權(quán)限劃分介紹

權(quán)限劃分介紹2知識目標理解Keystone中的重要概念掌握Keystone的管理類別學習目標3目錄01Keystone中的重要概念02Keystone的管理類別4Keystone中的重要概念1.User（用戶）User指代任何使用OpenStack的實體，可以是真正的用戶，其他系統(tǒng)或者服務(wù)。當User請求訪問OpenStack時，Keystone會對其進行驗證。2.Group（組）組Group是表示用戶集合的容器。5Keystone中的重要概念3.Credentials（證書）Credentials是User用來證明自己身份的信息，可以是：用戶名/密碼TokenAPIKey其他高級方式6Keystone中的重要概念4.Authentication（認證）Authentication是Keystone驗證User身份的過程。User訪問OpenStack時向Keystone提交用戶名和密碼形式的Credentials，Keystone驗證通過后會給User簽發(fā)一個Token作為后續(xù)訪問的Credential。7Keystone中的重要概念5.Token（令牌）用戶從Keystone那里獲取的令牌，用于訪問其他服務(wù)和資源的憑證，每個令牌都有一個訪問范圍，允許訪問OpenStack范圍內(nèi)的服務(wù)資源。6.Project（項目）Project用于將OpenStack的資源（計算、存儲和網(wǎng)絡(luò)）進行分組和隔離。根據(jù)OpenStack服務(wù)的對象不同，Project可以是一個客戶（公有云，也叫租戶）、部門或者項目組（私有云）。8Keystone中的重要概念7.Service（服務(wù)）OpenStack的Service包括Compute(Nova)、BlockStorage(Cinder)、ObjectStorage(Swift)、ImageService(Glance)、NetworkingService(Neutron)等。每個Service都會提供若干個Endpoint，User通過Endpoint訪問資源和執(zhí)行操作。9Keystone中的重要概念8.Endpoint（訪問端點）Endpoint是一個網(wǎng)絡(luò)上可訪問的地址，通常是一個URL，Service通過Endpoint暴露自己的API，Keystone負責管理和維護每個Service的Endpoint。10Keystone中的重要概念9.Role（角色）個性化的用戶可以執(zhí)行一組特定的操作，角色包括一組權(quán)利和特權(quán)，如果用戶擔當某一角色，就可以繼承角色的權(quán)利和特權(quán)。在Keystone服務(wù)中，發(fā)放的令牌(Token)決定了用戶的角色，包括一系列的權(quán)限，用戶調(diào)用的服務(wù)詮釋了用戶的角色具體操作權(quán)利，即哪些操作可以，哪些操作不可以。11Keystone中的重要概念10.Domain（域）域Domain是項目、用戶和組的高級容器,每個都由一個域擁有。每個域定義一個名稱空間，其中API可見名稱屬性存在。Keystone提供了一個默認域名，稱為“Default”。12Keystone的管理類別Keystone的管理主要包括用戶身份管理和服務(wù)管理。1.用戶身份管理用戶身份管理有以下三個主要概念：用戶（User）項目（Project）角色（Role