理解 Keystone 核心概念 - 每天5分钟玩转 OpenStack(18)

最新推荐文章于 2020-08-02 21:45:55 发布
原创 最新推荐文章于 2020-08-02 21:45:55 发布 · 3.4k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入介绍了OpenStack中的Keystone服务,Keystone作为OpenStack的基础支持服务,主要负责管理用户及其权限、维护服务Endpoint以及认证和鉴权等工作。文章详细解释了Keystone中的核心概念如User、Credentials、Token、Project和服务等,并探讨了它们之间的相互作用。

作为 OpenStack 的基础支持服务,Keystone 做下面这几件事情:

  1. 管理用户及其权限
  2. 维护 OpenStack Services 的 Endpoint
  3. Authentication(认证)和 Authorization(鉴权)

学习 Keystone,得理解下面这些概念:

User

User 指代任何使用 OpenStack 的实体,可以是真正的用户,其他系统或者服务。

当 User 请求访问 OpenStack 时,Keystone 会对其进行验证。

Horizon 在 Identity->Users 管理 User

除了 admin 和 demo,OpenStack 也为 nova、cinder、glance、neutron 服务创建了相应的 User。
admin 也可以管理这些 User。

Credentials

Credentials 是 User 用来证明自己身份的信息,可以是:
1. 用户名/密码
2. Token
3. API Key
4. 其他高级方式

Authentication

Authentication 是 Keystone 验证 User 身份的过程。

User 访问 OpenStack 时向 Keystone 提交用户名和密码形式的 Credentials,Keystone 验证通过后会给 User 签发一个 Token 作为后续访问的 Credential。

Token

Token 是由数字和字母组成的字符串,User 成功 Authentication 后由 Keystone 分配给 User。

  1. Token 用做访问 Service 的 Credential
  2. Service 会通过 Keystone 验证 Token 的有效性
  3. Token 的有效期默认是 24 小时

Project

Project 用于将 OpenStack 的资源(计算、存储和网络)进行分组和隔离。
根据 OpenStack 服务的对象不同,Project 可以是一个客户(公有云,也叫租户)、部门或者项目组(私有云)。

这里请注意:

  1. 资源的所有权是属于 Project 的,而不是 User。
  2. 在 OpenStack 的界面和文档中,Tenant / Project / Account 这几个术语是通用的,但长期看会倾向使用 Project
  3. 每个 User(包括 admin)必须挂在 Project 里才能访问该 Project 的资源。
    一个User可以属于多个 Project。
  4. admin 相当于 root 用户,具有最高权限

Horizon 在 Identity->Projects 中管理 Project

通过 Manage Members 将 User 添加到 Project 中

Service

OpenStack 的 Service 包括 Compute (Nova)、Block Storage (Cinder)、Object Storage (Swift)、Image Service (Glance) 、Networking Service (Neutron) 等。

每个 Service 都会提供若干个 Endpoint,User 通过 Endpoint 访问资源和执行操作。

Endpoint

Endpoint 是一个网络上可访问的地址,通常是一个 URL。
Service 通过 Endpoint 暴露自己的 API。
Keystone 负责管理和维护每个 Service 的 Endpoint。

可以使用下面的命令来查看 Endpoint。

root@devstack-controller:~# source devstack/openrc admin admin
root@devstack-controller:~# openstack catalog list

Role

安全包含两部分:Authentication(认证)和 Authorization(鉴权)
Authentication 解决的是“你是谁?”的问题
Authorization 解决的是“你能干什么?”的问题

Keystone 是借助 Role 来实现 Authorization 的:

  1. Keystone定义Role

  2. 可以为 User 分配一个或多个 Role
    Horizon 的菜单为 Identity->Project->Manage Members

  3. Service 决定每个 Role 能做什么事情
    Service 通过各自的 policy.json 文件对 Role 进行访问控制。
    下面是 Nova 服务 /etc/nova/policy.json 中的示例

上面配置的含义是:对于 create、attach_network 和 attach_volume 操作,任何Role的 User 都可以执行;
但只有 admin 这个 Role 的 User 才能执行 forced_host 操作。

OpenStack 默认配置只区分 admin 和非 admin Role。
如果需要对特定的 Role 进行授权,可以修改 policy.json。

下一节我们将通过例子加深对这些概念的理解。

CloudMan6
关注
使用kolla-ansible搭建安装OpenStack Tacker开发环境
李子无为的杂货铺
12-17 5660
在ETSI NFV ISG的参考模型中,MANO包含三大组件:NFVO、VNFM和VIM。由于ETSI标准化进程远落后于开源组织及设备制造商各自的开发进度,虽然各大开源MANO,如OSM、ONAP、OpenBaton等,都以ETSI的模型作为参考,但在参考点的定义和实现上仍然各自为战,实际上目前不能做到完全解耦,各厂商的MANO在某种程度上仍然是“软烟囱”。纵然如此,各厂商对于VIM的选择上,却不...
openstackkeystone介绍
查士丁尼绵_的博客
09-17 1649
KeystoneOpenStack的身份认证服务,提供用户管理、服务注册与RBAC权限控制等功能。其核心概念包括:domain(多租户隔离)、user(用户实体)、project(资源分组)、role(权限策略)和token(访问凭证)。Keystone支持三种认证方式(Token、外部、本地)和服务端点管理。RBAC通过policy文件实现权限控制,如限制非admin用户创建云硬盘。常用操作包括用户/服务的创建与管理,以及端点配置。以Nova创建实例为例,展示了KeystoneOpenStack组件间
openstack nova 基础知识——policy
成长的足迹
11-30 1万+
终于到了可以总结的时候了,policy本身的实现机制并不难,对我来说,难就难在python语法上,policy用到了很多高级的语法,逻辑性比较复杂,要理清其中的关系,还是要费一番功夫的。为此,还总结了另一篇blog,介绍了一下policy中用到的较为经典的语法。 1. 首先还是先来了解一下什么是policy,它是用来做什么的 在openstack的用户管理中,有三个概念:Users
keystone整体认识--学习与思考
Miss_yang_Cloud的博客
09-29 2575
此次学习过程,主要需要高清四个问题: (1)Keystone框架:服务端、客户端 (2)用户管理机制:如何验证用户身份、维护用户身份 (3)多租户的机制:从之前的单一模式,变化至今的原因,如何实现用户、角色、和租户的关联 (4)Token的相关机制:Token的使用好处、如何保存和维护(之前一直想有时候调试,过一段时间提示重新获取token,觉得好麻烦,可是如果不这样,安全性又降低了。。。
18-理解 Keystone 核心概念1
08-08
KeystoneOpenStack中的核心组件,主要负责身份管理、认证与授权,为OpenStack平台提供基础的安全框架。了解Keystone,首先需要掌握以下几个关键概念: 1. **User**:User代表使用OpenStack的实体,可以是实际的...
每天5分钟玩转openstack
04-27
对于初学者来说,《每天5分钟玩转OpenStack》是一本非常实用的学习资料[^2]。书中介绍了如何在本地环境中搭建小型测试集群,并逐步深入讲解各个模块的功能及其实现原理[^3]。 ##### 环境准备 建议从 Ubuntu 或 ...
openstack-keystone
01-16
token 是 OpenStack 中的核心概念之一,用户访问 OpenStack API 前,必须先获取 token,然后用 token 作为用户凭据访问 OpenStack API。下面我们将详细介绍 Keystone 中的四种 token。 UUID Token UUID token 是...
OpenStack系列公开课1-两小时玩转OpenStack
02-23
公开课的目标听众是希望了解OpenStack基本概念及其背景的个人。公开课的讲义和资料均遵循Creative Commons Attribution-ShareAlike 3.0 Unported License(CC BY-NC-SA 3.0)许可,即署名-非商业性使用-相同方式共享...
ubuntu18 kolla-ansible安装最全组件openstack
albertjone的博客
08-02 1万+
ubuntu18 kolla-ansible安装最全组件openstack 持续更新 preparation TLS handshake process RFC 8446 - The Transport Layer Security (TLS) Protocol Version 1.3 Certificate_authority Certificate authority - Wikipedia OpenStack Docs: Advanced Configuration Self-signed SSL
keystone创建service entity和API endpoint
xuqiaobo的博客
05-09 1208
keystone身份认证服务组件为Opnstack项目中其他服务组件的使用和操作提供了服务目录,任何一个Openstack项目中的服务组件都需要注册一个service entity和提供多个API endpoint。 1,OpenStack中有多个service entity,如Nova计算服务组件、Cinder块存储服务组件、Glance镜像服务组件。它们提供多个endpoint,用户可以通过
了解和使用keystone(一)keystone的基本认知
愷风(Wei)的专栏
09-10 7701
为啥想起要求了解keystone 想起keystone,并不是因为openstack,我目前没有参与涉及DC的项目。但是作为openstack的管理身份验证、服务规则和服务令牌功能的模块,可以对中性以上的项目给予帮助。因此就花了点时间来看keystone,目标是了解并在项目中使用keystone,这和在keystone开源的基础上开发自己数据中心的
keystone介绍
热门推荐
Fivestar_wang的专栏
09-27 1万+
keystone简介 keystone(openstack identity service)openstack框架中负责身份验证、服务规则和服务令牌的功能, 它实现了openstack的Identity API。 keystone类似一个服务总线,或者说是挣个openstack框架的注册表, 其他服务通过keystone来注册其服务的Endpoint(服务访问的URL),任何服务之间的相互调
RabbitMQ、Keystone的配置和创建service entity and API endpoints
Romona_J的博客
07-22 738
RabbitMQ的安装与配置 yum install -y rabbitmq-server #systemctl enable rabbitmq-server.service #systemctl start rabbitmq-server.service 创建一个RabbitMQ的用户openstack,密码也是openstack [root@linux-node1 ~]# rabbitmqctl add_user openstack openstack Creating user “opensta
基于SSM与Vue架构的病人跟踪治疗信息管理系统设计与实现(含源码及文档)
12-22
基于SSM架构与Vue技术构建的病人治疗追踪管理系统,采用Java编程语言实现业务逻辑,并以MySQL数据库作为数据存储支持。该系统主要包含三个用户角色:管理员、病人及普通访客。 管理员具备的功能模块包括:主界面、个人设置、病人档案管理、病例信息采集、预约安排、医生信息维护、核酸检测报告上传管理、行动轨迹记录管理、疾病分类配置、病人治疗进度跟踪、留言板处理以及系统参数管理。病人用户可操作:主界面、个人设置、病例信息查看、预约申请、医生查询、核酸检测报告上传、行动轨迹上报、个人治疗状态查询。访客端提供:首页浏览、医生信息展示、医疗资讯发布、留言反馈提交、个人中心、后台入口及在线咨询服务。 系统设计注重代码结构的清晰性与可维护性,强调功能实用性和界面简洁度,同时保持较强的扩展适应能力,便于后续功能升级与日常运维。 项目已通过实际运行测试,开发环境配置如下: - 编程语言:Java - 开发框架:Spring Boot - Java开发工具包:JDK 1.8 - 应用服务器:Tomcat 7 - 数据库系统:MySQL 5.7 - 数据库管理工具:Navicat 12 - 集成开发环境:Eclipse或IntelliJ IDEA - 项目构建工具:Maven 3.3.9。 资源来源于网络分享,仅用于学习交流使用,请勿用于商业,如有侵权请联系我删除!
电力系统单机无穷大电力系统短路故障暂态稳定Simulink仿真(带说明文档)
最新发布
12-22
【电力系统】单机无穷大电力系统短路故障暂态稳定Simulink仿真(带说明文档)内容概要:本文档围绕“单机无穷大电力系统短路故障暂态稳定Simulink仿真”展开,提供了完整的仿真模型与说明文档,重点研究电力系统在发生短路故障后的暂态稳定性问题。通过Simulink搭建单机无穷大系统模型,模拟不同类型的短路故障(如三相短路),分析系统在故障期间及切除后的动态响应,包括发电机转子角度、转速、电压和功率等关键参数的变化,进而评估系统的暂态稳定能力。该仿真有助于理解电力系统稳定性机理,掌握暂态过程分析方法。; 适合人群:电气工程及相关专业的本科生、研究生,以及从事电力系统分析、运行与控制工作的科研人员和工程师。; 使用场景及目标:①学习电力系统暂态稳定的基本概念与分析方法;②掌握利用Simulink进行电力系统建模与仿真的技能;③研究短路故障对系统稳定性的影响及提高稳定性的措施(如故障清除时间优化);④辅助课程设计、毕业设计或科研项目中的系统仿真验证。; 阅读建议:建议结合电力系统稳定性理论知识进行学习,先理解仿真模型各模块的功能与参数设置,再运行仿真并仔细分析输出结果,尝试改变故障类型或系统参数以观察其对稳定性的影响,从而深化对暂态稳定问题的理解
这是一个基于Prisma和SQLite数据库构建的现代化轻量级且开箱即用的个人作品集展示平台后端服务系统_该项目核心功能包括用户认证授权作品数据模型管理文件上传存储以及提供标.zip
12-22
这是一个基于Prisma和SQLite数据库构建的现代化轻量级且开箱即用的个人作品集展示平台后端服务系统_该项目核心功能包括用户认证授权作品数据模型管理文件上传存储以及提供标.zip
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值