最近因为工作的需要搭建了一套swift云存储架构
我们先来解读一下里面的技术知识点:swift服务是属于openstack中的一种组件服务,openstack中的组件服务还有keystone、Nova、glance等,不同的服务负责不同的功能,我们今天搭建swift+keystone,swift负责存储数据对象,keystone为它提供认证和授权,但是keystone服务是属于共享范畴,为openstack中的所有其他服务管理者endpoint的目录,并负责认证和授权。可以简单地理解为访问OpenStack中所有服务的请求都需要通过keystone的认证和授权,可以将Keystone比喻为一座城池大门的守卫者,进入其中的访客都需要经过守卫者的检查,认可了才可以进入其中。
以下我们先来搭建keystone的认证服务:
先来说明硬件:centos6.4 iptables-off selinux-disabled
下面介绍keystone中的一些主要概念:
1、使用openstack云服务的用户、系统或者服务,身份服务验证用户提交的请求。用户需要登录,然后可能会分配令牌已访问资源。多用户可以直接分配给特定的租户,并且表现就像他们包含在该租户内。
2、认证信息:确认用户身份的数据。比如用户名和密码,用户名和API键,或者由身份服务提供的认证令牌。
3、认证:确认用户身份的过程。OpenStack身份服务通过验证用户提供的认证信息确认请求,当认证信息被验证后,OpenStack认证服务发给用户认证令牌,在后续的请求中用户将使用该令牌。
4、令牌:文本形式的字母-数字字符串,使用该字符串访问OpenStack的API和资源。令牌在有限的时间内是有效的,可能在任何时间被取消。
5、租户:分组或隔离资源的容器,租户也用于分组或隔离身份对象。基于服务操作者,租户可能映射为客户、账户、组织或项目。
6、服务:一个OpenStack服务,比如Compute(nova),对象存储(Swift),镜像服务(glance)。服务提供了一个或多个端点(endpoint),在端点内用户可以访问资源或者执行操作。
7、端点:网络可访问的地址,通常是URL地址,通过该地址可以访问服务。如果正在使用扩展的模板,一个端点模板会被创建,该模板表示所有可用服务的模板。
8、角色:定义了执行特定操作的用户权限的集合。在身份服务中,发给用户的令牌包括角色的列表。被用户访问的服务确定如何解释用户拥有的角色和每个角色可以访问的操作和资源。
9、KeyStone客户端:OpenStack身份服务API的命令行接口。比如:运行keystone service-create和keystone endpoint-creat在OpenStack中注册服务。
首先你的系统中必须装有数据库,我安装的是mysql,在数据库中创建身份服务相关的数据库和用户:
以root用户登录MySQL数据库:mysql -u root -p
创建keystone数据库:create database keystone
创建访问keystone数据的用户,并赋予权限:grant all privileges on keystone.* to keystone@localhost identified by '123456';grant all privileges on keystone.* to ‘keystone‘@‘%‘ identified by ‘123456‘;
完成数据库的操作后,生成初始化配置keystone的管理员令牌(随机数):opesnssl rand -hex 10 (89bbecb48e973be18dd7),括号中的字符串为令牌,一定要保存下来,后面会频繁用到。然后使用下面的命令安装Keystone服务和Keystone客户端,并会安装相关的依赖包:yum install openstack-keystone python-keystoneclient(在安装的时候会有很多的依懒包需要安装,具体按照提示的进行安装)。该过程会将Keystone安装到Python的site-packages目录下。完成安装后按照下面的步骤修改/etc/keystone/keystone.conf文件:
1、在[DEFAULT],修改admin_token = ADMIN_TOKEN中的ADMIN_TOKEN为随机生成的令牌89bbecb48e973be18dd7,即admin_token = 89bbecb48e973be18dd7
2、在[database]中,配置数据库的访问:connection = mysql://keystone:123456@localhost/keystone
3、在[token]中,配置UUID提供者和SQL驱动: provider = keystone.token.providers.uuid.Provider和driver = keystone.token.persistence.backends.sql.Token
4、在[revoke]中,配置SQL撤回驱动:driver = keystone.contrib.revoke.backends.sql.Revoke
5、如果想观察输出,进而有助于排查问题,可以在[DEFAULT]中进行如下配置:verbose = True
接下来生成通用证书和key,并设置相关文件的访问权限:
进入/etc/keystone目录下,执行keystone-manage pki_setup --keystone-user keystone --keystone-group keystone 此步会在此目录下生成ssl证书
chown -R keystone:keystone /var/log/keystone
chown -R keystone:keystone /etc/keystone/ssl
chmod -R o-rwx /etc/keystone/ssl
使用下面的命令像keystone数据库填充数据: su -s /bin/sh -c "keystone-manage db_sync" keystone,也可以直接执行keystone-manage db_sync,该语句执行完成后可以在数据库中发现相关的数据表,表中的原始数据不能删除,否则以下配置会出错。
然后使用下面的命令启动keystone服务:/etc/init.d/openstack-keystone start,服务启动后就可以使用keystone客户端创建租户、用户、角色、服务和endpoint了:
创建租户:
keystone --os-token 89bbecb48e973be18dd7 --os-endpoint http://localhost:35357/v2.0 tenant-create --name admin --description "Admin Tenant" (执行完这条命令,会生成id并且会有表的提示)
数据库中会出现如下信息,表示创建成功:
创建用户:
keystone --os-token 89bbecb48e973be18dd7 --os-endpoint http://localhost:35357/v2.0 user-create --name admin --pass 123456 (执行完这条命令,会生成id并且会有表的提示)
数据库中会出现如下信息,表示创建成功:
创建角色:
keystone --os-token 89bbecb48e973be18dd7 --os-endpoint http://localhost:35357/v2.0 role-create --name admin (执行完这条命令,会生成id并且会有表的提示)
数据库中会出现如下信息,表示创建成功:
将角色admin添加到租户和用户中:
keystone --os-token 89bbecb48e973be18dd7 --os-endpoint http://localhost:35357/v2.0 user-role-add --user admin --role admin --tenant admin (执行完这条命令,会生成id并且会有表的提示)
数据库中会出现如下信息,表示创建成功:
在创建完了租户、用户和角色后,就需要为身份服务创建服务实体和endpoint。身份服务管理openstack环境中的服务目录,服务使用该目录定位环境中的其他服务,使用下面的命令创建服务实体:
keystone --os-token 89bbecb48e973be18dd7 --os-endpoint http://localhost:35357/v2.0 service-create --name keystone --type identity (执行完这条命令,会生成id并且会有表的提示)
keystone --os-token 89bbecb48e973be18dd7 --os-endpoint http://localhost:35357/v2.0 service-create --name swift --type object-store (执行完这条命令,会生成id并且会有表的提示)
数据库中会出现如下信息,表示创建成功:
身份服务管理者与服务相关联的API端点的目录,服务使用该目录确定如何与其它服务通信,OpenStack为每个服务提供了三种API端点:admin、internal和public。在生产环境中,出于安全的原因,不同的网络服务于不同类型的用户,而三种不同的API端点则依赖于这样的网络。OpenStack出于扩展性的考虑也支持多个region。下面的命令在regionOne创建了keystone的三种端点:
keystone --os-token 89bbecb48e973be18dd7 --os-endpoint http://localhost:35357/v2.0 endpoint-create --service keystone --region regionOne --publicurl http://localhost:5000/v2.0 --internalurl http://localhost:5000/v2.0 --adminurl http://localhost:35357/v2.0 (执行完这条命令,会生成id并且会有表的提示)
keystone --os-token 89bbecb48e973be18dd7 --os-endpoint http://localhost:35357/v2.0 endpoint-create --service swift --region regionOne --publicurl 'http://localhost:8080/v1/AUTH_%(tenant_id)s' --internalurl 'http://localhost:8080/v1/AUTH_%(tenant_id)s' --adminurl 'http://localhost:8080/v1' (执行完这条命令,会生成id并且会有表的提示)
数据库中会出现如下信息,表示创建成功:
为admin租户和用户申请令牌:
keystone --os-tenant-name admin --os-username admin --os-password 123456 --os-auth-url http://localhost:35357/v2.0 tenant-list (会显示name和id等信息)
可以用以下命令验证每一部分是否添加成功,每一项是否可以用:
keystone --os-username admin --os-password 123456 --os-auth-url http://localhost:5000/v2.0 user-role-list
keystone --os-token 89bbecb48e973be18dd7 --os-username admin --os-auth-url http://localhost:5000/v2.0 tenant-list
curl -d '{"auth": {"tenantName": "admin", "passwordCredentials":{"username": "admin", "password": "123456"}}}' -H "Content-type: application/json" http://localhost:5000/v2.0/tokens(出现以下显示信息表示keystone安装部署成功,每一项皆可用)
在上面步骤中,每次都要输入冗长的命令,这样的操作增加了出错的可能性,幸好OpenStack支持将参数或者选项以环境变量的形式保存在称为OpenRC的文件中,通常这样的文件为所有的客户端,比如keystone、swift,保存了通用选项,但也支持特定于客户端的选项,下面为admin创建相应的OpenRC文件(其实就是保存环境变量的脚本)客户端的选项:
export OS_TENANT_NAME=admin
export OS_UESERNAME=admin
export OS_PASSWORD=123456
export OS_AUTH_URL=http://localhost:35357/v2.0
在执行keystone命令之前,先执行source keystone-admin使环境变量生效,然后就不用输入冗长的参数了。
下一遍介绍swift安装,包括一个主节点和两个存储节点。