用户、服务openstack身份管理by小雨

新手发帖，很多方面都是刚入门，有错误的地方请大家见谅，欢迎批评指正

    基本念概

    身份服务有两个重要功能：

    1、用户管理：录记用户和他们的权限

    2、服务目录：供给可用服务和该服务api的终端地址

    身份服务义定了一些非常值得懂得的义定：

    用户（User）：应用OpenStack云服务的人、系统、服务的数字示表。身份验证服务验证用户传入的求请。用户登录可能被予赋拜访资源的令牌。用户可能直接被指定给一个特定租户，像好用户在这个租户中一样。

    认证信息（Credentials）：用户持有的，一般情况下只有这个用户晓得的据数。用户可以应用这个据数来明证他的身份（因为没有其他人晓得这个据数）。例如：

    

• 配对的用户名和密码
• 配对的用户名和API key
• 自己和有你本人照片的驾驶证
• 发表给你不被其他人晓得的令牌

    认证（Authentication）：在认证服务景背下，认证是认确用户身份和求请正确性的动作。身份服务认确传入的求请来自于有求请权限的用户。这些求请最初以一系列验证信息的式形涌现（用户名和密码，或用户名和API key）。经过初始验证后，身份服务会发表给用户一个令牌，在后续求请时用户可以用这个令牌说明他们的身份经已经过认证。

    令牌（Token）：令牌是用来拜访资源的意任特比的本文。个每令牌有一个拜访围范。令牌可在意任间时收回，并在一个限有的间时内有效。在Folsom本版中身份服务支撑基于令牌的认证，未来将会支撑额定的议协。首要的目是集成服务，不盼望成为一个成熟的身份存储和管理方案。

    

    租户（Tenant）：用来分组或断绝资源和（或）身份对象的容器。根据服务运营商，租户可以映射成一个户客、账户、组织或项目。

    服务（Service）：一个OpenStack服务，例如算计（nova），对象存储（swift）或镜像服务（glance）。服务供给一个或多个用户可以拜访资源和行执（可能用有的）作操的端点。

    端点（Endpoint）：一个可通过网络拜访的服务地址，平日应用URL描述。如果应用扩展，可以创立端点模板，它代表了全部可跨区域拜访的服务。

    色角（Role）：可行执一特定系列作操的用户特性。色角包含一系列权力和权特。用户可继承其所属色角的权力和权特。在身份服务中，发表给用户的令牌包含用户能担承的色角表列。这个用户用调的服务定决他们怎样释解这个用户所属的色角，以及个每色角予授拜访的作操和资源。

    

    用户管理

    用户身份管理有三个重要的念概：

    

• 用户Users
• 租户Tenants
• 色角Roles

    用户代表一个人，他持有关相的信息，例如用户名、密码、电子邮件。面下的例子是创立一个名为“alice”的用户：

$ keystone user-create --name=alice --pass=mypassword123 --email= alice@example.com

    租户可以看作是一个项目、分组或组织。当你向OpenStack服务发送求请时，你必须之地一个租户。例如如果你要向算计服务求请查询运行实例的表列，你将收到在你查询里指定租户内的运行实例表列。面下的例子创立一个名为“acme”的租户。

$ keystone tenant-create --name=acme

    注意！因为在之前的OpenStack算计本版中应用术语“项目”来替代租户，一些命令行工具应用--project_id替代--tenant-id或--os-tenant-id指定租户ID。

    色角演绎了给定租户下答应用户行执的作操。以下例子创立一个名为“compute-user"的色角：

$ keystone role-create --name=compute-user

    注意！这取决于单个的服务（比如算计服务和镜像服务）配分这些色角的义意。至于身份服务而言，色角只是一个简略的名字。

    身份服务将一个用户与租户、色角联关。继承我们后面的例子，我们希望在租户“acme”中给用户”alice”配分“compute-user”权限。

$ keystone user-list
+--------+---------+-------------------+--------+
| id | enabled | email | name |
+--------+---------+-------------------+--------+
| 892585 | True | alice@example.com | alice |
+--------+---------+-------------------+--------+
$ keystone role-list
+--------+--------------+
| id | name |
+--------+--------------+
| 9a764e | compute-user |
+--------+--------------+
$ keystone tenant-list
+--------+------+---------+
| id | name | enabled |
+--------+------+---------+
| 6b8fd2 | acme | True |
+--------+------+---------+
$ keystone user-role-add --user=892585 --role=9a764e --tenant-id=6b8fd2

    可以在不同的租户中给用户配分不同的色角。例如Alice可以在租户“Cyberdyne”中有拥“admin”色角。在同一个租户中，也可以给用户配分多个色角。

    /etc/[SERVICE_CODENAME]/policy.json控制给定服务答应用户行进的作操。例如/etc/nova/policy.json指定算计服务的拜访略策，/etc/glance/policy.json指定镜像服务的拜访略策，/etc/keystone/policy.json指定身份服务的拜访略策。

    算计、身份、镜像服务中默许的policy.json文件只有一个“admin"色角：面里全部不要需admin色角的作操可以被租户中意任色角的用户拜访。

    如果你希望在例如算计服务中制限用户行执作操，你要需在身份服务中创立色角，然后修改/etc/nova/policy.json文件使这个色角应用到算计作操中。

    例如，面下/etc/nova/policy.json中的这一行指定对用户创立卷不做制限：不论用户在租户中是有何种色角，他们都可以在租户中创立卷。

"volume:create":[],

    如果你希望制限以后租户中有”compute-user"色角的用户才能创立卷，可以加增“role:compute-user"，例如这样：

"volume:create": ["role:compute-user"],

    如果我们希望制限全部的算计服务求请都要需这个色角，略策文件是这样的：

{
"admin_or_owner": [["role:admin"], ["project_id: %(project_id)s"]],
"default": [["rule:admin_or_owner"]],
"compute:create": ["role":"compute-user"],
"compute:create:attach_network": ["role":"compute-user"],
"compute:create:attach_volume": ["role":"compute-user"],
"compute:get_all": ["role":"compute-user"],
"admin_api": [["role:admin"]],
"compute_extension:accounts": [["rule:admin_api"]],
"compute_extension:admin_actions": [["rule:admin_api"]],
"compute_extension:admin_actions:pause": [["rule:admin_or_owner"]],
"compute_extension:admin_actions:unpause": [["rule:admin_or_owner"]],
"compute_extension:admin_actions:suspend": [["rule:admin_or_owner"]],
"compute_extension:admin_actions:resume": [["rule:admin_or_owner"]],
"compute_extension:admin_actions:lock": [["rule:admin_api"]],
"compute_extension:admin_actions:unlock": [["rule:admin_api"]],
"compute_extension:admin_actions:resetNetwork": [["rule:admin_api"]],
"compute_extension:admin_actions:injectNetworkInfo": [["rule:admin_api"]],
"compute_extension:admin_actions:createBackup": [["rule:admin_or_owner"]],
"compute_extension:admin_actions:migrateLive": [["rule:admin_api"]],
"compute_extension:admin_actions:migrate": [["rule:admin_api"]],
"compute_extension:aggregates": [["rule:admin_api"]],
"compute_extension:certificates": ["role":"compute-user"],
"compute_extension:cloudpipe": [["rule:admin_api"]],
"compute_extension:console_output": ["role":"compute-user"],
"compute_extension:consoles": ["role":"compute-user"],
"compute_extension:createserverext": ["role":"compute-user"],
"compute_extension:deferred_delete": ["role":"compute-user"],
"compute_extension:disk_config": ["role":"compute-user"],
"compute_extension:extended_server_attributes": [["rule:admin_api"]],
"compute_extension:extended_status": ["role":"compute-user"],
"compute_extension:flavorextradata": ["role":"compute-user"],
"compute_extension:flavorextraspecs": ["role":"compute-user"],
"compute_extension:flavormanage": [["rule:admin_api"]],
"compute_extension:floating_ip_dns": ["role":"compute-user"],
"compute_extension:floating_ip_pools": ["role":"computeuser"],
"compute_extension:floating_ips": ["role":"compute-user"],
"compute_extension:hosts": [["rule:admin_api"]],
"compute_extension:keypairs": ["role":"compute-user"],
"compute_extension:multinic": ["role":"compute-user"],
"compute_extension:networks": [["rule:admin_api"]],
"compute_extension:quotas": ["role":"compute-user"],
"compute_extension:rescue": ["role":"compute-user"],
"compute_extension:security_groups": ["role":"compute-user"],
"compute_extension:server_action_list": [["rule:admin_api"]],
"compute_extension:server_diagnostics": [["rule:admin_api"]],
"compute_extension:simple_tenant_usage:show": [["rule:admin_or_owner"]],
"compute_extension:simple_tenant_usage:list": [["rule:admin_api"]],
"compute_extension:users": [["rule:admin_api"]],
"compute_extension:virtual_interfaces": ["role":"computeuser"],
"compute_extension:virtual_storage_arrays": ["role":"computeuser"],
"compute_extension:volumes": ["role":"compute-user"],
"compute_extension:volumetypes": ["role":"compute-user"],
"volume:create": ["role":"compute-user"],
"volume:get_all": ["role":"compute-user"],
"volume:get_volume_metadata": ["role":"compute-user"],
"volume:get_snapshot": ["role":"compute-user"],
"volume:get_all_snapshots": ["role":"compute-user"],
"network:get_all_networks": ["role":"compute-user"],
"network:get_network": ["role":"compute-user"],
"network:delete_network": ["role":"compute-user"],
"network:disassociate_network": ["role":"compute-user"],
"network:get_vifs_by_instance": ["role":"compute-user"],
"network:allocate_for_instance": ["role":"compute-user"],
"network:deallocate_for_instance": ["role":"compute-user"],
"network:validate_networks": ["role":"compute-user"],
"network:get_instance_uuids_by_ip_filter": ["role":"computeuser"],
"network:get_floating_ip": ["role":"compute-user"],
"network:get_floating_ip_pools": ["role":"compute-user"],
"network:get_floating_ip_by_address": ["role":"compute-user"],
"network:get_floating_ips_by_project": ["role":"computeuser"],
"network:get_floating_ips_by_fixed_address": ["role":"computeuser"],
"network:allocate_floating_ip": ["role":"compute-user"],
"network:deallocate_floating_ip": ["role":"compute-user"],
"network:associate_floating_ip": ["role":"compute-user"],
"network:disassociate_floating_ip": ["role":"compute-user"],
"network:get_fixed_ip": ["role":"compute-user"],
"network:add_fixed_ip_to_instance": ["role":"compute-user"],
"network:remove_fixed_ip_from_instance": ["role":"computeuser"],
"network:add_network_to_project": ["role":"compute-user"],
"network:get_instance_nw_info": ["role":"compute-user"],
"network:get_dns_domains": ["role":"compute-user"],
"network:add_dns_entry": ["role":"compute-user"],
"network:modify_dns_entry": ["role":"compute-user"],
"network:delete_dns_entry": ["role":"compute-user"],
"network:get_dns_entries_by_address": ["role":"compute-user"],
"network:get_dns_entries_by_name": ["role":"compute-user"],
"network:create_private_dns_domain": ["role":"compute-user"],
"network:create_public_dns_domain": ["role":"compute-user"],
"network:delete_dns_domain": ["role":"compute-user"]
}

    

    

    

    

    

    

    

    

    

文章结束给大家分享下程序员的一些笑话语录： 小沈阳版程序员~~~ \n程序员其实可痛苦的了......需求一做一改，一个月就过去了；嚎~ \n需求再一改一调，一季度就过去了；嚎~ \n程序员最痛苦的事儿是啥，知道不？就是，程序没做完，需求又改了； \n程序员最最痛苦的事儿是啥，知道不？ 就是，系统好不容易做完了，方案全改了； \n程序员最最最痛苦的事儿是啥，知道不？ 就是，系统做完了，狗日的客户跑了； \n程序员最最最最最痛苦的事儿是啥，知道不？ 就是，狗日的客户又回来了,程序给删没了！