服务器 
首页 > 服务器 > 浏览文章

OpenStack Identity(Keystone)身份服务、体系结构与中间件讲解

(编辑:jimmy 日期: 2024/11/26 浏览:3 次 )

OpenStack Identity(Keystone)服务为运行OpenStack Compute上的OpenStack云提供了认证和管理用户、帐号和角色信息服务,并为OpenStack Object Storage提供授权服务。

Keystone体系结构

Keystone 有两个主要部件:验证和服务目录

验证:提供了一个基于令牌的验证服务,主要有以下几个概念:

租户(Tenant)

使用OpenStack相关服务的一个组织。一个租户映射到一个Nova的“project-id”,在对象存储中,一个租户可以有多个容器。根据不同的安装方式,一个租户可以代表一个客户、帐号、组织或项目。

用户(User)

代表一个个体,OpenStack以用户的形式来授权服务给它们。用户拥有证书(credentials),且可能分配给一个或多个租户。经过验证后,会为每个单独的租户提供一个特定的令牌。

证书(credentials)

为了给用户提供一个令牌,需要用证书来唯一标识一个Keystone用户的密码或其它信息

令牌(token)

一个令牌是一个任意比特的文本,用于与其它OpenStack服务来共享信息,Keystone以此来提供一个central location,以验证访问OpenStack服务的用户。一个令牌可以是“scoped”或“unscoped”。一个scoped令牌代表为某个租户验证过的用户,而unscoped令牌则仅代表一个用户。令牌的有效期是有限的,可以随时被撤回。

角色(Role)

一个角色是应用于某个租户的使用权限集合,以允许某个指定用户访问或使用特定操作。角色是使用权限的逻辑分组,它使得通用的权限可以简单地分组并绑定到与某个指定租户相关的用户。

服务目录(Service Catalog)

Keystone为OpenStack安装提供了一个REST API端点列表并以此作为决策参考。主要的概念包括:

服务(Service)

一个OpenStack服务,例如nova、swift、glance或keystone。一个服务可以拥有一个或多个端点,通过它用户可以与OpenStack的服务或资源交互。

端点(Endpoint)

一个可以通过网络访问的地址(典型地,一个URL),代表了OpenStack服务的API接口。端点也可以分组为模板,每个模板代表一组可用的OpenStack服务,这些服务是跨区域(regions)可用的。

模板(Template)

一个端点集合,代表一组可用的OpenStack服务端点。

Keystone的组件

Keystone包含一个命令行接口,可以与Keystone API交互以管理keystone和相关服务。

keystone - 运行keystone-admin和keystone-service
keystone-admin - 操作keystone的管理API
keystone-service - 用于验证的,面向用户的AP
keystone-manage - 管理keystone的命令行接口
Keystone还包括WSGI中间件以为Nova和Swift提供验证服务。
Keystone使用一个内置的SQLite数据库 - 为验证用户,将来也可能使用一个外部LDAP服务来代替存储证书

中间件(Middleware)

Keystone中间件位于OpenStack服务前面,处理进来的请求验证。中间件的设计遵循如下的规范。

中间件的源代码位于Keystone/middleware。

中间件支持两个接口:WSGI和REST/HTTP。

REST & HTTP API

如果进来一个未经认证的调用,中间件将响应一个401 Unautorized错误。根据每HTTP的标准,它也会返回一个WWW-Authenticate包头以通知调用者支持哪个协议。对于Keystone验证,响应的语法格式如下:

WWW-Authenticate: Keystone uri="url to Keystone server"The client can then make the necessary calls to the Keystone server, obtain a token, and retry the call with the token.

令牌使用 X-Auth-Toke包头传递。

WSGI API(包头)

当成功验证后中间件经为下行的WSGI应用发送如下包头:

X-Identity-Status

提供请求是否被验证的信息。

X-Tenant

提供了租户ID(在Keystone中以URL的形式出现)。在Keysotne转为采用ID/Name模式之前,它为租户提供了对任意遗留实现的支持。

X-Tenant-Id

唯一不变的租户ID。

X-Tenant-Name

唯一但可变的租户名字。

X-User

用于登录的用户名。

X-Roles

分配给用户的角色。

以上所述是小编给大家介绍的OpenStack Identity(Keystone)身份服务、体系结构与中间件 ,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对网站的支持!

上一篇:Windows系统下nodejs、npm、express的下载和安装教程详解
下一篇:VMware中虚拟机的NAT设置方法
一句话新闻
一文看懂荣耀MagicBook Pro 16
荣耀猎人回归!七大亮点看懂不只是轻薄本,更是游戏本的MagicBook Pro 16.
人们对于笔记本电脑有一个固有印象:要么轻薄但性能一般,要么性能强劲但笨重臃肿。然而,今年荣耀新推出的MagicBook Pro 16刷新了人们的认知——发布会上,荣耀宣布猎人游戏本正式回归,称其继承了荣耀 HUNTER 基因,并自信地为其打出“轻薄本,更是游戏本”的口号。
众所周知,寻求轻薄本的用户普遍更看重便携性、外观造型、静谧性和打字办公等用机体验,而寻求游戏本的用户则普遍更看重硬件配置、性能释放等硬核指标。把两个看似难以相干的产品融合到一起,我们不禁对它产生了强烈的好奇:作为代表荣耀猎人游戏本的跨界新物种,它究竟做了哪些平衡以兼顾不同人群的各类需求呢?
友情链接:杰晶网络 DDR爱好者之家 南强小屋 黑松山资源网 白云城资源网 网站地图 SiteMap