• [原]Openstack之identity server(keystone)


    本博客已经添加"打赏"功能,"打赏"位置位于右边栏红色框中,感谢您赞助的咖啡.

    重新温习keystone的概念和理解

    -------------------------------↓个人对官方文档中概念的理解------------

    User

    Digital representation of a person, system, or service who uses
    OpenStack cloud services. The Identity service validates that incoming
    requests are made by the user who claims to be making the call.
    Users have a login and may be assigned tokens to access resources.
    Users can be directly assigned to a particular tenant and behave as if
    they are contained in that tenant.

    可以理解为用户,系统或者一个服务


    Credentials

    Data that confirms the user's identity. For example: user name and
    password, user name and API key, or an authentication token provided
    by the Identity Service.

    可以理解为证书:包括用户名和密码,或者用户名和APIkey,或者身份验证服务颁发的token


    Authentication

    The process of confirming the identity of a user. OpenStack Identity
    confirms an incoming request by validating a set of credentials supplied
    by the user.
    These credentials are initially a user name and password, or a user
    name and API key. When user credentials are validated, OpenStack
    Identity issues an authentication token which the user provides in
    subsequent requests.

    可以理解为一个用户认证进程。由用户发送一组证书给openstack进行认证。

    证书的初始化由用户名和密码,或者用户名和APIkey。如果证书有效。openstack

    将颁发一个证书给authentication token给用户,用户将用这个authentication token来

    发起以后的请求。

    Token

    An alpha-numeric string of text used to access OpenStack APIs and
    resources. A token may be revoked at any time and is valid for a finite
    duration.While OpenStack Identity supports token-based authentication in

    this release, the intention is to support additional protocols in the future.
    Its main purpose is to be an integration service, and not aspire
    to be a full-fledged identity store and management solution.

    可以理解为一个由identity server 颁发的令牌,用户有token才能接入APIs 和资源

    这个令牌可以随时收回,也可以设置在一段时间有效。

    在未来支持附加的协议,keystone的主要目的是集成服务,而不是渴望成为一个完全

    的认证仓库和管理解决方案。

    Tenant

    A container used to group or isolate resources. Tenants also group
    or isolate identity objects. Depending on the service operator, a tenant
    may map to a customer, account, organization, or project.

    租户,可以理解为一个分组或者隔离资源和身份对象的容器。可以根据service的操作者

    容器和映射为一个用户,账号,组织或者项目

    Service

    An OpenStack service, such as Compute (nova), Object Storage
    (swift), or Image service (glance). It provides one or more endpoints
    in which users can access resources and perform operations

    理解为OpenStack service,可以通过一个或者多个endpoints来接入service执行相关操作

    Endpoint

    A network-accessible address where you access a service, usually a
    URL address. If you are using an extension for templates, an endpoint
    template can be created, which represents the templates of all
    the consumable services that are available across the regions.

    接入服务的一个URL地址,如果想扩展templates,会创建一个endpoint
    template。它能包含所有可用服务区域的接入口

    Role

    A personality with a defined set of user rights and privileges to perform
    a specific set of operations.

    In the Identity service, a token that is issued to a user includes the
    list of roles. Services that are being called by that user determine
    how they interpret the set of roles a user has and to which operations
    or resources each role grants access.

    一个操作者包含的一套权限和特权。

    在identity service 中,一个包含了roles 列表的token将被分给一个user,这个user请求的

    服务,将决定怎么去解释这个用户在这个服务中所拥有的操作和访问权限。

    Keystone Client

    A command line interface for the OpenStack Identity API. For example,

    users can run the keystone service-create and keystone endpoint-
    create commands to register services in their OpenStack installations.

    Openstack API的一个命令行接口,例如,用户可以在openstack的安装环境中运行service-create和keystone endpoint-
    create来注册服务

    ----------↑个人对官方文档中概念的理解----↓网友对keystone的一些理解--------------

    Keystone简介

      Keystone(OpenStack Identity Service)是OpenStack框架中,负责身份验证、

    服务规则和服务令牌的功能, 它实现了OpenStack的Identity API。Keystone类似一个服

    务总线, 或者说是整个Openstack框架的注册表, 其他服务通过keystone来注册其服务

    的Endpoint(服务访问的URL),任何服务之间相互的调用, 需要经过Keystone的身份

    验证, 来获得目标服务的Endpoint来找到目标服务。

    Keystone基本概念介绍

      1. User

      User即用户,他们代表可以通过keystone进行访问的人或程序。Users通过认证信息

    (credentials,如密码、API Keys等)进行验证。

      2. Tenant

      Tenant即租户,它是各个服务中的一些可以访问的资源集合。例如,在Nova中一个

    tenant可以是一些机器,在Swift和Glance中一个tenant可以是一些镜像存储,在Quantum中

    一个tenant可以是一些网络资源。Users默认的总是绑定到某些tenant上。

     
     

      3. Role

      Role即角色,Roles代表一组用户可以访问的资源权限,例如Nova中的虚拟机、Glance中

    的镜像。Users可以被添加到任意一个全局的 或 租户内的角色中。在全局的role中,用户的role

    权限作用于所有的租户,即可以对所有的租户执行role规定的权限;在租户内的role中,用户仅能

    在当前租户内执行role规定的权限。

      4. Service

      Service即服务,如Nova、Glance、Swift。根据前三个概念(User,Tenant和Role)一

    个服务可以确认当前用户是否具有访问其资源的权限。但是当一个user尝试着访问其租户内的

    service时,他必须知道这个service是否存在以及如何访问这个service,这里通常使用一些不

    同的名称表示不同的服务。在上文中谈到的Role,实际上也是可以绑定到某个service的。例如,

    当swift需要一个管理员权限的访问进行对象创建时,对于相同的role我们并不一定也需要对nova

    进行管理员权限的访问。为了实现这个目标,我们应该创建两个独立的管理员role,一个绑定到swift

    ,另一个绑定到nova,从而实现对swift进行管理员权限访问不会影响到Nova或其他服务。

      5. Endpoint

      Endpoint,翻译为“端点”,我们可以理解它是一个服务暴露出来的访问点,如果需要访问一个

    服务,则必须知道他的endpoint。因此,在keystone中包含一个endpoint模板(endpoint template,

    在安装keystone的时候我们可以在conf文件夹下看到这个文件),这个模板提供了所有存在的服务endpoints信息。

    一个endpoint template包含一个URLs列表,列表中的每个URL都对应一个服务实例的访问地址,并且具

    有public、private和admin这三种权限。public url可以被全局访问(如http://compute.example.com),

    private url只能被局域网访问(如http://compute.example.local),admin url被从常规的访问中分离。

    ----------------------------------------------------------↓引用 Aaron 的理解---------------------------------

    keystone 里面的概念很多,有:User,Credentials,Authentication,Token,Tenant,Service,Endpoint,Role。在这么多概念中,其实最主要的就是 User 和 Tenant 。由于一些安全,服务问题,才引发了其它的概念。
      那什么叫做 User ,Tenant 呢?这里我举个比较好理解的例子。我们去宾馆住的时候,我们自己就相当于 User ,而宾馆就是 Tenant 。这是最简单的情况,宾馆值提供房间,我们只需要住房。
      随着后来生活物质等的提高,这种现象就变了。我们去宾馆住的时候,很多东西都不一样,比如,开房间要身份证,房间的钥匙是一个可以当卡刷的牌子,我们进出宾馆的时候需要用自己的钥匙来开启宾馆的大门;还有就是,宾馆不仅仅是用来住的了,它可以给我们提供饮食,娱乐,健身等各种服务;而且服务层次的不同,房间也不同,房间里面的配置豪华程度也不一样。在这种情况下,描述我们和宾馆之间的关系就复杂一些了,这就引发了一些新的概念。
      举完这个例子, keystone 中的各种概念就可以和例子中的事物相挂钩了。

    User 住宾馆的人
    Credentials 开启房间的钥匙
    Authentication 宾馆为了拒绝不必要的人进出宾馆,专门设置的机制,只有拥有钥匙的人才能进出
    Token 也是一种钥匙,有点特别
    Tenant 宾馆
    Service 宾馆可以提供的服务类别,比如,饮食类,娱乐类
    Endpoint 具体的一种服务,比如吃烧烤,打羽毛球
    Role VIP 等级,VIP越高,享有越高的权限

    Keystone在OpenStack中的访问流程范例(注:下面是G版之前的情况,G版使用的是PKI)

       

  • 相关阅读:
    根据nba数据预测17-18总冠军(转)
    mysql删除数据(delete)之后如何释放磁盘空间
    base64加密常用命令
    mysqldump报错:Error 2013: Lost connection to MySQL server during query when dumping table `mng_fdbk_reply` at row: 444087
    rsync安装配置与使用
    find 命令日常使用
    使用XtraBackup全量备份还原
    lvs 虚IP 轮训配置
    mysql-binlog 日志清理
    查看mysql正在执行的sql进程
  • 原文地址:https://www.cnblogs.com/horizonli/p/5536585.html
Copyright © 2020-2023  润新知