Openstack (keystone 身份认证)
keystone简介
keystone 是OpenStack的组件之一,用于为OpenStack家族中的其它组件成员提供统一的认证服务,包括身份验证、令牌的发放和校验、服务列表、用户权限的定义等等。云环境中所有的服务之间的授权和认证都需要经过 keystone
keystone工作
- 管理用户及其权限
- 维护 OpenStack Services 的 Endpoint
- Authentication(认证)和 Authorization(鉴权)
服务
#主节点(keystone服务依靠httpd)
# systemctl enable httpd.service
# systemctl start httpd.service
基本名词解释
user
User 指代任何使用 OpenStack 的实体,可以是真正的用户,其他系统或者服务。
[root@yun2 log]# openstack user list
+----------------------------------+-----------+
| ID | Name |
+----------------------------------+-----------+
| 0d1172ac468c4b7185bc6aef48e9f97d | admin |
| 2cdcf92000894eed971389af8bcc18df | cinder |
| 44197ea8943b4940bf26bda9e2019a25 | glance |
| 9b9baaf5f4e54d8b84c2c18fc0360bea | placement |
| a0cc358d272b44c8807672c0cc0faa27 | nova |
| bb8a918057084a278a3d5b7107e7e8a6 | neutron |
| c06816b1bde24dd5a84f7cf53f9fb197 | demo |
+----------------------------------+-----------+
- admin:openstack平台的超级管理员,负责openstack服务的管理和访问权限
- demo: 常规(非管理)任务应该使用无特权的项目和用户,所有要创建 demo 项目和 demo 用户
- 除了 admin 和 demo,OpenStack 也为 nova、cinder、glance、neutron 服务创建了相应的 User,admin 也可以管理这些 User。
credentials
Credentials 是 User 用来证明自己身份的信息,可以是:
- 用户名/密码
- Token
- API Key
- 其他高级方式
authentication
Authentication 是 Keystone 验证 User 身份的过程。User 访问 OpenStack 时向 Keystone 提交用户名和密码形式的 Credentials,Keystone 验证通过后会给 User 签发一个 Token 作为后续访问的 Credential。
token
Token 是由数字和字母组成的字符串,User 成功 Authentication 后 Keystone 生成 > Token 并分配给 User。
- Token 用做访问 Service 的 Credential
- Service 会通过 Keystone 验证 Token 的有效性
- Token 的有效期默认是 24 小时
project
Project 用于将 OpenStack 的资源(计算、存储和网络)进行分组和隔离。
根据 OpenStack 服务的对象不同,Project 可以是一个客户(公有云,也叫租户)、部门或者项目组(私有云)
注意:
- 资源的所有权是属于 Project 的,而不是 User。
- 在 OpenStack 的界面和文档中,Tenant / Project / Account 这几个术语是通用的,但长期看会倾向使用 Project
- 每个 User(包括 admin)必须挂在 Project 里才能访问该 Project 的资源。 一个User可以属于多个 Project。
- admin 相当于 root 用户,具有最高权限
[root@yun2 log]# openstack project list
+----------------------------------+---------+
| ID | Name |
+----------------------------------+---------+
| 0e5426ebfffb4581b85dce45436576cc | admin |
| 8e5b458ff7914270a78b290a74cac742 | service |
| d5765818b47d4bfb999d7710453a5c8a | demo |
+----------------------------------+---------+
service
OpenStack 的 Service 包括 Compute (Nova)、Block Storage (Cinder)、Object Storage (Swift)、Image Service (Glance) 、Networking Service (Neutron) 等。每个 Service 都会提供若干个 Endpoint,User 通过 Endpoint 访问资源和执行操作
[root@yun2 log]# openstack service list
+----------------------------------+-----------+-----------+
| ID | Name | Type |
+----------------------------------+-----------+-----------+
| 1c31129027c94ac9aedbde8d679927a1 | keystone | identity |
| 2aeb7a8d97f8477ab6da3a38d04636a5 | placement | placement |
| 3cae0bffa0304c05a4ee2dcde525eb98 | neutron | network |
| 52b89010650a4ee9b68776b5c76a6d7b | glance | image |
| 9cd96bdd4404416a97a7d25b472f7bcb | cinderv3 | volumev3 |
| b03e2059becf4acea1e2717b9ccc0f55 | nova | compute |
| c1c27c7b77704a9387ab08b21841d396 | cinderv2 | volumev2 |
+----------------------------------+-----------+-----------+
endpoint
Endpoint 是一个网络上可访问的地址,通常是一个 URL。Service 通过 Endpoint 暴露自己的 API。 Keystone 负责管理和维护每个 Service 的 Endpoint。
[root@yun2 log]# openstack catalog list
+-----------+-----------+------------------------------------------------------------------+
| Name | Type | Endpoints |
+-----------+-----------+------------------------------------------------------------------+
| keystone | identity | RegionOne |
| | | public: http://yun2:5000/v3/ |
| | | RegionOne |
| | | admin: http://yun2:35357/v3/ |
| | | RegionOne |
| | | internal: http://yun2:5000/v3/ |
| | | |
| placement | placement | RegionOne |
| | | public: http://yun2:8778 |
| | | RegionOne |
| | | admin: http://yun2:8778 |
| | | RegionOne |
| | | internal: http://yun2:8778 |
| | | |
| neutron | network | RegionOne |
| | | internal: http://yun2:9696 |
| | | RegionOne |
| | | public: http://yun2:9696 |
| | | RegionOne |
| | | admin: http://yun2:9696 |
| | | |
| glance | image | RegionOne |
| | | public: http://yun2:9292 |
| | | RegionOne |
| | | admin: http://yun2:9292 |
| | | RegionOne |
| | | internal: http://yun2:9292 |
| | | |
| cinderv3 | volumev3 | RegionOne |
| | | admin: http://yun2:8776/v3/0e5426ebfffb4581b85dce45436576cc |
| | | RegionOne |
| | | public: http://yun2:8776/v3/0e5426ebfffb4581b85dce45436576cc |
| | | RegionOne |
| | | internal: http://yun2:8776/v3/0e5426ebfffb4581b85dce45436576cc |
| | | |
| nova | compute | RegionOne |
| | | internal: http://yun2:8774/v2.1 |
| | | RegionOne |
| | | public: http://yun2:8774/v2.1 |
| | | RegionOne |
| | | admin: http://yun2:8774/v2.1 |
| | | |
| cinderv2 | volumev2 | RegionOne |
| | | admin: http://yun2:8776/v2/0e5426ebfffb4581b85dce45436576cc |
| | | RegionOne |
| | | public: http://yun2:8776/v2/0e5426ebfffb4581b85dce45436576cc |
| | | RegionOne |
| | | internal: http://yun2:8776/v2/0e5426ebfffb4581b85dce45436576cc |
| | | |
+-----------+-----------+------------------------------------------------------------------+
防火墙
firewall-cmd --add-port=3306/tcp --permanent
firewall-cmd --add-port=80/tcp --permanent
firewall-cmd --add-port=123/udp --permanent
firewall-cmd --add-port=22/tcp --permanent
firewall-cmd --add-port=35357/tcp --permanent
firewall-cmd --add-port=5000/tcp
firewall-cmd --add-port=5000/tcp --permanent
firewall-cmd --add-port=9292/tcp --permanent
firewall-cmd --add-port=9696/tcp --permanent
firewall-cmd --add-port=8778/tcp --permanent
firewall-cmd --add-port=8776/tcp --permanent
firewall-cmd --add-port=8774/tcp --permanent
firewall-cmd --reload
role
安全包含两部分:
- Authentication(认证)--->解决的是“你是谁?”的问题
- Authorization(鉴权)--->解决的是“你能干什么?”的问题. keystone 借助 role 实现 Authorization
[root@yun2 log]# openstack role list
+----------------------------------+----------+
| ID | Name |
+----------------------------------+----------+
| 9fe2ff9ee4384b1894a90878d3e92bab | _member_ |
| aa2d974d95b14ecd92e2a5bdf20f2605 | admin |
| c5d4fd60f60f4fe58a2ad9295ee180cc | user |
+----------------------------------+----------+
keystone基本架构
- Token: 用来生成和管理token
- Catalog:用来存储和管理service ,endpoint
- Identity:用来管理tenant ,user,role和验证
- Policy:用来管理访问权限
Openstack (keystone 身份认证)的更多相关文章
- openstack核心组件——keystone身份认证部署服务(5)
node1主机执行 1.mysql -u root -p 2.create database keystone; 创建数据库 MariaDB [(none)]> show databases; ...
- OpenStack组件——Keystone身份认证
1.keystone介绍 keystone 是OpenStack的组件之一,用于为OpenStack家族中的其它组件成员提供统一的认证服务,包括身份验证.令牌的发放和校验.服务列表.用户权限的定义等等 ...
- 003-官网安装openstack之-keystone身份认证服务
以下操作均在控制节点进行 1.控制节点安装keystone服务 概念理解: Keystone是OpenStack框架中,负责身份验证.服务规则和服务令牌的功能, 它实现了OpenStack的Ident ...
- 云计算openstack核心组件——keystone身份认证服务
一.Keystone介绍: keystone 是OpenStack的组件之一,用于为OpenStack家族中的其它组件成员提供统一的认证服务,包括身份验证.令牌的发放和校验.服务列表.用户 ...
- openstack核心组件——keystone身份认证服务(5)
云计算openstack核心组件——keystone身份认证服务(5) 部署公共环境 ntp openstack mariadb-server rabbitmq-server memcache 1.w ...
- OpenStack Keystone安装部署流程
之前介绍了OpenStack Swift的安装部署,采用的都是tempauth认证模式,今天就来介绍一个新的组件,名为Keystone. 1. 简介 本文将详细描述Keystone的安装部署流程,并给 ...
- OpenStack keystone节点搭建(官方2018年4月份文档)
参考文档:https://docs.openstack.org/install-guide/common/conventions.html https://docs.openstack.org/mit ...
- Openstack keystone组件详解
OpenStack Keystone Keystone(OpenStack Identity Service)是 OpenStack 框架中负责管理身份验证.服务规则和服务令牌功能的模块.用户访问资源 ...
- keystone身份认证服务
Keystone介绍 keystone 是OpenStack的组件之一,用于为OpenStack家族中的其它组件成员提供统一的认证服务,包括身份验证.令牌的发放和校验.服务列表.用户权限的定义等等.云 ...
随机推荐
- springboot项目Invalid bound statement (not found): com.xxxx.dao.xxxDAO.xxx解决方法
1.首先判断自己的Dao和mapper的对应关系,注意要一一对应的. 2.配置信息出现问题,注意配置信息填写: 3.记住要细心细心,细心,重要的事情说三遍.
- C语言-表达式和运算符
表达式:表达式是c语言的主体,在c语言中,表达式由操作符和操作数组成.简单的表达式可以只有一个操作数.根据操作符的个数,可以将表达式分为简单表达式和复杂表达式,简单的表达式只含有一个操作符(如:5+5 ...
- JDK动态代理案例与原理分析
一.JDK动态代理实现案例 Person接口 package com.zhoucong.proxy.jdk; public interface Person { // 寻找真爱 void findlo ...
- 利用python 5分钟制作一款小游戏
1.安装pygame 在命令行cmd中输入:pip install pygame ( 注:如果安装不成功,需要输入:python -m pip install --user --upgrade pip ...
- Harbor镜像删除回收?只看这篇
最近,公司的技术平台,运维的破事儿颇多.Jira无法访问,ES堆内存不足,Jenkins频繁不工作..等等等,让我这个刚入门的小兵抓心脑肝,夜不能寐,关键时刻方恨经验薄弱呀!!一波未平,一波又起,这不 ...
- 关联实现上-jsonpath取值
举例子: demo01.py import jsonimport requestsimport jsonpathsession = requests.session()get_param_dict={ ...
- 【Java】流程控制 - 顺序结构、 选择(分支)结构(单分支、双分支、多分支、嵌套)、循环结构(for、while、do...while)、跳转语句(break、continue)
流程控制语句结构 文章目录 流程控制语句结构 一. 顺序结构 1. 输出语句 2. 输入语句 3.code 二.复合语句 三. 分支结构 1. 条件判断 1.单分支结构 2.双分支结构 3.多分支结构 ...
- leetcode 473. 火柴拼正方形(DFS,回溯)
题目链接 473. 火柴拼正方形 题意 给定一串数,判断这串数字能不能拼接成为正方形 思路 DFS,但是不能每次从从序列开始往下搜索,因为这样无法做到四个边覆盖不同位置的值,比如输入是(5,5,5,5 ...
- LeetCode872. 叶子相似的树
题目 1 class Solution { 2 public: 3 vector<int>ans1; 4 vector<int>ans2; 5 bool leafSimilar ...
- SGA: allocation forcing component growth分析
1.问题现象 20年12月31日,数据库应用人员反映2020-12-31 12:40:10存在告警,过了几分钟之后业务恢复正常. 表现的状态:Connect to database time out, ...