备案控制台
探索云世界
开发者社区 安全 文章 正文

理解 Keystone 核心概念 - 每天5分钟玩转 OpenStack(18)

2017-11-14 1265
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介:

作为 OpenStack 的基础支持服务,Keystone 做下面这几件事情:

  1. 管理用户及其权限

  2. 维护 OpenStack Services 的 Endpoint

  3. Authentication(认证)和 Authorization(鉴权)

学习 Keystone,得理解下面这些概念:

User

User 指代任何使用 OpenStack 的实体,可以是真正的用户,其他系统或者服务。

当 User 请求访问 OpenStack 时,Keystone 会对其进行验证。

Horizon 在 Identity->Users 管理 User

除了 admin 和 demo,OpenStack 也为 nova、cinder、glance、neutron 服务创建了相应的 User。 admin 也可以管理这些 User。

Credentials

Credentials 是 User 用来证明自己身份的信息,可以是: 1. 用户名/密码 2. Token 3. API Key 4. 其他高级方式

Authentication

Authentication 是 Keystone 验证 User 身份的过程。

User 访问 OpenStack 时向 Keystone 提交用户名和密码形式的 Credentials,Keystone 验证通过后会给 User 签发一个 Token 作为后续访问的 Credential。

Token

Token 是由数字和字母组成的字符串,User 成功 Authentication 后由 Keystone 分配给 User。

  1. Token 用做访问 Service 的 Credential

  2. Service 会通过 Keystone 验证 Token 的有效性

  3. Token 的有效期默认是 24 小时

Project

Project 用于将 OpenStack 的资源(计算、存储和网络)进行分组和隔离。 根据 OpenStack 服务的对象不同,Project 可以是一个客户(公有云,也叫租户)、部门或者项目组(私有云)。

这里请注意:

  1. 资源的所有权是属于 Project 的,而不是 User。

  2. 在 OpenStack 的界面和文档中,Tenant / Project / Account 这几个术语是通用的,但长期看会倾向使用 Project

  3. 每个 User(包括 admin)必须挂在 Project 里才能访问该 Project 的资源。 一个User可以属于多个 Project。

  4. admin 相当于 root 用户,具有最高权限

Horizon 在 Identity->Projects 中管理 Project

通过 Manage Members 将 User 添加到 Project 中

Service

OpenStack 的 Service 包括 Compute (Nova)、Block Storage (Cinder)、Object Storage (Swift)、Image Service (Glance) 、Networking Service (Neutron) 等。

每个 Service 都会提供若干个 Endpoint,User 通过 Endpoint 访问资源和执行操作。

Endpoint

Endpoint 是一个网络上可访问的地址,通常是一个 URL。 Service 通过 Endpoint 暴露自己的 API。 Keystone 负责管理和维护每个 Service 的 Endpoint。

可以使用下面的命令来查看 Endpoint。

root@devstack-controller:~# source devstack/openrc admin admin root@devstack-controller:~# openstack catalog list

Role

安全包含两部分:Authentication(认证)和 Authorization(鉴权) Authentication 解决的是“你是谁?”的问题 Authorization 解决的是“你能干什么?”的问题

Keystone 是借助 Role 来实现 Authorization 的:

  1. Keystone定义Role

  2. 可以为 User 分配一个或多个 Role Horizon 的菜单为 Identity->Project->Manage Members

  3. Service 决定每个 Role 能做什么事情 Service 通过各自的 policy.json 文件对 Role 进行访问控制。 下面是 Nova 服务 /etc/nova/policy.json 中的示例

上面配置的含义是:对于 create、attach_network 和 attach_volume 操作,任何Role的 User 都可以执行; 但只有 admin 这个 Role 的 User 才能执行 forced_host 操作。

OpenStack 默认配置只区分 admin 和非 admin Role。 如果需要对特定的 Role 进行授权,可以修改 policy.json。

下一节我们将通过例子加深对这些概念的理解。




本文转自CloudMan6 51CTO博客,原文链接:http://blog.51cto.com/cloudman/1761584

文章标签:
数据安全/隐私保护
关键词:
openstack keystone
科技小能手
目录
相关文章
catgod007
|
8月前
|
数据安全/隐私保护
(二)Open Stack(M)----Keystone安装和配置(下)
(二)Open Stack(M)----Keystone安装和配置(下)
catgod007
63 0
晚风_END
|
4月前
|
关系型数据库 MySQL 数据库
云计算|OpenStack|社区版OpenStack安装部署文档(三 --- 身份认证服务keystone安装部署---Rocky版)
云计算|OpenStack|社区版OpenStack安装部署文档(三 --- 身份认证服务keystone安装部署---Rocky版)
晚风_END
58 0
小蔡coding
|
11月前
|
消息中间件 关系型数据库 数据安全/隐私保护
Openstack架构构建及详解(2)--keystone组件
Openstack架构构建及详解(2)--keystone组件
小蔡coding
196 0
Openstack架构构建及详解(2)--keystone组件
指剑
|
数据库连接 API Apache
(三)OpenStack---M版---双节点搭建---Keystone安装和配置
(三)OpenStack---M版---双节点搭建---Keystone安装和配置
指剑
249 0
(三)OpenStack---M版---双节点搭建---Keystone安装和配置
丿阿茶skr丶
|
API 数据安全/隐私保护 对象存储
openstack组件之Keystone
简述keystone
丿阿茶skr丶
745 0
智识探索家
|
API 算法框架/工具
基于OpenStack构建企业私有云(2)KeyStone
Keystone(OpenStack Identity Service)是OpenStack框架中,负责身份验证、服务规则和服务令牌的功能,它实现了OpenStack的Identity API。
智识探索家
652 0
基于OpenStack构建企业私有云(2)KeyStone
技术小阿哥
|
关系型数据库 MySQL Linux
Centos7手动安装OpenStack Mitaka版本--KeyStone安装
技术小阿哥
913 0
技术小甜
|
存储 API Apache
Openstack 安装部署指南翻译系列 之 Keystone服务安装(Identity)
技术小甜
1536 0
技术小大人
|
关系型数据库 MySQL Linux
Centos7手动安装OpenStack Mitaka版本--KeyStone安装
技术小大人
1030 0
技术小甜
|
存储 API Swift
openstack中keystone
技术小甜
871 0

热门文章

最新文章

  • 1
    openstack 上创建云主机
  • 2
    openstack 使用ssh远程管理云主机
  • 3
    OpenStack私有云裸机物理服务器角色规划
  • 4
    k8s 开通openstack
  • 5
    OVS vxlan 底层结构分析 - 每天5分钟玩转 OpenStack(148)
  • 6
    Linux 如何实现 VLAN - 每天5分钟玩转 OpenStack(12)
  • 7
    Attach Volume 操作(Part II) - 每天5分钟玩转 OpenStack(54)
  • 8
    openStack开源云repo db local or on-line 实战部署之Ruiy王者归来
  • 9
    再部署一个 instance 和 Local Network - 每天5分钟玩转 OpenStack(131)
  • 10
    openstack环境准备
  • 1
    探索未来科技趋势:虚拟化技术与云计算平台OpenStack的概念与实践
    69
  • 2
    构建无边界的数字未来:虚拟化技术与云计算平台OpenStack的概念与实践
    79
  • 3
    openstack 查看所有项目配额的命令
    30
  • 4
    openstack 查询网络的port 关联的虚拟机
    52
  • 5
    openstack 常用的命令
    94
  • 6
    openstack查看亲和组的命令
    52
  • 7
    Ubuntu部署OpenStack踩坑指南:还要看系统版本?
    93
  • 8
    准备搞OpenStack了,先装一台最新的Ubuntu 23.10
    79
  • 9
    云计算|OpenStack|使用VMware安装华为云的R006版CNA和VRM---初步使用(二)
    85
  • 10
    云计算|OpenStack|使用VMware安装华为云的R006版CNA和VRM---初始安装(一)
    157

    • 相关课程

    更多
  • Kubernetes极速入门
  • Kubernetes入门

    • 相关电子书

    更多
  • OpenStack Swift 海量小文件性能优化之路
  • 基于OAM和Kubernetes 快速构建开放Serverl
  • 低代码开发师(初级)实战教程
    • 下一篇
    部署LAMP环境(Alibaba Cloud Linux 3)