Keystone(Keystone各种专有名字解释,Keystone功能,Keystone日志)

作为 OpenStack 的基础支持服务,Keystone 做下面这几件事情:
1.管理用户及其权限
2.维护 OpenStack Services 的 Endpoint
3.Authentication(认证)和 Authorization(鉴权)

 

复制代码
User;Credentials;Authentication;Token;Project;Service;Endpoint
===========================================================================================================
User 指代任何使用 OpenStack 的实体,可以是真正的用户,其他系统或者服务。
当 User 请求访问 OpenStack 时,Keystone 会对其进行验证。

---------------------------------------------------------------------------------------------------------
Credentials 是 User 用来证明自己身份的信息,可以是:
    1. 用户名/密码
    2. Token
    3. API Key
    4. 其他高级方式

---------------------------------------------------------------------------------------------------------
Authentication 是 Keystone 验证 User 身份的过程。User 访问 OpenStack 时向 Keystone 提交用户名和密码形式的 Credentials,Keystone 验证通过后会给 User 签发一个 Token 作为后续访问的 Credential。

---------------------------------------------------------------------------------------------------------
Token 是由数字和字母组成的字符串,User 成功 Authentication 后 Keystone 生成 Token 并分配给 User。
    1.Token 用做访问 Service 的 Credential
    2.Service 会通过 Keystone 验证 Token 的有效性
    3.Token 的有效期默认是 24 小时

---------------------------------------------------------------------------------------------------------
Project 用于将 OpenStack 的资源(计算、存储和网络)进行分组和隔离。
根据 OpenStack 服务的对象不同,Project 可以是一个客户(公有云,也叫租户)、部门或者项目组(私有云)。
这里请注意:
    1.资源的所有权是属于 Project 的,而不是 User。
    2.在 OpenStack 的界面和文档中,Tenant / Project / Account 这几个术语是通用的,但长期看会倾向使用 Project
    3.每个 User(包括 admin)必须挂在 Project 里才能访问该 Project 的资源。 一个User可以属于多个 Project。
    4.admin 相当于 root 用户,具有最高权限

---------------------------------------------------------------------------------------------------------
OpenStack 的 Service 包括 Compute (Nova)、Block Storage (Cinder)、Object Storage (Swift)、Image Service (Glance) 、Networking Service (Neutron) 等。每个 Service 都会提供若干个 Endpoint,User 通过 Endpoint 访问资源和执行操作。

---------------------------------------------------------------------------------------------------------
Endpoint 是一个网络上可访问的地址,通常是一个 URL。Service 通过 Endpoint 暴露自己的 API。 Keystone 负责管理和维护每个 Service 的 Endpoint。
User;Credentials;Authentication;Token;Project;Service;Endpoint
复制代码

 

复制代码
keystone认证和鉴权;Role与鉴权的关系;一次鉴权过程(白屏查看image列表)
===================================================================
安全包含两部分:Authentication(认证)和 Authorization(鉴权)

Authentication 解决的是“你是谁?”的问题
Authorization 解决的是“你能干什么?”的问题

---------------------------------------------------------------------------------
Keystone 借助 Role 实现 Authorization:
    1.Keystone定义Role
    2.可以为 User 分配一个或多个 Role
    3.Service 决定每个 Role 能做什么事情,Service 通过各自的 policy.json 文件对 Role 进行访问控制。
    [root@controller ~]# find / -name 'policy.json'
        /etc/nova/policy.json
        /etc/keystone/policy.json
        /etc/glance/policy.json
        /etc/placement/policy.json
        /etc/gnocchi/policy.json
        OpenStack 默认配置只区分 admin 和非 admin Role。 如果需要对特定的 Role 进行授权,可以修改 policy.json。

---------------------------------------------------------------------------------
示例:一次鉴权过程(白屏查看image列表)
    admin已登录,点击compute下images,显示image列表
    1.admin将请求发送到了glance的endpoint
    2.glance向keystone验证amdin身份的有效性
    3.glance查看/etc/glance/policy.json 判断 admin 是否有查看 image 的权限
    4.权限判断通过,glance将image列表发给admin(返回完整的html页面,而不是json数据)
keystone认证和鉴权;Role与鉴权的关系;一次鉴权过程(白屏查看image列表)
复制代码

 

复制代码
Troubleshoot故障检测与keystone日志
=======================================================================
每个 Service 都有自己的日志文件
Keystone 主要有两个日志:keystone.log 和 keystone_access.log,
    devstack安装,Keystone的日志文件目录为/var/log/apache2/
    RDO安装,Keystone的日志文件实际目录为/var/log/keystone/

    cat /etc/keystone/keystone.conf  |grep debug    #keystone开启debug模式,日志文件才会记录debug日志
Troubleshoot故障检测与keystone日志
复制代码

 

复制代码
黑屏执行openstack命令:admin-openrc.sh
===================================================================================
[root@controller ~]# cat admin-openrc.sh
    export OS_USERNAME=admin
    export OS_PASSWORD=111111
    export OS_PROJECT_NAME=admin
    export OS_USER_DOMAIN_NAME=Default
    export OS_PROJECT_DOMAIN_NAME=Default
    export OS_AUTH_URL=http://192.168.1.21:5000/v3      #配置文件/etc/keystone/keystone.conf;貌似默认端口为5000
export OS_IDENTITY_API_VERSION=3
[root@controller ~]# cat admin-openrc_unset.sh
    unset OS_USERNAME
    unset OS_PASSWORD
    unset OS_PROJECT_NAME
    unset OS_USER_DOMAIN_NAME
    unset OS_PROJECT_DOMAIN_NAME
    unset OS_AUTH_URL
    unset OS_IDENTITY_API_VERSION
--------------------------------------------------------------
source admin-openrc.sh          #
openstack catalog list          #查看 Endpoint
openstack role list             #查看keystone定义的角色
黑屏执行openstack命令:admin-openrc.sh
复制代码

 

posted @   雲淡風輕333  阅读(597)  评论(0编辑  收藏  举报
(评论功能已被禁用)
编辑推荐:
· SQL Server 2025 AI相关能力初探
· Linux系列:如何用 C#调用 C方法造成内存泄露
· AI与.NET技术实操系列(二):开始使用ML.NET
· 记一次.NET内存居高不下排查解决与启示
· 探究高空视频全景AR技术的实现原理
阅读排行:
· 阿里最新开源QwQ-32B,效果媲美deepseek-r1满血版,部署成本又又又降低了!
· 单线程的Redis速度为什么快?
· SQL Server 2025 AI相关能力初探
· AI编程工具终极对决:字节Trae VS Cursor,谁才是开发者新宠?
· 展开说说关于C#中ORM框架的用法!
点击右上角即可分享
微信分享提示