openstack基礎(chǔ)篇云管理員指南

1、OpenStack 入門之 OpenStack 云管理員指南OpenStack CloudAdministrator Guide 是一個(gè)面向云管理員冊(cè)，主要作用是 manage and troubleshoot an OpenStack cloud。讀它可以對(duì)各組件有一個(gè)整體上的把握。這里是第一章Get started with OpenStack 的窮人版翻譯。服務(wù)簡(jiǎn)述OpenStack 的服務(wù)從下面這可以看得很清楚，包括了 Heat 和 Ceilometer。邏輯架構(gòu)OpenStack 的模塊是由守護(hù)進(jìn)程(mon)，(Script)以及命令行接口(CLI)組成。守護(hù)進(jìn)程在 linux表現(xiàn)為

2、服務(wù)用于虛擬環(huán)境的安裝及測(cè)試；CLI 允許用戶通過易用令向OpenStack 的服務(wù)提交 API 請(qǐng)求。服務(wù)介紹Compute service(Nova)計(jì)算服務(wù)是云計(jì)算的結(jié)構(gòu)控制器，它下：了系統(tǒng)的主要部分。它的如APIo nova-api service.接受和響應(yīng)終端用戶的計(jì)算 API 請(qǐng)求。支持，OpenStack Compute API, the Amazon EC2 API, 和一個(gè)特殊的AdminAPI 供用戶實(shí)現(xiàn)管理的操作。同時(shí)， 初始化大部分orchestration 活動(dòng), 譬如啟動(dòng)一臺(tái)虛擬機(jī)，實(shí)施某些策略。o nova-api-metadata service.從虛擬機(jī)接受

3、元數(shù)據(jù)請(qǐng)求。需要注意的是，通常情況下，此 API 僅在安裝 nova-network 的 multi-host 模式下使 用。（在大便系統(tǒng)中，它屬于 nova-api 包的一部分）Compute coreopute pros.一個(gè)通過hypervisor API 來創(chuàng)建和終止虛擬機(jī)實(shí)例的工作進(jìn)程。譬如，XenServer/XCP 的 XenAPI, KVM or QEMU的 libvirt, VMware 的 VMwareAPI，等等。進(jìn)程的執(zhí)行相當(dāng)復(fù)雜，但是基本原理卻很簡(jiǎn)單：從消息隊(duì)列中接受相應(yīng)的動(dòng)作(actions),然后在更新數(shù)據(jù)庫(kù)中的狀態(tài)的時(shí)候執(zhí)行一系列的系統(tǒng)命令（比如啟動(dòng)一臺(tái) KVM

4、 實(shí)例）Accept actions from the queue and perform a series of mands, like launching a KVM instance, to carry them outwhile updating snova-schedulerehe database.從概念上來講這是pute 中最簡(jiǎn)單的一o塊代碼了。從隊(duì)列中獲取一個(gè)虛擬機(jī)的請(qǐng)求然后決定它應(yīng)該在哪個(gè)compute server host 中響應(yīng)(run)。協(xié)調(diào)pute 和數(shù)據(jù)庫(kù)的交互。目的nova-conductor在于減少opute 對(duì)云數(shù)據(jù)庫(kù)的直接。由于該模塊是水平的伸縮，因此不要

5、部署在任何pute 運(yùn)行的節(jié)點(diǎn)上。Networking for VMso nova-network work類似于pute，它從隊(duì)列中接受關(guān)于網(wǎng)絡(luò)的任務(wù)（比如修改橋接的接口，或是修改 iptables 的規(guī)則）并執(zhí)行，從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的控制。這項(xiàng)功能正在被遷移到一個(gè)獨(dú)立的服務(wù) OpenStack Networking(Neutron)，o nova-dhcpbridge script.通過dnsmasq 的dhcp-scriptIP 地址的租Neutron 中。約并把它們?cè)跀?shù)據(jù)庫(kù)中。它同樣正被遷移到Neutron 提供了一個(gè)不同的。Consoleerfacenova-consoleauth da

6、emon.認(rèn)證控制臺(tái)提供給用戶的令牌。這個(gè)o服務(wù)必須運(yùn)行在控制臺(tái) 才能工作。Many proxies of either type can be run against a singlenovaconsoleauthservice in a cluster configurationnova-novncproxy daemon.通過 VNC 連接來提供一個(gè)運(yùn)行的虛o擬機(jī)的。支持基于瀏覽器的novnc 客戶端。nova-console daemon.在 G 版被棄用，由下面一個(gè)進(jìn)程替代。oovncproxy daemon.通過 VNC 連接來運(yùn)行狀態(tài)的虛擬nova-x機(jī)的。支持一種專為OpenS

7、tack 設(shè)計(jì)的 Java 客戶端。nova-cert daemon.管理 x509。oImage management(EC2Scenario)nova-objectstore daemon. 提供一個(gè) S3(Simple Storage Service,o服務(wù))接口供 Glance（鏡像服務(wù)）來鏡像。主要Amazon在支持 euca2ools 的情況下是使用。euca2ools 工具用 S3 的語(yǔ)法告知 nova-objectstore，然后 nova-objectstore 把 S3 請(qǐng)求轉(zhuǎn)換為Glance請(qǐng)求。uca2ools cnt.一組用來管理云資源令。盡管它不是 OpenStac

8、ko的模塊，仍然可以通過配置 nova-api 來支持這個(gè)EC2 的接口。d-line cnts and othererfanova cnt.允許用戶以租戶管理者或者終端用戶的令。nova-manage cnt.允許云管理員來提交明亮。來提交命ooOther componentso The queue.在守護(hù)進(jìn)程中傳遞消息的。通常是由 RabbitMQ 來實(shí)現(xiàn)的，但也可以是任何MQ。o SQL database.為云基礎(chǔ)設(shè)施Q 的隊(duì)列，如 Apache Q或者 Zero大部分構(gòu)建時(shí)以及運(yùn)行時(shí)的信息，包括可以使用的虛擬機(jī)類型，正在使用的虛擬機(jī)，可用的網(wǎng)絡(luò)和項(xiàng)目。理論上來說，Nova 支持任何 S

9、QL 類型的數(shù)據(jù)庫(kù)，但是目前僅有和tgreSQL 是廣泛使用的，3 僅在測(cè)試和開發(fā)工作中表現(xiàn)正常。Storage conceptsObject Storage serviwift)Swift 是一個(gè)有高度伸縮以及可持續(xù)性的多租戶對(duì)象RESTful HTTP API 為大量非結(jié)構(gòu)化的數(shù)據(jù)以極低的開銷來提供系統(tǒng)，它通過服務(wù)。它包括以下：Proxy servers(swift-proxy-server).接受Object Storage API和原生HTTP 請(qǐng)求，如上傳文件，修改元數(shù)據(jù)和創(chuàng)建容器等。同時(shí)它也為 web 瀏覽器提供文件和容器列表（？）。為了性能服務(wù)器可以任選使用哪種 cache，不過

10、通常情況下都部署在memcache 下。Account servers(swift-account-server).管理定義了對(duì)象服務(wù)的賬戶。Container servers(swift-container-server).管理使用了 swift 的容器或者文件夾的。Object servers(swift-object-server).管理實(shí)際的對(duì)象，例如件。節(jié)點(diǎn)上的文A number of periodic proses.執(zhí)行任務(wù)。主從同步服務(wù)(replicationservi)保證了集群中的持續(xù)性和可用性。其他一些周期性進(jìn)程包括審計(jì)，更新，以及獲取(auditors,updaters,

11、rers)。可配置的 WSGI 中間件負(fù)責(zé)認(rèn)證，通常是由Keystone 負(fù)責(zé)。Block Storage Service(Cinder)塊服務(wù)允許對(duì)卷(volumes)，卷快照，卷類型的管理。它包括以下組件：cinder-api. 接受 API 請(qǐng)求并根據(jù)一定的策略把它們轉(zhuǎn)發(fā)(routes) 到cinder-volume 來執(zhí)行。cinder-volume.響應(yīng)對(duì)塊數(shù)據(jù)庫(kù)的讀寫請(qǐng)求來狀態(tài)(maain se),通過一個(gè)消息隊(duì)列和其他進(jìn)程(如 cinder-scheduler)進(jìn)行交互，并直接基于塊提供硬件或。它可以通過一個(gè)驅(qū)動(dòng)架構(gòu)來和大多數(shù)提供的服務(wù)交互。cinder-scheduler da

12、emon.像 nova-scheduler 一樣，選取最合適的提供塊存儲(chǔ)的節(jié)點(diǎn)來創(chuàng)建卷。Messaging queue.在 cinder 的進(jìn)程cinder 為 nova 提供虛擬機(jī)的卷。互(routes)信息。Networking service overview(Neutron)為設(shè)備接口提供網(wǎng)絡(luò)連接即服務(wù)(network-connectivity-as-a-service)，這類設(shè)備通常由 OpenStack 的服務(wù)Compute 所管理。它允許用戶創(chuàng)建和添加網(wǎng)絡(luò)接口。像 OpenStack 的其他服務(wù)一樣，模塊化可插拔的架構(gòu)使得它可以高度的配置。這些插件整合了不同的網(wǎng)絡(luò)設(shè)備和大的變化。

13、它包括了如下組件：，因此，它的架構(gòu)和部署會(huì)發(fā)生很neutron-server.接受 API 請(qǐng)求并轉(zhuǎn)發(fā)到合適的網(wǎng)絡(luò)插件中去執(zhí)行。 OpenStack Networking plug-ins and agents.綁定以及解綁端口，創(chuàng)建網(wǎng)絡(luò)和子網(wǎng)，并提供 IP 地址。這些插件和(agent)通常在特定的云中依據(jù)代理商和使用的技術(shù)而定。目前 Neutron 支持(ships)的一些插件和有Cisco 的虛擬和物理交換機(jī)，Nicira 的 NVP 產(chǎn)品，NEC OpenFlow 產(chǎn)品，Open vSwitch, Linux bridging,和 Ryu 網(wǎng)絡(luò)操作系統(tǒng)。通用的是L3(layer 3)，

14、DHCP 和插件。Messaging queue. 大部分的 Neutron 安裝版本都利用了消息隊(duì)列在neutron-server 和各種件的網(wǎng)絡(luò)狀態(tài)。間傳遞消息，并利用一個(gè)數(shù)據(jù)庫(kù)來特定插Dashboard(Horizon)dashboard 是一個(gè)模塊化的Django web 應(yīng)用，為 OpenStack 的服務(wù)提供圖形化接口。它通常通過 mod_wsgi 部署在 Apache 下。你可以對(duì)代碼進(jìn)行修改使他適合不同的站點(diǎn)。從網(wǎng)絡(luò)架構(gòu)的觀點(diǎn)來看，它必須可以被客戶和 OpenStack 的其他服務(wù)通過公用 API。而想要使用其他服務(wù)的管理員功能，它必須可以連接到管理員API 端點(diǎn)(Admin

15、API endpos)，因?yàn)檫@個(gè)端點(diǎn)是不能被客戶直接的。Identity Service concepts(Keystone)Identity 服務(wù)進(jìn)行如下操作：用戶管理。用戶及他們的權(quán)限。服務(wù)目錄。提供可用的服務(wù)以及他們的 API 端點(diǎn)的目錄。想要理解 Keystone，必須理解一下概念：User使用 OpenStack 云服務(wù)的人，系統(tǒng)或服務(wù)的數(shù)字表象(賬號(hào)?)。Keystone 負(fù)責(zé)驗(yàn)證請(qǐng)求是否由所需要的用戶發(fā)出。用戶可以登錄并被授予令牌來使用資源。用戶可以直接被分配到某一租戶下，就像是本身就是租戶的一部分一樣。Credentials僅能被某一用戶識(shí)別的表示他們的數(shù)據(jù)，就像Keyston

16、e 中的用戶名和，用戶名和 API key，由 Keystone 提供的認(rèn)證令牌等。Authentication驗(yàn)證一個(gè)用戶證請(qǐng)求。的動(dòng)作。Keystone 通過用戶提供的一系列(credentials)來驗(yàn)這些由用戶名或者用戶名和API key 進(jìn)行初始化。Keystone 響應(yīng)這些證書請(qǐng)求，發(fā)給用戶一個(gè)認(rèn)證的令牌，用戶在隨后的請(qǐng)求中使用此令牌即可。Token一個(gè)用來資源的隨機(jī)生成的比特序列。每個(gè)令牌都有一個(gè)起作用的資源的范圍。一個(gè)令牌可以在有限的時(shí)間內(nèi)用于認(rèn)證，也可以在任何時(shí)間被撤銷。盡管在當(dāng)前版本中(Havana)Keystone 支持基于令牌的認(rèn)證，但是它的主要作用在于在未來支持額外的

17、協(xié)議。它的目的在于成為一個(gè)重要的集成服務(wù)，而非一的解決方案。個(gè)負(fù)責(zé)和管理Tenant一組或單獨(dú)的資源和(或)標(biāo)識(shí)對(duì)象的容器。(A container used to group or isolate resourand/or identityobjects.)依據(jù)服務(wù)的使用者不同，一個(gè)租戶可以對(duì)應(yīng)一個(gè)用戶(customer)，賬號(hào)(account),組織(anization),或者項(xiàng)目(project).Service類似于 Compute(Nova),Object Storage(Swift),Image Service(Glance)的 OpenStack 服務(wù)。提供一個(gè)或多個(gè)端點(diǎn)(end

18、pos)供用戶使用資源或進(jìn)行操作。Endpo一個(gè)可以在網(wǎng)絡(luò)上進(jìn)行的地址，通常在使用服務(wù)的時(shí)候是以 URL 的形式表示。如果想在模板上進(jìn)行擴(kuò)展，你可以創(chuàng)建一個(gè)表示所有可以跨區(qū)(regions)使用的服務(wù)的端點(diǎn)模板，Role一個(gè)允許用戶進(jìn)行一系列指定操作的ality)。一個(gè)角色包括一系列權(quán)(利以及權(quán)限。一個(gè)擁有指定角色的用戶等于繼承了該角色的權(quán)利以及權(quán)限。在 Keystone 中，授予一個(gè)用戶的令牌包括了用戶擁有的角色列表。用戶請(qǐng)求哪個(gè)服務(wù)取決于怎樣翻譯(些操作以及資源。ret)用戶擁有的角色以及每個(gè)角色可以哪下圖表示了Keystone 的工作流程：Image Service overview(G

19、lance)Glance 包括如下組件：Glance-api.接受鏡像 API 請(qǐng)求來搜索(discovery)，檢索(retrieval)和(storage)鏡像。Glance-registry.，處理，檢索鏡像的元數(shù)據(jù)，例如大小，類型等。Database.鏡像元數(shù)據(jù)。你可以根據(jù)自己的喜好選擇合適的數(shù)據(jù)庫(kù)，大部分人使用和。Storage reitory for image files.在邏輯結(jié)構(gòu)圖中，Glance 是一個(gè)鏡像倉(cāng)庫(kù)。但是你也可以配置一個(gè)不同的倉(cāng)庫(kù)。 Glance 支持普通的文件系統(tǒng)，RADOS 塊設(shè)備，Amazon S3 和 HTTP。一些系統(tǒng)僅能提供只讀數(shù)據(jù)的功能。在 Gla

20、nce 中有一些周期性的進(jìn)程用來支持緩存(caching)。主從同步服務(wù)(replication servi)保證了集群中的持續(xù)性和可用性。其他一些周期性進(jìn)程包括審計(jì)，更新，以及獲取(auditors,updaters,rers)。在概念架構(gòu)圖上可以看到，Glance 是整個(gè)層中的中心。它接受終端用戶或者Nova 處理鏡像或鏡像元數(shù)據(jù)的API 請(qǐng)求，然后可以把磁盤文件中。到SwiftTheemetry Service(Ceilometer)emetry 服務(wù)：OpenStack高效的收集CPU 和網(wǎng)絡(luò)開銷的計(jì)量數(shù)據(jù)。通過服務(wù)發(fā)出或者輪詢基礎(chǔ)設(shè)施來收集數(shù)據(jù)。可以配置收集數(shù)據(jù)的類型來滿足不同操作的

21、需求。通過 REST API 來獲取和數(shù)據(jù)。通過額外的插件擴(kuò)展框架來收集客戶的使用數(shù)據(jù)。生成有簽名的計(jì)量信息，這些信息是不可否認(rèn)的。(Produsignedmetering messagest cannot be repudiated)系統(tǒng)包括如下基本組件：A compute agent(cepute).運(yùn)行在每一個(gè) compute 節(jié)點(diǎn)上并輪詢資源使用的統(tǒng)計(jì)數(shù)據(jù)。在未來可能有其他類型的 agents，但目前專注于創(chuàng)建compute agent。A central agent(ceilometer-agent-central).在中樞管理服務(wù)器上運(yùn)行，輪詢那些與虛擬機(jī)或計(jì)算節(jié)點(diǎn)獨(dú)立(not t

22、ied)的資源利用的統(tǒng)計(jì)數(shù)據(jù)。A collector(ceilometer-collector).運(yùn)行在一個(gè)或多個(gè)中樞管理服務(wù)器上來消息隊(duì)列(通知和來自 agent 的計(jì)量數(shù)據(jù))。通知消息被處理后被轉(zhuǎn)換為計(jì)量消息并使用恰當(dāng)?shù)膃metry 消息不做修改直接寫入數(shù)據(jù)庫(kù)。發(fā)回給消息總線。arm notifier(ceilometer-alarm-notifier).運(yùn)行在一個(gè)或多個(gè)中樞管理服務(wù)器，并基于值來設(shè)定警報(bào)。的樣本進(jìn)行評(píng)估所得到的一個(gè)閾A data store.一個(gè)支持并發(fā)讀寫數(shù)據(jù)的數(shù)據(jù)庫(kù)，其中寫入數(shù)據(jù)來自一個(gè)或多個(gè)收集計(jì)量數(shù)據(jù)的虛擬機(jī)，讀數(shù)據(jù)是從API server 讀。An API se

23、rver(ceilometer-api).運(yùn)行在一個(gè)或多個(gè)中樞管理服務(wù)器來提供數(shù)據(jù)庫(kù)中的數(shù)據(jù)。這些服務(wù)使用標(biāo)準(zhǔn)OpenStack 消息總線進(jìn)行交互。只有collector 和 API server 有權(quán)數(shù)據(jù)庫(kù)。Orchestration service overview(Heat)Heat 對(duì)云應(yīng)用提供了基于模板編排(orchestration 無力) 管理， 通過OpenStack 的 API 調(diào)用來生成運(yùn)行的云應(yīng)用。它把 OpenStack 的其它組件整合到了一個(gè)單文件模板系統(tǒng)。這套模板允許你創(chuàng)建大部分 OpenStack 資源類型，比如虛擬機(jī)，浮動(dòng) IP，卷，安全組和用戶等。它同時(shí)提供了

24、很多更高級(jí)的功能，比如虛擬機(jī)的高可用性，虛擬機(jī)動(dòng)態(tài)伸縮以及嵌套棧等。通過對(duì) OpenStack組件的緊密整合，所有 OpenStack 的user base)。組件可以得到一個(gè)更大的用戶群(a larger這項(xiàng)服務(wù)允許部署直接整合該服務(wù)或者可以自定義插件。Heat 包括如下組件：heatd-line cnt.一個(gè)命令行界面，可以和 heat-api 交互來調(diào)用 AWS CloudFormation(就是 Amazon的模板) APIs. 終端開發(fā)者同樣可以直接調(diào)用Orchestration REST API。heat-api component.提供一個(gè) OpenStack 原生(OpenSt

25、ack-native)REST API 來處理 API 請(qǐng)求，并使用 RPC把請(qǐng)求轉(zhuǎn)發(fā)到heat-engine。heat-api-cfn component.提供一個(gè)和 AWS CloudFormation 兼容的 AWS Query API，并使用RPC 把請(qǐng)求轉(zhuǎn)發(fā)到 heat-engine。heat-engine.整理模板的啟動(dòng)并把事件(events)發(fā)回給 API 請(qǐng)求者。OpenStack 云管理指南（二）Keystone、horizon一、KeystoneOpenStackIdentity Service，代碼名稱叫Keystone，是 OpenStack 默認(rèn)的管理系統(tǒng)。在安裝了I

26、dentity Service 后，你可以在etc/keystone.conf 下配置它，或者也可以通過一個(gè)單獨(dú)的日志配置文件(separaogging configuration file)。通過使用 keystone 命令行接口來初始化IdentityService 的數(shù)據(jù)。服務(wù)概念User management用戶管理的主要部分有：User代表一個(gè)擁有關(guān)聯(lián)信息（如用戶名，用戶名為 alice 的用戶的例子：$ keystone user-create -name=alice，郵件）的個(gè)人用戶。下面是一個(gè)創(chuàng)建-pass=mypassword123- Tenant一個(gè)項(xiàng)目，組或者。當(dāng)你請(qǐng)求O

27、penStack 服務(wù)的時(shí)候，你必須指定一個(gè)租戶(tenant)。例如，你想要查詢計(jì)算服務(wù)（Compute service）來獲取正在運(yùn)行的虛擬機(jī)列表，你必須在查詢的時(shí)候指定是哪個(gè)租戶中的虛擬機(jī)列表。下面是創(chuàng)建一個(gè)叫 acme 的租戶的例子：$ keystone tenant-create -name=acmel 因?yàn)樵谠缙诘腃ompute 版本中使用的是 project 而不是 tenant，所以一些命令行工具使用-project_id 而不是tenant-id 或者os-tenant-id 來表示一個(gè) tenant的 idRole.指明在指定的租戶中用戶可以進(jìn)行的操作。下面是創(chuàng)建一個(gè)名叫

28、compute-user的角色的例子：$ keystone rolpute-userl 在個(gè)別如 Compute 和 ImageService 中，會(huì)給一個(gè)role 指定意義。但在Identity Service 中，一個(gè) role 僅僅是一個(gè)名字。Identity Service 為一個(gè)用戶(user)指定一個(gè)租戶(tenant)和一個(gè)角色(role)。你可以在 acme 租戶中把compute-user 角色賦給alice 用戶。$ keystone user-list+| id | enabled | name |+|alice |+| 892585 | True |+$ keyston

29、e role-list+| id | name |+| 9a764e | compute-user |+$ keystone tenant-list+| id | name | enabled |+| 6b8fd2 | acme | True |+$ keystone user-role-add-user=892585 -role=9a764e -tenant-id=6b8fd2一個(gè)用戶可以在不同的租戶中有不同的角色。比如說，alice 用戶也可以在Cyberdyne 租戶里擁有admin 角色。一個(gè)用戶也可以在同一租戶里有多種角色。/etc/SERVICE_CODENAME/policy.j

30、son 文件控制了在指定服務(wù)中用戶可以進(jìn)行哪些操作。比如說，/etc/nova/policy.json 指定了 Compute 中的權(quán)限。省略一些更詳細(xì)的說明。需要參見原文。Service managementIdentityService 提供了，令牌，目錄，和策略服務(wù)。包括了：keystone-all.在一個(gè)獨(dú)立進(jìn)程中開啟提供catalog，authorization 和 authentication servi務(wù)和管理 API。的服Identity Service functions.每個(gè)服務(wù)都有一個(gè)可插拔的后端以提供不同的方式來使用特殊的服務(wù)。大部分都支持標(biāo)準(zhǔn)的后端，如LDAP 或 S

31、QL。IdentityService 為每個(gè)服務(wù)都一個(gè)相應(yīng)的用戶，比如一個(gè)叫 nova 的用戶對(duì)應(yīng) Compute 服務(wù)，還有一個(gè)叫 service 的特殊服務(wù)租戶(spel service tenant)。Group一個(gè)組是一個(gè)用戶的集合。管理員可以創(chuàng)建組并添加用戶，然后可以給一個(gè)組的用戶賦予角色，而不需在單獨(dú)指定每個(gè)用戶。每個(gè)組都在一個(gè)域( 內(nèi)。組在 IdentityAPI 的第三版（Identity 服務(wù)的 Grizzly 版本）中才被引入。IdentityAPI V3 提供了如下的組相關(guān)的操作：創(chuàng)建、刪除、更新（修改名字或描述）組，為組增加、刪除用戶，列舉所有組成員，列舉某用戶所在的所

32、有組，為組增加基于租戶的角色，為組增加基于域的角色，查詢組所擁有的角色。 Identity service 服務(wù)器可能不會(huì)允許所有的操作。比如說如果你用LDAP 作為 Identity 的后端，則更新組會(huì)被禁用，因此，請(qǐng)求創(chuàng)建，刪除，或者更新組都會(huì)失敗。)s域定義了對(duì)實(shí)體的管理邊界。一個(gè)域可能代表一個(gè)，一個(gè)公司，或者一個(gè)運(yùn)營(yíng)商自有的空間。它用來直接向系統(tǒng)用戶(system users)管理活動(dòng)。User CRUDIdentity 服務(wù)提供了一個(gè)用戶 CRUD(Create,Retrieve,Update,Delete)過濾器。這個(gè)過濾器可以被添加到 public_api 管道中，同時(shí)允許永續(xù)使

33、用一個(gè) HTTP PATCH來修改他們的。要使用這個(gè)擴(kuò)展你需要先定義一個(gè) user_crud_exten過濾器，在 keystone.conf 文件的 *_body 中間件后和 public_apiWSGI 管道的 public_service 應(yīng)用之前它。如下：filter:user_crud_extenpaste.filter_factory =keystone.contrib.user_crud:CrudExtenpipeline:public_api.factorypipeline = ss_monitoringurl_normalize token_auth admin_token_auth xml_bodyjson_body debugec2_extenuser_crud_extenpublic_service然后每個(gè)用戶就可以通過 HTTP PATCH 來修改$ curl -X PATCHContent-type:application/json 了： -H-H X_Auth_Token: -d user: password:ABCD,original_password:DCBA在修改之后，用戶當(dāng)前所有的令牌都會(huì)被刪除。（如果