KeyStone 简要分析

最新推荐文章于 2025-10-26 03:26:09 发布
原创 最新推荐文章于 2025-10-26 03:26:09 发布 · 3.2k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#数据库 #python

2021SC@SDUSC

KeyStone 简要分析

一,KeyStone是什么
keyStone是openstack中提供identity,token,catalog和policy服务的组件,实现了openstack的身份认证API。

​ 身份认证服务包含了两个基本服务:

  • 用户管理:记录用户和用户所被允许执行的工作。
  • 服务日志:提供一个关于什么服务是被允许的和它们的AP入口位置的日志。
二.KeyStone 架构

KeyStone根据传统,承担了一组内部服务,向外暴露一个或多个服务入口节点。

  1. 身份认证:身份认证服务为用户,租客和角色(for USER,Tenant and Role)提供了认证评估验证和和数据以及相关元数据;

  2. Token:在一个user或者tenant在验证之后,发给其一个Token,Token服务可以验证并管理这些Token(类似cookie)

  3. Catalog:记录所有endpoint(入口)在需要服务时查询catalog即可

  4. Policy:提供基于规范的认证引擎

​ 每个服务可以根据当前环境进行设置来适应当前需求。可以在keystone.conf里设置后端。

  1. KVS Backend:一个简单的后端接口,需要更深入的设置
  2. SQL Backend:一个基于SQLAchemy(python操作SQL的工具包)完成的后端,用于储存数据。
  3. PAM Backend:使用了当前系统的PAM服务用于认证,提供user和tenant一对一关联。(extra)
  4. LDAP Backend:把user和tenant储存在不同的子树中
  5. template Backend:泛式设置keystone

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-L05KD1rr-1634377476209)(https://image.slidesharecdn.com/openstackkeystoneidentityservice-121017010633-phpapp01/95/openstack-keystone-identity-service-6-638.jpg?cb=1350436060)]

工作流

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-0e9bzASZ-1634377476211)(https://image.slidesharecdn.com/openstackkeystoneidentityservice-121017010633-phpapp01/95/openstack-keystone-identity-service-7-638.jpg?cb=1350436060)]

三,keystone用户管理
1. User:代表一个个体用户,与用户名,密码和email相关联。一个user与一个特定的domain相关,所以username不需要全局唯一,只需要域内唯一。(许多user可以组成一个group,group被一个domain拥有,group名也是域唯一)
2. tenant:一个项目,组织等。 只有tenant才能与openstack服务提出request
3. role:代表一类在指定tenant下的role(可执行的动作)

  1. domain:项目,用户和组织的高层次的容器。参数:域名(全局唯一),角色名,用户名,项目名,组织名(域内唯一)

    不同domain内的用户可以访问不同域的服务

四.应用架构

KeyStone中使用REST API的服务通过HTTP交互

KeyStone中与flask-RESTful相关的方法在keystone.server.flask.common

KeyStone的API资源继承自keystone.server.flask.common.ResourceBase并暴露HTTP方法(GET,PUT,POST,PATCH和DELETE)

class UserResource(ks_flask.ResourceBase):
    collection_key = 'users'
    member_key = 'user'
    get_member_from_driver = PROVIDERS.deferred_provider_lookup(
        api='identity_api', method='get_user')

    def get(self, user_id=None):
        """Get a user resource or list users.
        GET/HEAD /v3/users
        GET/HEAD /v3/users/{user_id}
        """
        ...

    def post(self):
        """Create a user.
        POST /v3/users
        """
        ...

class UserChangePasswordResource(ks_flask.ResourceBase):
    @ks_flask.unenforced_api
     def post(self, user_id):
         ...

API路由

class UserAPI(ks_flask.APIBase):
    _name = 'users'
    _import_name = __name__
    resources = [UserResource]
    resource_mapping = [
        ks_flask.construct_resource_map(
            resource=UserChangePasswordResource,
            url='/users/<string:user_id>/password',
            resource_kwargs={},
            rel='user_change_password',
            path_vars={'user_id': json_home.Parameters.USER_ID}
        ),
     ...
Service和Endpoint的关系
  1. openstack中,每一个service都三种endpoint:Admin,internal和public(创建完service后需要为其创建API EndPoint. )
  2. Admin是用作管理用途的,如它能够修改user/tenant(project)。
  3. public 是让客户调用的,比如可以部署在外网上让客户可以管理自己的云。
  4. internal是openstack内部调用的。
  5. 三种endpoints 在网络上开放的权限一般也不同。Admin通常只能对内网开放,public通常可以对外网开放,internal通常只能对安装有openstack对服务的机器开放。

每个你部署的openstack服务都需要绑定endpoint(存储在keystone中)来提供服一个服务的入口,因而我们第一需要部署的组件就是keystone。

五.小结

nstack对服务的机器开放。

每个你部署的openstack服务都需要绑定endpoint(存储在keystone中)来提供服一个服务的入口,因而我们第一需要部署的组件就是keystone。

五.小结

KeyStone是为用户创建令牌凭证,提供服务入口,为其他openstack服务提供凭证验证服务的组件,是构建openstack服务的第一个组件,并可以为用户授权和定义行为,可以在KeyStone中窥得其他服务及其endpoint。

lizhuohang_
关注
openstack keystone整体架构与功能
wsfdl的专栏
03-05 3万+
关于keystone模块,我将从整体架构与功能,用户信息管理,认证服务3个模块用3篇文章进行分析。 1. keystone的基本功能           keystone作为openstack的Identity Service,提供了用户信息管理和完成各个模块认证服务。            用户信息管理:user/tenant基本信息,tenant管理            认证
KeyStone I DSP 概述2——DSP入门
m0_54369128的博客
07-06 524
上一篇文章讲到,CPU子系统中的XMC扩展内存控制器,通过256位宽连接到L2内存控制器,还有一部分连出CPU直接连接到MSMC(多核共享内存控制器)有4M RAM通过它直接连接到DDR3上,这样带来的好处是CPU在访问DDR时不需要经过总线,解决了多核在访问外部内存时的冲突问题。在多核开发中,可以将相同的逻辑地址映射到不同的物理空间这样可以R让每个核心都访问相同的逻辑地址实际访问不同的物理地址,这样需要共享的代码就映射到同一个地址空间不需要共享的代码就映射到不同的地址空间如堆栈。方便多核的数据交换。
OpenStack:开源云计算的崛起与发展
CloudJourney的博客
04-16 3320
OpenStack组件的详尽介绍对于理解其整个平台的运作机制至关重要。Keystone- 身份和访问管理服务: Keystone作为OpenStack的身份认证中心,负责整个OpenStack环境中的用户认证、服务认证以及权限管理。它提供令牌服务,使得各组件之间以及最终用户与组件之间的交互得以安全进行。Nova- 计算服务: Nova是OpenStack的核心组件之一,它专注于提供计算资源管理服务。
OpenStack Keystone架构一:Keystone基础
weixin_33670786的博客
03-02 318
一 什么是keystonekeystone是OpenStack的身份服务,暂且可以理解为一个'与权限有关'的组件。二 为何要有keystoneKeystone项目的主要目的是为访问openstack的各个组件(nova,cinder,glance...)提供一个统一的验证方式,具体的:openstack是由众多组件构成的一套系统,该系统的功能是对外提供服务,因而我们可以将其定...
keystone
qq_37659794的博客
03-27 406
keystone的简介 早期的openstack版本,并没有keystone身份认证模块 用户、消息、API调用的认证都是放在nova模块中 随着openstack中加入了各种各样的模块,安全认证涉及的面越来越广泛 功能:认证管理 授权管理 服务目录 认证:账号密码 授权:授权管理其他服务(如软件授权qq或微信登录) 服务目录:相当于电话本,只需要记住keystone的url和多端口,在keystone中查(记录各个组件及其url和端口);后期如果每安装一个服务,需要去keyston
keystone 认证深度研究分析
Miss_yang_Cloud的博客
06-07 1853
一、Keystone Token深度概述 Keystone作为openstack项目基础认证模块,目前支持的token类型分别是uuid、pkiz、pki、fernet。 首先,简要叙述一下这四种类型的原理及其优缺点。 uuid 比较简单,采用随机生成的序列(128位,以16进制表示)作为id,并构造token内容,需要持久化后端数据库支撑,比如mysql数据库存储。优点,实现简单;缺点是
精选资源
KeyStone器件实现IEEE1588时钟方案
01-19
本文简要介绍1588的原理和常见的实现方式,并详细介绍TI KeyStone架构上的1588实现方案。  1 概述  1588是IEEE规范定义的网络实时同步标准[1]。它提供一种通过网络信息交互以获得精准时钟信息的标准。和在广域...
KeyStone Architecture I2C User Guide
06-03
- **引言**(1-2):该部分简要介绍I2C模块的基本功能。 - **外设目的**(1-2):阐述了I2C在DSP中的主要作用,即实现微控制器与外部设备之间的双向串行数据通信。 - **特性**(1-2):列出了I2C模块的主要特点,如...
29、Keystone STSMs:结构化数据源关键词搜索研究进展
最新发布
v6b7n8m9q0的博客
10-26 30
本文综述了Keystone STSMs在基于关键字的结构化数据源搜索领域的研究进展,涵盖知识模型形式化、图数据与深网搜索、推荐系统、语义与上下文感知搜索等多个方向。通过30余项短期科学考察项目,展示了跨机构、跨学科的合作成果,涉及生物医学、地理信息、社交媒体、学术搜索等多个应用场景。研究聚焦于提升搜索的智能化、个性化与语义化水平,并探讨了机器学习、本体建模、复杂事件处理等技术的融合应用,为未来关键字搜索技术的发展提供了丰富实践基础与创新思路。
OpenStack身份认证:深入Keystone的认证与授权机制
本章将介绍OpenStack身份认证的基础概念,包括身份认证的定义、重要性及作用,以及OpenStack中身份认证的核心服务Keystone。 ## 1.1 什么是OpenStack身份认证? 在OpenStack中,身份认证是指对用户、服务或其他...
Keystone详解
实践求真知
02-21 7163
一 什么是KeyStoneKeyStone是OpenStack的组件之一,用于为OpenStack家族中的其它组件成员提供统一的认证服务,包括身份验证,令牌发放和校验,服务列表,用户权限定义等。二 KeyStone in OpenStack三 基本概念User(用户)用于身份认证,一个用户可以关联多个租户。Tenant(租户)相当于用户组的概念。一个租户可以容纳多个用户。Role(角色)关联到“用...
Keystone组件详解
ZXJ_asu的博客
05-26 4374
了解openstack keystone组件
keystone 存储 android,KeyStone存储器架构
weixin_35897853的博客
05-27 411
序言随着全球范围内的海量数据对无线和有线网络的强大冲击,运营商面临着严峻的挑战,他们需要不断推出既能满足当前需求也能满足未来需求的网络。因此,通信基础局端设备制造商在致力于降低每比特成本和功耗的同时,也在不断寻求能够满足当前及至未来需求的核心技术。TI最新推出的新型 KeyStone 多内核 SoC 架构能够游刃有余地满足这些挑战。本文引用地址:http://www.eepw.com.cn/art...
[openstack][keystone]架构分析
kai
06-13 1706
keystone的总体架构为Paste+PasteDeploy+Routes+WebOb 1、WSGI入口 Keystone的入口其实就是WSGI的入口,WSGI可以通过两种方式进行部署。Apache和evenlet,自然keystone也同时支持这两种方式。 对于Apache部署而言,他的文件保存在httpd/目录下。其中,wsgi-keystone.conf是一个mod_wsgi的示
Openstack架构构建及详解(2)--keystone组件
m0_72758098的博客
04-09 1369
分享一些系统的面试题,大家可以拿去刷一刷,准备面试涨薪。
Keystone介绍
LiuXiaoXueer的博客
04-09 1168
目录 Keystone介绍 常用术语 Keystone认证模型 Domain、Project、User的关系 Keystone的认证过程 Keystone介绍 Keystone在OpenStack框架中提供身份验证服务规则和服务令牌功能,提供了认证服务的API,为OpenStack中各个组件提供了认证服务,类似于服务总线,或者说是整个OpenStack框架的注册表,其他的服务都...
keystone介绍
热门推荐
Fivestar_wang的专栏
09-27 1万+
keystone简介 keystone(openstack identity service)是openstack框架中负责身份验证、服务规则和服务令牌的功能, 它实现了openstack的Identity API。 keystone类似一个服务总线,或者说是挣个openstack框架的注册表, 其他服务通过keystone来注册其服务的Endpoint(服务访问的URL),任何服务之间的相互调
openstack架构构建---keystone原理部分
m0_57776598的博客
07-31 1023
1.什么是keystonekeystone是openstack认证服务的项目名称,也是整个云平台的入口,如果把openstack云平台比作一个“屋子”,那么keystone就是屋子的大门,任何一个行为都需要通过这个大门。因此leystone是一个负责身份管理和授权的组件 2.主要功能:实现用户的身份验证,基于角色的权限管理,及openstack其他它组件的访问地址和安全策略管理 角色:就是一组特权的集合,即使定义了用户能做什么,下文详细讲解 访问地址:比如现在一个用户需要访问nova组件,但是用
【亲测免费】 Keystone:为RISC-V处理器打造的开源安全隔离框架
gitblog_00753的博客
10-10 815
--- ![Documentation Status](https://readthedocs.org/projects/keystone-enclave/badge/) [![Build Status](https://travis-ci.org/keystone-enclave/keystone.svg?branch=master)](https://travis-ci.org/keys
openstack架构或运维,需要做什么
03-23
<think>好的,用户想了解OpenStack架构设计和运维管理任务。首先,我需要整理OpenStack的基础架构,包括它的核心组件以及它们之间的关系。根据引用[1],OpenStack的概念架构分为计算、网络、存储等部分,可能需要详细说明每个组件的功能,比如Nova负责计算,Neutron管理网络,Cinder提供块存储等。 接下来是物理架构部分,引用[3]提到有两种部署架构:简单和复杂。需要解释这两种架构的区别,可能涉及控制节点、计算节点、存储节点的分布情况。用户可能想知道在实际生产环境中如何选择适合的架构,因此需要结合资源规划来说明。 然后是运维管理任务。引用[2]提到了Python调用OpenStack API进行运维,这里可以介绍自动化运维工具和脚本开发的重要性。另外,监控和性能分析也很关键,引用[5]提到的TPIG栈(Telegraf、InfluxDB、Grafana、Prometheus)可以作为监控方案的例子,说明如何实施性能采集和分析。 部署步骤方面,引用[4]提到了编辑配置文件,可能需要简要说明部署的基本流程,如环境准备、软件包安装、配置调整等。同时,引用[3]强调根据需求设计落地方案,这里可以补充部署时的注意事项,如网络规划、高可用性设计等。 用户可能对架构设计的具体原则感兴趣,引用[1]中的设计基本原则,如模块化、可扩展性,需要展开讨论。此外,运维中的安全管理和故障恢复也是重点,需要涵盖用户权限管理、漏洞修复、备份策略等内容。 最后,生成相关问题时要覆盖架构设计、组件功能、部署方案、运维工具、监控方法以及常见问题处理,确保问题全面且有针对性,帮助用户进一步深入学习。</think>### OpenStack 架构设计与运维管理任务 #### 一、OpenStack 架构设计 1. **概念架构** OpenStack 由多个松耦合的组件构成,遵循模块化设计原则[^1]。核心组件包括: - **计算服务(Nova)**:管理虚拟机生命周期,支持KVM/Xen等虚拟化技术。 - **网络服务(Neutron)**:提供虚拟网络、子网、路由及安全组功能。 - **存储服务**: - *对象存储(Swift)*:分布式对象存储系统 - *块存储(Cinder)*:为虚拟机提供持久化块存储 - **身份认证(Keystone)**:统一鉴权与多租户管理,支持LDAP/OAuth集成[^3]。 $$ \text{设计原则:可扩展性 > 容错性 > 服务解耦} $$ 2. **物理架构** - **简单部署架构**:所有服务集中在控制节点,计算节点独立,适合小型环境。 - **复杂部署架构**: - *控制节点集群*(高可用):MariaDB Galera集群 + RabbitMQ镜像队列 - *计算节点池*:横向扩展资源 - *分布式存储*:Ceph集群提供统一存储后端 #### 二、运维管理任务 1. **部署实施** - 环境规划:网络拓扑(管理网、数据网、存储网分离)、硬件资源分配。 - 自动化部署:使用DevOps工具链(Ansible/Puppet)完成多节点部署[^4]。 - 配置调优:调整Nova调度算法、Neutron网络MTU值等。 2. **日常运维** - **监控与告警**: - 通过Prometheus采集Nova/Neutron性能指标(如虚拟机启动耗时) - Grafana可视化监控面板,设置阈值告警[^5] - **日志分析**: ```bash # 集中收集各节点日志 journalctl -u nova-api.service --since "2023-01-01" ``` - **容量管理**:定期分析资源利用率,预测扩容需求。 3. **故障处理** - 常见问题: - 虚拟机启动失败:检查Nova-Compute与Hypervisor连接状态 - 网络隔离失效:验证Neutron安全组规则及流表配置 - 恢复策略: - 关键服务进程监控(如通过systemd自动重启) - 数据库定期备份(mysqldump + 增量快照) 4. **安全运维** - 定期更新CVE补丁(如Keystone令牌伪造漏洞修复)。 - 实施最小权限原则:通过Role-Based Access Control限制运维人员权限[^1]。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值