OpenStack云计算实战-第5章 OpenStack身份服务

11
5.2 基于Dashboard界面进行身份管理操作
第5章 OpenStack身份服务
12
项目管理
创建项目（设置项目信息）
创建项目（添加项目成员）
5.2 基于Dashboard界面进行身份管理操作
项目管理
查看或编辑项目的配额
第5章 OpenStack身份服务
13
5.2 基于Dashboard界面进行身份管理操作
（3）将admin角色分配给用户-项目对 openstack role add --project service --user 服务用户名 admin
删除服务
openstack service delete SERVICE_TYPE | SERVICE_NAME | SERVICE_ID
内容 导航
"download_image": "", "upload_image": "", #以下省略 }
第5章 OpenStack身份服务
28
内容 导航
CONTENTS
第5章 OpenStack身份服务
29
身份服务基础 基于Dashboard界面进行身份管理操作 基于命令行界面进行身份管理操作 通过oslo.policy实现权限管理 手动安装和部署Keystone
服务后端（Service Backends） 每个服务可以配置为使用后端来让Keystone适合多种环境和需求。 每种服务的后端在/ect/keystone/keystone.conf配置文件中定义。
数据模型（Data Model）
用户（User） 组（Group） 项目（Project） 域（Domain）
CONTENTS
第5章 OpenStack身份服务
25
身份服务基础 基于Dashboard界面进行身份管理操作 基于命令行界面进行身份管理操作 通过oslo.policy实现权限管理 手动安装和部署Keystone
5.4 通过oslo.policy实现权限管理
概述
第5章 OpenStack身份服务
组管理
组成员列表
第5章 OpenStack身份服务
17
5.2 基于Dashboard界面进行身份管理操作
角色管理
管理角色
第5章 OpenStack身份服务
18
内容 导航
CONTENTS
第5章 OpenStack身份服务
19
身份服务基础 基于Dashboard界面进行身份管理操作 基于命令行界面进行身份管理操作 通过oslo.policy实现权限管理 手动安装和部署Keystone
{ "alias 1" : "definition 1", "alias 2" : "definition 2", ... "target 1" : "rule 1", "target 2" : "rule 2", ....
}
5.4 通过oslo.policy实现权限管理
语法和示例
镜像服务的策略配置文件（/etc/glance/policy.json）
{ "context_is_admin": "role:admin", "default": "role:admin",
"add_image": "", "delete_image": "", "get_image": "", "get_images": "", "modify_image": "", "publicize_image": "role:admin", "communitize_image": "", "copy_from": "",
5.3 基于命令行进行身份管理操作
管理项目、用户和角色
管理项目
（1）列出项目 （2）创建项目 （3）修改项目 （4）删除项目
管理用户
（1）列出用户 （2）创建用户 （3）修改用户 （4）删除用户
第5章 OpenStack身份服务
20
5.3 基于命令行进行身份管理操作
第5章 OpenStack身份服务
26
OpenStack的oslo.policy库用于实现基于角色的权限访问控制（RBAC）。
面向公众提供的应用和存储等资源，为外部客户提供服务。 最大优点是其所应用的程序、服务及相关数据都存放在公共云端，用户无需做
相应的投资和建设。 安全性存在一定风险，可用性不受用户控制，存在一定的不确定性。 私有云（Private Cloud） 服务不是供公众使用，而是供自己内部人员或分支机构使用。 数据安全性、系统可用性、服务质量都可由自己控制。 细分为自有私有云（On-Premise Private Cloud）和托管私有云（Hosted
（5）删除角色 openstack role remove --user 用户名或ID --project 用户名或ID 角色名或ID
5.3 基于命令行进行身份管理操作
第5章 OpenStack身份服务
22
通过Keystone身份服务定义的服务 服务目录模板（Service catalog template） 目录服务的SQL后端
配置使用服务用户的OpenStack服务的基本步骤
（1）为所有服务创建一个项目。 （2）为每个服务创建用户。 （3）将admin角色指派给每个服务用户和项目对。
5.3 基于命令行进行身份管理操作
创建和管理服务和服务用户
第5章 OpenStack身份服务
23
创建服务
（1）列出可用服务 openstack service list
21
管理项目、用户和角色
管理角色
（1）列出可用角色 openstack role list
（2）创建角色 openstack role create new-role
（3）分配角色 openstack role add --user 用户名或ID --oject 项目名或ID 角色名或ID
（4）查看角色详细信息 openstack role show 角色名或ID
5.1 身份服务基础
Keystone基本概念
认证（Authentication） 凭证（Credentials） 令牌（Token） 用户（User） 项目（Project） 域（Domain） 组（Group） 角色（Role） 端点（Endpoint） 服务（Service） 分区（Region） 客户端（OpenStackClient）
5.3 基于命令行进行身份管理操作
创建和管理服务和服务用户
第5章 OpenStack身份服务
24
创建服务用户
（1）创建一个服务用户专用的项目 openstack project create service --domain default
（2）为要部署的相关服务创建服务用户 openstack user create --domain default --password-prompt SERVICE_NAME
第5章 OpenStack身份服务
6
5.1 身份服务基础
Keystone体系结构
第5章 OpenStack身份服务
7
应用程序构建（Application Construction） Keystone是多个服务的HTTP前端。 它是使用Python WSGI接口实现的，应用程序使用Paste配置。 应用程序的HTTP端点由WSGI中间件组成。
第5章 OpenStack身份服务
1
第5章 OpenStack身份服务
《OpenStack云计算实战》
内容 导航
CONTENTS
第5章 OpenStack身份服务
2
身份服务基础 基于Dashboard界面进行身份管理操作 基于命令行界面进行身份管理操作 通过oslo.policy实现权限管理 手动安装和部署Keystone
5.1 身份服务基础
Keystone认证流程
第5章 OpenStack身份服务
9
用户
Keystone
Nova
Glance
Neutron
凭证
令牌
令牌和创建虚拟机请求
验证令牌
令牌和镜像请求
验证令牌 镜像
令牌和网络访问请求
成功的响应
验证令牌 令牌和验证用户的网络访问 成功的响应
内容 导航
CONTENTS
授权方法（策略） 要求执行用户作为管理员（admin）。 要求执行用户匹配被引用的用户。
验证方法 Keystone提供多种继承自keystone.auth.plugins.base的验证插件。 在最基本的密码插件中，要求验证两条信息：资源（Resource）信息和身份 （Identity）。
第5章 OpenStack身份服务
4
5.1 身份服务基础
Keystone的管理层次结构
第5章 OpenStack身份服务
5
域 Domain1
项目Project1 项目Project2
组Group1： 域Domain1 系统管理员 角色Role1：
admin
用户User1
项目Project3
组Group2 用户User2
角色Role2： _member_
5.1 身份服务基础
Keystone体系结构
Keystone的3大组件 服务器（Server） 驱动（Drivers） 模块（Modules）
服务（Services） 身份（Identity）服务 • 用户（Users） • 组（Groups） 资源（Resource）服务 • 项目（Projects） • 域（Domains） 分配（Assignment）服务 令牌（Token）服务 目录（Catalog）服务 策略（Policy）服务
Private Cloud）。 混合云（Hybrid Cloud）
既面向公共空间又面向私有空间提供服务，可以发挥出所混合的多种云计算模 型各自的优势。
有助于提供所需的、外部供应的扩展。
5.4 通过oslo.policy实现权限管理
语法和示例
第5章 OpenStack身份服务
27
文件policy.json包含target:rule或alias:definition形式的策略和别名。
5.1 身份服务基础
Keystone主要功能
第5章 OpenStack身份服务
3
Keystone基本功能 身份认证（Authentication） 用户授权(Authorization) 用户管理（Account） 服务目录（Service Catalog）
Keystone在OpenStack项目中的作用 跟踪用户和监管用户权限。 为每个OpenStack服务提供一个可用的服务目录和相应的API端点。
第5章 OpenStack身份服务
10
身份服务基础 基于Dashboard界面进行身份管理操作 基于命令行界面进行身份管理操作 通过oslo.policy实现权限管理 手动安装和部署Keystone
5.2 基于Dashboard界面进行身份管理操作
项目管理
项目列表
第5章 OpenStack身份服务
（2）创建服务 openstack service create --name SERVICE_NAME --description
SERVICE_DESCRIPTION SERVICE_TYPE （3）查看某服务的详细信息
openstack service show SERVICE_TYPE|SERVICE_NAME|SERVICE_ID
角色（Role） 令牌（Token） 附加（Extras） 规则（Rule）
5.1 身份服务基础
Keystone体系结构
第5章 OpenStack身份服务
8
CRUD方法 Keystone提供了用于开发和测试的多种CRUD操作方法。 CRUD作为不要求后端支持的核心特性集的扩展或附加特性。
5.5 手动安装和部署Keystone
创建Keystone数据库
第5章 OpenStack身份服务
30
（1）以root用户身份使数据库访问客户端连接到数据库服务器。 mysql -u root -p
用户管理
用户列表
第5章 OpenStack身份服务
14
5.2 基于Dashboard界面进行身份管理操作
用户管理
创建用户
第5章 OpenStack身份服务
15
5.2 基于Dashboard界面进行身份管理操作
组管理
组列表
第5章 OpenStack身份服务
16
5.2 基于Dashboard界面进行身份管理操作