一、什么是keystone
用于为openstack家族中的其它组件成员提供统一的认证服务,包括身份认证、令牌发放和校验、服务列表、用户权限定义等;
基本概念:
用户User:用于身份认证、一个用户可以关联到多个租户,即一个用户可以属于租户A同时属于租户B;
租户Tenant:相当于用户组的概念。一个租户可以容纳多个用户;
角色Role:关联到“用户-租户对”的元数据。可以关联到多个用户;
令牌Token:用于验证用户或者“用户-租户对”的请求是否合法;
服务Service:服务类型和名称。例如网络服务、镜像服务;
端点Endpoint:服务的实例(url入口),服务的url;
keystone在openstack中的结构图:
openstack用户-角色-服务交互图:
keystone基本结构:
用户创建虚拟机流程图:
用户创建虚拟机实例:
1、用户Alice通过自己的户名和密码向keystone申请token,keystone认证用户名和密码后,返回临时token
2、Alice通过临时token发送keystone查询他所拥有的租户,keystone验证临时token成功后,返回Alice的所有租户列表
3、Alice选择一个租户,通过用户名和密码申请正式token,keystone认证用户名、密码、tenant后,返回正式token。
4、Alice通过正式token发送创建server的请求,keystone验证正式token(包括该token是否有效,是否有权限创建虚拟机等)成功后,然后再把请求下发到nova,最终创建虚拟机;
keystone安装:
keystone包安装;
keystone配置;
keystone数据库初始化;
keystone服务启动;
keystone:包含一个命令行接口,可以与keystone API交互以管理
keystone和相关服务;
keystone-all:用于验证的、面向管理员和用户的API;
keystone-manage:管理keystone的命令行接口,用于管理和keystone相
连接的数据库
创建租户;
创建用户;
创建角色;
绑定角色;将角色分配到某个用户;
创建服务:
keystone测试工具:restclient
Keystone常见错误
401 #验证失败,keystone相关用户账户密码设置错误,时间不同步,或者输入的项目名称不对
403 #可能未初始化OS_token变量,需要使用source命令使其生效,也可能是配置的配置文件未生效,需要重启相关服务
409 #keystone创建用户,用户已存在
500 #服务器内部错误,服务配置有问题,看日志,检查配置
503 #keystone相关账户密码设置有问题,请将相关的glance账户删除,重新创建即可
服务故障 #相关服务没有起来
遇到问题及解决办法: 问题1 aboutyun@controller:~$ keystone tenant-create --name admin --description "admin Tenant" An unexpected error prevented the server from fulfilling your request. (HTTP 500) 原因1: 环境变量错误 记得重启后,执行下面命令 export OS_SERVICE_TOKEN=570f150cb897e793e58f export OS_SERVICE_ENDPOINT=http://controller:35357/v2.0 问题2: admin租户获取token出现错误,请问怎样解决? root@ubuntu:~# keystone --os-tenant-name admin --os-username admin --os-password ADMIN_PASS > --os-auth-url http://controller:35357/v2.0 token-get WARNING: Bypassing authentication using a token & endpoint (authentication credentials are being ignored). 'NoneType' object has no attribute 'has_service_catalog' 解决办法: unset OS_SERVICE_TOKEN OS_SERVICE_ENDPOINT