一 keystone简介
- keystone(openstack identity service)是openstack框架中负责身份验证、服务规则和服务令牌的功能, 它实现了openstack的Identity API。
- keystone类似一个服务总线,或者说是挣个openstack框架的注册表, 其他服务通过keystone来注册其服务的Endpoint(服务访问的URL),任何服务之间的相互调用,需要经过keystone的身份验证来获得目标服务的Endpoint来找到目标服务。
二 keystone基本概念介绍
2.1 名词解释
- User
User就是用户,它代表可以通过keystone进行访问的人或者程序。 User通过认证信息(credentials, 如用户名密码、API Keys等)进行验证。 - Tenant
Tenant就是租户。他是各个服务中一些可以访问的资源集合。例如:Nova中一个tenant可以使一些机器, 在Swift和Glance中一个tenant可以是一些镜像存储。user默认的总是绑定到某些tenant上。 - Role
Role就是角色。Role代表一组用户可以访问的资源权限。例如Nova中的虚拟机、Glance中的镜像。Users可以被添加到任意一个全局的或者租户内的角色中。在全局的role中,用户的role权限作用于所有的租户,也就是说所有的租户都有角色role所规定的权限;在租户内的role中,用户仅拥有租户内橘色规定的权限。 - Policy
OpenStack对User的验证除了OpenStack的身份验证以外,还需要鉴别User对某个Service是否有访问权限。Policy机制就是用来控制User对Tenant中资源(包括Services)的操作权限。对于Keystone service来说,Policy就是一个JSON文件,默认是/etc/keystone/policy.json。通过配置这个文件,Keystone Service实现了对User基于Role的权限管理 - Service
Service即服务,如Nova、Glance、Swift。根据前三个概念(User、Tenant、Role)一个服务可以确认当前用户是否具有访问其资源的权限。但是当一个User尝试着访问其租户内的Service时,他必须知道这个Service是否存在以及如何访问这个Service,这里通常用一些不同的名称表示不同的服务。在面提到的Role,实际上也是可以绑定到某个service。例如:当swift需要一个管理员权限的访问进行对象创建时,对于相同的role我们不一定需要对nova进行管理权限的访问。为了实现这个目标,我们应该创建两个role,一个绑定到swift,一个绑定到nova,从而实现对swift进行管理权限的访问但不会影响到nova或者其他服务。 - Endpoint
Endpoint,我们称之为“端点”,可以将之理解为一个服务爆楼出来的访问点,如果需要访问一个服务,则必须知道他的Endpoint。因此,在keystone中包含一个endpoint模板(endpoint template, 在安装keystone的时候我们可以再conf文件夹下看到这个文件),这个模板他拱了所有存在的服务endpoints信息。一个endpoint template包含一个URL列表,列表中的每个URL都对应一个服务实例的访问地址,并且具有public、private、admin这三种权限。public url可以被全局访问,private url只能被局域网访问, admin url被从常规的访问中分离。
2.2 概念含义举例说明
keystone 里面的概念很多,有:User,Credentials,Authentication,Token,Tenant,Service,Endpoint,Role。在这么多概念中,其实最主要的就是 User 和 Tenant 。由于一些安全,服务问题,才引发了其它的概念。
那什么叫做 User ,Tenant 呢?这里我举个比较好理解的例子。我们去宾馆住的时候,我们自己就相当于 User ,而宾馆就是 Tenant 。这是最简单的情况,宾馆值提供房间,我们只需要住房。
随着后来生活物质等的提高,这种现象就变了。我们去宾馆住的时候,很多东西都不一样,比如,开房间要身份证,房间的钥匙是一个可以当卡刷的牌子,我们进出宾馆的时候需要用自己的钥匙来开启宾馆的大门;还有就是,宾馆不仅仅是用来住的了,它可以给我们提供饮食,娱乐,健身等各种服务;而且服务层次的不同,房间也不同,房间里面的配置豪华程度也不一样。在这种情况下,描述我们和宾馆之间的关系就复杂一些了,这就引发了一些新的概念。
举完这个例子, keystone 中的各种概念就可以和例子中的事物相挂钩了。
| 概念 | 含义 |
|---|---|
| OpenStack | 宾馆 |
| Keystone | 中英管理系统 |
| User | 住宾馆的人 |
| Credentials | 旅客的身份证 |
| Authentication | 确定旅客身份的过程 |
| Token | 房卡(用身份证换临时房卡) |
| Service | 宾馆可以提供的服务类别,比如大保健、洗浴等 |
| Endpoint | 服务提供场所的地址 |
| Role | VIP等级, VIP等级越高,拥有的权限越大 |
### 2.3 keytone与其他服务的交互过程
