青草渐枯黄

keystone federation

keystone federation的难处在于配置，这里主要记录下IDP与SP在K-K模式下的配置，主要以shibboleth为例。

IDP:

=====

Note: This feature requires installation of the xmlsec1 tool via your distribution packaging system (for instance apt or yum)Example for apt:$ apt-get install xmlsec1

keystone.conf

===========

[saml]

...

需要配置的选项：

certfile = /etc/keystone/ssl/certs/ca.pem

keyfile = /etc/keystone/ssl/private/cakey.pem

idp_entity_id = https://openstack-dev.sh.intel.com/v3/OS-FEDERATION/saml2/idp

idp_sso_endpoint = https://openstack-dev.sh.intel.com/v3/OS-FEDERATION/saml2/sso

idp_organization_name = Intel

idp_organization_url = http://www.intel.com

idp_contact_company = Intel

idp_contact_name = davechen

idp_contact_surname = chen

idp_contact_email = [email protected]

idp_contact_telephone = 555-55-5555

idp_contact_type = technical

idp_metadata_path = /etc/keystone/saml2_idp_metadata.xml

Generate Metadata

===============

用于与SP进行交换以建立IDP与SP之间的信任关系。

$ keystone-manage saml_idp_metadata > /etc/keystone/saml2_idp_metadata.xml

$ cat /etc/keystone/saml2_idp_metadata.xml


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IntelOpenStack SAML Identity Providerhttp://www.intel.comInteldavechenchen[email protected]555-55-5555urn:oasis:names:tc:SAML:2.0:nameid-format:transient

DB (Create a Service Provider (SP))

============================

The sp_url will be used when creating a SAML assertion for BETA and signed by the current keystone IdP. The auth_url is used to retrieve the token for BETA once the SAML assertion is sent. Although the enabled field is optional we are passing it set to true otherwise it will be set to false by default.

创建Service Provider

---------------------------

curl -s -X PUT -H "X-Auth-Token: 8d4bdadd037d4476a5b3afaa80ed4a2d" -H "Content-Type: application/json" -d '{"service_provider": {"auth_url": "http://10.239.48.152:5000/v3/OS-FEDERATION/identity_providers/beta/protocols/saml2/auth", "sp_url": "https://10.239.48.152:5000/Shibboleth.sso/SAML2/ECP", "enabled": true}}' http://10.239.159.68:5000/v3/OS-FEDERATION/service_providers/keystone-sp

auth_url指向SP, SP会对发过来的saml assertion进行验证，验证通过后会返回一个token，调用auth_url时通过对SP URL的访问进行重定向来完成的。

mysql> select * from service_provider;
+------------------------------------------------------------------------------------------------+-------------+---------+-------------+----------------------------------------------+--------------------+
| auth_url | id | enabled | description | sp_url | relay_state_prefix |
+------------------------------------------------------------------------------------------------+-------------+---------+-------------+----------------------------------------------+--------------------+
| http://10.239.48.36:5000/v3/OS-FEDERATION/identity_providers/keystone-idp/protocols/saml2/auth | keystone-sp | 1 | NULL | http://10.239.48.36/Shibboleth.sso/SAML2/ECP | ss:mem: |
+------------------------------------------------------------------------------------------------+-------------+---------+-------------+----------------------------------------------+--------------------+

1 row in set (0.00 sec)

Test:

Get SAML assertion

--------------------------

 curl -i -X POST -H "Content-Type:application/json" -d '{"auth": {"scope":{"service_provider": {"id": "keystone-sp"}},"identity": {"token": {"id":"8d4bdadd037d4476a5b3afaa80ed4a2d"}, "methods":["token"]}}}' http://10.239.159.68:5000/v3/auth/OS-FEDERATION/saml2/ecp

SP:

=====

keystone.conf

===========

[auth]

#
# From keystone
#

# Allowed authentication methods. (list value)
methods = external,password,token,oauth1,saml2

Setup Shibboleth

=============

/etc/shibboleth/shibboleth2.xml:




    


    


    
     (与IDP数据库中SP的定义sp_url一致 ）


        
        


            
            
              SAML2 SAML1
            


            
            SAML2 Local


            
            


            
            


            
            


            
            
        


        
        


        
        
        
            
            
        


        
        


        
        

        
        


        
        


        
        


        
        
         （这个要与apache中的配置以及数据库中的配置相一致，这份配置中，由于用到的是默认的配置，所以ApplicationOverride id会是default, 而不是keystone-idp）
           


            
               （entityID与DB中表idp_remote_idp的remote_id字段保持一致）
            
                SAML2 SAML1
            


            SAML2 Local

移除remote user，因为keystone external 认证方法，需要读到这个变量。

sudo sed -r 's/REMOTE_USER="\w*"//' -i /etc/shibboleth/shibboleth2.xml

virtual host配置

===========

Listen 5000
Listen 35357
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-agent}i\" %D(us)" keystone_combined

ServerName shldeOTCopen005.sh.intel.com
WSGIDaemonProcess keystone-public processes=5 threads=1 user=dave display-name=%{GROUP}
WSGIProcessGroup keystone-public
WSGIScriptAlias / /var/www/keystone/main
WSGIScriptAliasMatch ^(/v3/OS-FEDERATION/identity_providers/.*?/protocols/.*?/auth)$ /var/www/keystone/main/$1
WSGIApplicationGroup %{GLOBAL}
WSGIPassAuthorization On
= 2.4>
ErrorLogFormat "%{cu}t %M"

SetEnv Shib-Identity-Provider https://openstack-dev.sh.intel.com/v3/OS-FEDERATION/saml2/idp （keystone需要读到这个数据）
#SetEnv Shib-Identity-Provider keystone-idp-remote
ErrorLog /var/log/apache2/keystone.log
CustomLog /var/log/apache2/keystone_access.log keystone_combined

...

Alias /identity_admin /var/www/keystone/admin

SetHandler wsgi-script
Options +ExecCGI

WSGIProcessGroup keystone-admin
WSGIApplicationGroup %{GLOBAL}
WSGIPassAuthorization On

ProxyPass !
SetHandler shib

(auth url)
ShibRequestSetting requireSession 1
AuthType shibboleth
#ShibRequestSetting applicationId keystone-idp
ShibRequestSetting applicationId default (因为用到的是default设置，这里的idp的ID也是"default")
#ShibRequireAll On
#ShibRequireSession On
ShibExportAssertion Off
Require valid-user

AuthType shibboleth
Require valid-user

AuthType shibboleth
Require valid-user

配置‘remote_id_attribute’，可选，编辑/etc/keystone/keystone.conf，在federation group下加入此配置，例如：

remote_id_attribute = Shib-Identity-Provider

========

通过CURL或者OpenStack CLI创建IDP (略），mapping， protocols。

NOTE: 创建IDP需要指定remote ID，或者后期进行更新：

openstack identity provider set keystone-idp --remote-idhttps://openstack-dev.sh.intel.com/v3/OS-FEDERATION/saml2/idp.

在后期颁发令牌时，需要对remote ID进行验证。

Create mapping

--------------------

curl -g -i -X PUT http://10.239.48.152:35357/v3/OS-FEDERATION/mappings/map_1-H "Content-Type: application/json" -H "Accept:application/json" -H "X-Auth-Token:36182c0f39bd4121abab6be136ee5335" -d '{"mapping":{"rules": [{"local": [{"user": {"name":"{0}"}, "group": {"id":"44dc305d549f400293ffbe1c4e3c9be2"}}],"remote":[{"type": "openstack_user"}, {"type":"OTC_INTEL_GROUPIDS"}]}]}}'

Create Protocols

-----------------------

curl -g -i -X PUT http://10.239.48.152:35357/v3/OS-FEDERATION/identity_providers/keystone-idp/protocols/saml2-H "Content-Type: application/json" -H "Accept:application/json" -H "X-Auth-Token:f85031562b3645169c980f0a91e35c57" -d '{"protocol":{"mapping_id": "map_1"}}'

mysql> select * from identity_provider;
+--------------+---------+-------------+
| id           | enabled | description |
+--------------+---------+-------------+
| idp_fake     |       1 | NULL        |
| keystone-idp |       1 | NULL        |
+--------------+---------+-------------+
2 rows in set (0.01 sec)

mysql> select * from idp_remote_ids;
+--------------+---------------------------------------------------------------+
| idp_id       | remote_id                                                     |
+--------------+---------------------------------------------------------------+
| keystone-idp | https://openstack-dev.sh.intel.com/v3/OS-FEDERATION/saml2/idp |
+--------------+---------------------------------------------------------------+
1 row in set (0.00 sec)

mysql> select * from federation_protocol;
+---------------+--------------+------------+
| id            | idp_id       | mapping_id |
+---------------+--------------+------------+
| protocol_fake | idp_fake     | map_fake   |
| saml2         | keystone-idp | map_1      |
+---------------+--------------+------------+
2 rows in set (0.00 sec)

mysql> select * from mapping;
+----------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| id       | rules                                                                                                                                                                                                     |
+----------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| map_1    | "[{\"remote\": [{\"type\": \"openstack_user\"}, {\"type\": \"OTC_INTEL_GROUPIDS\"}], \"local\": [{\"group\": {\"id\": \"f25dbfb31c384a339d7318e361f08bf6\"}, \"user\": {\"name\": \"{0}\"}}]}]"           |
| map_fake | "[{\"remote\": [{\"type\": \"UserName\"}, {\"type\": \"orgPersonType\", \"not_any_of\": [\"Contractor\", \"Guest\"]}], \"local\": [{\"user\": {\"name\": \"{0}\"}}, {\"group\": {\"id\": \"0cd5e9\"}}]}]" |
+----------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+

测试脚本 (用于得到一个unscoped token)

=================================

import json
import os


from keystoneclient import session as ksc_session
from keystoneclient.auth.identity import v3
from keystoneclient.v3 import client as keystone_v3




class K2KClient(object):
    def __init__(self):
        # os sp id need set manually
        #self.sp_id = os.environ.get('OS_SP_ID')
        self.sp_id = 'keystone-sp'
        self.token_id = os.environ.get('OS_TOKEN')
        self.auth_url = os.environ.get('OS_AUTH_URL')
        self.project_id = os.environ.get('OS_PROJECT_ID')
        self.username = os.environ.get('OS_USERNAME')
        self.password = os.environ.get('OS_PASSWORD')
        #self.domain_id = os.environ.get('OS_DOMAIN_ID')
        self.domain = os.environ.get('OS_DOMAIN')


    def v3_authenticate(self):
        auth = v3.Password(auth_url=self.auth_url,
                           username=self.username,
                           password=self.password,
                           user_domain_id='default',
                           project_id=self.project_id)
        self.session = ksc_session.Session(auth=auth, verify=False)
        self.session.auth.get_auth_ref(self.session)
        self.token = self.session.auth.get_token(self.session)


    def _generate_token_json(self):
        return {
            "auth": {
                "identity": {
                    "methods": [
                        "token"
                    ],
                    "token": {
                        #"id": self.token
                        "id": "6b627c39ba05469c9e3a8d52d732709d"
                    }
                },
                "scope": {
                    "service_provider": {
                        "id": self.sp_id
                    }
                }
            }
        }


    def _check_response(self, response):
        if not response.ok:
            raise Exception("Something went wrong, %s" % response.__dict__)


    def get_saml2_ecp_assertion(self):
        token = json.dumps(self._generate_token_json())
        url = self.auth_url + '/auth/OS-FEDERATION/saml2/ecp'
        print "url is: %s"  % url
        print "token is: %s" % token
        r = self.session.post(url=url, data=token, verify=False)
        self._check_response(r)
        #import pdb
        #pdb.set_trace()
        self.assertion = str(r.text)


    def _get_sp(self):
        url = self.auth_url + '/OS-FEDERATION/service_providers/' + self.sp_id
        r = self.session.get(url=url, verify=False)
        self._check_response(r)
        sp = json.loads(r.text)[u'service_provider']
        return sp


    def _handle_http_302_ecp_redirect(self, session, response, location, method, **kwargs):
        #return session.get(location, authenticated=False, data=self.assertion, **kwargs)
        return session.get(location, authenticated=False, **kwargs)
        #location = response.headers['location']
        #print "header is... %s" % location
        #location = response.headers['location']
        #return session.request(location, method, authenticated=False,
        #                       **kwargs)


    def exchange_assertion(self):
        """Send assertion to a Keystone SP and get token."""
        sp = self._get_sp()


        print "#################sp url is: %s" % sp[u'sp_url']
        print "type is... %s" % type(self.assertion)
        print "we need to stop here..."
        response = self.session.post(
            sp[u'sp_url'],
            headers={'Content-Type': 'application/vnd.paos+xml'},
            data=self.assertion,
            authenticated=False,
            redirect=False)
        #import pdb
        #pdb.set_trace()
        self._check_response(response)
        #location = response.headers['location']
        #print "header is... %s" % location


        #r = self._handle_http_302_ecp_redirect(r, sp[u'auth_url'],
        #                                       headers={'Content-Type':
        #                                       'application/vnd.paos+xml'})
        r = self._handle_http_302_ecp_redirect(self.session, response, sp[u'auth_url'],
                                               method='GET',
                                               headers={'Content-Type':
                                               'application/vnd.paos+xml'})
        self.fed_token_id = r.headers['X-Subject-Token']
        self.fed_token = r.text




def main():
    client = K2KClient()
    print "step1"
    client.v3_authenticate()
    print "step2"
    client.get_saml2_ecp_assertion()
    print "step3"
    print('ECP wrapped SAML assertion: %s' % client.assertion)
    client.exchange_assertion()
    print('Unscoped token id: %s' % client.fed_token_id)




if __name__ == "__main__":
    main()

Trouble Shooting

-----------------------

1. Warning message:

InsecurePlatformWarning: A true SSLContext object is not
available. This prevents urllib3 from configuring SSL appropriately and 
may cause certain SSL connections to fail

Solve it by:

pip install'requests[security]'

2. OpenSSL: error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol

错误发生在读取shibboleth的metadata的时候。

dave@shldeOTCopen005:~$ sudo wget --no-check-certificate -O metadata https://10.239.48.36/Shibboleth.sso/Metadata

Solve it by:

> su root
> a2dismod ssl
> a2enmod ssl (then it will be okay)

3. 交换SAML assertion的时候，如果遇到其它SSL的问题，可以将请求改为HTTP协议来规避一下。

Solve it by:

Update the SP url to： http://10.239.48.152/Shibboleth.sso/SAML2/ECP

4. mapping中不能包含一些未知的变量，否则在evaluate SAML assertion的时候，会失败。

例如：

更新mapping为如下形式:

mysql> select * from mapping;
+-------+-------------------------------------------------------------------------------------------------------------------------------------------------------------+
| id    | rules                                                                                                                                                       |
+-------+-------------------------------------------------------------------------------------------------------------------------------------------------------------+
| map_1 | "[{\"remote\": [{\"type\": \"openstack_user\"}], \"local\": [{\"group\": {\"id\": \"44dc305d549f400293ffbe1c4e3c9be2\"}, \"user\": {\"name\": \"{0}\"}}]}]" |
+-------+-------------------------------------------------------------------------------------------------------------------------------------------------------------+
1 row in set (0.00 sec)

5. 找不到remote ID identifier，这个不配置也可以，但是如果配置，则需要在apache2的配置文件中进行定义。

例如：

[federation]

#
# From keystone
#

# environment. For `mod_shib`, this would be `Shib-Identity-Provider`. For For
# `mod_auth_openidc`, this could be `HTTP_OIDC_ISS`. For `mod_auth_mellon`,
# this could be `MELLON_IDP`. (string value)
#remote_id_attribute =
remote_id_attribute = Shib-Identity-Provider

6. OpenSAML.SecurityPolicyRule.MessageFlow [1]: rejected expired message, timestamp (1435761510), oldest allowed

这些信息是在shibboleth文件中找到的，终端抛出的是Internal Error.

这主要是SP和IDP的时间不一致导致的，可以通过调整时间，或者跟新shibboleth的配置来解决。

例如：修改配置 clockSkew="7200"

Reference:

http://shibboleth.net/pipermail/users/2015-July/022528.html

Shibboleth的日志文件存放位置：

/var/log/shibboleth/shibd.log

参考资料：

【1】http://docs.openstack.org/developer/keystone/configure_federation.html

【2】Useful docs:http://docs.openstack.org/developer/keystone/federation/websso.html

【3】shibboleth configure:http://docs.openstack.org/developer/keystone/federation/shibboleth.html

【4】 IBM 配置参考 https://www.ibm.com/support/knowledgecenter/en/SST55W_4.3.0/liaca/liaca_configuring_keystone-to-keystone_federation.html

【5】 Shibboleth 参考 https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPApplicationOverride

你可能感兴趣的:(OpenStack)

Rocky9 使用 kolla-ansible all-in-one部署 OpenStack Zed Tassel_YUE Linux 云计算 #虚拟化 openstack ansible linux 云计算
目录写在前面一些支持网站2024.05后，安装Zed注意事项什么是kolla-ansible流程梳理操作系统选择安装流程概览安装详细步骤环境设置配置yum并下载软件包禁用firewalld，selinux安装ansible、kolla-ansible、galaxy生成密码文件修改global.yml安装部署测试写在前面一些支持网站官网：https://docs.openstack.org/koll
OpenStack（一）——OpenStack的相关概念假面生 OpenStack linux
(1).OpenStack概述OpenStack是一个由NASA（美国国家航空航天局）和Rackspace合作研发并发起的，以Apache许可证授权的自由软件和开放源代码项目。OpenStack是一个旨在为公共及私有云的建设与管理提供软件的开源项目，支持几乎所有类型的云环境，项目目标是提供实施简单、可大规模扩展、丰富、标准统一的云计算管理平台。OpenStack能够将诸如计算能力、存储、网络和软件
《手把手教程：基于国产openEuler的OpenStack私有云全流程搭建（附完整代码+避坑）》冯·诺依曼的 openstack 云计算运维 linux 网络
环境说明操作系统：openEuler22.03LTS节点规划：控制节点：controller（IP:192.168.100.10）计算节点：compute（IP:192.168.100.20）依赖要求：所有节点需配置SSH免密登录。确保HTTP仓库服务已提供openEuler和OpenStack-IaaS的yum源。步骤1：配置基础环境1.1设置主机名与网络映射#控制节点操作hostnamectl
浅谈边缘计算 @LDL 其他数据挖掘自动驾驶区块链
一.概念定义（1）维基百科对边缘计算的定义如下:边缘计算是一种优化云计算系统的方法。在边缘执行分析和知识生成减少受控系统和数据中心之间的通信带宽。（2）OpenStack基金会对边缘计算的定义如下:边缘计算是为应用开发者和服务提供商在网络的边缘侧提供云服务和IT环境服务。边缘计算的目标是在靠近数据输入或用户的地方提供计算、存储和网络带宽。（3）2015年，卡内基梅隆大学、华为、英特尔等发起成立的O
go使用openstack-swift Hello,树先生 swift openstack Go
工作中需要使用swift进行文件的上传，在网上搜了一下，感觉对go的使用都不是很友好，这里引用了一个包，进行了二次封装，菜鸟刚用go时间不久，欢迎大神指出问题。作者原创，如需转载请标明出处。先说一下我的目录结构。Bean.go文件内容packageSwiftUtils//使用结构体（具体咋用的我也不知道，抄的配置MySQL的文件）typeSconfigstruct{Swift*SwiftConfi
CentOS虚机在线扩容系统盘数据盘 robin5911 编程开发 openstack 操作系统 centos linux 运维
最近在制作Openstack下的镜像，用户需要CentOS6以及CentOS7的虚机镜像，遇到了些关于系统盘以及数据盘在线扩容的问题，故此整理一下。传统我们想对磁盘在线热扩容，必然会想到LVM逻辑卷。如果没有LVM逻辑卷的情况下，则可以考虑使用growpart命令。#yum-yinstallcloud-utils-growpart在内核3.6.0以上，是可以实现系统盘在线扩容的，如果低版本内核则需
2024广东省职业技能大赛云计算——容器云平台(K8S集群)搭建 kuuuugua 广东省职业技能大赛云计算云计算容器 k8s kubernetes istio docker
容器云平台搭建前言容器镜像使用的是斗学培训平台提供的镜像包，这东西网上都没有，一堆人要，我是靠自己想的方法获取到了，也不敢给。你们可以通过在这个网站申请环境进行操作https://ncc.douxuedu.com/虚拟机使用的是自行创建的CentOS7，如果你不会，那虚拟机创建的流程可以参考我这篇文章：职业技能大赛云计算赛项实战——OpenStack搭建-CSDN博客CentOS7系统选择2009
2024广东省职业技能大赛云计算——Redis主从架构 kuuuugua 广东省职业技能大赛云计算云计算 redis 架构
Redis主从架构前言Redis是一个开源的内存数据结构存储系统，一般用于作为数据库、缓存和消息代理使用，而主从架构是许多分布式系统中常见的设计模式，用来提高系统的性能、可靠性和扩展性。虚拟机使用的是自行创建的CentOS7，如果你不会，那虚拟机创建的流程可以参考我这篇文章：职业技能大赛云计算赛项实战——OpenStack搭建-CSDN博客使用镜像为CentOS-7-x86_64-DVD-2009
OpenStack-Train版-Allinone自动化部署脚本编程就是如此 OpenStack openstack 自动化运维
一、环境准备操作系统：CentOS7或以上版本建议配置：CPU：8核或以上内存：16GB或以上磁盘：500GB或以上网络配置：确保虚拟机已配置静态IP地址确保虚拟机可以正常访问外部网络二、自动化部署脚本#!/bin/bash#设置主机名hostnamectlset-hostnameopenstack.alione.localecho"Hostnamesettoopenstack.alione.lo
Openstack云平台脚本部署之Galera高可用集群配置（二）梅馨嫣栀云计算云计算 devops
目录一、概述二、Pacemaker配置三、Haproxy配置四、MariaDBGalera配置五、参考文档六、系列文章一、概述社区文档中，Openstack的高可用架构采用“Pacemkaer+Haproxy+Galera”的架构，数据库服务的高可用采用Galera同步复制的多主数据库集群，在三个控制节点分别安装MariaDB，然后构建Galera多主集群，数据库后台会进行更新数据的同步复制。使用
OVN – OVN OpenStack(二) cuibin1991 OpenStack 网络
OpenStacknetworking-ovn项目为Neutron提供了一个基于ML2的OVN插件，它使用OVN组件代替了各种Neutron的Pythonagent，也不再使用RabbitMQ，而是基于OVN数据库进行通信：使用OVSDB协议来把用户的配置写在NorthboundDB里面，ovn-northd监听到NorthboundDB配置发生改变，然后把配置翻译到SouthboundDB里面，
构建高可用系统设计OpenStack、Docker、Mesos和Kubernetes(简称K8s) 葡萄爱 openstack docker kubernetes
如果构建高可用、高并发、高效运维的大型系统大型系统架构设计包括业务层设计、服务层设计、基础架层设计、存储层设计、网络层协同设计来完成。一、业务层根据主要业务范畴的分类和特征提取，抽象出独立的业务系统，分别统计系统的用户角色群体、访问量、计算量。二、服务层细化和落地业务层的划分、拆分、服务治理三、架构技术层构建技术包括：OpenStack、Docker、Mesos和Kubernetes(简称K8s)
六种主流虚拟化技术全解析：OpenStack、KVM、Hyper-V、VMware、Xen及Docker 律己杂谈计算机系统发展史及基础 openstack docker VMware Xen Hyper-V KVM 虚拟机
秒懂虚拟化（一）：从概念到网络、存储虚拟化全解析，通俗解读版-CSDN博客秒懂虚拟化（二）：服务器虚拟化、操作系统虚拟化、服务虚拟化全解析，通俗解读版_hostos和guestos-CSDN博客秒懂虚拟化（三）：桌面拟化、用户体验虚拟化、应用程序虚拟化全解析，通俗解读版-CSDN博客秒懂虚拟化（四）：虚拟化技术优劣、技术原理、CPU虚拟化和内存虚拟化全解析，通俗解读版-CSDN博客前面4篇文章详细
OpenStack的G版Keystone对象模型 ztejiagn OpenStack
Users：表示API的一个特定使用者，属于一个指定的domain。可以赋予user权限(role)，每一个user-domain或user-project都可以有一组权限。Groups：表示一组拥有某权限的用户，属于一个指定的domain。可以赋予group特定的role，此时group内的user都自动具备该role表示的权限。Credentials：与user关联的认证凭据。一个user可能
OpenStack认证服务（Keystone）详细解读 D3Zane OpenStack openstack 服务器运维
文章目录前言一、项目陈述二、Keystone的基本名词概念三、相关概念关系解释三、Keystone的组件架构四、Keystone认证的基本步骤总结前言OpenStack云计算平台的组件有很多，该先安装哪个组件呢？为什么要先安装它？一、项目陈述由于OpenStack云计算平台是由众多组件构成的一套复杂系统，哪些组件被允许连入系统、进入系统后允许使用其他哪些组件功能，都需要一个认证单元去判断和决定。K
Openstack架构构建及详解(5)--Neutron组件(1) 2401_84024576 程序员 openstack 架构 ruby
5、验证[root@controller~]#sourceadmin-openrc.sh列出加载的扩展模块，确认成功启动neutron-server进程。[root@controller~]#neutronext-list±----------------------±----------------------------------------------+|alias|name|±-----
Openstack架构构建及详解(2)--keystone组件 2401_85112189 openstack 架构
⚫服务目录管理User（用户)一个人、系统或服务在OpenStack中的数字表示。已经登录的用户分配令牌环以访问资源。用户可以直接分配给特定的租户，就像隶属于每个组。Credentials（凭证）用于确认用户身份的数据。例如：用户名和密码，用户名和APIkey，或由认证服务提供的身份验证令牌Authentication（验证）确认用户身份的过程。Token（令牌）一个用于访问OpenStackAP
【2023年】云计算金砖牛刀小试6 geekgold 云计算服务器网络 kubernetes 容器
第一套【任务1】私有云服务搭建[10分]【题目1】基础环境配置[0.5分]使用提供的用户名密码，登录提供的OpenStack私有云平台，在当前租户下，使用CentOS7.9镜像，创建两台云主机，云主机类型使用4vCPU/12G/100G_50G类型。当前租户下默认存在一张网卡，自行创建第二张网卡并连接至controller和compute节点（第二张网卡的网段为10.10.X.0/24，X为工位号
KVM虚拟化平台大西瓜不爱告诉你姓名虚拟化 KVM虚拟化
前言1、云计算的定义云计算的定义用户可以在任何时间、地点通过网络获取所需要的计算资源、网络资源、存储资源并且按量计费、弹性伸缩云计算就是一个大的租赁渠首云计算这个大的资源池中的各种资源(以租赁的形式)云计算所汇聚的这部分资源(通过云平台的方式汇聚这些资源)而云平台比如:阿里云、华为云这些云平台使用到的底层平台技术为OpenStack而OpenStack利用了什么技术将资源可以划分给不同的用户使用呢
【2023年】云计算金砖牛刀小试3 geekgold 云计算 linux 运维容器 kubernetes 云原生
A场次题目：OpenStack平台部署与运维业务场景：某企业拟使用OpenStack搭建一个企业云平台，用于部署各类企业应用对外对内服务。云平台可实现IT资源池化，弹性分配，集中管理，性能优化以及统一安全认证等。系统结构如下图：企业云平台的搭建使用竞赛平台提供的两台云服务器，配置如下表：设备名称主机名接口ip地址云服务器1controllereth0，eth1私网：192.168.100.10/2
【2023年】云计算金砖牛刀小试 geekgold linux 容器 grafana prometheus ansible kubernetes 云原生
A模块题目OpenStack平台部署与运维任务1私有云平台环境初始化（6分）IP主机名192.168.157.30controller192.168.157.31compute1.配置主机名把controller节点主机名设置为controller,compute节点主机名设置为compute。分别在controller节点和compute节点将hostname命令的返回结果提交到答题框。【0.5
【2023年】云计算金砖牛刀小试2 geekgold 云计算运维容器 jenkins kubernetes devops docker
A场次题目：Openstack平台部署与运维control172.17.31.10compute172.17.31.20compute任务1私有云平台环境初始化1.初始化操作系统使用提供的用户名密码，登录竞赛云平台。根据表1中的IP地址规划，设置各服务器节点的IP地址，确保网络正常通信，设置控制节点主机名为Controller，计算节点主机名为Compute，并修改hosts文件将IP地址映射为主
CentOS 安装 Openstack --按 rdo 方式 weixin_44251398 centos openstack
安装方式：OpenStack是一个开源的云计算管理平台项目，能支持几乎所有类型的云环境。OpenStack提供了基础设施即服务（IaaS）的解决方案，每个服务都可提供API以进行集成。OpenStack覆盖了网络、虚拟化、操作系统、服务器等各个方面。openstack安装方法有很多种，主流有四种方式，包括（1）手动一步一步安装，（2）fuel安装，（3）devstack安装和（4）rdo安装，RD
OpenStack Ironic 裸金属的配置及使用 Ankele 云计算 ironic 裸金属物理机 openstack 配置
环境当前OpenStack版本为Rocky操作系统为CentOS7.6api节点即控制节点conductor节点即裸金属计算节点控制节点node1、node2、node3计算节点node1、node2、node3、node4裸金属服务节点node4虚拟IPvip一、安装软件包在所有节点上都安装yum仓库yuminstallcentos-release-openstack-rocky-y在api节点
openstack运维命令整理 sky wide openstack linux
openstack运维命令文章原始同步：微信搜索公众号：skywide技术QQ技术群：308191819欢迎各位加入Keystone相关命令用户相关命令创建用户:keystoneuser-create--name=xxx--pass=xxx--tenant=xxx删除用户:keystoneuser-deletexxx更新用户:keystoneuser-update--name=xxx--enabl
OpenStack添加新硬盘到LVM逻辑卷组 LianZhenLiang
参考：CinderLVM配置https://www.cnblogs.com/sammyliu/p/4159147.htmlConfigureandusevolumenumberweigherhttps://docs.openstack.org/cinder/queens/admin/blockstorage-volume-number-weigher.html一、知识：cinderlvm配置(/e
mirantis OpenStack9.0在virtualbox上的部署 Caroline_33 openstack mirantis virtualbox
实验环境安装包-VirtualBox-4.3.12-93733-Win.exe-Oracle_VM_VirtualBox_Extension_Pack-5.1.2-108956.vbox-extpack-Mirantis_Openstack9.0.iso-bootstrap.zip-mirrors.zip-xtfp-xshell实验机器-cpu:i3-3220以上-Ram:至少8G说明-保证内存至
云计算day32 巭氼云计算
docker容器==》k8s编排=〉openstack存储监控⽇志以及其他的内容回顾1.环境的安装catoverlay>br_netfilter>EOFoverllaybr_netfiltercatnet.bridge.bridge-nf-call-iptables=1>net.bridge.bridge-nf-call-ip6tables=1>net.ipv4.ip_forward=1>EOF#
Openstack 与 Ceph集群搭建(下)： Openstack部署范枝洲系统运维 openstack ceph
文章目录文章参考部署节点准备1.修改Host文件与hostname名称2.安装NTP软件3.网卡配置信息4.开启Docker共享挂载5.安装python虚拟环境6.安装kolla-ansible7.加载AnsiblegalaxyrequirementsOpenstack安装前预配置1.配置密码2.配置multinode文件3.修改全局配置文件Openstack正式安装1.启动bootstrap-s
OpenStack云计算平台实战港南四大炮亡 openstack 云计算
项目一任务一了解云计算目前主流的开源云计算平台如下：OpenStack。OpenStack是一个提供IAAS开源解决方案的全球性项目，由Rackspace公司和NASA共同创办，采用了Apache2.0许可证，可以随意使用。OpenStack并不要求使用专门的硬件和软件，可以在虚拟系统或裸机系统中运行。它支持多种虚拟机管理器（KVM和XenServer）和容器技术。OpenStack适应不同的用户
xml解析小猪猪08 xml
1、DOM解析的步奏准备工作： 1.创建DocumentBuilderFactory的对象 2.创建DocumentBuilder对象 3.通过DocumentBuilder对象的parse(String fileName)方法解析xml文件 4.通过Document的getElem
每个开发人员都需要了解的一个SQL技巧 brotherlamp linux linux视频 linux教程 linux自学 linux资料
对于数据过滤而言CHECK约束已经算是相当不错了。然而它仍存在一些缺陷，比如说它们是应用到表上面的，但有的时候你可能希望指定一条约束，而它只在特定条件下才生效。使用SQL标准的WITH CHECK OPTION子句就能完成这点，至少Oracle和SQL Server都实现了这个功能。下面是实现方式： CREATE TABLE books ( id &
Quartz——CronTrigger触发器 eksliang quartz CronTrigger
转载请出自出处：http://eksliang.iteye.com/blog/2208295 一.概述 CronTrigger 能够提供比 SimpleTrigger 更有具体实际意义的调度方案，调度规则基于 Cron 表达式，CronTrigger 支持日历相关的重复时间间隔（比如每月第一个周一执行），而不是简单的周期时间间隔。二.Cron表达式介绍 1）Cron表达式规则表 Quartz
Informatica基础 18289753290 Informatica Monitor manager workflow Designer
1. 1）PowerCenter Designer：设计开发环境，定义源及目标数据结构；设计转换规则，生成ETL映射。 2）Workflow Manager：合理地实现复杂的ETL工作流，基于时间，事件的作业调度 3）Workflow Monitor：监控Workflow和Session运行情况，生成日志和报告 4）Repository Manager：
linux下为程序创建启动和关闭的的sh文件，scrapyd为例酷的飞上天空 scrapy
对于一些未提供service管理的程序每次启动和关闭都要加上全部路径，想到可以做一个简单的启动和关闭控制的文件下面以scrapy启动server为例，文件名为run.sh： #端口号，根据此端口号确定PID PORT=6800 #启动命令所在目录 HOME='/home/jmscra/scrapy/' #查询出监听了PORT端口
人--自私与无私永夜-极光
今天上毛概课,老师提出一个问题--人是自私的还是无私的,根源是什么? 从客观的角度来看,人有自私的行为,也有无私的
Ubuntu安装NS-3 环境脚本随便小屋 ubuntu
将附件下载下来之后解压，将解压后的文件ns3environment.sh复制到下载目录下（其实放在哪里都可以，就是为了和我下面的命令相统一）。输入命令： sudo ./ns3environment.sh >>result 这样系统就自动安装ns3的环境，运行的结果在result文件中，如果提示 com
创业的简单感受 aijuans 创业的简单感受
2009年11月9日我进入a公司实习，2012年4月26日，我离开a公司，开始自己的创业之旅。今天是2012年5月30日，我忽然很想谈谈自己创业一个月的感受。当初离开边锋时，我就对自己说：“自己选择的路，就是跪着也要把他走完”，我也做好了心理准备，准备迎接一次次的困难。我这次走出来，不管成败
如何经营自己的独立人脉 aoyouzi 如何经营自己的独立人脉
独立人脉不是父母、亲戚的人脉，而是自己主动投入构造的人脉圈。“放长线，钓大鱼”，先行投入才能产生后续产出。现在几乎做所有的事情都需要人脉。以银行柜员为例，需要拉储户，而其本质就是社会人脉，就是社交！很多人都说，人脉我不行，因为我爸不行、我妈不行、我姨不行、我舅不行……我谁谁谁都不行，怎么能建立人脉？我这里说的人脉，是你的独立人脉。以一个普通的银行柜员
JSP基础百合不是茶 jsp 注释隐式对象
1,JSP语句的声明 <%! 声明 %> 　　声明：这个就是提供java代码声明变量、方法等的场所。表达式 <%= 表达式 %> 　　这个相当于赋值，可以在页面上显示表达式的结果，程序代码段/小型指令　<% 程序代码片段 %> 2,JSP的注释
web.xml之session-config、mime-mapping bijian1013 java web.xml servlet session-config mime-mapping
session-config 1.定义： <session-config> <session-timeout>20</session-timeout> </session-config> 2.作用：用于定义整个WEB站点session的有效期限，单位是分钟。 mime-mapping 1.定义： <mime-m
互联网开放平台（1） Bill_chen 互联网 qq 新浪微博百度腾讯
现在各互联网公司都推出了自己的开放平台供用户创造自己的应用，互联网的开放技术欣欣向荣，自己总结如下： 1.淘宝开放平台(TOP) 网址：http://open.taobao.com/ 依赖淘宝强大的电子商务数据，将淘宝内部业务数据作为API开放出去，同时将外部ISV的应用引入进来。目前TOP的三条主线： TOP访问网站：open.taobao.com ISV后台：my.open.ta
【MongoDB学习笔记九】MongoDB索引 bit1129 mongodb
索引可以在任意列上建立索引索引的构造和使用与传统关系型数据库几乎一样,适用于Oracle的索引优化技巧也适用于Mongodb 使用索引可以加快查询,但同时会降低修改,插入等的性能内嵌文档照样可以建立使用索引测试数据 var p1 = { "name":"Jack", "age&q
JDBC常用API之外的总结白糖_ jdbc
做JAVA的人玩JDBC肯定已经很熟练了，像DriverManager、Connection、ResultSet、Statement这些基本类大家肯定很常用啦，我不赘述那些诸如注册JDBC驱动、创建连接、获取数据集的API了，在这我介绍一些写框架时常用的API，大家共同学习吧。 ResultSetMetaData获取ResultSet对象的元数据信息
apache VelocityEngine使用记录 bozch VelocityEngine
VelocityEngine是一个模板引擎，能够基于模板生成指定的文件代码。使用方法如下： VelocityEngine engine = new VelocityEngine();// 定义模板引擎 Properties properties = new Properties();// 模板引擎属
编程之美-快速找出故障机器 bylijinnan 编程之美
package beautyOfCoding; import java.util.Arrays; public class TheLostID { /*编程之美假设一个机器仅存储一个标号为ID的记录，假设机器总量在10亿以下且ID是小于10亿的整数，假设每份数据保存两个备份，这样就有两个机器存储了同样的数据。 1.假设在某个时间得到一个数据文件ID的列表，是
关于Java中redirect与forward的区别 chenbowen00 java servlet
在Servlet中两种实现： forward方式：request.getRequestDispatcher(“/somePage.jsp”).forward(request, response); redirect方式：response.sendRedirect(“/somePage.jsp”); forward是服务器内部重定向，程序收到请求后重新定向到另一个程序，客户机并不知
[信号与系统]人体最关键的两个信号节点 comsci 系统
如果把人体看做是一个带生物磁场的导体,那么这个导体有两个很重要的节点,第一个在头部,中医的名称叫做百汇穴, 另外一个节点在腰部,中医的名称叫做命门如果要保护自己的脑部磁场不受到外界有害信号的攻击,最简单的
oracle 存储过程执行权限 daizj oracle 存储过程权限执行者调用者
在数据库系统中存储过程是必不可少的利器，存储过程是预先编译好的为实现一个复杂功能的一段Sql语句集合。它的优点我就不多说了，说一下我碰到的问题吧。我在项目开发的过程中需要用存储过程来实现一个功能，其中涉及到判断一张表是否已经建立，没有建立就由存储过程来建立这张表。 CREATE OR REPLACE PROCEDURE TestProc IS fla
为mysql数据库建立索引 dengkane mysql 性能索引
前些时候，一位颇高级的程序员居然问我什么叫做索引，令我感到十分的惊奇，我想这绝不会是沧海一粟，因为有成千上万的开发者（可能大部分是使用MySQL的）都没有受过有关数据库的正规培训，尽管他们都为客户做过一些开发，但却对如何为数据库建立适当的索引所知较少，因此我起了写一篇相关文章的念头。最普通的情况，是为出现在where子句的字段建一个索引。为方便讲述，我们先建立一个如下的表。
学习C语言常见误区如何看懂一个程序如何掌握一个程序以及几个小题目示例 dcj3sjt126com c 算法
如果看懂一个程序，分三步 1、流程 2、每个语句的功能 3、试数如何学习一些小算法的程序尝试自己去编程解决它，大部分人都自己无法解决如果解决不了就看答案关键是把答案看懂，这个是要花很大的精力，也是我们学习的重点看懂之后尝试自己去修改程序，并且知道修改之后程序的不同输出结果的含义照着答案去敲调试错误
centos6.3安装php5.4报错 dcj3sjt126com centos6
报错内容如下: Resolving Dependencies --> Running transaction check ---> Package php54w.x86_64 0:5.4.38-1.w6 will be installed --> Processing Dependency: php54w-common(x86-64) = 5.4.38-1.w6 for
JSONP请求 flyer0126 jsonp
使用jsonp不能发起POST请求。 It is not possible to make a JSONP POST request. JSONP works by creating a <script> tag that executes Javascript from a different domain; it is not pos
Spring Security（03）——核心类简介 234390216 Authentication
核心类简介目录 1.1 Authentication 1.2 SecurityContextHolder 1.3 AuthenticationManager和AuthenticationProvider 1.3.1 &nb
在CentOS上部署JAVA服务 java--hhf java jdk centos Java服务
本文将介绍如何在CentOS上运行Java Web服务，其中将包括如何搭建JAVA运行环境、如何开启端口号、如何使得服务在命令执行窗口关闭后依旧运行第一步：卸载旧Linux自带的JDK ①查看本机JDK版本 java -version 结果如下 java version "1.6.0"
oracle、sqlserver、mysql常用函数对比[to_char、to_number、to_date] ldzyz007 oracle mysql SQL Server
oracle &n
记Protocol Oriented Programming in Swift of WWDC 2015 ningandjin protocol WWDC 2015 Swift2.0
其实最先朋友让我就这个题目写篇文章的时候，我是拒绝的，因为觉得苹果就是在炒冷饭，把已经流行了数十年的OOP中的“面向接口编程”还拿来讲，看完整个Session之后呢，虽然还是觉得在炒冷饭，但是毕竟还是加了蛋的，有些东西还是值得说说的。通常谈到面向接口编程，其主要作用是把系统设计和具体实现分离开，让系统的每个部分都可以在不影响别的部分的情况下，改变自身的具体实现。接口的设计就反映了系统
搭建 CentOS 6 服务器(15) - Keepalived、HAProxy、LVS rensanning keepalived
（一）Keepalived （1）安装 # cd /usr/local/src # wget http://www.keepalived.org/software/keepalived-1.2.15.tar.gz # tar zxvf keepalived-1.2.15.tar.gz # cd keepalived-1.2.15 # ./configure # make &a
ORACLE数据库SCN和时间的互相转换 tomcat_oracle oracle sql
SCN（System Change Number 简称 SCN）是当Oracle数据库更新后，由DBMS自动维护去累积递增的一个数字，可以理解成ORACLE数据库的时间戳，从ORACLE 10G开始，提供了函数可以实现SCN和时间进行相互转换；　　用途：在进行数据库的还原和利用数据库的闪回功能时，进行SCN和时间的转换就变的非常必要了；　　操作方法：　　1、通过dbms_f
Spring MVC 方法注解拦截器 xp9802 spring mvc
应用场景，在方法级别对本次调用进行鉴权，如api接口中有个用户唯一标示accessToken,对于有accessToken的每次请求可以在方法加一个拦截器，获得本次请求的用户，存放到request或者session域。 python中，之前在python flask中可以使用装饰器来对方法进行预处理，进行权限处理先看一个实例,使用@access_required拦截： ?