OpenStack模块精讲——Keystone

最新推荐文章于 2024-07-02 02:17:56 发布
最新推荐文章于 2024-07-02 02:17:56 发布
阅读量568 收藏 2
点赞数 1
分类专栏: openstack 文章标签: openstack
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/klvjb/article/details/111143817
版权

目录

 

Keystone身份认证服务

一.Keystone简介

二.Keystone主要功能

三.Keystone管理对象概念

1.user

2.Credentials

3.Authentication

4.Token

5.Role

6.Project(Tenant)

8.Service

9.Endpoint

五.Keystone工作流程

Keystone身份认证服务

一.Keystone简介

Keystone(OpenStack Identity Service)是 OpenStack 框架中负责管理身份验证、服务规则和服务令牌功能的模块。用户访问资源需要验证用户的身份与权限,服务执行操作也需要进行权限检测,这些都需要通过 Keystone 来处理。Keystone类似一个服务总线, 或者说是整个Openstack框架的注册表, 其他服务通过keystone来注册其服务的Endpoint(服务访问的URL),任何服务之间相互的调用, 需要经过Keystone的身份验证, 来获得目标服务的Endpoint来找到目标服务。

二.Keystone主要功能

  • 身份认证(Authentication) :令牌的发放和校验
  • 用户授权(Authorization):授予用户在一个服务中所拥有权限
  • 用户管理(Account):管理用户账户
  • 服务目录(Service Catalog) :提供可用服务的API端点

三.Keystone管理对象概念

1.user

User即用户,指的是使用openstack service的用户,可以是人,服务,系统,就是说只要是访问openstack service 的对象都可以称为User

2.Credentials

是用于确认用户身份的凭证。可以是:用户名和密码、用户名跟API Kye(秘钥)、一个keystone分配的身份的token、用户第一次确认身份的方法、用户已经确认身份后的方法 (token是有时间限制的)

3.Authentication

 用户身份验证的过程。keystone服务通过检查用户的Credentials来确定用户的身份

 第一次验证身份是使用用户名与密码或者用户名与API Key的形式。当用户的Credentials被验证后,keystone会给用户分配一个Authentication token 供该用户的后续请求操作(返回的token中就包含User的Role列表)
   

4.Token

 是一串数字字符串,当用户访问资源时需要使用的东西,在keystone中主要是引入令牌机制来保护用户对资源的访问,同时引入PKI、PKIZ、fernet、UUID其中一个随机加密产生一串数字,对令牌加以保护

 token并不是长久有效的,是有时效性的,在有效的时间内可以访问资源。

5.Role

 本身是一堆ACL集合,主要用于权限的划分。
 可以给User指定Role,是user获得role对应的操作权限。
 系统默认使用管理Role的角色 管理员用户:admin 普通用户:member(老版本) user(新版本)
 user验证的时候必须带有Project。老版本叫(Tenant)
 

6.Project(Tenant)

 Project(Tenant)是一个人或服务所拥有的资源集合。不同的Project之间资源是隔离的,资源可以设置配额
 Project(Tenant)中可以有多个User,每一个User会根据权限的划分来使用Project(Tenant)中的资源
 User在使用Project(Tenant)的资源前,必须要与这个Project关联,并且制定User在Project下的Role,一个assignment(关联) 即:Project-User-Role

 

8.Service

 即服务,如Nova,Glace,等各个组件

 

9.Endpoint

 用来通过访问和定位某个openstack service的地址,通常是一个URL不同的region有不同的Endpoint(region使  用与跨地域的云服务,比如像阿里云有华北,华东等等,)
 任何服务都访问openstack service中的资源时,都要访问keystone

Endpoint分为三类:

  • admin url —>管理员用户使用 Port:35357
  • internal url —>openstack内部组件间互相通信 Port:5000 (组件之间通信基于Restful api)
  • public url —> 其他用户访问地址 Port:5000

五.Keystone工作流程

  • User从Keystone获取令牌以及服务列表,User访问服务时,亮出自己的令牌,相关的服务向Keystone求证令牌的合法性。
  • 用户alice登录keystone系统(password或者token的方式),获取一个临时的token和catalog服务目录(v3版本登录时,如果没有指定scope,project或者domain,获取的临时token没有任何权限,不能查询project或者catalog)。
  • alice通过临时token获取自己的所有的project列表。
  • alice选定一个project,然后指定project重新登录,获取一个正式的token,同时获得服务列表的endpoint,用户选定一个endpoint,在HTTP消息头中携带token,然后发送请求(如果用户知道project name或者project id可以直接第3步登录)。
  • 消息到达endpoint之后,由服务端(nova)的keystone中间件(pipeline中的filter:authtoken)向keystone发送一个验证token的请求。(token类型:uuid需要在keystone验证token,pki类型的token本身是包含用户详细信息的加密串,可以在服务端完成验证)
  • keystone验证token成功之后,将token对应用户的详细信息,例如:role,username,userid等,返回给服务端(nova)。
  • 服务端(nova)完成请求,例如:创建虚拟机。
  • 服务端返回请求结果给alice。
浅谈云计算的服务模式、关键技术、优势及面临问题
云计算女士
12-19 7086
云计算(Cloud Computing)是网格计算(Grid Computing )、分布式计算(Distributed Computing)、并行计算(Parallel Computing)、效用计算(Utility Computing)、网络存储(Network Storage Technologies)、虚拟化(Virtualization)、负载均衡(Load Balance)等传统计算机...
OpenStack集群部署——Keystone部署(二)
benziwu的博客
11-27 888
Keyston介绍补充。
Openstack安装过程精讲
最新发布
weixin_32349093的博客
07-02 88
1.基础环境准备禁用selinx、卸载firewalld和NetworkManager配置/etc/hosts解析主机名检查主机yum源,4个仓库,10670个软件包检查依赖软件是否安装检查NTP服务器是否正常可用检查/etc/resolv.conf不能有search开头的行结果如下所示:[root@openstack ~...
深入讨论OpenStack架构
Gengchenchen的博客
03-09 1516
文章目录前言:一、OpneStack 概念架构二、OpenStack 逻辑架构三、OpenStack组件通信关系四、OpenStack 物理架构 前言: 学习Openstack的部署和运维之前,应当熟悉其架构和运行机制,OpenStack 作为开源、可扩展、富有弹性的云操作系统,其设计基本原则如下: 按照不同的功能和通用性划分不同项目,拆分子系统 按照逻辑计划、规范子系统之间的通信 通过分层设计整个系统架构 不同的功能子系统间提供统一的 API 接口 一、OpneStack 概念架构 全局组件: 身份
keystone的详细功能
计算机辅助工程
11-26 3913
keystone的详细功能 keystone的基本概念 User(用户):用户身份认证,一个用户可以关联多个租户, Tenant(租户):相当于用户组的概念,一个Tenant可以容纳多个用户 Role(角色):关联到user和tenant, server(服务):服务的类型和名称(一般类型有identity,compute,network,image,object-store。) Endpoint(端点):服务的实例,(URL的入口) keystone模块; Token;用来生成管理token Ca
Keystone详解
实践求真知
02-21 6980
一 什么是KeyStoneKeyStoneOpenStack的组件之一,用于为OpenStack家族中的其它组件成员提供统一的认证服务,包括身份验证,令牌发放和校验,服务列表,用户权限定义等。二 KeyStone in OpenStack三 基本概念User(用户)用于身份认证,一个用户可以关联多个租户。Tenant(租户)相当于用户组的概念。一个租户可以容纳多个用户。Role(角色)关联到“用...
(三)VMware搭建开源OpenStack Ussuri版 —— keystone
qq_58485432的博客
04-24 202
mysql -u root -py # 密码是y,这样直接进入不用输密码 中间不隔空格# 创建keystone库(数据库用户)# 在本机上对keystone库中所有的表执行所有操作(增,删,改,查)# 在所有的远程计算机上对keystone库中所有的表执行所有操作(增,删,改,查)exit。
OpenStack——认证服务Keystone
01-27
KeystoneOpenStackIdentityService)是OpenStack框架中,负责身份验证、服务规则和服务令牌的功能, 它实现了OpenStack的IdentityAPI。Keystone类似一个服务总线,或者说是整个Openstack框架的注册表, 其他服务...
OpenStack组件精讲——镜像服务
qq_50987736的博客
05-31 2090
OpenStack组件精讲——glance镜像服务
openstack核心服务
weixin_48118868的博客
01-29 1740
文章目录1.keystone1.1简介1.2keystone主要功能1.3keystone相关概念1.4keystone认证流程(工作过程) 1.keystone 1.1简介 keystoneopenstack中的一个独立的安全认证模块,主要负责openstack用户的身份认真、令牌管理、提供访问资源的服务目录(即指引路径)、以及基于用户角色的访问控制 keystone类似一个服务总线,或者说是整个openstack框架的注册表,其他服务通过keystone来注册其服务的Endpoint(服务访问的URL
OpenStack主要逻辑模块Keystone身份验证服务
weixin_33995481的博客
04-18 396
Keystone作为Openstack的核心模块,为Nova(计算),Glance(镜像),Swift(对象存储),Cinder(块存储),Neutron(网络)以及Horizon(Dashboard)提供认证服务Keystone基本概念介绍之一User User即用户,他们代表可以通过keystone进行访问的人或程序。Users通过认证信息(credentials,如密码...
openstack(T)keystone相关
weixin_50344914的博客
02-22 339
openstack(T)keystone相关openstackkeystonekeystone身份服务管理对象认证流程openstackkeystone组件部署流程**创建数据库实例和数据库用户****安装、配置keystone、数据库、Apache****安装keystone、httpd、mod_wsgi****初始化认证服务数据库****初始化fernet 密钥存储库(以下命令会生成两个密钥,生成的密钥放于/etc/keystone/目录下,用于加密数据)****配置bootstrap身份认证服务*
从基础到理解——OpenStack的详解之路
wang961226的博客
12-10 616
Openstack介绍 是美国国家宇航局(NASA)和Rackspace合作开发的一个开源项目,目的是为公有云和社区云提供软件,但因其灵活性,也可以定制私有云。它是为云计算服务的,提供存储空间、计算能力等资源服务的Web Service。简单来说,OpenStack就是一个操作系统,一套软件,一套IaaS(基础设施即服务)软件,对资源进行管理,并且以服务的形式提供给上层应用或者用户去使用。 二 云计算的三种服务模式 2.1、基础设施及服务(Infrastructure as a Service,Ia
【云计算学习笔记(十三)】之KeyStone介绍
开发小鸽
05-17 4492
文章目录本文章由公号【开发小鸽】发布!欢迎关注!!!一. Keystone的意义(一)什么是Keystone(二)使用Keystone的意义二. Keystone的功能(一)用户管理(二)服务目录管理三. 认证服务中的关键词(一)User(用户)(二)Credentials(凭证)(三)Authentication(验证)(四)Token(令牌)(五)Tenant(租户)(六)Service(服务)(七)Endpoint(端点)(八)Role(角色)(九)Keystone Client(Keystone命令
openstack keystone整体架构与功能
热门推荐
wsfdl的专栏
03-05 3万+
关于keystone模块,我将从整体架构与功能,用户信息管理,认证服务3个模块用3篇文章进行分析。 1. keystone的基本功能           keystone作为openstack的Identity Service,提供了用户信息管理和完成各个模块认证服务。            用户信息管理:user/tenant基本信息,tenant管理            认证
keystone详解
freedom00001的博客
10-18 2935
keystone简介 keystoneOpenStack的核心组件之一,为OpenStack大家族中的其他组件提供统一的身份认证服务,包括身份认证、令牌发放和校验服务列表、定义用户权限等。OpenStack中所有服务的授权和认证都需要经过keystone,因此keystoneOpenStack中第一个需要安装的核心组件。 keystone原理 User user指代任何使用OpenStack...
OpenStack——Keystone
weixin_51615030的博客
03-12 1902
OpenStack——Keystone一、keystone身份服务二、keystone的主要功能三、keystone的相关概念四、keystone部署步骤1、创建数据库实例和数据库用户2、安装、配置keystone、数据库、Apache①安装keystone软件包②初始化认证服务数据库③初始化fernet秘钥存储库④配置bootstrap身份认证服务⑤配置Apache服务器⑥创建配置文件⑦配置管理员账户的环境变量⑧创建OpenStack域、项目、用户和角色⑨创建角色(可使用openstack role l.
Keystone组件详解
ZXJ_asu的博客
05-26 4184
了解openstack keystone组件
OpenStack-Keystone组件部署
Houtieyu的博客
12-15 961
文章目录前言OpenStack-Keystone组件部署一、创建数据库实例和数据库用户二、安装、配置keystone、数据库、Apache三、创建OpenStack 域、项目、用户和角色 前言 OpenStack组件安装的顺序 1、Keystone(apache) 2、glance 3、nova 4、neutron 注意事项 部署openstack组件时,需先行安装认证服务(keystone),而认证服务是使用Apache运行的,安装完成后才可以创建、管理账号,然后安装镜像服务(glance)、计
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Moon-01

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值