分享

Keystone, Openstack之魂

hyj 发表于 2014-5-31 12:05:41 [显示全部楼层] 只看大图 回帖奖励 阅读模式 关闭右栏 3 23635
问题导读:
1.openstack中user是什么?
2.openstack中令牌的作用是什么?
3.openstack中,权限是由谁来实现的?






感谢Open Source, 感谢那些信奉自由的人们!

  Openstack,不做过多解释,让我们直入主题---Keystone。Openstack是一个SOA的架构,理论上各个子项目独立提供相关的服务,互不依赖。例如Nova提供计算服务,Swift提供对象存储服务,Glance提供镜像服务等。但是实际上(至少从Openstack目前开源实现上来看),所有组件都依赖于Keystone提供3A(Account, Authentication, Authorization)服务。除了3A之外,Keystone还对外提供服务目录(Service Catalog)服务,类似于UDDI服务的概念,用户(无论是Dashboard, API Client)都需要访问Keystone获取服务列表,以及每个服务的地址(Openstack中称为Endpoint)。所以,学习Openstack第一个必须搞定的组件必然是Keystone。

  首先我们先看一下Keystone的几个基本概念,灰常重要!!!
  User: 直译过来就是用户,如果意译的话就是马甲 :) 也就是一个人的账号,当然一个人可以有多个马甲,你懂得。

  Crenditial: 用来证明用户身份的证据,大白话就是“信物”,这是一个逻辑概念。具体可以是密码,驾照、身份证等。

  Authentication: 鉴权,也即对用户身份鉴别的一个过程。

  Token: 令牌。对用户鉴权完毕之后,Keystone会为用户颁发一个令牌,这样用户在请求其他服务的时候,只需要亮出自己的令牌即可,而不需要发送自己的密钥。当然以防仿冒令牌,令牌是有时限的。

  Service:服务。之前提到过,Keystone提供了系统能够提供的服务目录,例如Nova, Glance, Swift等。

  Endpoint:直译为端点,其实指的是访问服务的地址。如果细分的话,又可以进一步分为对外提供服务的地址,管理地址等。

  Role: 权限。这就是3A中的Authorization,也即赋予该用户的权限。我们知道Openstack提供的是一个多租户环境,在Openstack中租户对应到项目(Project)。一个用户可以同时属于多个不同的项目,当然在不同的项目中可以充当不同的角色,也即拥有不同的权限。

  在了解以上概念之后,从很高很高的高度来看一下Keystone的流程:
   60f6c968gd4472251ca51&690.jpg
  关键的两点:
1) User从Keystone获取令牌以及服务列表;
2) User访问服务时,亮出自己的令牌。相关的服务向Keystone求证令牌的合法性。

  大致了解了这个流程之后,我们再来理解keystone的配置就不难了:

  1) 从用户的角度来看,它归属于一个或多个Project,并且在每个项目中充当一个角色。所以我们需要创建Project,创建User,创建Role,并将User和Project、Role关联起来;

  2) Keystone本质是提供Identity服务的,所以它的实现或者提供的机制也是基于用户来设计的。为了提供服务目录,配置Keystone的时候创建了一个特殊的Service Project,为每个服务创建对应的用户(Nova, Swift, Quantum...),并且都归属于Service Project。然后配置、设置相应的Endpoint。




已有(3)人评论

跳转到指定楼层
auferack08 发表于 2014-10-29 10:13:26
请问图片来自于哪个参考资料啊
回复

使用道具 举报

pig2 发表于 2015-1-27 15:14:50
auferack08 发表于 2014-10-29 10:13
请问图片来自于哪个参考资料啊



官方部署文档

地址
回复

使用道具 举报

nxu_jsjx 发表于 2016-7-17 07:36:22
谢谢楼主的分享,开始这一节内容的学习~
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

关闭

推荐上一条 /2 下一条