深挖Openstack keystone - 源码分析(1)

最新推荐文章于 2025-06-22 12:15:19 发布
原创 最新推荐文章于 2025-06-22 12:15:19 发布 · 1.3k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#OpenStack #云计算

本文主要探讨了OpenStack Keystone的Policy策略机制,详细介绍了如何通过policy.json文件实现用户角色权限管理。此外,还剖析了Keystone组件间的关系,包括各组件的routes.py、controller.py、core.py和driver的实现。同时,提到了/etc/keystone-paste.ini中定义的公共服务mainservice和管理员服务adminservice的功能与区别。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一.  Policy策略

Policy机制就是用来控制某一个User在某个Tenant中某个操作的权限。对于Keystone服务来说,policy就是一个json文件,默认是/etc/keystone/policy.json。

{
    "admin_required": "role:admin",
    "cloud_admin": "rule:admin_required and domain_id:admin_domain_id",
    "service_role": "role:service",
    "service_or_admin": "rule:admin_required or rule:service_role",
    "owner": "user_id:%(user_id)s or user_id:%(target.token.user_id)s",
    "admin_or_owner": "(rule:admin_required and domain_id:%(target.token.user.domain.id)s) or rule:owner",
    "admin_or_cloud_admin": "rule:admin_required or rule:cloud_admin",
    "admin_and_matching_domain_id": "rule:admin_required and domain_id:%(domain_id)s",
    "service_admin_or_owner": "rule:service_or_admin or rule:owner",
}
最低0.47元/天 解锁文章

200万优质内容无限畅学
Openstack源代码分析之keystone服务(keystone-all)
戏笔
10-27 4555
!在调试keystone遇到问题,evenlet线程出错,解决办法参考: http://adam.younglogic.com/2012/12/keystone-and-eclipse-pydev/,主要是在调试keystone-all时增加启动参数,–standard-threads解决,其实里面也有说明,在用pydev调试是需要将ma !原因:cannot switch to a diffe
Openstack源代码分析之keystone部分(一)--WSGI接口流程分析
戏笔
11-02 4903
前面分析了keystone服务的启动工作,那启动后我们是怎么通过WSGI接口访问其中的服务的呢? keystone-paste.ini配置文件最下面 [composite:main] use = egg:Paste#urlmap /v2.0 = public_api [composite:admin] use = egg:Paste#urlmap /v2.0 = admin_
OpenStack Keystone 源码解析
美丽世界的孤儿
11-02 2082
# Licensed under the Apache License, Version 2.0 (the "License"); you may # not use this file except in compliance with the License. You may obtain # a copy of the License at # # http://www.apach
OpenStack源码安装与组件配置指南
最新发布
weixin_31591833的博客
06-22 745
Nova是OpenStack项目中的核心组件之一,负责虚拟机的生命周期管理,包括创建、调度、暂停、停止和销毁虚拟机实例。Nova的工作原理涉及与多个OpenStack组件的交互,如Keystone进行身份验证、Glance提供镜像服务、Neutron处理网络配置以及Cinder进行块存储管理。Nova的架构包含多个服务和组件,每个组件都负责处理虚拟机生命周期的不同阶段。其中核心组件是nova-api、nova-compute、nova-scheduler和nova-conductor。
keystone源码分析(一)——Paste Deploy的应用
weixin_34376986的博客
10-28 206
  本keystone源码分析系列基于Juno版Keystone,于2014年10月16日随Juno版OpenStack发布。   Keystone作为OpenStack中的身份管理与授权模块,主要实现系统用户的身份认证、基于角色的授权管理、其他OpenStack服务的地址发现和安全策略管理等功能。Keystone作为开源云系统OpenStack中至关重要的组成部分,与OpenStack中几乎所...
keystone系列五:keystone源码分析
weixin_34268753的博客
01-09 1062
keystone架构   6.1 Keystone API  Keystone API与Openstack其他服务的API类似,也是基于ReSTFul HTTP实现的。 Keystone API划分为Admin API和Public API: Public API不仅实现获取版本以及相应扩展信息的操作,同时包括获取Token以及Token租户信息的操作; Admin API主要...
openstack-barbican-keystone-listener-9.0.0-1.el8.noarch.rpm
12-05
官方离线安装包,亲测可用
openstack-keystone-doc-13.0.2-1.el7.noarch.rpm
01-17
官方离线安装包,测试可用。请使用rpm -ivh [rpm完整包名] 进行安装
openstack-keystone-doc-15.0.0-1.el7.noarch.rpm
12-28
官方离线安装包,测试可用。使用rpm -ivh [rpm完整包名] 进行安装
openstack-keystone-doc-16.0.2-1.el8.noarch.rpm
12-28
官方离线安装包,测试可用。使用rpm -ivh [rpm完整包名] 进行安装
openstack源码分析
啵啵伯尼的专栏
03-29 438
本期我开始讲服务的创建,os服务有两种服务,一种是api服务,一种组件之间用于通信的服务,我们先来说一下组件之间的通信服务是如何创建的以及怎么工作的。 ...
OpenStack源码分析-NOVA
09-14
OpenStack源码分析,学习nova的好材料
openstack nova源码分析
10-09
openstack nova 源码分析
OpenStack源码分析【2021-11-07】
benzenene的博客
11-07 436
2021SC@SDUSC
[openstack][G版]keystone源码学习
wangyish201201的专栏
05-22 2753
Keystone项目的主要目的是给整个openstack的各个组件(项目)提供一个统一的验证方式。用户管理,身份验证是几乎所有的软件管理都要处理的问题,Keystone对于通常的应用场景所不同的是他要解决分布式环境下的统一认证。        Keystone的程序结构也是采用openstack通常所用的manager,driver方式,这中方式的一个好处是driver可以被灵活的替换,通过
OpenStack源码分析【2021-11-29】
benzenene的博客
11-29 1441
2021SC@SDUSC KeyStone概述 身份服务通常是用户与之交互的第一个服务。通过身份验证后,最终用户可以使用他们的身份访问其他 OpenStack 服务。同样,其他 OpenStack 服务利用身份服务来确保用户是他们所声称的人,并发现其他服务在部署中的位置。 Identity 服务还可以与一些外部用户管理系统(例如 LDAP)集成。 用户和服务可以使用由 Identity 服务管理的服务目录来定位其他服务。顾名思义,服务目录是 OpenStack 部署中可用服务的集合。每个服务可以有一个或多个
openstack源码剖析
CrazyStone_SoftW的专栏
01-22 252
待续
openstack源码架构_OpenStack源码分析
weixin_36473056的博客
01-12 370
目录1. Cinder创卷整体流程如整体架构图所示,创建卷涉及的答题步骤主要有以下几步:a. Client发送请求,通过RESTFUL接口访问cinder-api。b. Api解析响应请求,api解析由Client发送来的请求,并通过rpc进一步调用cinder-scheduler。c. Scheduler对资源进行调度,scheduler选择合适的节点进行。d. Volume调用Driver创建...
OpenStack源码分析【2021-12-06】
benzenene的博客
12-06 2216
2021SC@SDUSC Neutron初探 What is Neutron? According to OpenStack Document, Neutron is a networking project focused on delivering Networking-as-a-Service(NaaS) in virtual compute environments. Other says, Networking project in OpenStack Sets up virtual net
python2-openstacksdk-0.36.5-1.el7.noarch openstack-nova-scheduler-20.6.0-1.el7.noarch centos-release-openstack-train-1-1.el7.centos.noarch openstack-keystone-16.0.2-1.el7.noarch openstack-selinux-0.8.26-1.el7.noarch openstack-nova-console-20.6.0-1.el7.noarch python2-openstackclient-4.0.2-1.el7.noarch openstack-nova-novncproxy-20.6.0-1.el7.noarch openstack-nova-conductor-20.6.0-1.el7.noarch python-openstackclient-lang-4.0.2-1.el7.noarch openstack-nova-api-20.6.0-1.el7.noarch openstack-nova-common-20.6.0-1.el7.noarch openstack-glance-19.0.4-1.el7.noarch 告诉我这个openstack 是哪个版本的
03-20
<think>好的,我需要帮助用户确定CentOS上OpenStack Train的版本号。首先,用户提到了在CentOS7下安装OpenStack Train版本的Dashboard时遇到的问题,引用了相关的安装步骤,比如克隆Horizon仓库的稳定分支stable/train,以及初始化命令的路径。这说明用户可能已经通过kolla-ansible进行部署,而kolla-ansible通常与特定版本的OpenStack相关联。 首先,OpenStack的版本命名是按字母顺序的,比如Train是第20个版本,对应2019.10发布的。通常每个版本会有详细的版本号,比如Train的版本号是20.0.0。不过需要确认CentOS中OpenStack的包版本是否与上游一致,因为RDO或其他仓库可能会有些差异。 用户提供的引用中提到使用stable/train分支,而OpenStack的每个稳定分支对应一个主要版本。例如,Train的版本号是20.x.x。CentOS可能通过RDO仓库提供OpenStack Train,需要确认RDO中对应的版本号。 另外,用户执行了初始化脚本/usr/share/kolla-ansible/init-runonce,这说明他们使用的是kolla-ansible进行部署,而kolla-ansible的版本也会对应特定的OpenStack版本。例如,kolla-ansible的Train版本应该对应OpenStack Train。 可能需要检查安装的软件包版本,比如通过yum list installed | grep openstack,或者查看horizon的版本号,因为用户克隆了Horizon的stable/train分支,Horizon属于OpenStack的Dashboard组件,其版本号应与Train一致,即20.x.x。 总结来说,CentOS上通过kolla-ansible部署的OpenStack Train版本对应的版本号应为20.x.x,具体的小版本号可能需要查看具体的软件包或使用命令如openstack --version来确认。</think>在CentOS系统中,OpenStack Train版本对应的版本号为**20.x.x系列**。具体说明如下: 1. **版本命名规则** OpenStack采用按字母顺序的代号命名,Train是第20个版本,于2019年10月发布。其基础组件的版本号统一为$20.0.0$,例如: - Nova组件:$20.0.0$ - Neutron组件:$20.0.0$ - Horizon组件:$20.0.0$(对应git仓库的`stable/train`分支)[^1] 2. **CentOS中的部署验证** 通过Kolla-Ansible部署时,可使用以下命令验证: ```bash # 查看kolla-ansible版本与OpenStack的映射关系 yum info kolla-ansible | grep Version # 查看已安装的OpenStack组件版本 openstack --version ``` 若使用RDO仓库安装,Train版本在CentOS中通常标记为`centos-openstack-train`,软件包版本号为$20.*`。 3. **初始化脚本关联性** 用户引用的初始化脚本路径`/usr/share/kolla-ansible/init-runonce`是Kolla-Ansible为Train版本提供的标准初始化工具,其设计兼容OpenStack 20.x.x的API特性[^2]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值