openstack -- keystone

Posted 2020-10-09

openstack -- keystone

一、简介

1、什么是keystone

　　Keystone是OpenStack的组件之一，用于为OpenStack家族中的其它组件成员提供统一的认证服务，

　　包括身份验证、令牌发放和校验、服务列表、用户权限定义等。

2、keystone in openstack

　　

3、基本概念

　　-- user：用户，访问openstack service的对象都可以称为是user

　　-- credentials：用于确认用户身份的凭证

　　　　- username and password

　　　　- API key

　　　　- token

　　-- authentication：用户身份验证的过程

　　-- project（tenant）：相当于用户组的概念。一个租户可以容纳多个用户

　　-- role：关联到“用户—租户”的元数据。可以关联到多个“用户—租户对”

　　-- token：用于验证用户或者“用户—租户对”的请求是否合法，具有时效性

　　-- service：提供的服务和名称

　　-- endpoint：服务的实例（URL入口）

　　　　- admin url：管理员用户使用 port 35357

　　　　- internal url：openstack内部组件间互相通信 port 5000

　　　　- public url：其他用户访问 port 5000

　　　　- 三种Endpoint在网络上开放的权限也不同：

　　　　　　Admin通常只能对内网开放

　　　　　　public通常可以对外网开放

　　　　　　internal只能对有安装openstack服务的机器开放

　　

　　

　　

 

二、keystone架构

1、基本架构

　　

2、module

　　-- token：用来生成和管理token

　　-- catalog：用来存储和管理service/endpoint

　　-- identity：用来管理tenant/user/role

　　-- policy：用来管理访问权限

3、backend driver

　　-- Token Driver：kvs/memcache/sql

　　-- Catalog Driver：kvs/sql/templated

　　-- Identity Driver：kvs/sql/ldap/pam

　　-- Policy Driver：rules

三、keystone处理流程

1、虚拟机创建流程

　　

2、keystone work flow

　　

　　

3、类比实例

　　# 来自 http://www.cnblogs.com/charles1ee/p/6293387.html    写的非常棒

　　比如说，某公司年会组织跟团去旅游（公司相当于一个group，公司的员工相当于User）。

　　到了晚上要住店，首先要先到前台登记（前台就相当于Keystone），对前台（keystone）来说，你要住店要拿出你的证明（对keystone来说就是要证明你是你）。

　　怎么办？拿出身份证，这里的身份证就相当于Credentials（用户名和密码），前台（keystone）会进行验证你的身份信息（Authentication），验证成功后，

　　前台（Keystone）会给你一个房卡（Token），并且有不同的房卡（比如：普通卡，会员卡，白金卡等），不同的卡有不同的权限（Role），并且拿到房卡后，

　　前台（keystone）会给你一个导航图（Endpoint）让你找到你的房间。

　　并且一个酒店不光会有住宿服务，可能还有别的服务（service），像餐饮，娱乐，按摩等等，

　　比如说要去吃饭，不知道路线怎么走，看一下导航图（endpoint）就知道了，到餐饮部门（service）会有三个路线（Endpoint）可以走。

　　为什么会有三个，领导层通道 --> 走后门（admin），内部员工通道 -->（internal），客人通道  -->（public）。

　　知道如何去，也有了权限（Token/Role）到了餐饮部门，当你点餐的时候，会让你刷上你的会员卡（这个步骤就是service像keystone确认你有没有权限）。

　　验证成功后，你就可以点餐吃饭