zoukankan      html  css  js  c++  java
  • 二、OpenStack—keystone组件介绍与安装

    一、Keystone介绍

      keystone 是OpenStack的组件之一,用于为OpenStack家族中的其它组件成员提供统一的认证服务,包括身份验证、令牌的发放和校验、服务列表、用户权限的定义等等。云环境中所有的服务之间的授权和认证都需要经过 keystone. 因此 keystone 是云平台中第一个即需要安装的服务。

    作为 OpenStack 的基础支持服务,Keystone 做下面这几件事情:
      1.管理用户及其权限
      2.维护 OpenStack Services 的 Endpoint
      3.Authentication(认证)和 Authorization(鉴权)

    学习 Keystone,得理解下面这些概念:

    User:
      1.User 指代任何使用 OpenStack 的实体,可以是真正的用户,其他系统或者服务。
      2.当 User 请求访问 OpenStack 时,Keystone 会对其进行验证。Horizon 在Identity->Users 管理 User
      3.除了 admin 和 demo,OpenStack 也为 nova、cinder、glance、neutron 服务创建了相应的 User。 admin 也可以管理这些 User。

    Credentials:
      Credentials 是 User 用来证明自己身份的信息,可以是:
      1. 用户名/密码
      2. Token
      3. API Key
      4. 其他高级方式

    Authentication:
      Authentication 是 Keystone 验证 User 身份的过程。User 访问 OpenStack 时向 Keystone 提交用户名和密码形式的 Credentials,Keystone 验证通过后会给 User 签发一个 Token 作为后续访问的 Credential。

    Token:
      Token 是由数字和字母组成的字符串,User 成功 Authentication 后 Keystone 生成 Token 并分配给 User。
      1.Token 用做访问 Service 的 Credential
      2.Service 会通过 Keystone 验证 Token 的有效性
      3.Token 的有效期默认是 24 小时

    Project:
      Project 用于将 OpenStack 的资源(计算、存储和网络)进行分组和隔离。

      根据 OpenStack 服务的对象不同,Project 可以是一个客户(公有云,也叫租户)、部门或者项目组(私有云)
      这里请注意:
      1.资源的所有权是属于 Project 的,而不是 User。
      2.在 OpenStack 的界面和文档中,Tenant / Project / Account 这几个术语是通用的,但长期看会倾向使用 Project
      3.每个 User(包括 admin)必须挂在 Project 里才能访问该 Project 的资源。 一个User可以属于多个 Project。
      4.admin 相当于 root 用户,具有最高权限

    Service:
      OpenStack 的 Service 包括 Compute (Nova)、Block Storage (Cinder)、Object Storage (Swift)、Image Service (Glance) 、Networking Service (Neutron) 等。每个 Service 都会提供若干个 Endpoint,User 通过 Endpoint 访问资源和执行操作。

    Endpoint:
      Endpoint 是一个网络上可访问的地址,通常是一个 URL。Service 通过 Endpoint 暴露自己的 API。 Keystone 负责管理和维护每个 Service 的 Endpoint。

    Role:

      安全包含两部分:Authentication(认证)和 Authorization(鉴权)
      Authentication 解决的是“你是谁?”的问题
      Authorization 解决的是“你能干什么?”的问题
      Keystone 借助 Role 实现 Authorization:

    二、Keystone基本架构

     

    Token: 用来生成和管理token

    Catalog:用来存储和管理service/endpoint

    Identity:用来管理tenant/user/role和验证

    Policy:用来管理访问权限

    三、Keystone(认证服务)安装

    1、条件:在安装和配置Identity服务之前,必须创建数据库
      1)登录数据库
      # mysql -uroot -proot
      2)创建keystone数据库:
      MariaDB [(none)]> CREATE DATABASE keystone;
      3)授予对keystone数据库的适当访问权限:  

    MariaDB [(none)]> GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'localhost' IDENTIFIED BY 'KEYSTONE_DBPASS';
    MariaDB [(none)]> GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'%'  IDENTIFIED BY 'KEYSTONE_DBPASS';
    # 将KEYSTONE_DBPASS密码设置为自己认为合适的密码

       4)退出数据库访问客户端,exit

    2、安装和配置组件
      1)运行以下命令以安装软件包
        # yum install openstack-keystone httpd mod_wsgi
      2)编辑/etc/keystone/keystone.conf文件并完成以下操作

    [DEFAULT]
    
    [assignment]
    
    [auth]
    
    [cache]
    
    [catalog]
    
    [cors]
    
    [cors.subdomain]
    
    [credential]
    
    [database]
    connection = mysql+pymysql://keystone:KEYSTONE_DBPASS@node1/keystone#数据库用户,用户密码,主机名,数据库名
    
    [domain_config]
    
    [endpoint_filter]
    
    [endpoint_policy]
    
    [eventlet_server]
    
    [federation]
    
    [fernet_tokens]
    
    [healthcheck]
    
    [identity]
    
    [identity_mapping]
    
    [kvs]
    
    [ldap]
    
    [matchmaker_redis]
    
    [memcache]
    
    [oauth1]
    
    [oslo_messaging_amqp]
    
    [oslo_messaging_kafka]
    
    [oslo_messaging_notifications]
    
    [oslo_messaging_rabbit]
    
    [oslo_messaging_zmq]
    
    [oslo_middleware]
    
    [oslo_policy]
    
    [paste_deploy]
    
    [policy]
    
    [profiler]
    
    [resource]
    
    [revoke]
    
    [role]
    
    [saml]
    
    [security_compliance]
    
    [shadow_users]
    
    [signing]
    
    [token]
    provider = fernet
    
    [tokenless_auth]
    
    [trust]

      3)同步Identity服务数据库

      # su -s /bin/sh -c "keystone-manage db_sync" keystone

      4)初始化Fernet密钥存储库  

    # keystone-manage fernet_setup --keystone-user keystone --keystone-group keystone#为keystone服务创建一个keystone用户
    # keystone-manage credential_setup --keystone-user keystone --keystone-group keystone#为keystone用户设置身份信息

      5)引导身份服务

    # keystone-manage bootstrap --bootstrap-password ADMIN_PASS #设置keystone用户的密码
    --bootstrap-admin-url http://node1:35357/v3/ #管理地址端点
    --bootstrap-internal-url http://node1:5000/v3/ #私网地址端点
    --bootstrap-public-url http://node1:5000/v3/ #公网地址端点
    --bootstrap-region-id RegionOne#地址的域为RegionOne
    # 替换ADMIN_PASS为管理用户的合适密码

    3、配置Apache HTTP服务器

      1)编辑/etc/httpd/conf/httpd.conf文件
      ServerName node1 #(本地主机名)
      2)创建/usr/share/keystone/wsgi-keystone.conf文件的链接
      # ln -s /usr/share/keystone/wsgi-keystone.conf /etc/httpd/conf.d/

    4、完成安装
      1)启动Apache HTTP服务并将其配置为在系统引导时启动
      # systemctl enable httpd.service
      # systemctl start httpd.service
      2)配置管理帐户
    # vim openrc

    export OS_USERNAME=admin#登录的用户名
    export OS_PASSWORD=ADMIN_PASS#keystone用户的密码
    export OS_PROJECT_NAME=admin#项目的名称
    export OS_USER_DOMAIN_NAME=Default#用户的默认池
    export OS_PROJECT_DOMAIN_NAME=Default#项目的默认池
    export OS_AUTH_URL=http://node1:35357/v3#管理的端点地址
    export OS_IDENTITY_API_VERSION=3#api接口的版本为3
    # 替换ADMIN_PASS为keystone-install-configure命令中使用的密码 。keystone-manage bootstrap
  • 相关阅读:
    【java】i++与++i、i--运算
    配置ssh框架启动tomcat服务器报异常Unable to create requested service [org.hibernate.engine.jdbc.env.spi.JdbcEnvironment]
    jsp页面第一句话报这个错Syntax error, insert "}" to complete
    oracle忘记密码用户名被锁定_解决方案
    关于c#的单例模式,static 变量,下面一篇很不错
    Entity Framework 冲突检测,这一篇我看了比较明了
    关于lambda表达式与使用局部变量的作用域问题,下面这篇不错
    C# SelectMany 的使用
    UML类图 入门 (转载)
    VS code key shortcuts for windows
  • 原文地址:https://www.cnblogs.com/jclty/p/10683158.html
Copyright © 2011-2022 走看看