部署在controller节点

配置数据库

MariaDB [(none)]> CREATE DATABASE keystone;

Query OK, 1 row affected (0.00 sec)

MariaDB [(none)]> GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'%' IDENTIFIED BY 'keystone';

Query OK, 0 rows affected (0.00 sec)

MariaDB [(none)]> GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'localhost' IDENTIFIED BY 'keystone';

Query OK, 0 rows affected (0.00 se)

MariaDB [(none)]> flush privileges ;

Query OK, 0 rows affected (0.00 sec)

安装keystone

KeyStone服务的监听端口是5000和35357,配置Apache HTTP服务监听这两个端口,为了避免端口冲突,禁止KeyStone开机自启动:

root@controller:~# echo "manual" > /etc/init/keystone.override

安装keystone及相关软件包:

root@controller:~# apt-get install keystone python-openstackclient apache2 libapache2-mod-wsgi memcached python-memcache

生成admin token :

root@controller:~# openssl rand -hex 10

38b35fc6a494b91f56cc

配置keystone

配置文件:/etc/keystone/keystone.conf

root@controller:~# vi /etc/keystone/keystone.conf

#[default]部分,配置初始admin_token

[DEFAULT]

verbose = True

admin_token = 38b35fc6a494b91f56cc 

#[database]部分,配置数据库连接

[database]

connection = mysql://keystone:keystone@controller/keystone

#[memcache]部分,配置memcache服务

[memcache]

servers = 127.0.0.1:11211

#[revoke] 部分,配置SQL的撤回驱动

[revoke]

driver = keystone.contrib.revoke.backends.sql.Revoke

#[token]部分,配置UUID令牌的提供者和memcached的持久化驱动

[token]

provider = keystone.token.providers.uuid.Provider

driver = keystone.token.persistence.backends.sql.Token

初始化keystone数据库:

root@controller:~# su -s /bin/sh -c "keystone-manage db_sync" keystone

配置keystone的apache2接口

apache2.conf添加:

root@controller:~# vi /etc/apache2/apache2.conf

ServerName controller

创建/etc/apache2/sites-available/wsgi-keystone.conf文件,添加如下内容:

Listen 5000

Listen 35357

<VirtualHost *:5000>

    WSGIDaemonProcess keystone-public processes=5 threads=1 user=keystone display-name=%{GROUP}

    WSGIProcessGroup keystone-public

    WSGIScriptAlias / /var/www/cgi-bin/keystone/main

    WSGIApplicationGroup %{GLOBAL}

    WSGIPassAuthorization On

    <IfVersion >= 2.4>

      ErrorLogFormat "%{cu}t %M"

    </IfVersion>

    LogLevel info

    ErrorLog /var/log/apache2/keystone-error.log

    CustomLog /var/log/apache2/keystone-access.log combined

</VirtualHost>

<VirtualHost *:35357>

    WSGIDaemonProcess keystone-admin processes=5 threads=1 user=keystone display-name=%{GROUP}

    WSGIProcessGroup keystone-admin

    WSGIScriptAlias / /var/www/cgi-bin/keystone/admin

    WSGIApplicationGroup %{GLOBAL}

    WSGIPassAuthorization On

    <IfVersion >= 2.4>

      ErrorLogFormat "%{cu}t %M"

    </IfVersion>

    LogLevel info

    ErrorLog /var/log/apache2/keystone-error.log

    CustomLog /var/log/apache2/keystone-access.log combined

</VirtualHost>

启用身份认证服务的虚拟主机:

root@controller:~# ln -s /etc/apache2/sites-available/wsgi-keystone.conf /etc/apache2/sites-enabled/

为WSGI组件创建目录结构:

root@controller:~# mkdir -p /var/www/cgi-bin/keystone

WSGI组件:

root@controller:~# vi /var/www/cgi-bin/keystone/admin

import os

from keystone.server import wsgi as wsgi_server

name = os.path.basename(__file__)

application = wsgi_server.initialize_application(name)

root@controller:~# vi /var/www/cgi-bin/keystone/main

import os

from keystone.server import wsgi as wsgi_server

name = os.path.basename(__file__)

application = wsgi_server.initialize_application(name)

设置目录权限,并重启apache2:

root@controller:~# chown -R keystone:keystone /var/www/cgi-bin/keystone

root@controller:~# chmod 755 /var/www/cgi-bin/keystone/*

root@controller:~# service apache2 restart

 * Restarting web server apache2                                                                                                 [ OK ] 

删除ubuntu默认创建的SQLite数据库:

root@controller:~# rm -f /var/lib/keystone/keystone.db

配置服务实体与API端点

设置临时环境变量,校验令牌、端点URL:

root@controller:~# export OS_TOKEN=38b35fc6a494b91f56cc 

root@controller:~# export OS_URL=http://controller:35357/v2.0

为认证服务创建服务实体:

root@controller:~# openstack service create --name keystone --description "OpenStack Identity" identity

+-------------+----------------------------------+

| Field       | Value                            |

+-------------+----------------------------------+

| description | OpenStack Identity               |

| enabled     | True                             |

| id          | 6a5ef8cc6d7146b49a09c2b5a250d98c |

| name        | keystone                         |

| type        | identity                         |

+-------------+----------------------------------+

配置认证服务的API端点:

root@controller:~# openstack endpoint create --publicurl http://controller:5000/v2.0 --internalurl http://controller:5000/v2.0 --adminurl http://controller:35357/v2.0 --region RegionOne identity

+--------------+----------------------------------+

| Field        | Value                            |

+--------------+----------------------------------+

| adminurl     | http://controller:35357/v2.0     |

| id           | 4f9a0e3b90d843b88e7585a799db18ea |

| internalurl  | http://controller:5000/v2.0      |

| publicurl    | http://controller:5000/v2.0      |

| region       | RegionOne                        |

| service_id   | 6a5ef8cc6d7146b49a09c2b5a250d98c |

| service_name | keystone                         |

| service_type | identity                         |

+--------------+----------------------------------+

创建项目(租户)、用户和角色

创建admin租户:

root@controller:~# openstack project create --description "Admin Project" admin

+-------------+----------------------------------+

| Field       | Value                            |

+-------------+----------------------------------+

| description | Admin Project                    |

| enabled     | True                             |

| id          | 89254dc0494c4f15936f0f762ff050eb |

| name        | admin                            |

+-------------+----------------------------------+

创建admin用户:

root@controller:~# openstack user create --password-prompt admin

User Password:admin

Repeat User Password:admin

+----------+----------------------------------+

| Field    | Value                            |

+----------+----------------------------------+

| email    | None                             |

| enabled  | True                             |

| id       | a9806b1ab70046a3b70b8c06f7f3ec82 |

| name     | admin                            |

| username | admin                            |

+----------+----------------------------------+

创建admin角色:

root@controller:~# openstack role create admin

+-------+----------------------------------+

| Field | Value                            |

+-------+----------------------------------+

| id    | f0b9e3c9be924357bf8e918dbc2faf91 |

| name  | admin                            |

+-------+----------------------------------+

添加admin角色到admin租户和用户:

root@controller:~# openstack role add --project admin --user admin admin

+-------+----------------------------------+

| Field | Value                            |

+-------+----------------------------------+

| id    | f0b9e3c9be924357bf8e918dbc2faf91 |

| name  | admin                            |

+-------+----------------------------------+

创建服务项目

为其他的OpenStack服务创建服务项目:

root@controller:~# openstack project create --description "Service Project" service

+-------------+----------------------------------+

| Field       | Value                            |

+-------------+----------------------------------+

| description | Service Project                  |

| enabled     | True                             |

| id          | 48aa039e42004e3ba6cc3f20852b98b9 |

| name        | service                          |

+-------------+----------------------------------+

创建普通项目和用户

创建demo项目:

root@controller:~# openstack project create --description "Demo Project" demo

+-------------+----------------------------------+

| Field       | Value                            |

+-------------+----------------------------------+

| description | Demo Project                     |

| enabled     | True                             |

| id          | adc9030ca7d64a8994fb4ac66dbe5424 |

| name        | demo                             |

+-------------+----------------------------------+

创建demo用户:

root@controller:~# openstack user create --password-prompt demo

User Password:demo

Repeat User Password:demo

+----------+----------------------------------+

| Field    | Value                            |

+----------+----------------------------------+

| email    | None                             |

| enabled  | True                             |

| id       | d7f9819344a948139df33094deafb8a6 |

| name     | demo                             |

| username | demo                             |

+----------+----------------------------------+

创建user角色:

root@controller:~# openstack role create user

+-------+----------------------------------+

| Field | Value                            |

+-------+----------------------------------+

| id    | 7154d51117a74ec091b475cc7386fad7 |

| name  | user                             |

+-------+----------------------------------+

添加user角色到demo租户和用户:

root@controller:~# openstack role add --project demo --user demo user

+-------+----------------------------------+

| Field | Value                            |

+-------+----------------------------------+

| id    | 7154d51117a74ec091b475cc7386fad7 |

| name  | user                             |

+-------+----------------------------------+

其他

基于安全的原因,禁止校验令牌的机制

1、编辑 vi /etc/keystone/keystone-paste.ini:

移除 admin_token_auth从 [pipeline:public_api], [pipeline:admin_api], 和 [pipeline:api_v3] 部分

[pipeline:public_api]

pipeline = …

[pipeline:admin_api]

pipeline = …

[pipeline:api_v3]

pipeline = …

2、取消设置的操作系统环境变量:

root@controller:~# unset OS_TOKEN OS_URL

3、admin脚本,/root/admin-openrc.sh:

export OS_PROJECT_DOMAIN_ID=default

export OS_USER_DOMAIN_ID=default

export OS_PROJECT_NAME=admin

export OS_TENANT_NAME=admin

export OS_USERNAME=admin

export OS_PASSWORD=admin

export OS_AUTH_URL=http://$(hostname):35357/v3

export OS_IMAGE_API_VERSION=2

export OS_VOLUME_API_VERSION=2

export OS_REGION_NAME=RegionOne

export OS_COMPUTE_API_VERSION=3

export OS_IDENTITY_API_VERSION=2

OpenStack kilo版(2) keystone部署的更多相关文章

  1. OpenStack Kilo版加CEPH部署手册

    OpenStack Kilo版加CEPH部署手册 作者: yz联系方式: QQ: 949587200日期: 2015-7-13版本: Kilo 转载地址: http://mp.weixin.qq.co ...

  2. OpenStack kilo版(5) Neutron部署

    neutron简介: Neutron 通过 plugin 和 agent 提供的网络服务. plugin 位于 Neutron server,包括 core plugin 和 service plug ...

  3. OpenStack kilo版(4) Glance部署

    Glance简介 Glance-api:接受云系统镜像的构建.删除.读取请求 Glance-Registry:云系统的镜像注册服务 部署在controller节点 配置数据库 MariaDB [(no ...

  4. OpenStack kilo版(3) Nova部署

    部署在controller和compute节点 配置数据库 MariaDB [(none)]> CREATE DATABASE nova;  Query OK, 1 row affected ( ...

  5. OpenStack kilo版(1) 部署环境

    硬件 VMware workstation虚拟机 Ubuntu14.04操作系统 虚拟机网络规划 管理网络: eth0, 桥接模式 10.0.0.0/24 外部网络: eth1, nat模式(需要关闭 ...

  6. OpenStack kilo版(8) 部署cinder

    直接将cinder服务和块设备都部署在controller节点上 在controller节点添加一块100G的块设备/dev/sdb 配置数据库 (root@localhost) [(none)]&g ...

  7. OpenStack kilo版(7) 部署dashboard

    安装dashboard  root@controller:~# apt-get install openstack-dashboard  配置 /etc/openstack-dashboard/loc ...

  8. OpenStack_I版 2.keystone部署

    生成keystone默认证书,指定用户 修改keystone主配置文件 第625行,修改数据库连接方式   修改完成同步数据库 同步完成可以查看数据库是否有表生成 为了以后调试keystone方便,现 ...

  9. OpenStack kilo版(6) 启动第一台虚拟机

    创建网络 提供者为external,类型为flat,网络名称为public,: root@controller:~# neutron net-create --shared --provider:ph ...

随机推荐

  1. Spring cloud微服务安全实战-3-13重构代码

    让代码同时支持两种方式,登陆访问和带着请求头的token访问也可以. 首先做代码的重构 这里改成getSession() 改成这样以后会有一个问题,我用httpBasic登陆成功以后,我的用户信息放在 ...

  2. 什么是 https ?这应该是全网把 https 讲的最好的一篇文章了

    https://blog.csdn.net/m0_37907797/article/details/102759257

  3. LODOP中table自动分页补线加border

    LODOP中可以用ADD_PRINT_TABLE.ADD_PRINT_HTM.ADD_PRINT_HTML.ADD_PRINT_TBURL等可以输出超文本的表格,超文有超过打印项高度或纸张高度自动分页 ...

  4. Beta冲刺(4/4)

    队名:秃头小队 组长博客 作业博客 组长徐俊杰 过去两天完成的任务:学习了很多东西 Github签入记录 接下来的计划:继续学习 还剩下哪些任务:细节处理 燃尽图 遇到的困难:自己太菜了 收获和疑问: ...

  5. TCP/IP学习笔记11--无线通信: 无线通信的种类, 点对点通信协议

    IEEE802委员会主要指定了以下几种分类: PAN: personal aera network;  LAN: local area network; WAN: wide aera network ...

  6. matlab中执行mex文件时提示GLIBCXX not found

    解决方案参考: http://stackoverflow.com/questions/8421708/glibcxx-not-found-when-compiling-vtk-example-unde ...

  7. hadoop 集群调优实践总结

    调优概述# 几乎在很多场景,MapRdeuce或者说分布式架构,都会在IO受限,硬盘或者网络读取数据遇到瓶颈.处理数据瓶颈CPU受限.大量的硬盘读写数据是海量数据分析常见情况. IO受限例子: 索引 ...

  8. 016 Android 图片选择器(在选中和未选中的过程中,切换展示图片)

    1.目标效果 在选中和未选中的过程中,切换展示图片 2.实现方法 (1)在app--->res--->drawable 右击drawable文件夹右键,new ---->drawab ...

  9. lnmp二级域名配置相关

    阿里云那域名解析那有误读 我在偏远的电信网选择中国联通解析死活解析不出来 以上这么配置就对了....选择默认.瞬间解析出来.... 出于对nginx 配置不够熟悉 后来一点点理出来. 不带www 也正 ...

  10. springboot:bootstrap和application有什么区别?

    bootstrap和application区别: Spring Cloud 构建于 Spring Boot 之上,在 Spring Boot 中有两种上下文,一种是 bootstrap,另外一种是 a ...