policy and pbr/distibution

最新推荐文章于 2023-11-05 17:32:53 发布
原创 最新推荐文章于 2023-11-05 17:32:53 发布 · 424 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入探讨了Nova模块中的政策与权限机制,详细分析了policy.json文件的结构和作用,解释了如何通过enforce函数实现权限检查,并解析了policy.json文件中的规则结构与含义。

关于policy:

前面说keystone的时候,keystone的作用是认证/授权,这里policy我理解成鉴权,功能有很大的交叠部分,也可以认为属于一类,不过侧重点不一样,即使认证通过,

还得通过鉴权再次细分。


无论是nova还是neutron等模块,/etc/xxx下基本都有policy.json的文件,内容风格近似,在nova中,我们可以看到nova.policy.enforce或者wrap_check_policy的decorator,

其实,trace进去wrap_check_policy,实际调用的还是nova.policy.enforce而已。

nova中policy的代码有两个地方,和其他模块类似:

1. nova/policy.py #实际上没有针对nova做什么,像是nova的调用入口,简单的封装了而已

2.nova/openstack/common/policy.json #openstack公共的部分,又没有专门的模块,比如做成oslo的模块的,很多放这里,我觉得以后可能会做到oslo库中


调用的代码逻辑很清晰:

1. nova.policy.enforce中:

 init() #初始化,指明鉴权文件(可能有目录,目前没看到,都是policy.json而已)

credentials = context.to_dict() #context在前面专门讲过,包含project_id, user_id等rest call的东西,被openstack封装成为context

_ENFORCER.enforce(action, target, credentials, do_raise=do_raise,exc=exc, action=action) #调用openstack/common/policy.py中的enforce


2.在openstack.common.policy.py中首先是self.load_rules()

为了提高policy.json的读取效率,设置了cache,根据是否force_reload决定read_cached_file是什么

读取policy.json最后fill self.rules

         if overwrite:
            self.rules = Rules(rules, self.default_rule)
        else:
            self.rules.update(rules)

在load过程中,rules = Rules.load_json(data, self.default_rule)是整个policy的核心,其实在我看来,为什么非要写的这么。。。又是元类又是各种解析的,

配置文件是人为定义的,完全可以更简单更清晰!

 rules = dict((k, parse_rule(v)) for k, v in  jsonutils.loads(data).items())

对    "compute:v3:servers:start": "rule:admin_or_owner",而言,k是compute:v3:servers:start, 其中compute:v3:servers是scope,start是action,理解成compute:v3:servers

的start动作受到怎么样的鉴权限制;

rules是一个dict,value是parse_rule(v)

如果rule是string返回,_parse_text_rule(text),否则_parse_list_rule(list)

返回一个xxCheck(roleCheck,HttpCheck等,注意都重载了__call__),这里可以trace进去看细节。。。个人觉得这样炫技的写法实在是没必要。。。


实际执行时,执行这些xxCheck即可,至于这些check表示什么意思,mark link有了很好的解释(注意rule是可以嵌套的)



mark link

http://blog.chinaunix.net/uid-20940095-id-4144300.html


关于pbr/distribution部分:

之前做了一些关于openstack项目本身是如何打包发布,以及git下项目之后,babel.cfg, requirements.txt,setup.py, setup.cfg等的意义,后来发现有两篇文章说的很好,

我作为参考即可:

http://wenxueliu.github.io/blog/02/09/2014/python-pbr/

http://blog.youkuaiyun.com/xluren/article/details/41114779

dingdingwolf
关注
【openwrt】openwrt PBRPolicy-Based Routin)介绍及使用
wgl307293845的博客
12-15 1244
在 OpenWrt 中,PBRPolicy-Based Routing,基于策略的路由)是一种高级路由技术,允许根据特定的策略(如源地址、目的地址、端口等)来决定数据包的路由路径,而不是仅仅依赖于目的地址。这在需要对不同类型的流量进行不同处理时非常有用,比如将某些流量通过 VPN 路由,而其他流量则通过默认网关。以下是 OpenWrt 中实现 PBR 的基本步骤:安装 PBR 软件包:配置 PBR:定义路由表:启用并测试:日志和调试:通过 PBR,你可以实现更灵活的网络流量管理,满足复杂的网络需求说明假设
PBR(Policy-Based Routing策略路由)实验举例
weixin_56548356的博客
05-31 2923
华为官方文档说过PBR适用于本地(本地始发流量)PBR 不适用于接口(转发流量)PBR,尽管你可以在部分设备上使用接口PBR 而且只是部分设备支持PBR 如果你们遇到实验效果不符 那请换成MQC(模块化Qos命令行)路由策略与策略路由的区别 前者是对路由表操作 策略路由则是对数据包进行操作(包括转发接收丢弃等)(2)192.168.5.0/24-192.168.5.0/24访问Internet经ISP2。,**traffic policy(流策略)**进行操作。为了更好的测试 我加了台路由器模拟真实环境。
PBR (policy-based-route,策略路由)
m0_71264131的博客
11-05 4806
4.2、if-match子句的配置。5.1、基于源地址的PBR应用。4.3、apply子句的配置。4.4、PBR显示与维护。4.1、PBR的创建。
openstack policy 过程分析
wenwenxiong的专栏
05-30 1820
openstack 简单介绍 众所周知,openstack通过keystone用来完成authenticate(认证),真正的(authorize)是在各个模块分别做的,具体实现为每个模块都有一个policy文件,叫policy.json,里面定义了用的rules。 以nova为例,policy文件的位置在:/etc/nova/policy.json,下面先来看几条rules,了解其
策略路由(PBR)
热门推荐
F2444790591的博客
01-04 2万+
1、基本概念 PBR (Policy-Based Routing,策略路由): PBR使得网络设备不仅能够基于报文的目的IP地址进行数据转发,更能基于其他元素进行数据转发,例如源IP地址、源MAc地址、目的MAc地址、源端口号、目的端口号、VLAN-ID等等。 用户还可以使用ACL匹配特定的报文,然后针对该ACL进行PBR部署。 若设备部署了PBR,则被匹配的报文优先根据PBR的策略进行转发,即PBR策略的优先级高于传统路由表。(仅在华为路由设备中) ...
路由策略Routing Policy和策略路由PBR的区别
qq_44314045的博客
09-03 1612
这是面试的时候问道的一个问题,这里跟大家分享一下 路由策略(Routing Policy)是为了改变网络流量所经过的途径而修改路由信息的技术; PBR(policy-based-route)是一种依据用户制定的策略进行路由选择的机制; 可以把路由策略理解为一种改变路由属性的技术,策略路由是一种工程师设置的一种路由; 这里路由策略用routing policy代替,策略路由用PBR代替; routing policy通过改变了路由的属性,然后路由器根据路由属性然后达到路由过滤、负载...
【Unity】Unity5.0之PBR/PBS详解
阿黄的博客
03-02 4925
什么是PBS PBS(Physically Based Shading)在有一些地方也叫PBR(Physically Based Rendering),是一个基于物体表面材质属性的着色方法。与之前的Blinn-Phong等算法不同。PBS通过对物体表面的材质属性与周围光照信息来进行着色计算。PBS着色系统中,一个物体不仅受到光源的影响,还会受到周围环境的影响。 这会使得整个场景更加真实。 PBS有一个大前提,就是它能够满足光能传播过程中的能量守衡。能量守衡体现在三个方面。 1、一个对象反射出来的光照信
精选资源
基于C++/OpenGL ES3实现PBR/IBL渲染器
03-23
基于C++/OpenGL ES3实现PBR/IBL渲染器 配置: Android Studio 2020.3.1.RC1 NDK 21.2.6472646 OpenGL 3.0 ES CMake 3.4+ 通过HDR贴图生成cubmap贴图实现基于环境的光照 手动调整材质贴图缩放比列和displacement ...
php 正则去掉p/p 空格 与pbr//p
01-19
$str='\n </p>\n </p>\n </p>\n </p>\n<p><strong><span xss=removed>Factory Supply High Quality Maitake Mushroom Extract Powder Bulk</span></strong></p>\n </p>\n </p>Product Name\n </p>';...
configure set forwarding-options family inet policy PBR-POLICY term match-http match source-address 192.168.10.0/24 set forwarding-options family inet policy PBR-POLICY term match-http match protocol tcp set forwarding-options family inet policy PBR-POLICY term match-http match destination-port 80 set forwarding-options family inet policy PBR-POLICY term match-http then next-hop 10.1.1.254 set interfaces xe-0/0/1 unit 0 family inet forwarding-policy PBR-POLICY commit
07-02
嗯,用户需要配置Junos设备的PBR策略,这是一个具体的网络工程需求。用户给出了明确的参数:源网段192.168.10.0/24、TCP协议、目的端口80的流量要转发到10.1.1.254,并应用到xe-0/0/1接口。用户可能正在部署Web服务...
详细介绍策略路由和路由策略的区别
weixin_34357887的博客
11-09 893
详细介绍策略路由和路由策略的区别 作者: 烟雨楼 出处:百度博客 (1)砖(3)好评论(0 ) 条  进入论坛 更新时间:2007-09-30 09:27关 键 词:策略路由路由策略网络设备维护阅读提示:在网络设备维护上,现在很多维护的资料上都讲到“路由策略”与“策略路由”这两个名词,但是有很多搞维护的技术人员对这两个名词理...
PBR (policy-Based routing,策略路由)总结
achejq的专栏
12-31 8274
来源:http://holtzhang.blog.51cto.com/340794/600371 一:PBR的功能介绍     1:PBR可以用于路由重新分配。基于PBR我们可以在重新分配路由时有选择的重分配。(当然还有其它手段passive-interface,distribute-list,还有route-map实现)。一般来说,PBR是通过路由映射来配置的(route-map)。
认证和注册,提交到App Store:
banhe7958的博客
01-20 242
账号分为个人和公司个人付费后2天左右,收到激活邮件,可以使用member center certificates,identifiers&profiles:certificates 认证:developer的认证 和 production认证 建议认证只创建一次,不要随便删除,因为是和其他证书关联的,删除需要重新创建关联更新identifiers id:认证过后,创建id,可以...
Feigong,针对各种情况自由变化的mysql注入脚本,In view of the different things freely change the mysql injection scrip
最新发布
12-17
下载前可以先看下教程 https://pan.quark.cn/s/90f2470d331b Feigong --非攻 rm... 最近有了新的体验...Feigong 2.0loading....
【空气质量预测】北京 36 站预处理数据 落地即用无套路!.zip
12-17
【空气质量预测】北京 36 站预处理数据 落地即用无套路!.zip
理光 MP7503 MP6503 MP9003 维修手册p
12-17
理光 MP7503 MP6503 MP9003 维修手册p
【电子测试设备】基于USB-TMC协议的SPD3000系列直流稳压电源固件升级方法:通过EasyPower软件实现.ugf文件更新操作指导
12-17
内容概要:本文介绍了鼎阳直流稳压电源SPD3000系列的固件升级方法,通过PC端管理软件EasyPower和USBTMC连接实现。升级过程包括:安装EasyPower软件并建立与电源设备的USB连接,在软件界面中选择“版本”菜单下的“升级”选项,进入固件升级对话框后选择扩展名为.ugf的固件文件,确认后点击“升级”按钮开始更新。升级过程中需等待进度条完成,结束后重启设备即可正常使用。文中配有操作界面图示,详细展示了各步骤的操作位置和流程。; 适合人群:电子工程师、技术支持人员及具备基本仪器操作经验的实验室技术人员;适用于需要维护或更新SPD3000系列电源设备固件的专业用户。; 使用场景及目标:①当设备功能异常或需要新增功能时进行固件升级;②配合最新版EasyPower软件确保设备兼容性和稳定性;③提升设备性能或修复已知问题。; 阅读建议:在执行升级前请确保正确安装驱动和软件,并使用官方提供的.ugf格式固件文件,避免升级失败。操作过程中保持设备供电稳定,切勿中断升级流程,以防设备损坏。
米游社每日米游币自动化脚本
12-17
源码地址: https://pan.quark.cn/s/d1f41682e390 miyoubiAuto 米游社每日米游币自动化Python脚本(务必使用Python3) 8更新:更换cookie的获取地址 注意:禁止在B站、贴吧、或各大论坛大肆传播! 作者已退游,项目不维护了。 如果有能力的可以pr修复。 小引一波 推荐关注几个非常可爱有趣的女孩! 欢迎B站搜索: @嘉然今天吃什么 @向晚大魔王 @乃琳Queen @贝拉kira 第三方库 食用方法 下载源码 在Global.py中设置米游社Cookie 运行myb.py 本地第一次运行时会自动生产一个文件储存cookie,请勿删除 当前仅支持单个账号! 获取Cookie方法 浏览器无痕模式打开 http://user.mihoyo.com/ ,登录账号 按,打开,找到并点击 按刷新页面,按下图复制 Cookie: How to get mys cookie 当触发时,可尝试按关闭,然后再次刷新页面,最后复制 Cookie。 也可以使用另一种方法: 复制代码 浏览器无痕模式打开 http://user.mihoyo.com/ ,登录账号 按,打开,找到并点击 控制台粘贴代码并运行,获得类似的输出信息 部分即为所需复制的 Cookie,点击确定复制 部署方法--腾讯云函数版(推荐! ) 下载项目源码和压缩包 进入项目文件夹打开命令行执行以下命令 xxxxxxx为通过上面方式或取得米游社cookie 一定要用双引号包裹!! 例如: png 复制返回内容(包括括号) 例如: QQ截图20210505031552.png 登录腾讯云函数官网 选择函数服务-新建-自定义创建 函数名称随意-地区随意-运行环境Python3....
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值