openstack之keystone

简介: 一、什么是keystone   用于为openstack家族中的其它组件成员提供统一的认证服务,包括身份认证、令牌发放和校验、服务列表、用户权限定义等;   基本概念:     用户User:用于身份认证、一个用户可以关联到多个租户,即一个用户可以属于租户A同时属于租户B;     租户Tenant:相当于用户组的概念。

一、什么是keystone

  用于为openstack家族中的其它组件成员提供统一的认证服务,包括身份认证、令牌发放和校验、服务列表、用户权限定义等;

  基本概念:

    用户User:用于身份认证、一个用户可以关联到多个租户,即一个用户可以属于租户A同时属于租户B;

    租户Tenant:相当于用户组的概念。一个租户可以容纳多个用户;

    角色Role:关联到“用户-租户对”的元数据。可以关联到多个用户;

    令牌Token:用于验证用户或者“用户-租户对”的请求是否合法;

    服务Service:服务类型和名称。例如网络服务、镜像服务;

    端点Endpoint:服务的实例(url入口),服务的url;

  keystone在openstack中的结构图:

  

 

    openstack用户-角色-服务交互图:

           

  keystone基本结构:

      

  用户创建虚拟机流程图:

 

 

    

    用户创建虚拟机实例:

    1、用户Alice通过自己的户名和密码向keystone申请token,keystone认证用户名和密码后,返回临时token

           2、Alice通过临时token发送keystone查询他所拥有的租户,keystone验证临时token成功后,返回Alice的所有租户列表

           3、Alice选择一个租户,通过用户名和密码申请正式token,keystone认证用户名、密码、tenant后,返回正式token

          4、Alice通过正式token发送创建server的请求,keystone验证正式token(包括该token是否有效,是否有权限创建虚拟机等)成功后,然后再把请求下发到nova,最终创建虚拟机;

keystone安装:
keystone包安装;
keystone配置;
keystone数据库初始化;
keystone服务启动;

keystone:包含一个命令行接口,可以与keystone API交互以管理
keystone和相关服务;
keystone-all:用于验证的、面向管理员和用户的API;
keystone-manage:管理keystone的命令行接口,用于管理和keystone相
连接的数据库

创建租户;
创建用户;
创建角色;
绑定角色;将角色分配到某个用户;
创建服务:
keystone测试工具:restclient

 Keystone常见错误

401 #验证失败,keystone相关用户账户密码设置错误,时间不同步,或者输入的项目名称不对

403 #可能未初始化OS_token变量,需要使用source命令使其生效,也可能是配置的配置文件未生效,需要重启相关服务

409 #keystone创建用户,用户已存在

500 #服务器内部错误,服务配置有问题,看日志,检查配置

503 #keystone相关账户密码设置有问题,请将相关的glance账户删除,重新创建即可

服务故障    #相关服务没有起来

遇到问题及解决办法:

问题1
aboutyun@controller:~$ keystone tenant-create --name admin --description "admin Tenant"
An unexpected error prevented the server from fulfilling your request. (HTTP 500)

原因1:
环境变量错误
记得重启后,执行下面命令
export OS_SERVICE_TOKEN=570f150cb897e793e58f
export OS_SERVICE_ENDPOINT=http://controller:35357/v2.0

问题2:

admin租户获取token出现错误,请问怎样解决?
root@ubuntu:~# keystone --os-tenant-name admin --os-username admin --os-password ADMIN_PASS \
>   --os-auth-url http://controller:35357/v2.0 token-get
WARNING: Bypassing authentication using a token & endpoint (authentication credentials are being ignored).
'NoneType' object has no attribute 'has_service_catalog'

解决办法: unset OS_SERVICE_TOKEN OS_SERVICE_ENDPOINT

 

相关文章
|
3月前
|
存储 API 持续交付
OpenStack组件Keystone
【8月更文挑战第20天】
62 3
|
3月前
|
存储 负载均衡 API
OpenStack核心组件Keystone
【8月更文挑战第3天】
372 8
|
6月前
|
运维 安全 数据安全/隐私保护
openstack keystone运维基础命令
在OpenStack中,Keystone作为身份服务模块,负责用户认证、令牌管理、服务目录和基于角色的访问控制。通过设置环境变量进行授权,然后执行如创建用户alice并设置密码,修改密码,列出用户,显示用户详情等操作。此外,还涉及到创建项目yun2024,查看和删除项目,创建及分配角色yunjisuanmy给用户alice,以及列出和删除角色。最后展示了查询OpenStack端点地址信息和使用`openstack role --help`查看相关命令帮助。
103 1
|
数据安全/隐私保护
(二)Open Stack(M)----Keystone安装和配置(下)
(二)Open Stack(M)----Keystone安装和配置(下)
102 0
|
数据库连接 API Apache
(二)Open Stack(M)----Keystone安装和配置(上)
(二)Open Stack(M)----Keystone安装和配置(上)
157 0
|
6月前
|
关系型数据库 MySQL 数据库
云计算|OpenStack|社区版OpenStack安装部署文档(三 --- 身份认证服务keystone安装部署---Rocky版)
云计算|OpenStack|社区版OpenStack安装部署文档(三 --- 身份认证服务keystone安装部署---Rocky版)
182 0
|
消息中间件 关系型数据库 数据安全/隐私保护
Openstack架构构建及详解(2)--keystone组件
Openstack架构构建及详解(2)--keystone组件
422 0
Openstack架构构建及详解(2)--keystone组件
|
数据库连接 API Apache
(三)OpenStack---M版---双节点搭建---Keystone安装和配置
(三)OpenStack---M版---双节点搭建---Keystone安装和配置
355 0
(三)OpenStack---M版---双节点搭建---Keystone安装和配置
|
API 数据安全/隐私保护 对象存储
|
API 算法框架/工具
基于OpenStack构建企业私有云(2)KeyStone
Keystone(OpenStack Identity Service)是OpenStack框架中,负责身份验证、服务规则和服务令牌的功能,它实现了OpenStack的Identity API。
673 0
基于OpenStack构建企业私有云(2)KeyStone