OpenStack架构之Keystone身份服务

文章目录


一、keystone身份服务

1.1Keystone身份服务概述

  • Keystone是OpenStack中的一个独立的提供安全认证的模块,主要负责OpenStack用户的身份认证、领跑管理、提供访问资源的服务目录、以及基于用户角色的访问控制
  • keystone类似一个服务总线,或者说是整个OpenStack框架的注册表,其他服务通过keystone来注册其服务的Endpoint(服务访问的URL),任何服务之间相互的调用,需要经过keystone的身份验证,来获得目标服务的Endpoint来找到目标服务

1.2Keystone身份服务主要功能

  • 身份认证:对用户进行身份认证,并对应权限范围,令牌的发放和校验
  • 用户授权:授予用户在一个服务中所拥有权限,以token令牌的方式标识用户对应拥有的权限范围
  • 用户管理:提供用户访问资源的寻址功能(URL),管理用户账户
  • 服务目录:所有服务的交互、调用,均需要keystone进行认证,提供可用服务的API端点

1.3管理对象

  • User:指使用Openstack service的用户,nova glance(跑在OpenStack里面,是需要一个用户进行管理的)
  • Project(Tenant):可以理解为一个人或服务所拥有的资源集合
  • Role:用于划分权限,通过给User指定Role, 使User获得Role对应操作权限
  • Authentication:确定用户身份的过程
  • Token:是一个字符串表示,作为访问资源的令牌。Token包含了在指定范围和有效时间内可以被访问的资源
  • Credentials:用于确认用户身份的凭证,用户的用户名和密码,或者是用户名和API密钥,或者身份管理服务提供的认证令牌。
  • Service Openstack service, 即Openstack中运行的组件服务。如nova、swift、glance、 neutron、 cinder等
  • Endpoint:一个可以通过网络来访问和定位某个Openstack service的地址,通常是一个URL(即apache的api (位置点))

1.4Keystone认证流程

  • user登陆(keystone认证)
  • user进入控制台/命令行界面(位置点)
  • user发起创建虚拟的请求(向keystone认证指引位置点)
  • 请求达到nova组件(向keystone认证)
  • nova会开始执行请求,并且调用创建实例所需要的glance、neutron等资源(向keystone认证,指引对应服务的位置点)
  • glance和neutron服务收到请求后(向keystone认证)
  • nova 拿到资源后,调用对应资源,创建实例,最后将创建结果返回给用户

二、OpenStack-keystone组件部署

2.1OpenStack组件安装的顺序

  • Keystone(apache)
  • glance
  • nova
  • neutron
  • cinder
    ①部署OpenStack组件时,需先行安装认证服务(keystone),而认证服务是使用Apache运行的,安装完成后才可以创建、管理账号,然后安装镜像服务(glance)、计算服务(nova)、网络服务(neutron)
    ②其中计算服务和网络服务分为管理端和客户端,所以需要在OpenStack的管理安装计算服务和网络服务的管理端,在创建虚拟机的node接地那上安装计算服务和网络客户端,最后安装dashboard服务,OpenStack各种组件的API都是通过Apache运行的
    ③OpenStack的管理端负责创建、管理虚拟机过程的调度
    ④通过OpenStack管理端创建虚拟机的相关数据最终都会记录到mysql(mariadb)中;node节点没有权限往数据库中写数据,只有控制端有权限,并且node节点与控制住端通讯是通过rabbitmq间接通讯,node节点会监听rabbitmq,控制端也会监听rabbitmq,控制端把创建虚拟机的指令发送到rabbitmq,由监听rabbitmq指定队列的node节点接收消息并创建虚拟机
上一篇:使用虚拟机备份软件恢复OpenStack虚拟机


下一篇:OpenStack 命令