问题导读:
1.openstack中user是什么?
2.openstack中令牌的作用是什么?
3.openstack中,权限是由谁来实现的?
感谢Open Source, 感谢那些信奉自由的人们!
Openstack,不做过多解释,让我们直入主题---Keystone。Openstack是一个SOA的架构,理论上各个子项目独立提供相关的服务,互不依赖。例如Nova提供计算服务,Swift提供对象存储服务,Glance提供镜像服务等。但是实际上(至少从Openstack目前开源实现上来看),所有组件都依赖于Keystone提供3A(Account, Authentication, Authorization)服务。除了3A之外,Keystone还对外提供服务目录(Service Catalog)服务,类似于UDDI服务的概念,用户(无论是Dashboard, API Client)都需要访问Keystone获取服务列表,以及每个服务的地址(Openstack中称为Endpoint)。所以,学习Openstack第一个必须搞定的组件必然是Keystone。
首先我们先看一下Keystone的几个基本概念,灰常重要!!!
User: 直译过来就是用户,如果意译的话就是马甲 :) 也就是一个人的账号,当然一个人可以有多个马甲,你懂得。
Crenditial: 用来证明用户身份的证据,大白话就是“信物”,这是一个逻辑概念。具体可以是密码,驾照、身份证等。
Authentication: 鉴权,也即对用户身份鉴别的一个过程。
Token: 令牌。对用户鉴权完毕之后,Keystone会为用户颁发一个令牌,这样用户在请求其他服务的时候,只需要亮出自己的令牌即可,而不需要发送自己的密钥。当然以防仿冒令牌,令牌是有时限的。
Service:服务。之前提到过,Keystone提供了系统能够提供的服务目录,例如Nova, Glance, Swift等。
Endpoint:直译为端点,其实指的是访问服务的地址。如果细分的话,又可以进一步分为对外提供服务的地址,管理地址等。
Role: 权限。这就是3A中的Authorization,也即赋予该用户的权限。我们知道Openstack提供的是一个多租户环境,在Openstack中租户对应到项目(Project)。一个用户可以同时属于多个不同的项目,当然在不同的项目中可以充当不同的角色,也即拥有不同的权限。
在了解以上概念之后,从很高很高的高度来看一下Keystone的流程:
关键的两点:
1) User从Keystone获取令牌以及服务列表;
2) User访问服务时,亮出自己的令牌。相关的服务向Keystone求证令牌的合法性。
大致了解了这个流程之后,我们再来理解keystone的配置就不难了:
1) 从用户的角度来看,它归属于一个或多个Project,并且在每个项目中充当一个角色。所以我们需要创建Project,创建User,创建Role,并将User和Project、Role关联起来;
2) Keystone本质是提供Identity服务的,所以它的实现或者提供的机制也是基于用户来设计的。为了提供服务目录,配置Keystone的时候创建了一个特殊的Service Project,为每个服务创建对应的用户(Nova, Swift, Quantum...),并且都归属于Service Project。然后配置、设置相应的Endpoint。
|