openstack keystone整体架构与功能

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了openstack keystone整体架构与功能相关的知识,希望对你有一定的参考价值。

关于keystone模块,我将从整体架构与功能,用户信息管理,认证服务3个模块用3篇文章进行分析。


1. keystone的基本功能

keystone作为openstack的Identity Service,提供了用户信息管理和完成各个模块认证服务。

           用户信息管理:user/tenant基本信息,tenant管理

           认证服务:登录认证,各个组件API的权限控制


2.keystone的架构

既然keystone为各个模块提供认证服务,所以各个模块与keystone都有所交互。其中登录认证体现在用户访问各个组件的API时,调用了WSGI框架的authtoken filter,该filter最调用keystoneclient ,最终通过keystone验证token,完成对用户的登录认证。如果认证失败,用户将不能访问该API。

以nova为例,authtoken filter在/etc/paste.ini目录中(如果不熟悉WSGI框架,暂且忽略之)

技术分享

技术分享

        keystone在openstack的位置如下:

   技术分享

3.  keystone 基本概念介绍

1). User

   User可简单的理解为用户,用户携带信物(token)能够访问openstack各个服务和资源。

2). Tenant

  Tenant即租户,早期版本又称为project,它是各个服务中的一些可以访问的资源集合。比如通过nova创建虚拟机时要指定到某个租户中,在cinder创建卷也要指定到某个租户中。用户访问租户的资源前,必须与该租户关联,并且指定该用户在该租户下的角色。

3). Role

  Role即角色,可以理解为VIP等级,用户的Role越高,在openstack中能访问的服务和资源就更多。

4). Service

  Service即服务,如Nova、Glance、Swift、heat、ceilometer等。Nova提供云计算的服务,Glance提供镜像管理服务,Swift提供对象存储服务,heat提供资源编排服务,ceilometer则是提供告警计费服务,cinder提供块存储服务。

5). Endpoint

  Service的显得太抽象笼统。Endpoint则具体化Service。Endpoint翻译为“端点”,我们可以理解它是一个服务暴露出来的访问点,如果需要访问一个服务,则必须知道他的endpoint,而endpoint一般为url,我们知道了服务的url,我们就可以访问它。Endpoint 的url具有public、private和admin这三种权限。public url可以被全局访问,private url只能被局域网访问,admin url被从常规的访问中分离。

6).  Token

       Token即是信物、令牌,用户通过用户名和密码获取在某个租户下的token,通过token,可以实现单点登录。

7)    Credentials

       该术语可以简单的理解为用户和密码。

         keystone 里面的概念很多,其中最重要的是 User 和 Tenant 。其它的概念是由于安全和权限等因素引入。引用http://www.openstack.org.cn/bbs/forum.php?mod=viewthread&tid=534&extra=page%3D1该文的理解,通俗的说:

  如果把宾馆比作为Tenant,住宿的人就是User ,而宾馆就是 Tenant,宾馆可以提供多种诸如住宿、娱乐、饮食等多种服务(Service),具体来说,住宿是一种具体的服务(Endpoint)。就住宿而言,有普通间和总统套房,如果你的VIP等级(Role)高,你可以享受到豪华的总统套房。入住前,我们需要拿身份证开房(Credential),认证身份证不是冒牌货后(Authenticaiton),会给你一个房卡(Token),然后你拿着房卡,就可以进入房间和享受各种服务。

User住宾馆的人
Credentials身份证
Authentication认证你的身份证
Token房卡
Tenant宾馆
Service宾馆可以提供的服务类别,比如,饮食类,娱乐类
Endpoint具体的一种服务,比如吃烧烤,打羽毛球
RoleVIP 等级,VIP越高,享有越高的权限


4.  keystone 的访问流程

          以创建一个虚拟机(server)为例,结合下图简述下keystone在openstack的访问流程。

         1)用户Alice通过自己的户名和密码向keystone申请token,keystone认证用户名和密码后,返回token1

          2)Alice通过token1发送keystone查询他所拥有的租户,keystone验证token1成功后,返回Alice的所有Tenant

         3)  Alice选择一个租户,通过用户名和密码申请token,keystone认证用户名、密码、tenant后,返回token2。(其实1、2步仅仅是为了查询tenant,如果已经知道tenant,可以忽略1、2步)

         4)Alice通过token2发送创建server的请求,keystone验证token2(包括该token是否有效,是否有权限创建虚拟机等)成功后,然后再把请求下发到nova,最终创建虚拟机

技术分享


本文出自 “技术引领IT界” 博客,转载请与作者联系!

以上是关于openstack keystone整体架构与功能的主要内容,如果未能解决你的问题,请参考以下文章

OpenStack核心组件原理与应用之Keystone

Openstack 云计算:openstack rocky 二: keystone 部署与验证

openstack项目day23:openstack-keystone-keystone基础

OpenStack架构----keystone组件

云计算之openstack基础服务之一keystone服务最佳实践

Openstack之路认证服务Keystone