Fork me on GitHub

OpenStack_Pike-Keystone认证服务3

字数统计: 1.3k字   |   阅读时长≈ 5分

keystone认证服务

1
2
3
功能: 
1. 账号管理, admin和user  提供用户管理认证
2. 提供服务目录,然后其他服务来keystone进行注册。用户访问过来通过keystone去找glance/neutron等等。

keystone角色概念

1
2
3
4
5
Role即角色,Roles代表一组用户可以访问的资源权限,例如Nova中的虚拟机、Glance中的镜像
Users 可以被添加到任意一个全局的或项目内的角色中。

在全局的Role中,用户的Role权限作用于所有的项目,即可以对所有的项目执行Role规定的权限;
在项目内的Role中,用户仅能在当前租户内执行Role规定的权限。

keystone的service和endpoint端点概念

1
2
3
4
5
6
Service: 即服务实体,如Nova、Glance、Swift。所有的服务就需要在keystone中创建一个账户

Endpoint,翻译为“端点”,我们可以理解它是一个服务暴露出来的访问点。如果需要访问一个服务,则必须知道它的endpoint。Endpoint的每个URL都对应一个服务实例的访问地址,并且具有三种不同权限:admin,internal和public。其中public url可以被全局访问,internal url只能被内部(局域网)访问,admin url被从常规的访问中分离。
    
为什么分为三个URL?
可以试想下,如果机器上有三个IP地址的话,公网可以使用public url,内网地址可以使用internal url, 如果有个网络专门作为管理使用,可以配置为admin url。公有云也有类似的API,公共的即public API等等

创建keystone数据库

1
2
3
CREATE DATABASE keystone;
grant all privileges on keystone.* to 'keystone'@'%' identified by 'keystone';
grant all privileges on keystone.* to 'keystone'@localhost identified by 'keystone';

安装部署Keystone

1
yum install -y openstack-keystone httpd mod_wsgi

配置keystone

1
vim /etc/keystone/keystone.conf
1
2
3
4
配置keystone连接到mysql

[database]
connection = mysql+pymysql://keystone:keystone@192.168.56.11/keystone
1
2
3
4
配置令牌提供程序

[token]
provider = fernet

同步keystone数据库

1
su -s /bin/sh -c "keystone-manage db_sync" keystone

初始化Fernet密钥库

1
2
3
4
keystone-manage fernet_setup --keystone-user keystone --keystone-group keystone
keystone-manage credential_setup --keystone-user keystone --keystone-group keystone

初始化完成后,/etc/keystone目录下就会出现“fernet-keys”和“credential-keys”目录

初始化引导身份认证服务

1
2
3
4
5
6
7
密码使用admin

keystone-manage bootstrap --bootstrap-password admin \
  --bootstrap-admin-url http://192.168.56.11:35357/v3/ \
  --bootstrap-internal-url http://192.168.56.11:5000/v3/ \
  --bootstrap-public-url http://192.168.56.11:5000/v3/ \
  --bootstrap-region-id RegionOne

配置Apache HTTP服务器

1
2
3
vim  /etc/httpd/conf/httpd.conf   #修改ServerName

ServerName 192.168.56.11
1
2
软链配置文件
ln -s /usr/share/keystone/wsgi-keystone.conf /etc/httpd/conf.d/
1
2
3
启动Apache
systemctl enable httpd.service
systemctl start httpd.service

启动验证

1
2
3
4
5
6
查看端口
ss -lntup     #检查是否有keystone的5000和35357端口,是否有memcached的11211端口

查keystone启动日志
less /var/log/keystone/keystone.log
tailf /var/log/keystone/keystone.log

故障排查

1
2
3
4
如果keystone启动失败,需要修改配置文件/etc/keystone/keystone.conf 开启debug日志输出模式
将“#debug = false” 改为“debug = true”

注:keystone依赖memcache和mysql,可以根据错误日志输出,查看具体故障并进行修复。

创建一个服务项目

配置管理账户(其中密码是刚才定义的admin)

1
2
3
4
5
6
7
export OS_USERNAME=admin
export OS_PASSWORD=admin        
export OS_PROJECT_NAME=admin
export OS_USER_DOMAIN_NAME=Default
export OS_PROJECT_DOMAIN_NAME=Default
export OS_AUTH_URL=http://192.168.56.11:35357/v3
export OS_IDENTITY_API_VERSION=3
1
2
3
4
5
6
7
8
9
10
11
12
13
14
创建名为service项目(目的:让所需的glance/nova等服务注册到service项目中)
openstack project create --domain default --description "Service Project" service

创建名为demo项目(创建虚拟机时使用)
openstack project create --domain default --description "Demo Project" demo

创建一个demo用户
openstack user create --domain default --password-prompt demo

创建一个user角色
openstack role create user

把demo用户同时加入到user角色和demo项目中
openstack role add --project demo --user demo user

验证配置

1
unset OS_AUTH_URL OS_PASSWORD    临时取消环境变量

使用admin用户来验证token

1
2
3
4
5
openstack --os-auth-url http://192.168.56.11:35357/v3 \
  --os-project-domain-name Default --os-user-domain-name Default \
  --os-project-name admin --os-username admin token issue
  
根据提示输入admin用户密码(密码是上面配置的admin)即可出现token

使用demo用户来验证token

1
2
3
4
5
openstack --os-auth-url http://192.168.56.11:5000/v3 \
  --os-project-domain-name Default --os-user-domain-name Default \
  --os-project-name demo --os-username demo token issue

根据提示输入密码demo即可出现token

创建环境变量脚本

  • 创建admin的环境变量脚本

vim /scripts/admin-openrc

1
2
3
4
5
6
7
8
export OS_PROJECT_DOMAIN_NAME=Default
export OS_USER_DOMAIN_NAME=Default
export OS_PROJECT_NAME=admin
export OS_USERNAME=admin
export OS_PASSWORD=admin
export OS_AUTH_URL=http://192.168.56.11:35357/v3
export OS_IDENTITY_API_VERSION=3
export OS_IMAGE_API_VERSION=2
  • 创建demo的环境变量脚本

vim /scripts/demo-openrc

1
2
3
4
5
6
7
8
export OS_PROJECT_DOMAIN_NAME=Default
export OS_USER_DOMAIN_NAME=Default
export OS_PROJECT_NAME=demo
export OS_USERNAME=demo
export OS_PASSWORD=demo
export OS_AUTH_URL=http://192.168.56.11:5000/v3
export OS_IDENTITY_API_VERSION=3
export OS_IMAGE_API_VERSION=2
  • 使用环境变量脚本
1
2
3
source /scripts/admin-openrc 

source /scripts/demo-openrc
  • 验证
1
2
不论使用哪个环境变量,只要出现对应token结果就OK
openstack token issue

扫一扫,分享到微信

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia-plus根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true


不论我写了什么...
其实都是错的......