当前位置：移动技术网 > 网络运营>服务器>虚拟主机 > OpenStack Identity(Keystone)身份服务、体系结构与中间件讲解

OpenStack Identity(Keystone)身份服务、体系结构与中间件讲解

2019年04月21日 | 移动技术网网络运营 | 我要评论

openstack identity（keystone）服务为运行openstack compute上的openstack云提供了认证和管理用户、帐号和角色信息服务，并为openstack object storage提供授权服务。

keystone体系结构

keystone 有两个主要部件：验证和服务目录

验证：提供了一个基于令牌的验证服务，主要有以下几个概念：

租户（tenant）

使用openstack相关服务的一个组织。一个租户映射到一个nova的“project-id”，在对象存储中，一个租户可以有多个容器。根据不同的安装方式，一个租户可以代表一个客户、帐号、组织或项目。

用户（user）

代表一个个体，openstack以用户的形式来授权服务给它们。用户拥有证书（credentials），且可能分配给一个或多个租户。经过验证后，会为每个单独的租户提供一个特定的令牌。

证书（credentials）

为了给用户提供一个令牌，需要用证书来唯一标识一个keystone用户的密码或其它信息

令牌（token）

一个令牌是一个任意比特的文本，用于与其它openstack服务来共享信息，keystone以此来提供一个central location，以验证访问openstack服务的用户。一个令牌可以是“scoped”或“unscoped”。一个scoped令牌代表为某个租户验证过的用户，而unscoped令牌则仅代表一个用户。令牌的有效期是有限的，可以随时被撤回。

角色（role）

一个角色是应用于某个租户的使用权限集合，以允许某个指定用户访问或使用特定操作。角色是使用权限的逻辑分组，它使得通用的权限可以简单地分组并绑定到与某个指定租户相关的用户。

服务目录（service catalog）

keystone为openstack安装提供了一个rest api端点列表并以此作为决策参考。主要的概念包括：

服务（service）

一个openstack服务，例如nova、swift、glance或keystone。一个服务可以拥有一个或多个端点，通过它用户可以与openstack的服务或资源交互。

端点（endpoint）

一个可以通过网络访问的地址（典型地，一个url），代表了openstack服务的api接口。端点也可以分组为模板，每个模板代表一组可用的openstack服务，这些服务是跨区域（regions）可用的。

模板（template）

一个端点集合，代表一组可用的openstack服务端点。

keystone的组件

keystone包含一个命令行接口，可以与keystone api交互以管理keystone和相关服务。

keystone - 运行keystone-admin和keystone-service
keystone-admin - 操作keystone的管理api
keystone-service - 用于验证的，面向用户的ap
keystone-manage - 管理keystone的命令行接口
keystone还包括wsgi中间件以为nova和swift提供验证服务。
keystone使用一个内置的sqlite数据库 - 为验证用户，将来也可能使用一个外部ldap服务来代替存储证书

中间件（middleware）

keystone中间件位于openstack服务前面，处理进来的请求验证。中间件的设计遵循如下的规范。

中间件的源代码位于keystone/middleware。

中间件支持两个接口：wsgi和rest/http。

rest & http api

如果进来一个未经认证的调用，中间件将响应一个401 unautorized错误。根据每http的标准，它也会返回一个www-authenticate包头以通知调用者支持哪个协议。对于keystone验证，响应的语法格式如下：

www-authenticate: keystone uri="url to keystone server"the client can then make the necessary calls to the keystone server, obtain a token, and retry the call with the token.

令牌使用 x-auth-toke包头传递。

wsgi api（包头）

当成功验证后中间件经为下行的wsgi应用发送如下包头：

x-identity-status

提供请求是否被验证的信息。

x-tenant

提供了租户id（在keystone中以url的形式出现）。在keysotne转为采用id/name模式之前，它为租户提供了对任意遗留实现的支持。

x-tenant-id

唯一不变的租户id。

x-tenant-name

唯一但可变的租户名字。

x-user

用于登录的用户名。

x-roles

分配给用户的角色。

以上所述是小编给大家介绍的openstack identity(keystone)身份服务、体系结构与中间件，希望对大家有所帮助

您可能感兴趣的文章:

如对本文有疑问，点击进行留言回复！！

Docker搭建Nginx图片服务器的方法

前言一般开发中，都会把图片上传到一个目录，然后将目录和文件名拼接存储在数据库中，但是，这种方法如果没弄好的话可能有一定的缺陷。若项目搬迁，即时这台服务器本身还在... [阅读全文]
Docker守护进程安全配置项目详解

本文将为大家介绍docker守护进程的相关安全配置项目。一、测试环境1.1 安装 centos 7centos linux release 7.7.1908 (... [阅读全文]
最新超详细VMware虚拟机下载与安装图文教程

vmware下载与安装一、虚拟机的下载1.进入vmware官网，点击左侧导航栏中的下载，再点击图中标记的workstation pro，如下图所示。2.根据操作... [阅读全文]
最新超详细虚拟机VMware安装Kali Linux的图文教程

准备：一台电脑，vmware(vmware安装教程)一、下载系统镜像文件1.首先下载系统镜像，进入kali官网，在downloads中选择download ka... [阅读全文]
VMWARE下复制centos8虚拟机导致IP丢失问题处理

在vmware下安装完一台centos8服务后再进行复制后出现如下问题拷贝前的源centos与拷贝后的centos服务都没有了ip，需要重新设置对于这个情况经反... [阅读全文]
VirtualBox软件下载安装及Linux环境安装部署图文教程详解

一、virtualbox软件下载及安装首先进入virtualbox官方网站进行软件下载， https://www.virtualbox.org/，目前virtu... [阅读全文]
Docker安装Redis并介绍可视化客户端进行操作

1 简介redis是使用ansi c语言开发的基于key-value的高性能nosql数据库，在解决高并发、高可用等一系列问题中，它扮演着重要的角色。它的优势主... [阅读全文]
基于Docker镜像部署go项目的方法步骤

依赖知识 go交叉编译基础 docker基础 dockerfile自定义镜像基础 docker-compose编排文件编写基础当然，一点也不会也可以按照... [阅读全文]
详解Docker镜像与容器的常见操作

镜像加速器国内从 docker hub 拉取镜像有时会遇到困难，此时可以配置镜像加速器。国内很多云服务商都提供了国内加速器服务，例如：网易云加速器阿里云加速器... [阅读全文]
Docker 安装 Jenkins 并解决初始安装插件失败问题

安装 jenkins 后，初始化下载插件总是失败，导致安装不成功，重试好几次都是卡在安装插件那。这里记录下 docker 下怎么安装 jenkins ,并解决初... [阅读全文]