zoukankan      html  css  js  c++  java
  • Openstack (keystone 身份认证)

    keystone简介

    keystone 是OpenStack的组件之一,用于为OpenStack家族中的其它组件成员提供统一的认证服务,包括身份验证、令牌的发放和校验、服务列表、用户权限的定义等等。云环境中所有的服务之间的授权和认证都需要经过 keystone

    keystone工作

    1. 管理用户及其权限
    2. 维护 OpenStack Services 的 Endpoint
    3. Authentication(认证)和 Authorization(鉴权)

    服务

    #主节点(keystone服务依靠httpd)
    
    # systemctl enable httpd.service
    # systemctl start httpd.service
    

    基本名词解释


    user

    User 指代任何使用 OpenStack 的实体,可以是真正的用户,其他系统或者服务。

    [root@yun2 log]# openstack user list
    +----------------------------------+-----------+
    | ID                               | Name      |
    +----------------------------------+-----------+
    | 0d1172ac468c4b7185bc6aef48e9f97d | admin     |
    | 2cdcf92000894eed971389af8bcc18df | cinder    |
    | 44197ea8943b4940bf26bda9e2019a25 | glance    |
    | 9b9baaf5f4e54d8b84c2c18fc0360bea | placement |
    | a0cc358d272b44c8807672c0cc0faa27 | nova      |
    | bb8a918057084a278a3d5b7107e7e8a6 | neutron   |
    | c06816b1bde24dd5a84f7cf53f9fb197 | demo      |
    +----------------------------------+-----------+
    
    
    • admin:openstack平台的超级管理员,负责openstack服务的管理和访问权限
    • demo: 常规(非管理)任务应该使用无特权的项目和用户,所有要创建 demo 项目和 demo 用户
    • 除了 admin 和 demo,OpenStack 也为 nova、cinder、glance、neutron 服务创建了相应的 User,admin 也可以管理这些 User。

    credentials

    Credentials 是 User 用来证明自己身份的信息,可以是:

    1. 用户名/密码
    2. Token
    3. API Key
    4. 其他高级方式

    authentication

    Authentication 是 Keystone 验证 User 身份的过程。User 访问 OpenStack 时向 Keystone 提交用户名和密码形式的 Credentials,Keystone 验证通过后会给 User 签发一个 Token 作为后续访问的 Credential。


    token

    Token 是由数字和字母组成的字符串,User 成功 Authentication 后 Keystone 生成 > Token 并分配给 User。

    1. Token 用做访问 Service 的 Credential
    2. Service 会通过 Keystone 验证 Token 的有效性
    3. Token 的有效期默认是 24 小时

    project

    Project 用于将 OpenStack 的资源(计算、存储和网络)进行分组和隔离。
    根据 OpenStack 服务的对象不同,Project 可以是一个客户(公有云,也叫租户)、部门或者项目组(私有云)

    注意:

    1. 资源的所有权是属于 Project 的,而不是 User。
    2. 在 OpenStack 的界面和文档中,Tenant / Project / Account 这几个术语是通用的,但长期看会倾向使用 Project
    3. 每个 User(包括 admin)必须挂在 Project 里才能访问该 Project 的资源。 一个User可以属于多个 Project。
    4. admin 相当于 root 用户,具有最高权限
    [root@yun2 log]# openstack project list
    +----------------------------------+---------+
    | ID                               | Name    |
    +----------------------------------+---------+
    | 0e5426ebfffb4581b85dce45436576cc | admin   |
    | 8e5b458ff7914270a78b290a74cac742 | service |
    | d5765818b47d4bfb999d7710453a5c8a | demo    |
    +----------------------------------+---------+
    

    service

    OpenStack 的 Service 包括 Compute (Nova)、Block Storage (Cinder)、Object Storage (Swift)、Image Service (Glance) 、Networking Service (Neutron) 等。每个 Service 都会提供若干个 Endpoint,User 通过 Endpoint 访问资源和执行操作

    [root@yun2 log]# openstack service list
    +----------------------------------+-----------+-----------+
    | ID                               | Name      | Type      |
    +----------------------------------+-----------+-----------+
    | 1c31129027c94ac9aedbde8d679927a1 | keystone  | identity  |
    | 2aeb7a8d97f8477ab6da3a38d04636a5 | placement | placement |
    | 3cae0bffa0304c05a4ee2dcde525eb98 | neutron   | network   |
    | 52b89010650a4ee9b68776b5c76a6d7b | glance    | image     |
    | 9cd96bdd4404416a97a7d25b472f7bcb | cinderv3  | volumev3  |
    | b03e2059becf4acea1e2717b9ccc0f55 | nova      | compute   |
    | c1c27c7b77704a9387ab08b21841d396 | cinderv2  | volumev2  |
    +----------------------------------+-----------+-----------+
    

    endpoint

    Endpoint 是一个网络上可访问的地址,通常是一个 URL。Service 通过 Endpoint 暴露自己的 API。 Keystone 负责管理和维护每个 Service 的 Endpoint。

    
    [root@yun2 log]# openstack catalog list
    +-----------+-----------+------------------------------------------------------------------+
    | Name      | Type      | Endpoints                                                        |
    +-----------+-----------+------------------------------------------------------------------+
    | keystone  | identity  | RegionOne                                                        |
    |           |           |   public: http://yun2:5000/v3/                                   |
    |           |           | RegionOne                                                        |
    |           |           |   admin: http://yun2:35357/v3/                                   |
    |           |           | RegionOne                                                        |
    |           |           |   internal: http://yun2:5000/v3/                                 |
    |           |           |                                                                  |
    | placement | placement | RegionOne                                                        |
    |           |           |   public: http://yun2:8778                                       |
    |           |           | RegionOne                                                        |
    |           |           |   admin: http://yun2:8778                                        |
    |           |           | RegionOne                                                        |
    |           |           |   internal: http://yun2:8778                                     |
    |           |           |                                                                  |
    | neutron   | network   | RegionOne                                                        |
    |           |           |   internal: http://yun2:9696                                     |
    |           |           | RegionOne                                                        |
    |           |           |   public: http://yun2:9696                                       |
    |           |           | RegionOne                                                        |
    |           |           |   admin: http://yun2:9696                                        |
    |           |           |                                                                  |
    | glance    | image     | RegionOne                                                        |
    |           |           |   public: http://yun2:9292                                       |
    |           |           | RegionOne                                                        |
    |           |           |   admin: http://yun2:9292                                        |
    |           |           | RegionOne                                                        |
    |           |           |   internal: http://yun2:9292                                     |
    |           |           |                                                                  |
    | cinderv3  | volumev3  | RegionOne                                                        |
    |           |           |   admin: http://yun2:8776/v3/0e5426ebfffb4581b85dce45436576cc    |
    |           |           | RegionOne                                                        |
    |           |           |   public: http://yun2:8776/v3/0e5426ebfffb4581b85dce45436576cc   |
    |           |           | RegionOne                                                        |
    |           |           |   internal: http://yun2:8776/v3/0e5426ebfffb4581b85dce45436576cc |
    |           |           |                                                                  |
    | nova      | compute   | RegionOne                                                        |
    |           |           |   internal: http://yun2:8774/v2.1                                |
    |           |           | RegionOne                                                        |
    |           |           |   public: http://yun2:8774/v2.1                                  |
    |           |           | RegionOne                                                        |
    |           |           |   admin: http://yun2:8774/v2.1                                   |
    |           |           |                                                                  |
    | cinderv2  | volumev2  | RegionOne                                                        |
    |           |           |   admin: http://yun2:8776/v2/0e5426ebfffb4581b85dce45436576cc    |
    |           |           | RegionOne                                                        |
    |           |           |   public: http://yun2:8776/v2/0e5426ebfffb4581b85dce45436576cc   |
    |           |           | RegionOne                                                        |
    |           |           |   internal: http://yun2:8776/v2/0e5426ebfffb4581b85dce45436576cc |
    |           |           |                                                                  |
    +-----------+-----------+------------------------------------------------------------------+
    

    防火墙

    firewall-cmd --add-port=3306/tcp --permanent
    firewall-cmd --add-port=80/tcp --permanent
    firewall-cmd --add-port=123/udp --permanent
    firewall-cmd --add-port=22/tcp --permanent
    firewall-cmd --add-port=35357/tcp --permanent
    firewall-cmd --add-port=5000/tcp 
    firewall-cmd --add-port=5000/tcp --permanent
    firewall-cmd --add-port=9292/tcp --permanent
    firewall-cmd --add-port=9696/tcp --permanent
    firewall-cmd --add-port=8778/tcp --permanent
    firewall-cmd --add-port=8776/tcp --permanent
    firewall-cmd --add-port=8774/tcp --permanent
    firewall-cmd --reload
    
    

    role

    安全包含两部分:

    1. Authentication(认证)--->解决的是“你是谁?”的问题
    2. Authorization(鉴权)--->解决的是“你能干什么?”的问题. keystone 借助 role 实现 Authorization
    [root@yun2 log]# openstack role list
    +----------------------------------+----------+
    | ID                               | Name     |
    +----------------------------------+----------+
    | 9fe2ff9ee4384b1894a90878d3e92bab | _member_ |
    | aa2d974d95b14ecd92e2a5bdf20f2605 | admin    |
    | c5d4fd60f60f4fe58a2ad9295ee180cc | user     |
    +----------------------------------+----------+
    
    

    keystone基本架构

    • Token: 用来生成和管理token
    • Catalog:用来存储和管理service ,endpoint
    • Identity:用来管理tenant ,user,role和验证
    • Policy:用来管理访问权限

  • 相关阅读:
    C#中Dictionary的用法及用途 原文转载自:http://www.cnblogs.com/linzheng/archive/2010/12/13/1904709.html
    权限管理数据表设计说明 转载自:http://kobe6111.iteye.com/blog/241122
    SQL 游标(最简单的游标说明)
    由于前面的错误,Microsoft.Data.Entity.Design.Package.MicrosoftDataEntityDesignPackage, Microsoft.Data.Entity.Design.Package, Ver
    获取DataGird的列名
    asp.net中gridview、datalist、datagrid三个数据控件的foreach遍历方法
    WinForm控件设计:DataGridView的行统计实现 原文来自:http://www.cnblogs.com/yyj/archive/2010/10/21/1857518.html
    eclipse内存设置参数(转)
    (转)使用WCF 4.0 构建 REST Service
    使用EF Power Tools 错误参数 80070057解决方法
  • 原文地址:https://www.cnblogs.com/du-z/p/11277374.html
Copyright © 2011-2022 走看看