《OpenStack Keystone身份服务体系结构与中间件》由会员分享,可在线阅读,更多相关《OpenStack Keystone身份服务体系结构与中间件(3页珍藏版)》请在金锄头文库上搜索。
1、OpenStack Identity(Keystone)服务为运行 OpenStack Compute 上的 OpenStack 云提供了认证和管理用户、帐号和角色信息服务,并为 OpenStack Object Storage 提供授权服务。Keystone 体系结构 Keystone 有两个主要部件:验证和服务目录验证:提供了一个基于令牌的验证服务,主要有以下几个概念: 租户(Tenant) 使用 OpenStack 相关服务的一个组织。一个租户映射到一个 Nova 的“project- id”,在对象存储中,一个租户可以有多个容器。根据不同的安装方式,一个 租户可以代表一个客户、帐号、组
2、织或项目。 用户(User) 代表一个个体,OpenStack 以用户的形式来授权服务给它们。用户拥有证书 (credentials),且可能分配给一个或多个租户。经过验证后,会为每个单独 的租户提供一个特定的令牌。 证书(credentials) 为了给用户提供一个令牌,需要用证书来唯一标识一个 Keystone 用户的密码或 其它信息 令牌(token) 一个令牌是一个任意比特的文本,用于与其它 OpenStack 服务来共享信息, Keystone 以此来提供一个 central location,以验证访问 OpenStack 服务的用 户。一个令牌可以是“scoped”或“unsco
3、ped”。一个 scoped 令牌代表为某个 租户验证过的用户,而 unscoped 令牌则仅代表一个用户。令牌的有效期是有限 的,可以随时被撤回。 角色(Role) 一个角色是应用于某个租户的使用权限集合,以允许某个指定用户访问或使用 特定操作。角色是使用权限的逻辑分组,它使得通用的权限可以简单地分组并 绑定到与某个指定租户相关的用户。服务目录(Service Catalog) Keystone 为 OpenStack 安装提供了一个 REST API 端点列表并以此作为决策参 考。主要的概念包括: 服务(Service) 一个 OpenStack 服务,例如 nova、swift、glan
4、ce 或 keystone。一个服务可以 拥有一个或多个端点,通过它用户可以与 OpenStack 的服务或资源交互。 端点(Endpoint) 一个可以通过网络访问的地址(典型地,一个 URL),代表了 OpenStack 服务 的 API 接口。端点也可以分组为模板,每个模板代表一组可用的 OpenStack 服 务,这些服务是跨区域(regions)可用的。模板(Template) 一个端点集合,代表一组可用的 OpenStack 服务端点。Keystone 的组件 Keystone 包含一个命令行接口,可以与 Keystone API 交互以管理 keystone 和 相关服务。 ke
5、ystone - 运行 keystone-admin 和 keystone-service keystone-admin - 操作 keystone 的管理 API keystone-service - 用于验证的,面向用户的 AP keystone-manage - 管理 keystone 的命令行接口 Keystone 还包括 WSGI 中间件以为 Nova 和 Swift 提供验证服务。 Keystone 使用一个内置的 SQLite 数据库 - 为验证用户,将来也可能使用一个 外部 LDAP 服务来代替存储证书中间件(Middleware) Keystone 中间件位于 OpenSta
6、ck 服务前面,处理进来的请求验证。中间件的设 计遵循如下的规范。 中间件的源代码位于 Keystone/middleware。 中间件支持两个接口:WSGI 和 REST/HTTP。REST & HTTP API 如果进来一个未经认证的调用,中间件将响应一个 401 Unautorized 错误。根 据每 HTTP 的标准,它也会返回一个 WWW-Authenticate 包头以通知调用者支持 哪个协议。对于 Keystone 验证,响应的语法格式如下: WWW-Authenticate: Keystone uri=“url to Keystone server“The client can
7、 then make the necessary calls to the Keystone server, obtain a token, and retry the call with the token. 令牌使用 X-Auth-Toke 包头传递。WSGI API(包头) 当成功验证后中间件经为下行的 WSGI 应用发送如下包头: X-Identity-Status 提供请求是否被验证的信息。 X-Tenant 提供了租户 ID(在 Keystone 中以 URL 的形式出现)。在 Keysotne 转为采用 ID/Name 模式之前,它为租户提供了对任意遗留实现的支持。 X-Tenant-Id 唯一不变的租户 ID。X-Tenant-Name 唯一但可变的租户名字。 X-User 用于登录的用户名。 X-Roles 分配给用户的角色。
