openstack之keystone介绍

news2024/11/24 7:39:57

功能

keystone在OpenStack中负责:
管理:用户、租户和权限;
认证:组件相互访问的身份认证;
鉴权:提供 RBAC(Role Based Access Control) 权限体系;
服务注册与发现:提供目录服务,维护 OpenStack Services 的 Endpoint;

概念

user:用户,使用平台的实体,可以是人名、业务系统名称、服务名称;

credentials:凭证,证明是哪个user的信息,可以是password、Token、API Key;

authentication:授权,验证user身份的过程。常见情况:user访问某服务时,向Keystone提交用户和密码形式的Credentials,Keystone验证通过后,会返回给user一个token作为后续访问用的 Credentials;

token:令牌,字符串,用作访问 Service的Credential,可以在keystone配置文件中设置有效时长,默认24小时;

project:项目,引申为租户tenant或账户account ,将IaaS层资源计算、存储、网络进行分组隔离;一个project被被多个user按照不同权限绑定,admin拥有最高权限;

role/policy:角色/策略,对资源访问的权限配置,一般有admin、member、view;

group:组,一组user,绑定角色role,划分权限;

domain:域,多项目/租户模式的实现,用来区分default domain、其他domain,规避某个域的超管用户对其他域干扰;

endpoint:服务端点,基于http请求的 API方法的地址;

openstack endpoint list

+----------------------------------+-----------+--------------+----------------+---------+-----------+---------------------------------------+
| ID                               | Region    | Service Name | Service Type   | Enabled | Interface | URL                                   |
+----------------------------------+-----------+--------------+----------------+---------+-----------+---------------------------------------+
|                                  | RegionOne | cinderv3     | volumev3       | True    | public    | http://ip/volume/v3/$(project_id)s    |
|                                  | RegionOne | heat-cfn     | cloudformation | True    | public    | http://ip/heat-api-cfn/v1             |
|                                  | RegionOne | keystone     | identity       | True    | admin     | http://ip/identity                    |
|                                  | RegionOne | placement    | placement      | True    | public    | http://ip/placement                   |
|                                  | RegionOne | keystone     | identity       | True    | public    | http://ip/identity                    |
|                                  | RegionOne | glance       | image          | True    | public    | http://ip/image                       |
|                                  | RegionOne | cinderv2     | volumev2       | True    | public    | http://ip/volume/v2/$(project_id)s    |
|                                  | RegionOne | swift        | object-store   | True    | public    | http://ip:8080/v1/AUTH_$(project_id)s |
|                                  | RegionOne | nova         | compute        | True    | public    | http://ip/compute/v2.1                |
|                                  | RegionOne | neutron      | network        | True    | public    | http://ip:9696/                       |
|                                  | RegionOne | heat         | orchestration  | True    | public    | http://ip/heat-api/v1/$(project_id)s  |
|                                  | RegionOne | swift        | object-store   | True    | admin     | http://ip:8080                        |
|                                  | RegionOne | nova_legacy  | compute_legacy | True    | public    | http://ip/compute/v2/$(project_id)s   |
|                                  | RegionOne | cinder       | block-storage  | True    | public    | http://ip/volume/v3/$(project_id)s    |
+----------------------------------+-----------+--------------+----------------+---------+-----------+---------------------------------------+

服务目录:多组件多次调用的服务的集合;

openstack service list

+----------------------------------+-------------+----------------+
| ID                               | Name        | Type           |
+----------------------------------+-------------+----------------+
|                                  | keystone    | identity       |
|                                  | cinder      | block-storage  |
|                                  | nova_legacy | compute_legacy |
|                                  | neutron     | network        |
|                                  | glance      | image          |
|                                  | heat        | orchestration  |
|                                  | cinderv3    | volumev3       |
|                                  | swift       | object-store   |
|                                  | placement   | placement      |
|                                  | heat-cfn    | cloudformation |
|                                  | cinderv2    | volumev2       |
|                                  | nova        | compute        |
+----------------------------------+-------------+----------------+

过程举例

在这里插入图片描述
以nova组件为例:
1、openstack cli或horizon以密码的形式向keystone获取token;
2、客户端向nova-api发起启动实例的http请求;
3、nova-api向keystone验证token;
4、再向keystone确定所属project的资源配额quota;
5、nova-conductor计算已使用的资源量,允许或拒绝请求;
6、nova-api通过rpc调用nova-scheduler选择适当的compute node;
7、nova-api通过rpc调用运行在compute node的nova-compute,完成虚拟机创建;

常用操作

# 创建服务
openstack service create --name 服务名称 --description "selfservice" 服务名称
# 创建服务端点
openstack endpoint create --region 区域名 myService [public|internal|admin] http://ip:3838

在这里插入图片描述

# 创建一个用户
openstack user create --password 密码 用户名
# 更改
openstack user set --password 密码 用户名
# 罗列用户
openstack user list
# 查看用户
openstack user show 用户名
# 将用户关联到项目/租户
openstack role add --user 用户名 --project 项目名称 角色
# 删除
openstack user delete 用户名

策略举例

policy官方参考

默认策略文件为/etc/cinder/policy.yaml,可通过cinder.conf的配置块[oslo_policy]的配置项policy_file自定义策略文件。

# 实现:非admin角色的用户不能创建云硬盘

# 创建policy文件
oslopolicy-sample-generator --namespace cinder --output-file policy.yaml
cp policy.yaml /etc/cinder/policy.yaml

# 创建规则context_is_admin,指定角色admin
vim /etc/cinder/policy.yaml
"context_is_admin": "role:admin"
"volume:create": "rule:context_is_admin"
# 重启服务
systemctl restart xxx@c-api

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2142894.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

windows系统docker装milvus向量数据库

windows系统docker装milvus向量数据库

首先创建一个文件夹比如milvus,在创建如下文件 docker-compose.yml文件如下: version: 3.5services:etcd:container_name: milvus-etcdimage: quay.io/coreos/etcd:v3.5.5environment:- ETCD_AUTO_COMPACTION_MODErevision- ETCD_AUTO_COMPACTION_RETENTION1000- ETCD_QUOTA_B…
阅读更多...
Redis重要知识点:哨兵是什么?哨兵如何选择Redis主服务器

Redis重要知识点:哨兵是什么?哨兵如何选择Redis主服务器

引言 哨兵贼简单,就是一个节点去看守领一个节点有没有挂掉,挂掉的数量比较多那得新选主节点了。 1. Redis哨兵 1.1 哨兵作用 哨兵的含义是什么?我们来看看百度百科的解释。 哨兵,汉语词语,是指站岗、放哨、巡逻、稽…
阅读更多...
关于less的基本使用

关于less的基本使用

1、介绍及概述 1.1、解释 less 是方便开发人员书写CSS的一门预处理语言。浏览器只认识html /css /js格式的文件,所以直接引入.less文件,没有任何的效果,需要把less文件转换成css文件 1.2、概述 CSS弊端: 没有逻辑性、变量、函…
阅读更多...
【Paper Reading】结合 NanoFlow 研究,优化大语言模型服务效率的探索

【Paper Reading】结合 NanoFlow 研究,优化大语言模型服务效率的探索

作者 王伟 PAI引擎团队 近年来,人工智能领域的快速发展推动了大型语言模型的广泛应用,随之而来的是对其服务效率的迫切需求。论文《NanoFlow:Towards Optimal Large Language Model Serving Throughput》提出了一种突破性的新型服务框架&…
阅读更多...
刚接触无处下手?水下航行器AUV/UUV六自由度模型/控制器设计matlab/simulink参考代码,基础的/进阶的,入门到顺利毕业/完成课题/发表论文。

刚接触无处下手?水下航行器AUV/UUV六自由度模型/控制器设计matlab/simulink参考代码,基础的/进阶的,入门到顺利毕业/完成课题/发表论文。

导师不管?无人指导?无代码可参考?毫无头绪?换条思路借鉴一下吧,金钱买不到时间,但可以让你更多的支配你自己的时间,没错的,条条大路通罗马,毕竟前程是自己的,…
阅读更多...
时序必读论文11|ICLR23 TimesNet时间序列分析的二维变化建模

时序必读论文11|ICLR23 TimesNet时间序列分析的二维变化建模

论文标题:TEMPORAL 2D-VARIATION MODELING FOR GENERAL TIME SERIES ANALYSIS 开源代码:https://github.com/Thinklab-SJTU/Crossformer 前言 时间序列分析中,如何有效地建模时序数据中的时间变化是关键,然而直接从一维时序数据…
阅读更多...
css <样式一>

css <样式一>

1. 盒子模型 1.1>boarder 在这里插入图片描述 boarder 相邻框合并问题 boarder-classpse 相同的边框会合并在一起 text-alicn center 文字居中对齐 ########### boarder 会撑大盒子的实际大小 一个盒子加了boarder之后会变大的我可以把我的盒子内容进行修改, 减少像素内…
阅读更多...
细胞分裂检测系统源码分享

细胞分裂检测系统源码分享

细胞分裂检测检测系统源码分享 [一条龙教学YOLOV8标注好的数据集一键训练_70全套改进创新点发刊_Web前端展示] 1.研究背景与意义 项目参考AAAI Association for the Advancement of Artificial Intelligence 项目来源AACV Association for the Advancement of Computer Vis…
阅读更多...
大数据Flink(一百二十):Flink SQL自定义函数(UDF)

大数据Flink(一百二十):Flink SQL自定义函数(UDF)

文章目录 Flink SQL自定义函数(UDF) 一、概述 二、​​​​​​​自定义标量函数(UDSF) 三、​​​​​​​​​​​​​​自定义聚合函数(UDAF) 四、 ​​​​​​​​​​​​​​自定义表值函数(UDTF) Flink SQL自定义函数…
阅读更多...
re题(20)BUUCTF [GWCTF 2019]pyre

re题(20)BUUCTF [GWCTF 2019]pyre

BUUCTF在线评测 (buuoj.cn) Python解包及反编译: PyInstaller Extractoruncompyle6 - 知乎 (zhihu.com) python撤消: Pycharm撤销操作和代码跳转后退回操作以及消除波浪线操作快捷键_pycharm怎么反撤销-CSDN博客 把.pyc文件变成py文件 把.py文件用记事本打开 cod…
阅读更多...
supermap iclient3d for cesium模型沿路径移动

supermap iclient3d for cesium模型沿路径移动

可以直接settimeout隔一段时间直接设置位置属性,但是得到的结果模型不是连续的移动,如果想要连续的移动,就需要设置一个时间轴,然后给模型传入不同时间时的位置信息,然后就可以了。 开启时间轴 let start Cesium.Jul…
阅读更多...
负载均衡:从理论到实践 ---day04

负载均衡:从理论到实践 ---day04

负载均衡 负载均衡1.什么是负载均衡2.负载均衡的分类硬件负载均衡软件负载均衡选择 3.引入负载均衡的好处 第一个Ribbon实例步骤1:步骤2:步骤3:步骤4: 问题1. 负载均衡的主要目标是什么?2. 负载均衡器的作用是什么&…
阅读更多...
【云岚到家-即刻体检】-day07-2-项目介绍及准备

【云岚到家-即刻体检】-day07-2-项目介绍及准备

【云岚到家-即刻体检】-day07-2-项目介绍及准备 1 项目介绍1)项目简介2)界面原型3)实战目标 2 搭建实战环境1)服务端2)管理端前端工程3)用户端前端工程4)测试 3 熟悉项目代码1)接口文…
阅读更多...
Linux操作系统面试题记录

Linux操作系统面试题记录

一、进程与线程 1.并发和并行的区别 并发:一个cpu处理器处理多个任务; 并行:多个cpu处理器处理多个任务; 2.进程和线程是什么?区别?何时用线程何时用进程? Linux中其实没有进程线程之分&…
阅读更多...
面试官:讲一讲Spring MVC源码解析

面试官:讲一讲Spring MVC源码解析

好看的皮囊千篇一律、有趣的灵魂万里挑一 文章持续更新,可以微信搜索【小奇JAVA面试】第一时间阅读,回复【资料】获取福利,回复【项目】获取项目源码,回复【简历模板】获取简历模板,回复【学习路线图】获取学习路线图。…
阅读更多...
驱动器磁盘未格式化恢复实战

驱动器磁盘未格式化恢复实战

驱动器磁盘未格式化的深度剖析 在日常的数字生活中,驱动器作为数据存储的重要载体,承载着用户无数的珍贵资料。然而,当遇到“驱动器中的磁盘未被格式化”的提示时,这份平静往往会被瞬间打破。这一状况不仅让用户感到困惑和焦虑&a…
阅读更多...
JZ2440开发板——S3C2440的UART的使用

JZ2440开发板——S3C2440的UART的使用

以下内容源于韦东山课程的学习与整理,如有侵权请告知删除。 一、UART硬件简介 UART,全称是“Universal Asynchronous Receiver Transmitter”,即“通用异步收发器”,也就是我们日常说的“串口”。 它在嵌入式中用途非常广泛&…
阅读更多...
LabVIEW提高开发效率技巧----VI服务器和动态调用

LabVIEW提高开发效率技巧----VI服务器和动态调用

VI服务器(VI Server)和动态调用是LabVIEW中的两个重要功能,可以有效提升程序的灵活性、模块化和可扩展性。通过这两者的结合,开发者可以在运行时动态加载和调用VI(虚拟仪器),实现更为复杂的应用…
阅读更多...
【 html+css 绚丽Loading 】 000052 璇玑转轮

【 html+css 绚丽Loading 】 000052 璇玑转轮

前言:哈喽,大家好,今天给大家分享今天给大家分享一篇文章!并提供具体代码帮助大家深入理解,彻底掌握!创作不易,如果能帮助到大家或者给大家一些灵感和启发,欢迎收藏关注哦 &#x1f…
阅读更多...
实时数仓3.0DWD层

实时数仓3.0DWD层

实时数仓3.0DWD层 DWD层设计要点:9.1 流量域未经加工的事务事实表9.1.1 主要任务9.1.2 思路9.1.3 图解9.1.4 代码 9.2 流量域独立访客事务事实表9.2.1 主要任务9.2.2 思路分析9.2.3 图解9.2.4 代码 9.3 流量域用户跳出事务事实表9.3.1 主要任务9.3.2 思路分析9.3.3 …
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023