Openstack Keystone 认证流程(三)-WSGI

最新推荐文章于 2024-06-16 20:38:42 发布
最新推荐文章于 2024-06-16 20:38:42 发布
阅读量2.3k 收藏
点赞数 2
分类专栏: Openstack Keystone
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/TangHuanan/article/details/43671591
版权
本文详细介绍了OpenStack Keystone的Web服务创建过程,包括通过Paste Deployment配置WSGI服务,解析keystone-paste.ini文件,以及Keystone环境中的Server实现。文中提到了WSGI中间件、协程在提升性能上的作用,为后续的认证流程奠定了基础。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1. Web服务创建

在上一章中, 可以看在keystone-all中, 使用create_server创建了两个服务器, 先看看这个函数

from keystone.common import environment
from paste import deploy
...
def create_server(conf, name, host, port):
    app = deploy.loadapp('config:%s' % conf, name=name)
    server = environment.Server(app, host=host, port=port)
    if CONF.ssl.enable:
        server.set_ssl(CONF.ssl.certfile, CONF.ssl.keyfile,
                       CONF.ssl.ca_certs, CONF.ssl.cert_required)
    return server

首先调用deploy.loadapp('config:%s' % conf, name=name)来装载一个APP。conf是一个配置文件的文件名称, name是配置文件conf中对应的APP的名字。从之前的传入参数看, 两个服务对应的APP名称分别是admin和public. admin用来作为后台的管理API, 而public作为普通用户的认证服务。

返回到创建服务前的代码, 在keystone/config.py中, 在函数find_paste_config中,conf为CONF.paste_deploy.config_file, 然后在整个keystone的configuration文件(keystone.conf)中,可以找到对应获取这个conf文件名:keystone-paste.ini

同样的方法, 我们可以找出对应的admin_port = 35357, public_port = 5000 , 并且 bind_host = 0.0.0.0

在服务器确认下代码执行的结果

$ netstat -tlpn
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:35357           0.
最低0.47元/天 解锁文章
OpenStackkeystone(用户认证)
weixin_42795092的博客
03-09 3064
1)管理用户及其权限2)维护OpenStack Services 的 Endpoint3)Authentication(认证)和 Authorization(授权)keystone的名词概念。
OpenStack-T版——keystone认证服务+实验!
F2001523的博客
03-04 2622
文章目录一、keystone简介二、keystone身份服务功能keystone管理对象四、keystone认证流程4.1 Keystone工作流程图4.2 上图模块4.3 流程过程4.3.1 流程详细解析五、OpenStack架构的keystone组件部署六、部署keystone认证组件1. 创建数据库实例和数据库用户(在控制端上)2. 安装、配置keystone、数据库、Apache2.1 安装keystone、httpd、mod_wsgi2.2 对接mysql2.3 设置传递认证令牌的过程模式加密
Openstack Keystone 认证流程(七)--API 及 Driver
02-16 1637
在前面几章中, 我们基本上都过了Keystone处理的所有流程,但是还有两个小问题没有解决,现在就来解决它们。1. identity_api在keystone.token.controllers.Auth.authenticate方法中, 我们有用到identity_api, 但是却没有地方来初始它。回到Auth类定义的地方。@dependency.requires('token_provider_
keystone 身份验证流程(1)
spch2008的专栏
07-19 7087
之前在网上看到一张keystone工作流程图,如下:     credentials实际就是用户名,密码种类的东西。通过用户名与密码向keystone进行注册,取得一个token。   curl -d '{"auth": {"tenantName": "$YOUR_TENANT_NAME", "passwordCredentials":{"username": "$YOUR_USER_N
Openstack Keystone 认证流程(八)--总结
02-16 1872
花了差不多一星期的时间,总算是坚持下来了。以前都不太喜欢到处贴代码的风格,但是轮到自己,还是一样。 最后一篇,就不再贴代码了。前面对用户名及密码认证基本上都过了一次。但里面都是很细节的东西,而且没有太多的逻辑及框架, 最后一篇, 基于问题及框架来总结下。Q: KeystoneOpenstack中是干什么的? Keystone是进行3A认证的, 是所有服务的起始点,只有经过认证,其它的服务才会认
Keystone认证服务详细操作流程
weixin_57994384的博客
05-12 3546
第3章 全局服务类部署(上) 3.1 认证服务 3.1.1 服务简介 做为云操作系统的Keystone认证服务,主要提供两个功能: ①用户身份认证:为系统提供是否为合法用户的判断功能。对user的管理和保存,管理user的tenant、role、group、domain等,保存user的存放、验证、令牌管理等。 ②服务目录列表:显示系统提供的服务列表。其他服务通过keystone来注册其服务的Endpoint(服务访问的URL),任何服务之间的相互调用,需要经过keystone的身份验证来获得目标
keystone wsgi
llxx1234的博客
12-26 203
http://www.bubuko.com/infodetail-1470994.html
openstack------keystone安装部署
IvyXYW的博客
03-10 816
OpenStack-Keystone组件部署注意事项一、创建数据库实例和数据库用户二、安装、配置keystone、数据库、Apache2.1安装keystone、httpd、mod_wsgi初始化认证服务数据库初始化fernet 密钥存储库配置bootstrap身份认证服务配置Apache HTTP服务器创建配置文件开启服务配置管理员账户的环境变量、创建OpenStack 域、项目、用户和角色创建一个项目(project)创建角色查看openstack 角色列表查看是否可以不指定密码就可以获取到token
Linux安装keystone认证服务,CentOS 7.x 部署OpenStack认证服务 Keystone -奇搜博客
weixin_39927059的博客
05-10 485
一、基础理论篇1、Keystone的概述KeystoneOpenstack的组件之一,用于为Openstack家族中的其它组件成员提供统一的认证服务,包括身份验证,令牌的发放和校验,服务列表,用户权限的定义等。Openstack中任何组件均依赖与Keystone提供的服务。2、Keystone 功能用户与认证:用户权限与用户行为追踪。服务目录:为每个组件服务提供一个可用的服务目录和相应的API入...
keystone认证服务
wang_8218的博客
06-16 1592
OpenStack云计算平台中,Keystone是一个核心组件,主要用于提供统一的认证服务。
keystone WSGI流程
tianyeshiye
12-18 244
Keystone WSGI 的深入理解   作为OpenStack两种主要的通信方式(RESTful API与消息总线)之一,理解RESTful API的设计思路和执行过程,有助于我们对OpenStack有更好的理解。RESTful只是设计风格而不是标准,Web服务中通常使用基于HTTP的符合RESTful风格的API。而WSGI(Web ServerGateway Interface)则...
openstack(T版):keystone认证
Ryougi_Shiki_uio的博客
08-24 764
keystone身份认证服务 keystone的主要功能 keystone的管理对象 keystone认证流程 keystone服务的部署
openstackkeystone身份认证服务
weixin_50344820的博客
01-31 1797
文章目录keystone身份服务功能 keystone身份服务功能 身份认证:令牌管理、访问控制 在经过身份认证后,提供路径指引服务 用户授权:授权用户在一个服务中所拥有的权限 用户管理:管理用户账户 服务目录:提供可用于服务的API端点 ...
Openstack源代码分析之keystone部分(一)--WSGI接口流程分析
戏笔
11-02 4893
前面分析了keystone服务的启动工作,那启动后我们是怎么通过WSGI接口访问其中的服务的呢? keystone-paste.ini配置文件最下面 [composite:main] use = egg:Paste#urlmap /v2.0 = public_api [composite:admin] use = egg:Paste#urlmap /v2.0 = admin_
openstack关于添加了wsgi-keystone.conf后http启动失败问题
controllerha的博客
09-10 2976
最近发现了一个新的失败原因,一般来说添加wsgi-keystone.conf后http启动失败,无非是wsgi-keystone.conf写错了,要不就是mod_wsgi没有安装,这几天发现了一个新的问题,就是前面两个都正确,selinux没有关闭也会导致http启动失败。 总结: 1.检查wsgi-keystone.conf是否写错东西 2.检查mod_wsgi是否成功安装 3.检查se...
CentOS7进行OpenStack(queens)最小化部署实验出现的问题与解决过程
Dolphinsz的博客
07-25 3761
注:此文为《OpenStack(queens)最小化搭建记录——控制与计算共两个节点》的补充 1.chrony时间同步服务搭建的时候,出现计算节点无法与控制节点同步。(controller节点)   问题原因:控制节点防火墙开启,关闭防火墙即可解决。 2.启用OpenStack-queens储存库时,因为源节点在外网,访问速度过慢或常出错。(controller&compute节点)...
openstack安装之认证服务安装配置笔记
m0_56539278的博客
05-11 938
1、Mariadb设置 1.1、数据库服务 启动数据库服务 systemctl enable mariadb.service systemctl start mariadb.service 1.2、登陆数据库 使用mysql登陆数据库,数据库密码:zhitu2017 mysql -u root -p 在mariadb中创建库实例 ,名为keystone的数据库 CREATE DATABASE keystone; 1.4、创建用户 建用户keystone,密码zhitu2017,然后退出
rpm -qa|grep openstack-keystone openstack-keystone-16.0.2-1.el7.noarch cengos,Failed to discover available identity versions when contacting http://controller:5000/v3. Attempting to parse version from URL. Unable to establish connection to http://controller:5000/v3/auth/tokens: HTTPConnectionPool(host='controller', port=5000): Max retries exceeded with url: /v3/auth/tokens (Caused by NewConnectionError('<urllib3.connection.HTTPConnection object at 0x7f81835c14d0>: Failed to establish a new connection: [Errno 111] \xe6\x8b\x92\xe7\xbb\x9d\xe8\xbf\x9e\xe6\x8e\xa5',))
最新发布
03-29
<think>好的,我现在需要解决用户提到的OpenStack Keystone服务连接失败的问题,具体错误包括身份验证URL不可用和HTTP连接池重试超时。首先,我得理清用户提供的引用信息,找出可能的故障点。 用户引用了四个错误信息,主要涉及Keystone服务的连接问题。例如,引用[1]提到无法连接到http://10.2.5.156:35357/v3/auth/tokens,最大重试次数超限,连接被拒绝,错误码111。这说明目标主机的35357端口可能未开放或服务未运行。引用[2]和[3]显示发现身份版本失败,尝试解析URL中的版本,但curl测试时连接被拒绝,说明服务可能未启动或端口监听有问题。引用[4]则建议检查wsgi-keystone.conf配置文件,这可能与Apache配置相关,因为Keystone通常通过Apache的WSGI来部署。 接下来,我需要按照常规排错步骤来解决问题。首先检查Keystone服务状态,确认服务是否正在运行。如果服务未启动,自然无法连接。然后查看端口监听情况,35357和5000端口是否被正确监听。如果端口未监听,可能是服务配置错误或未绑定正确地址。 然后需要检查防火墙设置,确保相关端口没有被防火墙阻止。同时,检查Keystone的配置文件,如/etc/keystone/keystone.conf,确认admin_endpoint和public_endpoint的URL是否正确,是否有拼写错误或指向错误的主机名/IP。另外,Apache的配置文件wsgi-keystone.conf是否正确配置了虚拟主机和监听端口,确保Apache正确代理Keystone服务。 如果配置正确,但服务仍无法访问,可能需要检查DNS解析或/etc/hosts文件,确保controller、ct等主机名能正确解析到对应的IP地址。例如,用户引用中的错误地址是http://ct:5000,而curl测试时无法解析ct,可能需要配置hosts文件,将ct指向正确的IP。 另外,用户提到的错误涉及v3版本的身份验证,需要确认Keystone是否启用了v3 API,并且在配置文件中正确设置。同时,查看日志文件,如/var/log/keystone/keystone.log或Apache的error_log,寻找更详细的错误信息,帮助定位问题。 可能的解决方案包括重启Keystone和Apache服务,重新加载配置,或者修复配置文件中的错误。如果之前修改过配置文件,可能需要重新部署或同步配置。此外,网络连通性测试,如使用telnet或nc检查端口可达性,也是必要的步骤。 总结起来,解决步骤大致分为:检查服务状态和端口监听,检查防火墙,验证配置文件的正确性,检查DNS/hosts解析,查看日志,最后进行必要的服务重启或配置调整。需要逐步排查,从服务是否运行开始,逐步深入到配置细节和网络设置。</think>### OpenStack Keystone服务连接失败解决方案 #### 1. 检查Keystone服务状态 首先需确认Keystone服务是否正常运行: ```bash systemctl status openstack-keystone httpd # 检查服务状态 ``` 若服务未启动,需执行: ```bash systemctl start openstack-keystone httpd # 启动服务 systemctl enable openstack-keystone httpd # 设置开机自启 ``` #### 2. 验证端口监听状态 Keystone默认使用端口`35357`(admin)和`5000`(public)。执行以下命令检查端口是否监听: ```bash netstat -tulnp | grep -E '35357|5000' # 查看端口占用情况 ``` 若未监听,可能原因包括: - Keystone配置文件`/etc/keystone/keystone.conf`中`admin_endpoint`或`public_endpoint`配置错误 - Apache的WSGI配置未正确加载(检查`/etc/httpd/conf.d/wsgi-keystone.conf`)[^4] #### 3. 防火墙配置检查 确保防火墙允许相关端口通信: ```bash firewall-cmd --list-ports | grep -E '35357/tcp|5000/tcp' # 查看开放端口 ``` 若未开放,添加规则: ```bash firewall-cmd --add-port={35357/tcp,5000/tcp} --permanent firewall-cmd --reload ``` #### 4. 验证身份认证URL可达性 使用`curl`测试身份认证端点: ```bash curl -v http://controller:35357/v3 # 测试admin端点 curl -v http://ct:5000/v3 # 测试public端点 ``` 若返回`Connection refused`(错误码111)[^3],需排查: - 网络连通性(`ping ct`检查DNS解析) - `/etc/hosts`中是否包含正确的主机映射(如`10.2.5.156 ct controller`) #### 5. 配置文件关键参数验证 检查`/etc/keystone/keystone.conf`: ```ini [token] provider = fernet # 确保使用有效token生成方式 [DEFAULT] admin_endpoint = http://10.2.5.156:35357/v3 # 需与实际IP一致 public_endpoint = http://ct:5000/v3 ``` #### 6. 日志分析 查看关键日志定位具体错误: ```bash tail -f /var/log/keystone/keystone.log # Keystone服务日志 journalctl -u httpd -f # Apache服务日志 grep 'ERROR' /var/log/httpd/ssl_error_log # WSGI错误日志 ``` #### 7. 服务重建与同步 若配置修改后未生效,可尝试: ```bash keystone-manage db_sync # 同步数据库 apachectl graceful # 平滑重启Apache systemctl restart openstack-keystone # 重启Keystone ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值