt-get dist-upgrade apt-get install git2.设置使用豆瓣pyp
使用devstack安装OpenStack 双节点部署
qq_41241568的博客
03-21 7726
本文安装的Pike版OpenStack,之前试过liberty、newton和mitaka、ocata版本都以失败告终,所以百度了一下版本顺序,秉着最新最优的执念,终于,Pike版本安装成功! 一:软硬件准备     设备:win10电脑     软件:VMware Workstation Pro     镜像:ubuntu-16.04.1-desktop-amd64.iso 二:虚拟机...
virtualbox+ubuntu 16.04+devstack+openstack 安装教程
ren88320036的博客
03-11 3286
本教程是在virtualbox中安装两台ubuntu16.04.4 server虚拟机,通过devstack安装openstack以下红色为终端输入的命令,蓝色是配置文件需要输入的我是学习了cloudman老师的教程才会安装的,下面是转载网址:http://cloudman.cc/https://mp.weixin.qq.com/s/g-bKZqRFUGXDghIfGJ16_g 视频教程https...
centos7下安装openstack的devstack前的准备工作
实践求真知
03-04 1353
一 安装centos7.3 操作系统下载路径:http://vault.centos.org/7.3.1611/isos/x86_64/下载包:CentOS-7-x86_64-DVD-1611.iso安装方法参考:http://blog.csdn.net/chengqiuming/article/details/70139461二 基本要求centos7.3.1611最小化安装(4G内存、60G硬...
基于ansible部署opensatck数据库服务器
06-10
好的,下面是基于ansible部署OpenStack数据库服务器的步骤: 1. 在Ansible控制节点上安装OpenStack-Ansible: ``` ...cd openstack-ansible scripts/bootstrap-ansible.sh ``` 2. 编辑`/etc/ansible/hosts`文件,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值