技术流ken

运维拯救世界

云计算系列:CentOS7.6系统部署安装OpenStack(三)-keystone服务–技术流ken

keystone做什么

 

  1. 管理用户及其权限
  2. 维护 OpenStack Services 的 Endpoint
  3. Authentication(认证)和 Authorization(鉴权)

 

学习 Keystone,得理解下面这些概念:

 

user

 

 

User 指代任何使用 OpenStack 的实体,可以是真正的用户,其他系统或者服务。

当 User 请求访问 OpenStack 时,Keystone 会对其进行验证。Horizon 在 Identity->Users 管理 User

除了 admin 和 demo,OpenStack 也为 nova、cinder、glance、neutron 服务创建了相应的 User。 admin 也可以管理这些 User。

 

Credentials

 

Credentials (凭证)是 User 用来证明自己身份的信息,可以是:

1. 用户名/密码
2. Token
3. API Key
4. 其他高级方式

 

Authentication

 

Authentication(证明) 是 Keystone 验证 User 身份的过程。User 访问 OpenStack 时向 Keystone 提交用户名和密码形式的 Credentials,Keystone 验证通过后会给 User 签发一个 Token 作为后续访问的 Credential。

 

Token

 

Token 是由数字和字母组成的字符串,User 成功 Authentication 后 Keystone 生成 Token 并分配给 User。

  1. Token 用做访问 Service 的 Credential
  2. Service 会通过 Keystone 验证 Token 的有效性
  3. Token 的有效期默认是 24 小时

 

 

Project

 

Project 用于将 OpenStack 的资源(计算、存储和网络)进行分组和隔离。

根据 OpenStack 服务的对象不同,Project 可以是一个客户(公有云,也叫租户)、部门或者项目组(私有云)。

这里请注意:

  1. 资源的所有权是属于 Project 的,而不是 User。
  2. 在 OpenStack 的界面和文档中,Tenant / Project / Account 这几个术语是通用的,但长期看会倾向使用 Project
  3. 每个 User(包括 admin)必须挂在 Project 里才能访问该 Project 的资源。 一个User可以属于多个 Project。
  4. admin 相当于 root 用户,具有最高权限

 

Horizon 在 Identity->Projects 中管理 Project

 

 

通过 Manage Members 将 User 添加到 Project

 

Service

 

OpenStack 的 Service 包括 Compute (Nova)、Block Storage (Cinder)、Object Storage (Swift)、Image Service (Glance) 、Networking Service (Neutron) 等。每个 Service 都会提供若干个 Endpoint,User 通过 Endpoint 访问资源和执行操作。

 

Endpoint

 

Endpoint 是一个网络上可访问的地址,通常是一个 URL。Service 通过 Endpoint 暴露自己的 API。 Keystone 负责管理和维护每个 Service 的 Endpoint。

[root@controller ~]# source admin
[root@controller ~]# openstack catalog list
+-----------+-----------+------------------------------------------------------------------------+
| Name      | Type      | Endpoints                                                              |
+-----------+-----------+------------------------------------------------------------------------+
| placement | placement | RegionOne                                                              |
|           |           |   internal: http://controller:8778                                     |
|           |           | RegionOne                                                              |
|           |           |   admin: http://controller:8778                                        |
|           |           | RegionOne                                                              |
|           |           |   public: http://controller:8778                                       |
|           |           |                                                                        |
| keystone  | identity  | RegionOne                                                              |
|           |           |   admin: http://controller:35357/v3/                                   |
|           |           | RegionOne                                                              |
|           |           |   public: http://controller:5000/v3/                                   |
|           |           | RegionOne                                                              |
|           |           |   internal: http://controller:5000/v3/                                 |
|           |           |                                                                        |
| nova      | compute   | RegionOne                                                              |
|           |           |   internal: http://controller:8774/v2.1                                |
|           |           | RegionOne                                                              |
|           |           |   admin: http://controller:8774/v2.1                                   |
|           |           | RegionOne                                                              |
|           |           |   public: http://controller:8774/v2.1                                  |
|           |           |                                                                        |
| cinderv3  | volumev3  | RegionOne                                                              |
|           |           |   admin: http://controller:8776/v3/3c48d267eaa14f44a7cacd7e88bb46b7    |
|           |           | RegionOne                                                              |
|           |           |   public: http://controller:8776/v3/3c48d267eaa14f44a7cacd7e88bb46b7   |
|           |           | RegionOne                                                              |
|           |           |   internal: http://controller:8776/v3/3c48d267eaa14f44a7cacd7e88bb46b7 |
|           |           |                                                                        |
| cinderv2  | volumev2  | RegionOne                                                              |
|           |           |   public: http://controller:8776/v2/3c48d267eaa14f44a7cacd7e88bb46b7   |
|           |           | RegionOne                                                              |
|           |           |   internal: http://controller:8776/v2/3c48d267eaa14f44a7cacd7e88bb46b7 |
|           |           | RegionOne                                                              |
|           |           |   admin: http://controller:8776/v2/3c48d267eaa14f44a7cacd7e88bb46b7    |
|           |           |                                                                        |
| neutron   | network   | RegionOne                                                              |
|           |           |   internal: http://controller:9696                                     |
|           |           | RegionOne                                                              |
|           |           |   admin: http://controller:9696                                        |
|           |           | RegionOne                                                              |
|           |           |   public: http://controller:9696                                       |
|           |           |                                                                        |
| glance    | image     | RegionOne                                                              |
|           |           |   public: http://controller:9292                                       |
|           |           | RegionOne                                                              |
|           |           |   admin: http://controller:9292                                        |
|           |           | RegionOne                                                              |
|           |           |   internal: http://controller:9292                                     |
|           |           |                                                                        |
+-----------+-----------+------------------------------------------------------------------------+

 

Role

 

安全包含两部分:Authentication(认证)和 Authorization(授权)

Authentication 解决的是“你是谁?”的问题
Authorization 解决的是“你能干什么?”的问题

Keystone 借助 Role 实现 Authorization:

[root@controller ~]# openstack role list
+----------------------------------+----------+
| ID                               | Name     |
+----------------------------------+----------+
| 0d8c4b8e60ce446388d5bd95982a2e65 | admin    |
| 4c337b714db0432d9b26b94209e1f6a2 | user     |
| 9fe2ff9ee4384b1894a90878d3e92bab | _member_ |

 

1.Keystone定义Role

2.可以为 User 分配一个或多个 Role,Horizon 的菜单为 Identity->Project->Manage

 

3.Service 决定每个 Role 能做什么事情 Service 通过各自的 policy.json 文件对 Role 进行访问控制。 下面是 Nova 服务 /etc/nova/policy.json 中的示例

上面配置的含义是:对于 create、attach_network 和 attach_volume 操作,任何Role的 User 都可以执行; 但只有 admin 这个 Role 的 User 才能执行 forced_host 操作。

 

通过例子学习Keystone

 

我们通过“查询可用 image”这个实际操作让大家对这些概念建立更加感性的认识。User admin 要查看 Project 中的 image

 

第1步:登录

当点击连接时,OpenStack 内部发生了哪些事情?请看下面

Token 中包含了 User 的 Role 信息

 

第 2 步 显示操作界面

 

请注意,顶部显示 admin 可访问的  Project 为 “admin”。 其实在此之前发生了一些事情:

 

 

同时,admin 可以访问 Intance, Volume, Image 等服务

这是因为 admin 已经从 Keystone 拿到了各 Service 的 Endpoints

 

 

第 3 步 显示 image 列表

 

点击 “Images”,会显示 image 列表

背后发生了这些事:

首先 admin 将请求发送到 Glance 的 Endpoint

 

Glance 向 Keystone 询问 admin 身份是否有效

 

接下来 Glance 会查看 /etc/glance/policy.json 判断 admin 是否有查看 image 的权限

 

权限判定通过,Glance 将 image 列表发给 admin。

 

 

OpenStack 排查问题的方法

 

每个 Service 都有自己的日志文件。

Keystone 主要有两个日志: keystone.log 和 keystone_access.log,保存在 /var/log/keystone/ 目录里。

[root@controller ~]# ls /var/log/keystone/
keystone.log

 

如果需要得到最详细的日志信息,可以在 /etc/keystone/keystone.conf 中打开 debug 选项

 

 

创建数据库keystone以及用户

 

第一步:创建数据库

MariaDB [(none)]> CREATE DATABASE keystone;
Query OK, 1 row affected (0.03 sec)

MariaDB [(none)]> GRANT ALL PRIVILEGES ON keystone.* TO ‘keystone’@’localhost’ \
-> IDENTIFIED BY ‘123’;
Query OK, 0 rows affected (0.01 sec)

MariaDB [(none)]> GRANT ALL PRIVILEGES ON keystone.* TO ‘keystone’@’%’ IDENTIFIED BY ‘123’;
Query OK, 0 rows affected (0.00 sec)

 

配置keystone服务

 

第一步:安装相关软件包

[root@controller ~]# yum install openstack-keystone httpd mod_wsgi -y

 

第二步:配置keystone文件/etc/keystone/keystone.conf

[root@controller ~]# sed -i ‘/^\[database/a connection = mysql+pymysql://keystone:123@controller/keystone’ /etc/keystone/keystone.conf

 

第三步:配置Fernet UUID令牌的提供者

[root@controller ~]# sed -i ‘/^\[token/a provider = fernet’ /etc/keystone/keystone.conf

 

第四步:初始化身份认证服务的数据库

[root@controller ~]# su -s /bin/sh -c “keystone-manage db_sync” keystone

 

第五步:初始化Fernet keys

[root@controller ~]# keystone-manage fernet_setup –keystone-user keystone –keystone-group keystone
[root@controller ~]# keystone-manage credential_setup –keystone-user keystone –keystone-group keystone

 

第六步:引导keystone服务

[root@controller ~]# keystone-manage bootstrap –bootstrap-password 123 \     #admin密码
> –bootstrap-admin-url http://controller:35357/v3/ \
> –bootstrap-internal-url http://controller:5000/v3/ \
> –bootstrap-public-url http://controller:5000/v3/ \
> –bootstrap-region-id RegionOne

 

第七步:配置apache服务 /etc/httpd/conf/httpd.conf

ServerName controller

 

第八步:创建连接到/usr/share/keystone/wsgi-keystone.conf

[root@controller ~]# ln -s /usr/share/keystone/wsgi-keystone.conf /etc/httpd/conf.d/

 

第九步:启动apache

[root@controller ~]# systemctl enable httpd.service
[root@controller ~]# systemctl start httpd.service

 

第十步:配置管理员账户

[root@controller ~]# cat admin
export OS_USERNAME=admin
export OS_PASSWORD=123   #该密码需要与上面keystone-manage bootstrap设置的密码保持一致
export OS_PROJECT_NAME=admin
export OS_USER_DOMAIN_NAME=Default
export OS_PROJECT_DOMAIN_NAME=Default
export OS_AUTH_URL=http://controller:35357/v3
export OS_IDENTITY_API_VERSION=3

 

创建域、项目、用户和角色

 

第一步:创建service项目

[root@controller ~]# openstack project create –domain default \
> –description “Service Project” service
Missing value auth-url required for auth plugin password
[root@controller ~]# source admin            #需要加载上面配置的admin文件,否则会报上面的错误
[root@controller ~]# openstack project create –domain default –description “Service Project” service
+————-+———————————-+
| Field | Value |
+————-+———————————-+
| description | Service Project |
| domain_id | default |
| enabled | True |
| id | b67a89c7c2504fb2b848e33339311f07 |
| is_domain | False |
| name | service |
| parent_id | default |
+————-+———————————-+

 

第二步:创建demo项目

[root@controller ~]# openstack project create –domain default \
> –description “Demo Project” demo
+————-+———————————-+
| Field | Value |
+————-+———————————-+
| description | Demo Project |
| domain_id | default |
| enabled | True |
| id | 2f5605b32ba44a6b9d6da59d3542cc4c |
| is_domain | False |
| name | demo |
| parent_id | default |
+————-+———————————-+

 

第三步:创建damo用户

[root@controller ~]# openstack user create –domain default \
> –password-prompt demo
User Password:
Repeat User Password:
+———————+———————————-+
| Field | Value |
+———————+———————————-+
| domain_id | default |
| enabled | True |
| id | 5d2c018074d442ffb33d3af4a7427b6a |
| name | demo |
| options | {} |
| password_expires_at | None |
+———————+———————————-+

 

第四步:创建角色

[root@controller ~]# openstack role create user
+———–+———————————-+
| Field | Value |
+———–+———————————-+
| domain_id | None |
| id | 4c337b714db0432d9b26b94209e1f6a2 |
| name | user |
+———–+———————————-+

 

第五步:添加user角色到damo用户damo项目中

[root@controller ~]# openstack role add –project demo –user demo user

 

验证操作

 

第一步:作为 admin 用户,请求认证令牌

[root@controller ~]# openstack –os-auth-url http://controller:35357/v3 \
> –os-project-domain-name default –os-user-domain-name default \
> –os-project-name admin –os-username admin token issue
+————+————————————————————————————————————————————————————-+
| Field | Value |
+————+————————————————————————————————————————————————————-+
| expires | 2019-05-25T14:23:27+0000 |
| id | gAAAAABc6UHPhQeTSPHtR0nW0jkix40Ava0PbWCpOtP156Sxt7taHYg0bXNHgw9suXN3BNniGOY9LyUDHMLOfbt0Sw59SWqxNB4F_SDGZJFZfnUDzWetHxi9mI3w2zy_RtHrfwqmV7sc1Hmquf0VCeigP06 |
| | lSw3bCe0EPHBD3N0UN1Ckt_JwU9w |
| project_id | 3c48d267eaa14f44a7cacd7e88bb46b7 |
| user_id | c73046d013eb4b7cb75b029d59a854af |
+————+————————————————————————————————————————————————————-+

 

 

第二步:作为demo 用户,请求认证令牌

[root@controller ~]# openstack –os-auth-url http://controller:5000/v3 \
> –os-project-domain-name default –os-user-domain-name default \
> –os-project-name demo –os-username demo token issue
+————+————————————————————————————————————————————————————-+
| Field | Value |
+————+————————————————————————————————————————————————————-+
| expires | 2019-05-25T14:24:35+0000 |
| id | gAAAAABc6UITIl1okb8SK-zDhg40RBMKrtsNpnMEGqjbZN2DMBj34VQZ_JfHBCdEhR3nRpd9wLkvoieGbWr463– |
| | plGJ1WUcLahA6L0Df_QeIaixKHXhBjXMeSrL577c58_ZDaM9mtfTMQSGx8LP8OYLy3d7h0yjy1_xoUIWA9QZdjuo9PdkOGY |
| project_id | 2f5605b32ba44a6b9d6da59d3542cc4c |
| user_id | 5d2c018074d442ffb33d3af4a7427b6a |
+————+————————————————————————————————————————————————————-+

 

创建 admin 和 demo项目和用户创建客户端环境变量脚本

 

第一步:编辑文件admin

[root@controller ~]# cat admin
export OS_PROJECT_DOMAIN_NAME=Default
export OS_USER_DOMAIN_NAME=Default
export OS_PROJECT_NAME=admin
export OS_USERNAME=admin
export OS_PASSWORD=123   #设置密码
export OS_AUTH_URL=http://controller:35357/v3
export OS_IDENTITY_API_VERSION=3
export OS_IMAGE_API_VERSION=2

 

 

第二步:编辑demo

[root@controller ~]# cat demo
export OS_PROJECT_DOMAIN_NAME=Default
export OS_USER_DOMAIN_NAME=Default
export OS_PROJECT_NAME=demo
export OS_USERNAME=demo
export OS_PASSWORD=123  #设置密码
export OS_AUTH_URL=http://controller:5000/v3
export OS_IDENTITY_API_VERSION=3
export OS_IMAGE_API_VERSION=2

 

 

使用脚本

 

第一步:加载文件

[root@controller ~]# source admin

 

第二步:请求认证令牌

[root@controller ~]# openstack token issue
+————+————————————————————————————————————————————————————-+
| Field | Value |
+————+————————————————————————————————————————————————————-+
| expires | 2019-05-25T14:30:39+0000 |
| id | gAAAAABc6UN_zrdORm2R_QKaB7n480aYgCjkGrrs8ZHz9W3cVLSe4PbCwK3Xq4epYs-1r5-AjtzyaOS_gXtdjOVrnJGtUQeqbSpxtMelDros906GwyOKtxP_T5MwWrBqo6rI0hy- |
| | FBxRIgnnD1uwuOqqsNLjsq2B6CXNfwM-xxwnajXFVCdF3Qs |
| project_id | 3c48d267eaa14f44a7cacd7e88bb46b7 |
| user_id | c73046d013eb4b7cb75b029d59a854af |
+————+————————————————————————————————————————————————————-+

 

keystone配置文件

/etc/keystone/keystone.conf

[root@controller ~]# grep '^[\[a-z]' /etc/keystone/keystone.conf 
[DEFAULT]
[assignment]
[auth]
[cache]
[catalog]
[cors]
[cors.subdomain]
[credential]
[database]
connection = mysql+pymysql://keystone:123@controller/keystone
[domain_config]
[endpoint_filter]
[endpoint_policy]
[eventlet_server]
[federation]
[fernet_tokens]
[healthcheck]
[identity]
[identity_mapping]
[kvs]
[ldap]
[matchmaker_redis]
[memcache]
[oauth1]
[oslo_messaging_amqp]
[oslo_messaging_kafka]
[oslo_messaging_notifications]
[oslo_messaging_rabbit]
[oslo_messaging_zmq]
[oslo_middleware]
[oslo_policy]
[paste_deploy]
[policy]
[profiler]
[resource]
[revoke]
[role]
[saml]
[security_compliance]
[shadow_users]
[signing]
[token]
provider = fernet
[tokenless_auth]
provider = fernet
provider = fernet
[trust]

 

发表评论

邮箱地址不会被公开。