浅谈openstack中鉴权模块keystone

    由于工作需要对于研究openstack中鉴权部分已有大半年,从G版本到现在的havana,期待着Icehouse,虽然期间也零零碎碎的接触过别的模块,但是始终keystone才是我的主场,下面废话也不多说,进入正题。

    keystone中最容易让人迷惑的不是每个对象的概念,而是它们之间错综复杂的关系,首先对于基本概念这里也不免俗套的要先介绍一遍:

    user:顾名思义,用户。

    role:角色,这个对象的存在是很重要的。

    group:群组,管理用户的对象,

    project:租户,也可以理解为资源的集合,

    domain:我称它为域,v3中存在的对象,其下可以挂user和project。

    service:服务,例如当前openstack中每个模块都算一个服务,那么在keystone就会注册一个属于自己的服务。

    endpoint:它的存在是为了解决服务之间访问的问题,记录这对应服务的访问url。

    trust:v3中存在的对象,信任关系。

    credential:证书,对于openstack来说要兼容ec2那么该证书代表的就是导入的ec2证书保存到keystone之后的对象。

    番外:

    consumer:消费者,这个在oauth1(H版本加入)中创建的对象。

    accesstoken和requested token等这些都是oauth1中存在的对象,这样就先不多讲,暂时工作中还没涉及到使用该功能。

    鉴权过程分为两个部分:

 1. 模块之间访问的鉴权,比如你直接申请创建一个虚拟机,那么这个权限的控制过程就是通过keystoneclient转发到keystone进行权限认证。

而这个认证的核心是token,token的由来就要说到第二部分。

2. 直接和keystone交互的鉴权,比如创建一个用户等,或者该用户想操作openstack其他模块的功能需要先通过keystone申请一个token,代表着用户所属的角色,在policy.json文件中有对每个role可以操作什么动作有具体的规定。

先大概说这么多吧,后续再补进,这篇博客也是写了半年才完,期间经历了工作的更换,从研究openstack到另外一个领域,但是openstack我是不会放弃的。

    

你可能感兴趣的:([openstack])