三分鐘帶你入門瞭解openstack的keystone專案

一往無前,未來可期發表於2020-11-06

三分鐘帶你入門瞭解openstack的keystone專案

文章目錄

前言

一:Keystone專案

1.1:什麼是keystone?有什麼作用?

  • Keystone是openstack中的一個輔助專案,類似於LDAP服務,對使用者、租戶、角色和服務進行授權,並且支援多種認證機制

1.2:Keystone的體系結構是怎樣的?

  • 體系結構有兩個主要部件:驗證和服務目錄
1.2.1:驗證

  • 提供了一個基於令牌的驗證服務

  • 使用者(user)

  • 使用服務的使用者,可以是人、服務或者系統,只要是使用了openstack服務的物件都可以成為使用者。當使用者對openstack進行訪問時,keystone會對其進行驗證

  • 專案(project)

    租戶:可以理解為一個人、專案或組織擁有的資源的合集,一個租戶中可以擁有多個使用者,這些使用者可以根據許可權的劃分訪問租戶中的資源

    專案:是各個服務中心的一些可以被訪問的資源集合,用來分組或隔離資源或者身份物件,不同服務中心涉及的資源也不一樣

  • 角色(role)

    • 角色,是一組使用者可以訪問的資源許可權的集合

  • 令牌(token)

    • 指的是一串位元值或者字串,用來作文訪問資源的令牌。Token中含有可訪問資源的範圍和有效時間
1.2.2:服務目錄

  • 服務(service)

    • Openstack service,即openstack中執行的元件服務,如Nova,glance等
    • 使用者使用雲中的資源是通過訪問服務的形式實現的
    • 建立一個服務就會建立一個endpoint,service決定每個role能做什麼事情,service通過各自的policy.json檔案對role進行訪問控制

  • 端點(endpoint)

    是一個可以通過網路來訪問和定位某個openstack service的地址,通常是一個URL。

    Endpoint使用物件分為三類:

    • 1、admin URL:給admin使用者使用,被常規的訪問中分離
    • 2、Internal URL:openstack內部服務使用來跟別的服務通訊,只能被區域網訪問
    • 3、Public URL:其他使用者可以訪問的地址,可以被全域性訪問
    • 4、User通過endpoint訪問資源和執行操作

  • 所謂端點,是指用於訪問某個服務的網路地址或URL。如果需要訪問一個服務,則必須知道該服務的端點。在 keystone中包含一個端點模板,這個模板提供了所有已存在的服務的端點資訊。一個端點模板包含一個URL列表,列表中的每個URL都對應一個服務例項的訪問地址,並且具有 public、 private和 admin這三種許可權。其中 public型別的端點可以被全域性訪問, private型別的端點只能被 OpenStack內部服務訪問, admin型別的端點只能被管理員訪問。

1.3:Keystone的認證流程圖是怎樣的?

mark

1.4:Keystone對接dashboard具體體現在哪裡?

  • Dashboard介面的身份管理圖形介面—管理員賬戶(專案管理、使用者管理、角色管理、組管理)
    d具體體現在哪裡?

  • Dashboard介面的身份管理圖形介面—管理員賬戶(專案管理、使用者管理、角色管理、組管理)

  • Dashboard介面的身份管理命令終端—管理員賬戶(專案管理、使用者管理、角色管理、組管理)

相關文章