Openstack 云计算(二):openstack rocky 二: keystone 部署与验证

时间  2019-11-06
标签 openstack 计算 rocky keystone 部署 验证 繁體版
原文   原文链接

Openstack 云计算(二): Openstack Rocky部署二 keystone 部署与验证

标签(空格分隔):openstack系列python

  • 一: keystone认证服务
  • 二: keystone的部署

一: keystone 认证服务

Keystone(OpenStack Identity Service)是 OpenStack 框架中负责管理身份验证、服务规则和服务令牌功能的模块。用户访问资源须要验证用户的身份与权限,服务执行操做也须要进行权限检测,这些都须要经过 Keystone 来处理。Keystone相似一个服务总线, 或者说是整个Openstack框架的注册表, 其余服务经过keystone来注册其服务的Endpoint(服务访问的URL),任何服务之间相互的调用, 须要通过Keystone的身份验证, 来得到目标服务的Endpoint来找到目标服务。

1)用户与认证:用户权限与用户行为跟踪

User          用户
Tenant        租户
Token         令牌
Role          角色

2)服务目录:提供一个服务目录,包括全部服务项与相关API的端点

Service       服务
Endpoint      端点

二: keystone的部署

2.1 在控制节点建立keystone相关数据库并受权

mysql -uroot -pflyfish225

CREATE DATABASE keystone;
GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'localhost' IDENTIFIED BY  'keystone';

GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'%' IDENTIFIED BY  'keystone';

flush privileges;

show databases;

select user,host from mysql.user;

image_1d8llli4l1lo92go8bpum519uq9.png-183.4kB

2.2.在控制节点安装keystone相关软件包

yum install openstack-keystone httpd mod_wsgi -y
yum install openstack-keystone python-keystoneclient openstack-utils -y

image_1d8lmb1ui1uqsttn1fu9vqc1teom.png-177.2kB

image_1d8lmc5441e07e221cbb13bj1c5613.png-173.1kB

2.3 keystone 文件配置

openstack-config --set /etc/keystone/keystone.conf database connection mysql+pymysql://keystone:keystone@controller/keystone
openstack-config --set /etc/keystone/keystone.conf token provider fernet

grep '^[a-z]' /etc/keystone/keystone.conf

image_1d8lmn0qsa751eqtgd3g031au71g.png-31.9kB

su -s /bin/sh -c "keystone-manage db_sync" keystone

mysql -uroot -pflyfish225

use keystone; 

show tables;

image_1d8lmr9i2n043ba1m6t185519nt1t.png-154.8kB

2.4 初始化Fernet令牌库

keystone-manage fernet_setup --keystone-user keystone --keystone-group keystone
keystone-manage credential_setup --keystone-user keystone --keystone-group keystone

image_1d8lmvl5pvco1nv0156detd6q62a.png-44.7kB

2.5 定义访问端点

keystone-manage bootstrap --bootstrap-password admin \
  --bootstrap-admin-url http://controller:5000/v3/ \
  --bootstrap-internal-url http://controller:5000/v3/ \
  --bootstrap-public-url http://controller:5000/v3/ \
  --bootstrap-region-id RegionOne

image_1d8ln65mu1jkl1pkpqo1vuu2a22n.png-50.6kB

2.6 配置httpd 服务

vim /etc/httpd/conf/httpd.conf

---
ServerName controller
---

ln -s /usr/share/keystone/wsgi-keystone.conf /etc/httpd/conf.d/

service httpd start 

chkconfig httpd on

3.png-27.9kB

image_1d8lnfl3f9qr1n91mre1o471gsm3g.png-130.8kB

image_1d8lnguqp191q16c31tbnsub11m13t.png-72.5kB

临时配置管理员帐户的相关变量进行管理

export OS_USERNAME=admin
export OS_PASSWORD=admin
export OS_PROJECT_NAME=admin
export OS_USER_DOMAIN_NAME=Default
export OS_PROJECT_DOMAIN_NAME=Default
export OS_AUTH_URL=http://controller:5000/v3
export OS_IDENTITY_API_VERSION=3

image_1d8lnl8c4rug1rkrjea1qjg1dvk4d.png-77.4kB

env |grep OS_

image_1d8lnmi4b4i019fsfqcrlv9va4q.png-65.6kB

查看命令

openstack endpoint list
openstack project list
openstack user list

image_1d8lnpahupumdb7e6jaqr14lr57.png-123.9kB

2.7 建立keystone的通常实例

# 如下命令会在project表中建立名为example的项目

openstack domain create --description "An Example Domain" example

image_1d8lnslif1dtjcon1dmqetq1e1p5n.png-51.4kB

为keystone系统环境建立名为service的项目提供服务

用于常规(非管理)任务,须要使用无特权用户

如下命令会在project表中建立名为service的项目

openstack project create --domain default --description "Service Project" service

image_1d8lnutvbsiq1n9qk6f13ufupc64.png-63.9kB

建立myproject项目和对应的用户及角色
# 做为通常用户(非管理员)的项目,为普通用户提供服务

# 如下命令会在project表中建立名为myproject项目

openstack project create --domain default --description "Demo Project" myproject

image_1d8lo0m0gl71rdba51nv3m06k.png-55.4kB

在默认域建立myuser用户
openstack user create --domain default  --password-prompt myuser

在role表建立myrole角色

openstack role create myrole

image_1d8lo7gb8117k3k0nsj13cl1bih71.png-70.8kB

image_1d8lo942i136v1tqs1nlm5fojo7e.png-44.2kB

将myrole角色添加到myproject项目中和myuser用户组中

openstack role add --project myproject --user myuser myrole

image_1d8lobqih1rbm1b7cn9a1csv1gfi7r.png-29.1kB

2.8 验证keystone

去除环境变量

unset OS_AUTH_URL OS_PASSWORD
env |grep OS_

image_1d8lofd6u4pb7ug1456150jg328b.png-61.7kB

做为管理员用户去请求一个认证的token测试是否可
以使用admin帐户进行登录认证,请求认证令牌

openstack --os-auth-url http://controller:5000/v3 \
  --os-project-domain-name Default --os-user-domain-name Default \
  --os-project-name admin --os-username admin token issue

image_1d8lohcfha8rvd59hl2qn1cv48r.png-115.8kB

使用普通用户获取认证token

openstack --os-auth-url http://controller:5000/v3 \
  --os-project-domain-name Default --os-user-domain-name Default \
  --os-project-name myproject --os-username myuser token issue

image_1d8lojvupacti6b6or6t11r5398.png-128.4kB

2.9 建立OpenStack客户端环境脚本

建立admin用户的环境管理脚本

mkdir /openstack

cd /openstack

vim keystone-admin-pass.sh
---
export OS_PROJECT_DOMAIN_NAME=Default
export OS_USER_DOMAIN_NAME=Default
export OS_PROJECT_NAME=admin
export OS_USERNAME=admin
export OS_PASSWORD=admin
export OS_AUTH_URL=http://controller:5000/v3
export OS_IDENTITY_API_VERSION=3
export OS_IMAGE_API_VERSION=2
---
source keystone-admin-pass.sh

建立普通用户myuser的客户端环境变量脚本

cd /openstack

vim keystone-myuser-pass.sh
---
export OS_PROJECT_DOMAIN_NAME=Default
export OS_USER_DOMAIN_NAME=Default
export OS_PROJECT_NAME=myproject
export OS_USERNAME=myuser
export OS_PASSWORD=myuser
export OS_AUTH_URL=http://controller:5000/v3
export OS_IDENTITY_API_VERSION=3
export OS_IMAGE_API_VERSION=2
---

source keystone-myuser-pass.sh

请求认证令牌:
   openstack token issue 

# 能够看到user_id和上面用命令获取到的是同样的,说明配置成功

# 至此,keystone安装完毕

image_1d8lotqa01s594ka1tc13nl1bmg9l.png-101kB

相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程