Openstack核心组件之Keystone的概念及部署 |
您所在的位置:网站首页 › 令牌都有哪些名字 › Openstack核心组件之Keystone的概念及部署 |
Openstack核心组件之Keystone的概念及部署
|
Keystone
一.Keystone的作用和架构1.1什么是Keystone?1.2Keystone提供服务注册机制1.3Keystone架构
二.Keystone服务内容2.1身份识别(identity)服务2.2资源管理服务2.3角色鉴权机制2.4令牌请求与颁布服务- 范围令牌(scoped token)2.5服务目录-服务(service )和端点(endpoint)2.6服务目录-服务(service)和端点(endpoint)
三.Keystone部署1.创建数据库实例和数据库用户2.安装、配置keystone、数据库、Apache1.配置Keystone2.配置bootstrap身份认证服务3.配置Apache HTTP服务器4.配置管理员账户的环境变量
一.Keystone的作用和架构
1.1什么是Keystone?
keystone是OpenStack的核心组件之一,为OpenStack大家族中的其他组件提供统一的身份认证服务,包括身份认证、令牌发放和校验服务列表、定义用户权限等。OpenStack中所有服务的授权和认证都需要经过keystone,因此keystone是OpenStack中第一个需要安装的核心组件。 身份验证域授权,使用户与服务可以正确地访问服务,创建管理资源以及实例Keystone采用策略文件(policy.yaml, 或者policy.ison)来管理权限的规则 1.2Keystone提供服务注册机制 利用服务目录来管理新的服务或对原有服务做变更服务端点(endpoint)记录服务的restful API url,能够提供服务访问入口 1.3Keystone架构 标准的web服务架构,采用Apache 2作为web容器,同horizon架构类似Openstack其他服务需要向keystone请求令牌(scoped token)才能请求其他服务身份管理: SQL, LDAP, SAML, Oauthv1.0a,OpenID Connect,多因子身份验证,时间同步口令等等支持联邦身份识别,和扩展第三方身份识别
二.Keystone服务内容
身份识别(identity)服务-用户和组 资源管理服务-域(domain)和项目(project) 角色设置服务-角色(role), OpenStack采用角色来规定权限 令牌请求与颁布服务-范围令牌(scoped token) 服务、目录和端点管理 策略规则管理-策略(policy)和规则(rule) 2.1身份识别(identity)服务身份识别服务执行如下功能: 用户管理:追踪用户及其权限。 服务目录:提供可用服务的API endpoint目录。 下面几个概念很重要,是理解Keystone的前提。 User:用户是使用OpenStack云服务的一个人、系统或服务的数字表达。身份识别服务验证要求进行调用的用户传入的请求。用户可以直接分配给特别的租户,就像包含在租户中一样。 Credentials:凭证是只有证明自己身份的用户才知道的数据。在身份识别服务中,凭证可以是用户名和密码、用户和API键或身份识别服务提供的认证令牌。 Authentication:这是用户确认身份的行为。身份识别服务通过验证用户提供的一组凭证来确认传入的请求 。身份识别服务向用户发放一个认证令牌来响应这些凭证,用户在后续请求中提供这个令牌。 Token:令牌是用来访问资源的一个任意文本。每个令牌都有一个范围,描述哪些资源可以访问。令牌可以随时撤回且在有限时间内生效。然而身份识别服务支持基于令牌的认证方式,是为了未来支持额外协议。其首要目的是为了集成服务,不是追求成为一个完整的身份识别存储和管理解决方案。 Tenant:一个用于分组或隔离资源、标识对象的容器。租户可以映射到一个顾客、账户、组织或项目,这取决于服务运营者。 Service:Openstack服务,如Nova、Cinder、Glance等。服务提供一个或多个endpoint,用户可以通过这些endpoint来访问资源和执行操作。 EndPoint:端点是一个可访问的网络地址,通常是一个URL。如果你为模板使用扩展,就可以创建一个endpoint模板,它代表所有跨区域可用的可消费服务的模板。 Role:角色指一个用户承担的个性,使用户能执行一组指定的操作。角色包括一组权力和特权。一个用户承担这个角色就继承了这些权力和特权。一个被分配给用户的令牌包含一组用户拥有的角色列表。用户调用的服务决定他们如何解读一组用户拥有的角色以及每个角色授权访问哪些操作和资源。
资源与组织管理感念 区域(Region):是从数据中心方面来说得概念,某个区域统一管理的数据中心就划分为一一个区域- region域(domain):是从运营管理层面来说的概念,即某个组织机构或业务单元可以当做一个域- domain。其下的部门可以当做一个项目管理层级 服务目录: keystone实现服务注册功能。服务目录用于发现服务API端点- RESTful的URL。包括两个主要实体对 象service和endpoint service -记录注册的服务基本信息。记录了keystone, nova, cinder, neutron, glance等基础的服务 endpoint -用于记录服务的API的urI信息 2.6服务目录-服务(service)和端点(endpoint)端点的属性(properties) region -区域标识号 service - service name or id interface - public, internal, admin url enable 端点操作种类: create list show set delete 三.Keystone部署 1.创建数据库实例和数据库用户 [root@ct ~]# mysql -u root -p MariaDB [(none)]> create database keystone; MariaDB [(none)]> GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'localhost' IDENTIFIED BY 'KEYSTONE_DBPASS'; MariaDB [(none)]> GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'%' IDENTIFIED BY 'KEYSTONE_DBPASS'; MariaDB [(none)]> flush privileges; MariaDB [(none)]> exit 2.安装、配置keystone、数据库、Apache● 安装keystone、httpd、mod_wsgi 1.配置Keystonemod_wsgi包的作用是让apache能够代理pythone程序的组件;openstack的各个组件,包括API都是用python写的,但访问的是apache,apache会把请求转发给python去处理,这些包只安装在controler节点 [root@ct ~]# yum -y install openstack-keystone httpd mod_wsgi [root@ct ~]# cp -a /etc/keystone/keystone.conf{,.bak} [root@ct ~]# grep -Ev "^$|#" /etc/keystone/keystone.conf.bak > /etc/keystone/keystone.conf通过pymysql模块访问mysql,指定用户名密码、数据库的域名、数据库名 [root@ct ~]# openstack-config --set /etc/keystone/keystone.conf database connection mysql+pymysql://keystone:KEYSTONE_DBPASS@ct/keystone指定token的提供者;提供者就是keystone自己本身 [root@ct ~]# openstack-config --set /etc/keystone/keystone.conf token provider fernet Fernet:一种安全的消息传递格式初始化认证服务数据库 [root@ct ~]# su -s /bin/sh -c "keystone-manage db_sync" keystone初始化fernet 密钥存储库(以下命令会生成两个密钥,生成的密钥放于/etc/keystone/目录下,用于加密数据) [root@ct keystone]# keystone-manage fernet_setup --keystone-user keystone --keystone-group keystone [root@ct keystone]# keystone-manage credential_setup --keystone-user keystone --keystone-group keystone
#指定一个区域名称 #此步骤是初始化openstack,会把openstack的admin用户的信息写入到mysql的user表中,以及url等其他信息写入到mysql的相关表中; #admin-url是管理网(如公有云内部openstack管理网络),用于管理虚拟机的扩容或删除;如果共有网络和管理网是一个网络,则当业务量大时,会造成无法通过openstack的控制端扩容虚拟机,所以需要一个管理网; #internal-url是内部网络,进行数据传输,如虚拟机访问存储和数据库、zookeeper等中间件,这个网络是不能被外网访问的,只能用于企业内部访问 #public-url是共有网络,可以给用户访问的(如公有云) #但是此环境没有这些网络,则公用同一个网络 #5000端口是keystone提供认证的端口 #需要在haproxy服务器上添加一条listen #各种网络的url需要指定controler节点的域名,一般是haproxy的vip的域名(高可用模式) 3.配置Apache HTTP服务器[root@ct ~]# echo “ServerName controller” >> /etc/httpd/conf/httpd.conf 创建配置文件 安装完mod_wsgi包后,会生成 wsgi-keystone.conf 这个文件,文件中配置了虚拟主机及监听了5000端口,mod_wsgi就是python的网关 [root@ct ~]# ln -s /usr/share/keystone/wsgi-keystone.conf /etc/httpd/conf.d/开启服务 [root@ct conf.d]# systemctl enable httpd Created symlink from /etc/systemd/system/multi-user.target.wants/httpd.service to/usr/lib/systemd/system/httpd.service. [root@ct conf.d]# systemctl start httpd 4.配置管理员账户的环境变量#这些环境变量用于创建角色和项目使用,但是创建角色和项目需要有认证信息,所以通过环境变量声明用户名和密码等认证信息,欺骗openstack已经登录且通过认证,这样就可以创建项目和角色;也就是把admin用户的验证信息通过声明环境变量的方式传递给openstack进行验证,实现针对openstack的非交互式操作 [root@ct ~]# cat >> ~/.bashrc |
【本文地址】