Chinaunix首页 | 论坛 | 博客
  • 博客访问: 316763
  • 博文数量: 89
  • 博客积分: 0
  • 博客等级: 民兵
  • 技术积分: 691
  • 用 户 组: 普通用户
  • 注册时间: 2015-09-20 16:58
文章分类

全部博文(89)

文章存档

2017年(1)

2016年(35)

2015年(53)

我的朋友

分类: 云计算

2015-11-24 15:56:03

转载自:  http://blog.csdn.net/wsfdl/article/details/20492343

关于keystone模块,我将从整体架构与功能,用户信息管理,认证服务3个模块用3篇文章进行分析。


1. keystone的基本功能

keystone作为openstack的Identity Service,提供了用户信息管理和完成各个模块认证服务。

           用户信息管理:user/tenant基本信息,tenant管理

           认证服务:登录认证,各个组件API的权限控制


2.keystone的架构

既 然keystone为各个模块提供认证服务,所以各个模块与keystone都有所交互。其中登录认证体现在用户访问各个组件的API时,调用了WSGI 框架的authtoken filter,该filter最调用keystoneclient ,最终通过keystone验证token,完成对用户的登录认证。如果认证失败,用户将不能访问该API。

以nova为例,authtoken filter在/etc/paste.ini目录中(如果不熟悉WSGI框架,暂且忽略之)



        keystone在openstack的位置如下:

   

3.  keystone 基本概念介绍

1). User

   User可简单的理解为用户,用户携带信物(token)能够访问openstack各个服务和资源。

2). Tenant

  Tenant即租户,早期版本又称为project,它是各个服务中的一些可以访问的资源集合。比如通过nova创建虚拟机时要指定到某个租户中,在cinder创建卷也要指定到某个租户中。用户访问租户的资源前,必须与该租户关联,并且指定该用户在该租户下的角色。

3). Role

  Role即角色,可以理解为VIP等级,用户的Role越高,在openstack中能访问的服务和资源就更多。

4). Service

  Service即服 务,如Nova、Glance、Swift、heat、ceilometer等。Nova提供云计算的服务,Glance提供镜像管理服务,Swift提 供对象存储服务,heat提供资源编排服务,ceilometer则是提供告警计费服务,cinder提供块存储服务。

5). Endpoint

  Service的显得 太抽象笼统。Endpoint则具体化Service。Endpoint翻译为“端点”,我们可以理解它是一个服务暴露出来的访问点,如果需要访问一个服 务,则必须知道他的endpoint,而endpoint一般为url,我们知道了服务的url,我们就可以访问它。Endpoint 的url具有public、private和admin这三种权限。public url可以被全局访问,private url只能被局域网访问,admin url被从常规的访问中分离。

6).  Token

       Token即是信物、令牌,用户通过用户名和密码获取在某个租户下的token,通过token,可以实现单点登录。

7)    Credentials

       该术语可以简单的理解为用户和密码。

         keystone 里面的概念很多,其中最重要的是 User 和 Tenant 。其它的概念是由于安全和权限等因素引入。引用该文的理解,通俗的说:

  如果把宾馆比作为 Tenant,住宿的人就是User ,而宾馆就是 Tenant,宾馆可以提供多种诸如住宿、娱乐、饮食等多种服务(Service),具体来说,住宿是一种具体的服务(Endpoint)。就住宿而言, 有普通间和总统套房,如果你的VIP等级(Role)高,你可以享受到豪华的总统套房。入住前,我们需要拿身份证开房(Credential),认证身份 证不是冒牌货后(Authenticaiton),会给你一个房卡(Token),然后你拿着房卡,就可以进入房间和享受各种服务。

User 住宾馆的人
Credentials 身份证
Authentication 认证你的身份证
Token 房卡
Tenant 宾馆
Service 宾馆可以提供的服务类别,比如,饮食类,娱乐类
Endpoint 具体的一种服务,比如吃烧烤,打羽毛球
Role VIP 等级,VIP越高,享有越高的权限

4.  keystone 的访问流程

          以创建一个虚拟机(server)为例,结合下图简述下keystone在openstack的访问流程。

         1)用户Alice通过自己的户名和密码向keystone申请token,keystone认证用户名和密码后,返回token1

          2)Alice通过token1发送keystone查询他所拥有的租户,keystone验证token1成功后,返回Alice的所有Tenant

         3)  Alice选择一个租户,通过用户名和密码申请token,keystone认证用户名、密码、tenant后,返回token2。(其实1、2步仅仅是为了查询tenant,如果已经知道tenant,可以忽略1、2步)

         4)Alice通过token2发送创建server的请求,keystone验证token2(包括该token是否有效,是否有权限创建虚拟机等)成功后,然后再把请求下发到nova,最终创建虚拟机



Keystone V3 API 新特性

Keystone V3 做出了许多变化和改进,我们选取其中较为重要的进行阐述:

  • 将 Tenant 改称为 Project
  • 引入 Domain 的概念
  • 引入 Group 的概念

将 Tenant 改为 Project 并在其上添加 Domain 的概念,这更加符合现实世界和云服务的映射。

V3 利用 Domain 实现真正的多租户(multi-tenancy)架构,Domain 担任 Project 的高层容器。云服务的客户是 Domain 的所有者,他们可以在自己的 Domain 中创建多个 Projects、Users、Groups 和 Roles。通过引入 Domain,云服务客户可以对其拥有的多个 Project 进行统一管理,而不必再向过去那样对每一个 Project 进行单独管理。

Group 是一组 Users 的容器,可以向 Group 中添加用户,并直接给 Group 分配角色,那么在这个 Group 中的所有用户就都拥有了 Group 所拥有的角色权限。通过引入 Group 的概念,Keystone V3 实现了对用户组的管理,达到了同时管理一组用户权限的目的。这与 V2 中直接向 User/Project 指定 Role 不同,使得对云服务进行管理更加便捷。

图 2. Domain、Group、Project、User 和 Role 的关系图 Domain、Group、Project、User 和 Role 的关系图


阅读(2131) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~