第 3 章 Keystone - 018 - 理解 Keystone 核心概念

最新推荐文章于 2022-06-02 22:19:48 发布
最新推荐文章于 2022-06-02 22:19:48 发布
阅读量172 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: json swift
原文链接:http://www.cnblogs.com/gsophy/p/10979491.html
本文深入解析了OpenStack基础服务Keystone的核心概念,包括User、Credentials、Authentication、Token、Project、Service、Endpoint和Role,阐述了它们在OpenStack生态系统中的作用和相互关系。

Keystone核心概念

 

作为 OpenStack 的基础支持服务,Keystone 做下面这几件事情:

1、管理用户及其权限

2、维护 OpenStack Services 的 Endpoint

3、Authentication(认证)和 Authorization(鉴权)

 

下面这些概念都需要理解:

 

User

User 指代任何使用 OpenStack 的实体,可以是真正的用户,其他系统或者服务。

 

当 User 请求访问 OpenStack 时,Keystone 会对其进行验证。

Horizon 在 Identity->Users 管理 User

 

除了 admin 和 demo,OpenStack 也为 nova、cinder、glance、neutron 服务创建了相应的 User。

admin 也可以管理这些 User。

 

Credentials

Credentials 是 User 用来证明自己身份的信息,可以是:

1. 用户名/密码

2. Token

3. API Key

4. 其他高级方式

 

Authentication

Authentication 是 Keystone 验证 User 身份的过程。

User 访问 OpenStack 时向 Keystone 提交用户名和密码形式的 Credentials,Keystone 验证通过后会给 User 签发一个 Token 作为后续访问的 Credential。

 

Token

Token 是由数字和字母组成的字符串,User 成功 Authentication 后 Keystone 生成 Token 并分配给 User。

1、Token 用做访问 Service 的 Credential

2、Service 会通过 Keystone 验证 Token 的有效性

3、Token 的有效期默认是 24 小时

 

Project

Project 用于将 OpenStack 的资源(计算、存储和网络)进行分组和隔离。

根据 OpenStack 服务的对象不同,Project 可以是一个客户(公有云,也叫租户)、部门或者项目组(私有云)。

 

注意:

1、资源的所有权是属于 Project 的,而不是 User。

2、在 OpenStack 的界面和文档中,Tenant / Project / Account 这几个术语是通用的,但长期看会倾向使用 Project

3、每个 User(包括 admin)必须挂在 Project 里才能访问该 Project 的资源。 一个User可以属于多个 Project。

4、admin 相当于 root 用户,具有最高权限

 

 

 

Horizon 在 Identity->Projects 中管理 Project

 

通过 Manage Members 将 User 添加到 Project

 

Service

OpenStack 的 Service 包括 Compute (Nova)、Block Storage (Cinder)、Object Storage (Swift)、Image Service (Glance) 、Networking Service (Neutron) 等。

每个 Service 都会提供若干个 Endpoint,User 通过 Endpoint 访问资源和执行操作。

 

 

Endpoint

Endpoint 是一个网络上可访问的地址,通常是一个 URL。

Service 通过 Endpoint 暴露自己的 API。

Keystone 负责管理和维护每个 Service 的 Endpoint。

 

可以使用下面的命令来查看 Endpoint。

root@devstack-controller:~# source devstack/openrc admin admin

root@devstack-controller:~# openstack catalog list

 

Role

安全包含两部分:Authentication(认证)和 Authorization(鉴权)

 

Authentication (认证)解决的是“你是谁?”的问题

Authorization (鉴权)解决的是“你能干什么?”的问题

 

Keystone 借助 Role 实现 Authorization:

1、Keystone定义Role

 

 

2、可以为 User 分配一个或多个 Role,Horizon 的菜单为 Identity->Project->Manage Members

 

3、Service 决定每个 Role 能做什么事情 Service 通过各自的 policy.json 文件对 Role 进行访问控制。

     下面是 Cinder 服务 /etc/cinder/policy.json 中的示例

  

 

上面配置的含义是:

对于 create、attach_network 和 attach_volume 操作,任何Role的 User 都可以执行;

但只有 admin 这个 Role 的 User 才能执行 forced_host 操作。

 

OpenStack 默认配置只区分 admin 和非 admin Role。 如果需要对特定的 Role 进行授权,可以修改 policy.json。

 

-----------------------------------引用来自----------------------------------------

https://mp.weixin.qq.com/s?__biz=MzIwMTM5MjUwMg==&mid=2653587894&idx=1&sn=877a9cb2c23f242e45e7c113f2d2440f&chksm=8d3081afba4708b9295debc08ac8159927733a1429a5f488ce136370984be15e6039b3496b46&scene=21#wechat_redirect

转载于:https://www.cnblogs.com/gsophy/p/10979491.html

Keystone概念
shajc0504的专栏
10-06 4431
什么是Keytone Keystone is the identity service used by OpenStack for authentication (authN) and high-level authorization (authZ). It currently supports token-based authN and user-service authorizati
openstack创建用户时报错Duplicate Entry (HTTP 409)
controllerha的博客
11-30 7466
创建用户时没有注意其实已经有了这个用户 [root@controller ~]# . admin-openrc [root@controller ~]# openstack user create --domain default --password-prompt swift User Password: Repeat User Password: Conflict occurred att
OpenStack Keystone的基本概念详细介绍
09-30
主要介绍了OpenStack Keystone的基本概念详细介绍的相关资料,需要的朋友可以参考下
keystone介绍
热门推荐
Fivestar_wang的专栏
09-27 1万+
keystone简介 keystone(openstack identity service)是openstack框架中负责身份验证、服务规则和服务令牌的功能, 它实现了openstack的Identity API。 keystone类似一个服务总线,或者说是挣个openstack框架的注册表, 其他服务通过keystone来注册其服务的Endpoint(服务访问的URL),任何服务之间的相互调
18-理解 Keystone 核心概念1
08-08
通过以上概念理解,我们可以看到Keystone在OpenStack中扮演着至关重要的角色,它构建了一个安全、灵活的身份管理和访问控制体系,确保了OpenStack环境的安全性和可靠性。管理员可以通过Horizon Dashboard或命令行...
keystone-eurosys20.pdf
最新发布
03-11
Keystone的设计紧密围绕着安全性和隐私保护的核心概念展开。它涉及的关键领域包括但不限于: - **可信计算**: Keystone通过提供硬件层面的信任根来保障系统的整体安全性。 - **硬件安全实施**: 通过对硬件设计的...
初识keystone-领域模型与安装配置
李子无为的杂货铺
01-08 4754
OpenStack概念不多讲了,因为讲不明白。只了解过keystone,其他服务是干什么的,怎么用的,目前还没有驱动力去了解,所以就自觉闭嘴了。现在只对这段时间学习keystone的一些认识做个总结。 “keystone"的中文意思是拱心石,就是石拱门上面最中间那块石头,将两边的石头塞住不会掉下来,如图:
KeystoneJS新包:灵活的邮件发送助手keystone-email
3. 理解Keystone用户模型:这意味着keystone-email模块能够利用KeystoneJS的用户模型,并简化向该模型查询结果所对应的用户发送邮件的过程。这为发送个性化的电子邮件提供了方便,例如,根据用户的属性来定制邮件...
openstack-keystone
01-16
token 是 OpenStack 中的核心概念之一,用户访问 OpenStack API 前,必须先获取 token,然后用 token 作为用户凭据访问 OpenStack API。下面我们将详细介绍 Keystone 中的四种 token。 UUID Token UUID token 是...
Keystone组件详解
ZXJ_asu的博客
05-26 4307
了解openstack keystone组件
Conflict occurred attempting to store user - Duplicate Entry (HTTP 409) (Request-ID: req-4062b0fd-ff
qq_34259391的博客
08-25 5673
#用户已存在 [root@controller ~]# openstack user create --domain demo --password 000000 cinder Conflict occurred attempting to store user - Duplicate Entry (HTTP 409) (Request-ID: req-93235a9a-32be-438a-9145-25f840a27065) #查看用户 [root@controller ~]# openstack use
OpenStack Keystone的基本概念理解
weixin_30725467的博客
01-04 327
Keystone简介   Keystone(OpenStack Identity Service)是OpenStack框架中,负责身份验证、服务规则和服务令牌的功能, 它实现了OpenStack的Identity API。Keystone类似一个服务总线, 或者说是整个Openstack框架的注册表, 其他服务通过keystone来注册其服务的Endpoint(服务访问的URL),任何服务之间相...
openstack之:keystone 学习总结记录
magices的博客
08-23 3509
在了解 keystone 之前,我们来简单介绍下用户身份校验大概有几种方式 广义认证方式简介 广义上讲,用户身份认证并不仅限于领域。广义上的身份识别技术有如下几种:静态密码、动态密码(短信密码、动态口令牌)、令牌、USB KEY、数字证书、生物识别技术。 在以上几种认证方式中,我们IT人员在数据中心通常能够遇到的是:静态密码、动态口令牌、数字证书、令牌认证(token)。 静态密码 在四种认证方式中,最常见的就是静态密码。如果要加强动态密码的安全性,通常是通过增加密码的复杂度,设置密码过期时间的方法。大多数
keystone— 身份认证服务
weixin_33794672的博客
12-14 747
一、Keystone介绍: keystone 是OpenStack的组件之一,用于为OpenStack家族中的其它组件成员提供统一的认证服务,包括身份验证、令牌的发放和校验、服务列表、用户权限的定义等等。云环境中所有的服务之间的授权和认证都需要经过 keystone. 因此 keystone 是云平台中第一个即需要安装的服务。 作为 OpenStack 的基础支持服务...
keystone使用命令
倚南而立的专栏
12-17 2027
使用rpm包安装keystone,配置完成后启动,然后发现数据库中没有任何数据可用,如果要使用keystone,还需要创建租户、用户、角色和endpoints等,以下为创建这些资源的命令. 1.首先导入环境变量: export OS_SERVICE_TOKEN='asdf39f3276ddcaee7b57789a' export OS_SERVICE_ENDPOINT='http://10.
了解和使用keystone(三)创建admin用户
愷风(Wei)的专栏
09-10 1万+
admin用户可以用来创建domain,project,user。在keystone.conf中,通过设定admin_token,提供了一个初始的管理员令牌,假定为ADMIN,我们用这个令牌来创建admin用户。这是个管理的问题,如果分配给不同的人员,应该要使用不同的username/password。 配置环境变量 $ openstack --os-token=ADMIN --os-url=
keystone 域中项目、用户、角色的创建
weixin_34221276的博客
12-21 757
keystone命令现在全是改成了openstack!!!!!!!!!!!!! Create theserviceproject: $ openstack project create --domain default \ --description "Service Project" service +-------------+------------------...
openstack详解(八)——Keystone域、项目、用户和角色的创建
永远是少年
06-02 9450
今天继续给大家介绍Linux运维相关知识,本文主要内容是openstack Keystone基本配置。 一、Openstack Keystone配置环境变量 二、Openstack命令帮助 三、域、项目、用户和角色的创建
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值