理解 Keystone 核心概念 - 天天5分钟玩转 OpenStack(18)
做为 OpenStack 的基础支持服务,Keystone 作下面这几件事情:web
管理用户及其权限json
维护 OpenStack Services 的 Endpoint安全
Authentication(认证)和 Authorization(鉴权)网络
学习 Keystone,得理解下面这些概念:学习
User
User 指代任何使用 OpenStack 的实体,能够是真正的用户,其余系统或者服务。spa
当 User 请求访问 OpenStack 时,Keystone 会对其进行验证。orm
Horizon 在 Identity->Users 管理 User对象
除了 admin 和 demo,OpenStack 也为 nova、cinder、glance、neutron 服务建立了相应的 User。 admin 也能够管理这些 User。ci
Credentials
Credentials 是 User 用来证实本身身份的信息,能够是: 1. 用户名/密码 2. Token 3. API Key 4. 其余高级方式资源
Authentication
Authentication 是 Keystone 验证 User 身份的过程。
User 访问 OpenStack 时向 Keystone 提交用户名和密码形式的 Credentials,Keystone 验证经过后会给 User 签发一个 Token 做为后续访问的 Credential。
Token
Token 是由数字和字母组成的字符串,User 成功 Authentication 后由 Keystone 分配给 User。
Token 用作访问 Service 的 Credential
Service 会经过 Keystone 验证 Token 的有效性
Token 的有效期默认是 24 小时
Project
Project 用于将 OpenStack 的资源(计算、存储和网络)进行分组和隔离。 根据 OpenStack 服务的对象不一样,Project 能够是一个客户(公有云,也叫租户)、部门或者项目组(私有云)。
这里请注意:
资源的全部权是属于 Project 的,而不是 User。
在 OpenStack 的界面和文档中,Tenant / Project / Account 这几个术语是通用的,但长期看会倾向使用 Project
每一个 User(包括 admin)必须挂在 Project 里才能访问该 Project 的资源。 一个User能够属于多个 Project。
admin 至关于 root 用户,具备最高权限
Horizon 在 Identity->Projects 中管理 Project
经过 Manage Members 将 User 添加到 Project 中
Service
OpenStack 的 Service 包括 Compute (Nova)、Block Storage (Cinder)、Object Storage (Swift)、Image Service (Glance) 、Networking Service (Neutron) 等。
每一个 Service 都会提供若干个 Endpoint,User 经过 Endpoint 访问资源和执行操做。
Endpoint
Endpoint 是一个网络上可访问的地址,一般是一个 URL。 Service 经过 Endpoint 暴露本身的 API。 Keystone 负责管理和维护每一个 Service 的 Endpoint。
可使用下面的命令来查看 Endpoint。
root@devstack-controller:~# source devstack/openrc admin admin
root@devstack-controller:~# openstack catalog list
Role
安全包含两部分:Authentication(认证)和 Authorization(鉴权) Authentication 解决的是“你是谁?”的问题 Authorization 解决的是“你能干什么?”的问题
Keystone 是借助 Role 来实现 Authorization 的:
Keystone定义Role
能够为 User 分配一个或多个 Role Horizon 的菜单为 Identity->Project->Manage Members
Service 决定每一个 Role 能作什么事情 Service 经过各自的 policy.json 文件对 Role 进行访问控制。 下面是 Nova 服务 /etc/nova/policy.json 中的示例
上面配置的含义是:对于 create、attach_network 和 attach_volume 操做,任何Role的 User 均可以执行; 但只有 admin 这个 Role 的 User 才能执行 forced_host 操做。
OpenStack 默认配置只区分 admin 和非 admin Role。 若是须要对特定的 Role 进行受权,能够修改 policy.json。
下一节咱们将经过例子加深对这些概念的理解。
- 1. 理解 Keystone 核心概念 - 天天5分钟玩转 OpenStack(18)
- 2. 理解 Keystone 核心概念 - 每天5分钟玩转 OpenStack(18)
- 3. 经过例子学习 Keystone - 天天5分钟玩转 OpenStack(19)
- 4. VXLAN 概念(Part I) - 天天5分钟玩转 OpenStack(108)
- 5. VXLAN 概念(Part II)- 天天5分钟玩转 OpenStack(109)
- 6. Neutron 网络基本概念 - 天天5分钟玩转 OpenStack(66)
- 7. OpenStack 架构 - 天天5分钟玩转 OpenStack(15)
- 8. 通过例子学习 Keystone - 每天5分钟玩转 OpenStack(19)
- 9. 如何使用 OpenStack CLI - 天天5分钟玩转 OpenStack(22)
- 10. 理解 Neutron FWaaS - 天天5分钟玩转 OpenStack(117)
- 更多相关文章...
- • MyBatis的核心组件 - MyBatis教程
- • Hibernate的核心接口 - Hibernate教程
- • Git五分钟教程
- • JDK13 GA发布:5大特性解读
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. vs2019运行opencv图片显示代码时,窗口乱码
- 2. app自动化 - 元素定位不到?别慌,看完你就能解决
- 3. 在Win8下用cisco ××× Client连接时报Reason 422错误的解决方法
- 4. eclipse快速补全代码
- 5. Eclipse中Java/Html/Css/Jsp/JavaScript等代码的格式化
- 6. idea+spring boot +mabitys(wanglezapin)+mysql (1)
- 7. 勒索病毒发生变种 新文件名将带有“.UIWIX”后缀
- 8. 【原创】Python 源文件编码解读
- 9. iOS9企业部署分发问题深入了解与解决
- 10. 安装pytorch报错CondaHTTPError:******
- 1. 理解 Keystone 核心概念 - 天天5分钟玩转 OpenStack(18)
- 2. 理解 Keystone 核心概念 - 每天5分钟玩转 OpenStack(18)
- 3. 经过例子学习 Keystone - 天天5分钟玩转 OpenStack(19)
- 4. VXLAN 概念(Part I) - 天天5分钟玩转 OpenStack(108)
- 5. VXLAN 概念(Part II)- 天天5分钟玩转 OpenStack(109)
- 6. Neutron 网络基本概念 - 天天5分钟玩转 OpenStack(66)
- 7. OpenStack 架构 - 天天5分钟玩转 OpenStack(15)
- 8. 通过例子学习 Keystone - 每天5分钟玩转 OpenStack(19)
- 9. 如何使用 OpenStack CLI - 天天5分钟玩转 OpenStack(22)
- 10. 理解 Neutron FWaaS - 天天5分钟玩转 OpenStack(117)