文章目录
一、keystone身份服务
1.1Keystone身份服务概述
- Keystone是OpenStack中的一个独立的提供安全认证的模块,主要负责OpenStack用户的身份认证、领跑管理、提供访问资源的服务目录、以及基于用户角色的访问控制
- keystone类似一个服务总线,或者说是整个OpenStack框架的注册表,其他服务通过keystone来注册其服务的Endpoint(服务访问的URL),任何服务之间相互的调用,需要经过keystone的身份验证,来获得目标服务的Endpoint来找到目标服务
1.2Keystone身份服务主要功能
- 身份认证:对用户进行身份认证,并对应权限范围,令牌的发放和校验
- 用户授权:授予用户在一个服务中所拥有权限,以token令牌的方式标识用户对应拥有的权限范围
- 用户管理:提供用户访问资源的寻址功能(URL),管理用户账户
- 服务目录:所有服务的交互、调用,均需要keystone进行认证,提供可用服务的API端点
1.3管理对象
- User:指使用Openstack service的用户,nova glance(跑在OpenStack里面,是需要一个用户进行管理的)
- Project(Tenant):可以理解为一个人或服务所拥有的资源集合
- Role:用于划分权限,通过给User指定Role, 使User获得Role对应操作权限
- Authentication:确定用户身份的过程
- Token:是一个字符串表示,作为访问资源的令牌。Token包含了在指定范围和有效时间内可以被访问的资源
- Credentials:用于确认用户身份的凭证,用户的用户名和密码,或者是用户名和API密钥,或者身份管理服务提供的认证令牌。
- Service Openstack service, 即Openstack中运行的组件服务。如nova、swift、glance、 neutron、 cinder等
- Endpoint:一个可以通过网络来访问和定位某个Openstack service的地址,通常是一个URL(即apache的api (位置点))
1.4Keystone认证流程
- user登陆(keystone认证)
- user进入控制台/命令行界面(位置点)
- user发起创建虚拟的请求(向keystone认证指引位置点)
- 请求达到nova组件(向keystone认证)
- nova会开始执行请求,并且调用创建实例所需要的glance、neutron等资源(向keystone认证,指引对应服务的位置点)
- glance和neutron服务收到请求后(向keystone认证)
- nova 拿到资源后,调用对应资源,创建实例,最后将创建结果返回给用户
二、OpenStack-keystone组件部署
2.1OpenStack组件安装的顺序
- Keystone(apache)
- glance
- nova
- neutron
- cinder
①部署OpenStack组件时,需先行安装认证服务(keystone),而认证服务是使用Apache运行的,安装完成后才可以创建、管理账号,然后安装镜像服务(glance)、计算服务(nova)、网络服务(neutron)
②其中计算服务和网络服务分为管理端和客户端,所以需要在OpenStack的管理安装计算服务和网络服务的管理端,在创建虚拟机的node接地那上安装计算服务和网络客户端,最后安装dashboard服务,OpenStack各种组件的API都是通过Apache运行的
③OpenStack的管理端负责创建、管理虚拟机过程的调度
④通过OpenStack管理端创建虚拟机的相关数据最终都会记录到mysql(mariadb)中;node节点没有权限往数据库中写数据,只有控制端有权限,并且node节点与控制住端通讯是通过rabbitmq间接通讯,node节点会监听rabbitmq,控制端也会监听rabbitmq,控制端把创建虚拟机的指令发送到rabbitmq,由监听rabbitmq指定队列的node节点接收消息并创建虚拟机