keystone身份认证服务
Keystone (OpenStack ldentity Service)是OpenStack中的一个独立的提供安全认证的模块,主要负责openstack用户的身份认证、令牌管理、提供访问资源的服务具录、以及基于用户角色的访问控制。
Keystone类似一个服务总线或者说是整个Openstack框架的注册表,其他服务通过keystone来注册其服务的Endpoint(服务访问的URL),任何服务之间相互的调用,需要经过Keystone的身份验证,来获得目标服务的Endpoint来找到目标服务。
keystone的主要功能
身份认证(Authentication) :令牌的发放和校验
用户授权(Authorization) :授予用户在一个服务中所拥有权限
用户管理(Account):管理用户账户
服务目录(Service Catalog):提供可用服务的API端点
keystone的管理对象
User:指使用Openstack service的用户。
Project(Tenant):可以理解为一个人、或服务所拥有的资源集合。
Role:用于划分权限。通过给User指定Role,使User获得Role对应操作权限。
Authentication:确定用户身份的过程。
Token:是一个字符串表示,作为访问资源的令牌。Token包含了在指定范围和有效时间内,可以被访问的资源。
Credentials:用于确认用户身份的凭证。用户的用户名和密码,或者是用户名和API密钥,或者身份管理服务提供的认证令牌。
service:Openstack service,即Openstack中运行的组件服务。如nova、swift、glance、neutron、cinder等。
Endpoint:一个可以通过网络来访问和定位某个Openstack service的地址,通常是一个URL。
keystone认证流程
1、用户通过命令行或控制台登录时,进行keystone认证,认证成功后,发给用户一个token令牌并告诉用户能够访问的服务目录。
2、用户创建虚拟机会带着自己的token和nova的url去访问nova服务,nova服务会把用户的token向keystone认证是否可用,如果可用则开始创建虚拟机。
3、由于创建虚拟机需要获取镜像服务和网络拓扑服务,所以nova会带着token向glance和neutron请求资源,这个时候glance和neutron会向keystone认证是否可用,认证成功则把资源调给nova,供nova使用。
4、nova创建虚拟机,创建成功并把信息返回给用户。
keystone服务的部署
控制节点创建数据库实例和数据库用户
[root@ct ~]# mysql -u root -p123
MariaDB [(none)]> create database keystone; #创建keystone库
MariaDB [(none)]> GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'localhost' IDENTIFIED BY 'KEYSTONE_DBPASS'; #设置权限
Query OK, 0 rows affected (0.001 sec)
MariaDB [(none)]> GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'%' IDENTIFIED BY 'KEYSTONE_DBPASS';
Query OK, 0 rows affected (0.000 sec)
MariaDB [(none)]> flush privileges; #刷新权限
Query OK, 0 rows affected (0.000 sec)
[root@ct ~]# yum -y install openstack-keystone httpd mod_wsgi #下载几个需要用到的软件
[root@ct ~]# cp -a /etc/keystone/keystone