zoukankan      html  css  js  c++  java

  • 二、OpenStack—keystone组件介绍与安装

    一、Keystone介绍

      keystone 是OpenStack的组件之一,用于为OpenStack家族中的其它组件成员提供统一的认证服务,包括身份验证、令牌的发放和校验、服务列表、用户权限的定义等等。云环境中所有的服务之间的授权和认证都需要经过 keystone. 因此 keystone 是云平台中第一个即需要安装的服务。

    作为 OpenStack 的基础支持服务,Keystone 做下面这几件事情:
      1.管理用户及其权限
      2.维护 OpenStack Services 的 Endpoint
      3.Authentication(认证)和 Authorization(鉴权)

    学习 Keystone,得理解下面这些概念:

    User:
      1.User 指代任何使用 OpenStack 的实体,可以是真正的用户,其他系统或者服务。
      2.当 User 请求访问 OpenStack 时,Keystone 会对其进行验证。Horizon 在Identity->Users 管理 User
      3.除了 admin 和 demo,OpenStack 也为 nova、cinder、glance、neutron 服务创建了相应的 User。 admin 也可以管理这些 User。

    Credentials:
      Credentials 是 User 用来证明自己身份的信息,可以是:
      1. 用户名/密码
      2. Token
      3. API Key
      4. 其他高级方式

    Authentication:
      Authentication 是 Keystone 验证 User 身份的过程。User 访问 OpenStack 时向 Keystone 提交用户名和密码形式的 Credentials,Keystone 验证通过后会给 User 签发一个 Token 作为后续访问的 Credential。

    Token:
      Token 是由数字和字母组成的字符串,User 成功 Authentication 后 Keystone 生成 Token 并分配给 User。
      1.Token 用做访问 Service 的 Credential
      2.Service 会通过 Keystone 验证 Token 的有效性
      3.Token 的有效期默认是 24 小时

    Project:
      Project 用于将 OpenStack 的资源(计算、存储和网络)进行分组和隔离。

      根据 OpenStack 服务的对象不同,Project 可以是一个客户(公有云,也叫租户)、部门或者项目组(私有云)
      这里请注意:
      1.资源的所有权是属于 Project 的,而不是 User。
      2.在 OpenStack 的界面和文档中,Tenant / Project / Account 这几个术语是通用的,但长期看会倾向使用 Project
      3.每个 User(包括 admin)必须挂在 Project 里才能访问该 Project 的资源。 一个User可以属于多个 Project。
      4.admin 相当于 root 用户,具有最高权限

    Service:
      OpenStack 的 Service 包括 Compute (Nova)、Block Storage (Cinder)、Object Storage (Swift)、Image Service (Glance) 、Networking Service (Neutron) 等。每个 Service 都会提供若干个 Endpoint,User 通过 Endpoint 访问资源和执行操作。

    Endpoint:
      Endpoint 是一个网络上可访问的地址,通常是一个 URL。Service 通过 Endpoint 暴露自己的 API。 Keystone 负责管理和维护每个 Service 的 Endpoint。

    Role:

      安全包含两部分:Authentication(认证)和 Authorization(鉴权)
      Authentication 解决的是“你是谁?”的问题
      Authorization 解决的是“你能干什么?”的问题
      Keystone 借助 Role 实现 Authorization:

    二、Keystone基本架构

     

    Token: 用来生成和管理token

    Catalog:用来存储和管理service/endpoint

    Identity:用来管理tenant/user/role和验证

    Policy:用来管理访问权限

    三、Keystone(认证服务)安装

    1、条件:在安装和配置Identity服务之前,必须创建数据库
      1)登录数据库
      # mysql -uroot -proot
      2)创建keystone数据库:
      MariaDB [(none)]> CREATE DATABASE keystone;
      3)授予对keystone数据库的适当访问权限:  

    MariaDB [(none)]> GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'localhost' IDENTIFIED BY 'KEYSTONE_DBPASS';
MariaDB [(none)]> GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'%'  IDENTIFIED BY 'KEYSTONE_DBPASS';
    # 将KEYSTONE_DBPASS密码设置为自己认为合适的密码

       4)退出数据库访问客户端,exit

    2、安装和配置组件
      1)运行以下命令以安装软件包
        # yum install openstack-keystone httpd mod_wsgi
      2)编辑/etc/keystone/keystone.conf文件并完成以下操作

    [DEFAULT]

[assignment]

[auth]

[cache]

[catalog]

[cors]

[cors.subdomain]

[credential]

[database]
connection = mysql+pymysql://keystone:KEYSTONE_DBPASS@node1/keystone#数据库用户,用户密码,主机名,数据库名

[domain_config]

[endpoint_filter]

[endpoint_policy]

[eventlet_server]

[federation]

[fernet_tokens]

[healthcheck]

[identity]

[identity_mapping]

[kvs]

[ldap]

[matchmaker_redis]

[memcache]

[oauth1]

[oslo_messaging_amqp]

[oslo_messaging_kafka]

[oslo_messaging_notifications]

[oslo_messaging_rabbit]

[oslo_messaging_zmq]

[oslo_middleware]

[oslo_policy]

[paste_deploy]

[policy]

[profiler]

[resource]

[revoke]

[role]

[saml]

[security_compliance]

[shadow_users]

[signing]

[token]
provider = fernet

[tokenless_auth]

[trust]

      3)同步Identity服务数据库

      # su -s /bin/sh -c "keystone-manage db_sync" keystone

      4)初始化Fernet密钥存储库  

    # keystone-manage fernet_setup --keystone-user keystone --keystone-group keystone#为keystone服务创建一个keystone用户
# keystone-manage credential_setup --keystone-user keystone --keystone-group keystone#为keystone用户设置身份信息

      5)引导身份服务

    # keystone-manage bootstrap --bootstrap-password ADMIN_PASS #设置keystone用户的密码
--bootstrap-admin-url http://node1:35357/v3/ #管理地址端点
--bootstrap-internal-url http://node1:5000/v3/ #私网地址端点
--bootstrap-public-url http://node1:5000/v3/ #公网地址端点
--bootstrap-region-id RegionOne#地址的域为RegionOne
    # 替换ADMIN_PASS为管理用户的合适密码

    3、配置Apache HTTP服务器

      1)编辑/etc/httpd/conf/httpd.conf文件
      ServerName node1 #(本地主机名)
      2)创建/usr/share/keystone/wsgi-keystone.conf文件的链接
      # ln -s /usr/share/keystone/wsgi-keystone.conf /etc/httpd/conf.d/

    4、完成安装
      1)启动Apache HTTP服务并将其配置为在系统引导时启动
      # systemctl enable httpd.service
      # systemctl start httpd.service
      2)配置管理帐户
    # vim openrc

    export OS_USERNAME=admin#登录的用户名
export OS_PASSWORD=ADMIN_PASS#keystone用户的密码
export OS_PROJECT_NAME=admin#项目的名称
export OS_USER_DOMAIN_NAME=Default#用户的默认池
export OS_PROJECT_DOMAIN_NAME=Default#项目的默认池
export OS_AUTH_URL=http://node1:35357/v3#管理的端点地址
export OS_IDENTITY_API_VERSION=3#api接口的版本为3
# 替换ADMIN_PASS为keystone-install-configure命令中使用的密码 。keystone-manage bootstrap
  • 相关阅读:
    4Sum
    3Sum Closest
    3Sum
    Longest Common Prefix
    Roman to Integer
    thinkphp3.2自定义配置文件
    centos7下git的使用和配置
    git 报错
    Git服务器安装详解及安装遇到问题解决方案
    centos GIT安装
  • 原文地址:https://www.cnblogs.com/jclty/p/10683158.html
Copyright © 2011-2022 走看看