openstack之role篇

OpenStack角色(Role)详解与操作指南
最新推荐文章于 2023-09-13 15:05:45 发布
原创 最新推荐文章于 2023-09-13 15:05:45 发布 · 5.5k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了OpenStack中的Role概念,它规定了用户可以执行的操作。Role与Tenant紧密相关,用于管理用户权限。文章详细展示了如何进行Role的基本操作,包括创建、删除,并演示了如何通过Role将用户添加到不同Tenant中,赋予用户访问和管理资源的权限。

一、role简介

  从《openstack之tenant篇》我们知道,一个用户可以同时属于多个tenant,根据openstack.org里对role的定义,role规定了一个用户能够实现的行为。这个定于似乎稍显神秘,其实从管理用户使用的角度来说,role是和tenant息息相关的,一个用户想要加入另一个tenant,必须借助于role来完成,而由于tenant规定了其成员的行为规范,所以role也间接的起到了对于用户行为的规定。


二、role基本操作

  与user,tenant等一样,role的操作也无怪乎创建,更新,删除,列举等:

  列举:

  # keystone role-list

 创建:

 # keystone role-create

  删除:

  # keystonerole-delete

  ... 等等,由于太过简单,这里不再说明。


通过role操作用户

 下面着重介绍通过role将一个用户加入到另一个tenant的小魔法。

  首先,创建两个tenant, 分别命名为tenant1和tenant2(注意创建tenant,user, role的keystone命令必须有administrator权限,这里对所有administrator操作忽略相关用户/密码/tenant的声明):

 # keystone tenant-create --name tenant1 --enabled true

 # keystone tenant-create --name tenant2 --enabled true


 为tenant1创建用户user1, 为tenant2创建用户user2:

  # keystone user-create --name user1 --tenant-id <tenant-id of tenant1> --pass password --enabled true  

  # keystone user-create --name user2 --tenant-id <tenant-id of tenant2> --pass password --enabled true     
       
  先不进行role操作,用user1用户创建一个instance:

  # nova --os-username user1--os-password password --os-tenant-name tenant1 boot test --image "cb79a458-169d-413e-89d0-02bcae61569a" --flavor 1

  #nova --os_username user1 --os_password password --os_tenant_name tenant1 list

  +--------------------------------------+-------+--------+---------------------------+

  | ID                                   | Name  | Status | Networks                  |
  +--------------------------------------+-------+--------+---------------------------+
  | 88bc939b-e29e-44ee-9f09-ec45a93ee6c4 | test | ACTIVE | nova_fixed=192.168.123.65 |
  +--------------------------------------+-------+--------+---------------------------+

  这时候,用user2用户登录,是无法对user1用户创建的instance进行操作的。

  #nova --os_username user2 --os_password password --os_tenant_name tenant2 list

最低0.47元/天 解锁文章
openstackrole到底怎么用
08-17 905
openstack怎么实现权限管理
openstack之senlin项目之简介
albertjone的博客
07-15 2546
openstack之senlin项目之简介 前言 所有服务安装使用的用户都是root 下面openstack cli client均使用环境变量来提供认证 如果集群状态没有向文章中描述的变化, 不妨停一下, 毕竟是个异步且耗时的操作 本文基于的ussuri版本的senlin, 该版本的senlin由原来的两个服务变成了现在的4个服务:senlin-conductor, senlin-engine, senlin-health-manager, senlin-api.新增了senlin-conductor,
OpenStack(2)--项目(租户)、用户、角色
weixin_48878440的博客
06-21 4018
openstack项目、租户、用户、角色之间的关系,openstack新建项目,openstack新建用户,openstack新建角色,openstack用户绑定项目与角色
OpenStack 中对于Users(用户)Roles(角色)Tenants(租户)project(项目)的理解
ai低吟浅唱的博客
03-27 4824
Keystone组建身份管理对于用户主要有三个概念: Users (用户) Roles(角色) Tenants (租户) project (项目) 下面参考OpenStack官方文档的解释: user In OpenStack Identity, entities represent individual API consumers and are owned by a
openstack Horizon的user/project/role/group
jason的笔记
09-23 1217
Horizon 在 Identity->Users 管理 User 针对每个user的操作如下: Project 用于将 计算、存储和网络等资源进行分组和隔离 Horizon 在 Identity->project 管理 project 针对每个project的操作如下: openstack中的quota 调试对资源的限制,其有一组默认值
openstack
vhkgcf的博客
05-21 615
主机: [root@foundation20 mnt]# cd /var/www/html/ [root@foundation20 html]# ls docker rhel6.5 rhel7.3 [root@foundation20 html]# lftp 172.25.254.250 lftp 172.25.254.250:~> cd pub/ lftp 172.25.254...
学会OpenStack之Keystone服务一就够了!!!
下一个艺术家
12-17 3951
Keystone (OpenStack Identity Service)是OpenStack中的一个独立的提供安全认证的模块,主要负责openstack用户的身份认证、令牌管理、提供访问资源的服务目录、以及基于用户角色的访问控制。 Keystone类似一个服务总线,或者说是整 个Openstack框架的注册表,其他服务通过keystone来注册其服务的Endpoint (服务访问的URL),任何服务之间相互的调用,需要经过Keystone的身份验证。
学会OpenStack之核心Nova服务一就够了!!!
下一个艺术家
12-25 8992
博客介绍了,OpenStack中最重要的组件Nova,它是负责提供计算资源的模块,也是OpenStack中的核心模块。OpenStack使用计算服务来托管和管理云计算系统。主要功能是负责虚拟机实例的生命周期管理、网络管理、存储卷管理、用户管理以及其他的相关云平台管理功能。
OpenStack之Curl使用
02-07
综上所述,本文档主要介绍了如何使用curl工具来操作OpenStack的keystone API,涵盖了从基础的API调用到具体的业务和管理API测试,以及如何使用curl进行API调试和Swift ReST API操作的相关知识。掌握这些知识点,...
openstack keystone role API详解
ztejiagn的专栏
03-15 1053
以下为keystone 角色相关的API详解: ########################################### # version: v1.0.0 # author : Qinglong Meng # date   : 2013-3-4 ########################################### 1. role
Openstack租户(项目)、用户、角色的概念与管理
北观止的博客
07-21 9370
Openstack租户、用户、角色的概念与管理 Openstack项目、用户、角色的概念与管理
openstack的使用
a_azy_dog的博客
11-24 433
首先启动服务: source /etc/keystone/admin-openrc.sh 创建用户: (并不是一定这个格式密码–password可不写。邮箱–email可不写。域名–domain可不写。) openstack user create --password 000000 --email cod@example.com --domain demo kop 创建项目需要project create用到 : openstack project create --domain demo cko 创建角
openstack用户管理:user(用户),tenant(租户),role(角色)
SYQ15544423296的博客
09-13 864
在API 3之前的版本,使用tenant, API 3之后的版本,更多的使用project。目前的openstack版本(Mitaka (April 2016))中,更多的使用的是peoject(项目)这个词,而不倾向于使用tenatn(租户)。2、用户通过租户访问计算管理资源(这里的计算管理资源可以理解为openstack服务),也就是说必须指定一个相应的租户才可以申请openstack服务。项目组属于不同的租户。1、角色是可执行一特定系列操作的用户特性,角色规定了用户在某个租户中的一系列权利和特权。
openstack—身份管理】
weixin_45093078的博客
04-21 4366
目录 前言 domain 域 project 项目 user 用户 group 用户组 role 角色 前言 在openstack中身份管理由keystone组件完成。其中涉及域、项目、用户、用户组、角色的相关概念。本文结合openstack的图形化界面来学习相关概念,便于理解。 domain 域 域(domain)是认证边界,通常一个openstack平台不需要创建域,因为keystone本身就有一个默认的域,名为Default。项目、用户、用户组、角色都包含在域中。 ...
openstack身份管理
肖飞figo的云计算专栏
04-11 8098
基本概念 身份服务有两个主要功能: 1、用户管理:记录用户和他们的权限 2、服务目录:提供可用服务和该服务api的终端地址 身份服务定义了一些非常值得理解的定义: 用户(User):使用OpenStack云服务的人、系统、服务的数字表示。身份验证服务验证用户传入的请求。用户登录可能被赋予访问资源的令牌。用户可能直接被指定给一个特定租户,好像用户在这个租户中一样。 认证信息(Cred
openstack 常用命令回顾及总结
流金岁月的专栏
01-31 9330
openstack 常用命令
keystone服务运维
qq_51085767的博客
11-26 740
keystone 服务运维 命令使用之前需要 先运行环境变量 #source /etc/keystone/admin-openrc.sh 二、用户的相关命令(user) (1)显示用户列表 #openstack user list (2)创建用户 openstack user create –password 密码 –email 邮箱 –domain 域 其后跟用户名 #openstack user create --password 000000 --email 123@qq.com --doma
OpenSearch
热门推荐
u011179505的博客
05-13 1万+
opensearch安装
openstack的用户(user), 租户(tenant), 角色(role)概念区分
AIfurture的博客
08-20 5747
用户身份管理有三个主要的概念: 用户Users 租户Tenants 角色Roles 1. 定义 这三个概念的openstack官网定义(点击打开链接) 1.1 用户(User) openstack官网定义User为“In OpenStack Identity, entities represent individual API consumers and are owned by a specif...
openstack role有多少个
最新发布
05-09
<think>好的,用户现在想了解OpenStack中角色的数量和相关信息。首先,我需要回忆一下OpenStack的角色管理机制。记得OpenStack使用基于角色的访问控制(RBAC),角色决定了用户可以访问哪些资源。常见的默认角色包括admin、member、reader等,但具体数量和功能可能因版本或配置而异。 根据引用[2],用户在创建系统用户时需要关联角色,例如给neutron用户添加admin角色。这说明角色在服务账户权限分配中起关键作用。同时,引用[4]提到了OpenStack的架构,其中服务组件如Keystone负责身份认证,角色管理应属于Keystone的职责范围。 接下来需要确认默认角色及其功能。比如,admin角色通常拥有最高权限,管理整个云环境;member用于普通用户操作资源;reader可能只读。此外,项目管理员角色可能在特定项目中拥有管理权。可能还有其他自定义角色,用户可以根据需求创建。 需要检查是否有引用提到具体角色数量。现有的引用中没有明确列出所有角色,但根据知识,OpenStack默认安装后通常有三个基础角色,但用户可扩展。比如,在较新版本中,默认角色可能包括admin、member、reader,替代旧的admin和_成员_角色。 另外,角色与项目和用户的关联方式也很重要。引用[2]中的命令展示了如何将用户关联到角色,例如openstack role add命令。角色可以跨项目分配,赋予不同级别的权限。 最后,用户可能需要知道如何查看现有角色,可以使用openstack role list命令。同时,自定义角色需要管理员权限,通过命令行或仪表盘创建。总结时需明确角色数量、核心功能及管理方法,确保回答准确并参考了提供的引用内容。</think>### OpenStack角色体系详解 OpenStack采用基于角色的访问控制(RBAC)机制,角色数量根据版本和配置可动态扩展,默认包含三个核心角色: $$ \text{基础角色} = \begin{cases} \text{admin} & \text{(系统管理员)} \\ \text{member} & \text{(项目成员)} \\ \text{reader} & \text{(观察者)} \end{cases} $$ #### 核心角色功能说明 1. **admin** - 权限范围:跨所有项目的完全控制权 - 典型操作:创建/删除项目、管理网络拓扑、调整配额 - 关联方式:通过命令`openstack role add --project service --user neutron admin`实现[^2] 2. **member** - 权限范围:指定项目内的资源操作 - 典型操作:启动虚拟机、创建存储卷、配置安全组 - 特殊限制:无法修改项目级设置 3. **reader** - 权限范围:全局只读访问 - 典型操作:查看资源清单、检查服务状态、读取日志 - 安全特性:防止数据篡改的设计 #### 扩展角色机制 通过Keystone服务可创建自定义角色,例如: - **network_admin**:专管网络配置 - **security_auditor**:安全策略审查 - **backup_operator**:数据备份操作 创建命令示例: ```bash openstack role create custom_role_name ``` #### 角色管理实践 1. **查看角色列表** ```bash openstack role list ``` 输出格式: ``` | ID | Name | |-----------|---------| | 123456789 | admin | | 987654321 | member | ``` 2. **权限验证流程** ```mermaid graph LR A[用户请求] --> B{Token验证} B -->|通过| C[策略引擎检查] C --> D{角色权限匹配?} D -->|是| E[执行操作] D -->|否| F[拒绝访问] ``` #### 权限控制要点 - 服务账户需绑定admin角色(如Neutron网络服务)[^2] - 细粒度控制通过`policy.json`文件实现 - 角色与项目的关系通过`role assignment`建立
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值