OpenStack技術(shù)原理與實(shí)戰(zhàn)：keystone認(rèn)證組件介紹

keystone認(rèn)證組件介紹什么是keystone?2南陽(yáng)理工學(xué)院OpenStack是一種面向服務(wù)（SOA）的體系結(jié)構(gòu)進(jìn)行設(shè)計(jì)的，各個(gè)模塊的實(shí)現(xiàn)按照提供的服務(wù)不同，而被劃分成為若干相互獨(dú)立的模塊。但keystone在OpenStack中有著一定的特殊性。keystone是OpenStack的核心組件，主要用于為openstack家族中的其他組件成員提供統(tǒng)一的認(rèn)證服務(wù)，包含身份驗(yàn)證、令牌的發(fā)放和校驗(yàn)、服務(wù)列表、用戶(hù)權(quán)限定義等等。實(shí)際上OpenStack中任何組件均依賴(lài)于keystone提供的服務(wù)?？梢宰鳛镺penStack的統(tǒng)一認(rèn)證的組件支持基于數(shù)據(jù)庫(kù)的認(rèn)證（SQLite3，MySQL以及PostgreSQL）支持基于Ldap認(rèn)證，同樣支持windowsActiveDirectory認(rèn)證。未來(lái)會(huì)支持外部認(rèn)證體系oAuth,SAML,OpenID3南陽(yáng)理工學(xué)院Keystone職責(zé)keystone在整個(gè)OpenStack中主要負(fù)責(zé)兩個(gè)工作：跟蹤用戶(hù)及監(jiān)管用戶(hù)權(quán)限為每個(gè)組件服務(wù)提供一個(gè)可用的服務(wù)目錄和相應(yīng)的API入口端點(diǎn)4南陽(yáng)理工學(xué)院Keystone基本概念User

User即用戶(hù)，他們代表可以通過(guò)keystone進(jìn)行訪(fǎng)問(wèn)的人或程序。Users通過(guò)認(rèn)證信息（credentials，如密碼、APIKeys等）進(jìn)行驗(yàn)證。Tenant（project）

Tenant即租戶(hù)，它是各個(gè)服務(wù)中的一些可以訪(fǎng)問(wèn)的資源集合。例如，在Nova中一個(gè)tenant可以是一些機(jī)器，在Swift和Glance中一個(gè)tenant可以是一些鏡像存儲(chǔ)，在Neutron中一個(gè)tenant可以是一些網(wǎng)絡(luò)資源。Users默認(rèn)的總是綁定到某些tenant上。Role

Role即角色，Roles代表一組用戶(hù)可以訪(fǎng)問(wèn)的資源權(quán)限，例如Nova中的虛擬機(jī)、Glance中的鏡像。Users可以被添加到任意一個(gè)全局的或租戶(hù)的角色中。在全局的role中，用戶(hù)的role權(quán)限作用于所有的租戶(hù)，即可以對(duì)所有的租戶(hù)執(zhí)行role規(guī)定的權(quán)限；在租戶(hù)內(nèi)的role中，用戶(hù)僅能在當(dāng)前租戶(hù)內(nèi)執(zhí)行role規(guī)定的權(quán)限。Keystone基本概念Service

Service即服務(wù)，如Nova、Glance、Swift。根據(jù)前三個(gè)概念（User，Tenant和Role）一個(gè)服務(wù)可以確認(rèn)當(dāng)前用戶(hù)是否具有訪(fǎng)問(wèn)其資源的權(quán)限。但是當(dāng)一個(gè)user嘗試著訪(fǎng)問(wèn)其租戶(hù)內(nèi)的service時(shí)，他必須知道這個(gè)service是否存在以及如何訪(fǎng)問(wèn)這個(gè)service，這里通常使用一些不同的名稱(chēng)表示不同的服務(wù)。CredentialsCredentials即憑證，用于確認(rèn)用戶(hù)身份的數(shù)據(jù)。例如：用戶(hù)名和密碼，用戶(hù)名和APIkey，或由認(rèn)證服務(wù)提供的身份驗(yàn)證令牌。Keystone基本概念Endpoint

Endpoint，翻譯為“端點(diǎn)”，我們可以理解它是一個(gè)服務(wù)暴露出來(lái)的訪(fǎng)問(wèn)點(diǎn)，如果需要訪(fǎng)問(wèn)一個(gè)服務(wù)，則必須知道他的endpoint。因此，在keystone中包含一個(gè)endpoint模板，這個(gè)模板提供了所有存在的服務(wù)endpoints信息。一個(gè)endpointtemplate包含一個(gè)URLs列表，列表中的每個(gè)URL都對(duì)應(yīng)一個(gè)服務(wù)實(shí)例的訪(fǎng)問(wèn)地址，并且具有public、private和admin這三種權(quán)限。publicurl可以被全局訪(fǎng)問(wèn)（如），privateurl只能被局域網(wǎng)訪(fǎng)問(wèn)（如http://compute.example.local），adminurl被從常規(guī)的訪(fǎng)問(wèn)中分離。TokenToken是訪(fǎng)問(wèn)資源的鑰匙。它是通過(guò)Keystone驗(yàn)證后的返回值，在之后的與其他服務(wù)交互中只需要攜帶Token值即可。每個(gè)Token都有一個(gè)有效期，Token只在有效期內(nèi)是有效的。8南陽(yáng)理工學(xué)院各種概念之間關(guān)系解釋1、租戶(hù)下，管理著一堆用戶(hù)（人，或程序）。2、每個(gè)用戶(hù)都有自己的credentials（憑證）用戶(hù)名+密碼或者用戶(hù)名+APIkey，或其他憑證。3、用戶(hù)在訪(fǎng)問(wèn)其他資源（計(jì)算、存儲(chǔ)）之前，需要用自己的credential去請(qǐng)求keystone服務(wù)，獲得驗(yàn)證信息（主要是Token信息）和服務(wù)信息（服務(wù)目錄和它們的endpoint）。4、用戶(hù)拿著Token信息，就可以去訪(fǎng)問(wèn)特定的資源了。keystone的工作原理10南陽(yáng)理工學(xué)院11南陽(yáng)理工學(xué)院12南陽(yáng)理工學(xué)院創(chuàng)建demo項(xiàng)目創(chuàng)建demo用戶(hù)創(chuàng)建user角色

添加user角色到demo項(xiàng)目和用戶(hù)：

#openstackroleadd--projectdemo--userdemouser使用demo用戶(hù)，請(qǐng)求認(rèn)證令牌使用demo用戶(hù)，查看請(qǐng)求認(rèn)證令牌Keystone相關(guān)配置文件/etc/keystone/keystone.confadmin_token選項(xiàng)：這個(gè)參數(shù)是用來(lái)訪(fǎng)問(wèn)Keystone服務(wù)的，相等于訪(fǎng)問(wèn)keyston這扇“門(mén)”的鑰匙，客戶(hù)端可以使用該Token訪(fǎng)問(wèn)Keystone服務(wù)、查看信息、創(chuàng)建其他服務(wù)等。在keystone的配置文件中默認(rèn)值是ADMIN，讀者可以修改這個(gè)token，只要在部署OpenStack其他組件時(shí)的keystone令牌需要保持一致。token_format選項(xiàng)：這一選項(xiàng)是一個(gè)關(guān)于認(rèn)證令牌格式的選項(xiàng)，通常在較高版本的OpenStack中該選項(xiàng)的值為PKI格式，一般情況下將該選項(xiàng)設(shè)置成為UUID格式，這種格式可能使用起來(lái)比較方便。[sql]中connection：keystone的運(yùn)行過(guò)程中需要數(shù)據(jù)庫(kù)的輔助，在keystone的配置文件中，默認(rèn)采用sqlite數(shù)據(jù)庫(kù)，為了OpenStack部署和使用的方便，在配置keystone時(shí)將此項(xiàng)修改成mariaDB數(shù)據(jù)。19南陽(yáng)理工學(xué)院Keystone的日志文件/var/log/keystone/keystone.log日志