本节书摘来异步社区《OpenStack云计算实战手册（第2版）》一书中的第2章，第2.4节，作者： 【英】Kevin Jackson , 【美】Cody Bunch 译者： 黄凯 , 杜玉杰 责编： 杨海玲，更多章节内容可以访问云栖社区“异步社区”公众号查看。

2.4 使用OpenStack身份认证服务配置OpenStack镜像服务

OpenStack云计算实战手册（第2版）
为了保证OpenStack计算服务正确运行，必须对OpenStack镜像服务（Image Service）作适当配置，以保证其能正常使用OpenStack身份认证服务。

准备工作
在开始之前，必须确认已经登录到已经安装了OpenStack身份认证服务的OpenStack控制节点上，或者有一个已经连接到安装了OpenStack镜像服务的服务器上的Ubuntu客户端。

执行以下命令，登录到使用Vagrant创建的OpenStack控制节点：

vagrant ssh controller
操作步骤
要配置OpenStack镜像服务中与OpenStack身份认证服务连接有关的部分，具体步骤如下。

1．首先编辑/etc/glance/glance-api-paste.ini文件，修改其中[filter:authtoken]部分的配置，以匹配之前定义的glance用户。

[filter:authtoken]    
paste.filter_factory = keystoneclient.middleware.auth_token:filter_factory  
admin_tenant_name =servcie  
admin_user = glance     
admin_password = glance

2．保存文件之后，在/etc/glance/glance-api.conf文件的末尾添加如下内容，告知OpenStack镜像服务如何使用OpenStack身份认证服务以及glance-api-paste.ini文件中保存的信息。

[keystone_authtoken]  
auth_host = 172.16.0.200  
auth_port = 35357  
auth_protocol = http  
admin_tenant_name = service  
admin_user = glance  
admin_password = glance  
[paste_deploy]  
config_file = /etc/glance/glance-api-paste.ini  
flavor = keystone

3．同样，需要在/etc/glance/glance-registry-paste.ini文件中的[filter:authtoken]部分里配置glance用户。

[filter:authtoken]  
paste.filter_factory = keystoneclient.middleware.auth_  
token:filter_factory  
admin_tenant_name = service  
admin_user = glance  
admin_password = glance

4．然后，在/etc/glance/glance-registry配置文件中同样添加如下内容来使用OpenStack身份认证服务。

[keystone_authtoken]  
auth_host = 172.16.0.200  
auth_port = 35357  
auth_protocol = http  
admin_tenant_name = service  
admin_user = glance  
admin_password = glance  

[paste_deploy]  
config_file = /etc/glance/glance-registry-paste.ini  
flavor = keystone

5．最后，重启OpenStack镜像服务来使更改生效。

sudo restart glance-api     
sudo restart glance-registry

工作原理
OpenStack镜像服务运行两个进程。其中，glance-api是客户端及其他服务与glance通信的接口，而glance-registry用于管理存储在硬盘和registry数据库中的对象。这两个进程都需要在它们的配置文件中设置好验证凭证，以方便OpenStack身份认证服务对其用户进行鉴权。