OpenStack-租户隔离的理解

Posted 2022-06-06 peach_li

如图所示：

• 租户在OpenStack中可以理解为project，用户可以理解为登录注册的账号
• 图中有2个租户，每个租户有2个用户，并且用户1可以属于2个租户
• 每个用户在不同的租户中可以拥有不同的role(角色)，在同一个租户中可以有多个角色
• 每个角色都有不同的权限，admin可以拥有超级管理员的权限（OpenStack只做了二级管理，没有提供租户的管理员的功能），member可以拥有普通的权限，还可以自定义一些权限，如图role1可以创建VM，绑定网络，其他的服务就没有权限做了。
• 不同的租户通过用户相同的role来共享资源并实现权限的隔离，但是目前OpenStack分配给用户admin权限是超级管理员的权限，比如租户1中的用户2如果有admin权限就可以看到租户2的所有资源信息。这样就没有做到租户隔离。只有租户1中的用户2分配了admin权限而只能看到租户1的全部信息，看不到租户2的信息才是真正的租户隔离。