本文介绍了OpenStack的核心组件Keystone,作为身份验证服务,Keystone提供统一的身份验证和授权功能。内容涵盖Keystone的v3.0 API、核心概念(域、项目、用户、组和角色)及其组织结构。通过实例展示了如何创建项目、用户、角色分配,以及用户在不同项目中角色的灵活性。
Keystone是OpenStack中的身份验证服务,同时它也同Nova, Cinder, Glance,Neutron一样是OpenStack的核心组件。Keystone为其他组件提供统一的身份验证以及服务授权。Keystone的API目前有v2.0和v3.0两个版本,官方目前推荐使用v3.0的版本。由于Keystone中涉及很多的概念,例如 domain,project,user等等,本文旨在介绍相关的概念及其之间在组织结构上的关系。
域(Domains):域是Keystone中的一个全局概念,域的名字在Keystone中必须是全局唯一的,Keystone提供一个名为‘Default’的默认域。域可以包括多个Projects(项目/租户),Users(用户),Groups(组),Roles(角色)。
Projects(项目/租户):Keystone在v3.0的版本开始将v2.0中的Tenant(租户)改为了Project(项目),我认为这更符合我们在实际使用中的认知。项目必须属于某个域,所以在域内的项目名称必须是唯一的,但是不同的域内可以有相同名称的项目名。如果项目没有分配指定域,那么会自动分配到默认域中。项目是资源的集合,也就是说可以对项目所能使用的资源进行限制,包括vCPU,Memory,vDisk,Floating IP等等。
用户(Users):即最终Keystone的使用者,可以是人,服务或者系统,用户必须属于某个特定的域。
组(Groups):组是用户的集合,可以把用户归类到某个组,这样就可以方便的对整个组进行角色分配。同样的组必须属于特定的域。
角色(Roles):角色也是Keystone中的一个全局的概念。角色可以分配给用户以及组,不同角色的用户拥有不同的API访问权限。
下图表明了这些概念的结构关系:
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
