keystone

THANK YOU
基于云平台openstack认证服务组 件keystone的研究

keystone的重要作用
通俗的说
•
如果把宾馆比作为Tenant，住宿的人就是User ，而宾 馆就是 Tenant，宾馆可以提供多种诸如住宿、娱乐、饮 食等多种服务（Service），具体来说，住宿是一种具体 的服务（Endpoint）。就住宿而言，有普通间和总统套 房，如果你的VIP等级（Role）高，你可以享受到豪华的 总统套房。入住前，我们需要拿身份证开房 （Credential），认证身份证不是冒牌货后 （Authenticaiton），会给你一个房卡（Token），然后 你拿着房卡，就可以进入房间和享受各种服务。
openstack的大门
openstack的核心组件keystone
Openstack是一个SOA的架构，理论上各个子项目独立提供相关的服务，互 不依赖。例如Nova提供计算服务，Swift提供对象存储服务，Glance提供镜像 服务等。但是实际上(至少从Openstack目前开源实现上来看)，所有组件都依 赖于Keystone提供3A(Account, Authentication, Authorization)（帐号、身份 验证、授权服务）。除了3A之外，Keystone还对外提供服务目录(Service Catalog)服务，类似于UDDI服务的概念，用户(无论是Dashboard, API Client)都需要访问Keystone获取服务列表，以及每个服务的地址(Openstack 中称为Endpoint)。所以，学习Openstack第一个必须搞定的组件必然是 Keystone。
openstack
之
keystone
了解一下openstack
• OpenStack是一个由NASA（美国国家航空航天局）和 Rackspace合作研发并发起的，以Apache许可证授权的自由软 件和开放源代码项目。
• OpenStack是一个开源的云计算管理平台项目，由几个主要的组 件组合起来完成具体工作。OpenStack支持几乎所有类型的云环 境，项目目标是提供实施简单、可大规模扩展、丰富、标准统一 的云计算管理平台。OpenStack通过各种互补的服务提供了基础 设施即服务（IaaS）的解决方案，每个服务提供API以进行集成 。Rackspace以OpenStack为基础的私有云业务每年营收7亿美 元，增长率超过了20%。
组织支持——发展前景!!!!!!
• OpenStack虽然有些方面还不太成熟，然而它有全球大 量的组织支持，大量的开发人员参与，发展迅速。国际 上已经有很多使用OpenStack搭建的公有云、私有云、 混合云，例如：RackspaceCloud、惠普云、 MercadoLibre的IT基础设施云、AT&T的CloudArchitec 、戴尔的OpenStack解决方案等等。而在国内 OpenStack的热度也在逐渐升温，华胜天成、高德地图 、京东、阿里巴巴、百度、中兴、华为等都对 OpenStack产生了浓厚的兴趣并参与其中。
keystone ቤተ መጻሕፍቲ ባይዱ内容包括：
User: 直译过来就是用户，如果意译的话就是马甲 :) 也就是一个 人的账号，当然一个人可以有多个马甲，你懂得。 Crenditial: 用来证明用户身份的证据，大白话就是“信物”， 这是一个逻辑概念。具体可以是密码，驾照、身份证等。 Authentication: 鉴权，也即对用户身份鉴别的一个过程。 Token: 令牌。对用户鉴权完毕之后，Keystone会为用户颁发一 个令牌，这样用户在请求其他服务的时候，只需要亮出自己的令 牌即可，而不需要发送自己的密钥。当然以防仿冒令牌，令牌是 有时限的。
宾馆比喻：
• User 住宾馆的人 • Credentials 身份证 • Authentication 认证你的身份证 • Token 房卡 • Tenant 宾馆 • Service 宾馆可以提供的服务类别，比如，饮食类，娱乐类 • Endpoint 具体的一种服务，比如吃烧烤，打羽毛球 • Role VIP 等级，VIP越高，享有越高的权限
keystone的重要概念
Service：服务。之前提到过，Keystone提供了系统能 够提供的服务目录，例如Nova, Glance, Swift等。 Endpoint：直译为端点，其实指的是访问服务的地址。 如果细分的话，又可以进一步分为对外提供服务的地址， 管理地址等。 Role: 权限。这就是3A中的Authorization，也即赋予该 用户的权限。我们知道Openstack提供的是一个多租户环 境，在Openstack中租户对应到项目(Project)。一个用户 可以同时属于多个不同的项目，当然在不同的项目中可 以充当不同的角色，也即拥有不同的权限。