KeyStone安装部署笔记

OpenStack中的所有组件称为服务，比如keystone、swift、nova等，不同的服务负责不同的功能，swift负责存储数据对象，nova管理计算实例的生命周期，keystone为其它服务提供认证和授权等，而有些服务是属于共享范畴的，比如Keystone，为OpenStack中的所有其它服务管理者endpoint的目录，并负责认证和授权。可以简单地理解为访问OpenStack中所有服务的请求都需要通过keystone的认证和授权，可以将Keystone比喻为一座城池大门的守卫者，进入其中的访客都需要经过守卫者的检查，认可了才可以进入其中。当然仅仅将keystoneb比喻为守卫者显然降低了Keystone的功能职责，更加系统的概括Keystone职责为：

1. 跟踪用户及其权限
2. 提供可用服务及它们API端点的目录

身份服务中的主要概念如下：

1. 用户：使用OpenStack云服务的用户、系统或者服务，身份服务验证用户提交的请求。用户需要登录，然后可能会分配令牌已访问资源。多用户可以直接分配给特定的租户，并且表现就像他们包含在该租户内。
2. 认证信息：确认用户身份的数据。比如用户名和密码，用户名和API键，或者由身份服务提供的认证令牌
3. 认证：确认用户身份的过程。OpenStack身份服务通过验证用户提供的认证信息确认请求，当认证信息被验证后，OpenStack认证服务发给用户认证令牌，在后续的请求中用户将使用该令牌。
4. 令牌：文本形式的字母-数字字符串，使用该字符串访问OpenStack的API和资源。令牌在有限的时间内是有效的，可能在任何时间被取消。
5. 租户：分组或隔离资源的容器，租户也用于分组或隔离身份对象。基于服务操作者，租户可能映射为客户、账户、组织或项目
6. 服务：一个OpenStack服务，比如Compute(nova)，对象存储(Swift)，镜像服务(glance)。服务提供了一个或多个端点（endpoint），在端点内用户可以访问资源或者执行操作。
7. 端点：网络可访问的地址，通常是URL地址，通过该地址可以访问服务。如果正在使用扩展的模板，一个端点模板会被创建，该模板表示所有可用服务的模板。
8. 角色：定义了执行特定操作的用户权限的集合。在身份服务中，发给用户的令牌包括角色的列表。被用户访问的服务确定如何解释用户拥有的角色和每个角色可以访问的操作和资源。
9. KeyStone客户端：OpenStack身份服务API的命令行接口。比如：运行keystone service-create和keystone endpoint-creat在OpenStack中注册服务。

本文的安装是在64位CentOS7.1中完成的，使用的数据库是 MariaDB。在OpenStack中大部分服务都使用SQL数据库存储信息，所以在安装之前假设已经成功安装了数据库，比如MySQL。按照下面的步骤在数据库中创建身份服务相关的数据库和用户：

1. 以root用户登录MariaDB数据库：mysql -u root -p
2. 创建keystone数据库：create database keystone
3. 创建访问keystone数据的用户，并赋予权限：grant all privileges on keystone.* to 'keystone'@'localhost' identified by '123456';grant all privileges on keystone.* to 'keystone'@'%' identified by '123456';

完成数据库的操作后，生成初始化配置Keystone的管理员令牌（随机数）：openssl rand -hex 10 (2606fd07fe3797661dbe)，括号中的字符串为令牌，一定要保存下来，后面的操作会使用该字符串。然后使用下面的命令安装Keystone服务和Keystone客户端，并会安装相关的依赖包：yum install openstack-keystone python-keystoneclient。根据不同的环境，该过程的持续时间会有差异，总体来说还是比较快的，该过程会将Keystone安装到Python的site-packages目录下。完成安装后按照下面的步骤修改/etc/keystone/keystone.conf文件：

1. 在[DEFAULT]，修改admin_token = ADMIN_TOKEN中的ADMIN_TOKEN为随机生成的令牌2606fd07fe3797661dbe，即admin_token = 2606fd07fe3797661dbe。建议在生产环境中禁用该属性
2. 在[database]中，配置数据库的访问：connection = mysql://keystone:123456@localhost/keystone
3. 在[token]中，配置UUID提供者和SQL驱动： provider = keystone.token.providers.uuid.Provider和driver = keystone.token.persistence.backends.sql.Token
4. 在[revoke]中，配置SQL撤回驱动：driver = keystone.contrib.revoke.backends.sql.Revoke
5. 如果想观察输出，进而有助于排查问题，可以在[DEFAULT]中进行如下配置：verbose = True

接下来生成通用证书和key，并设置相关文件的访问权限：

chown -R keystone:keystone /var/log/keystone
chown -R keystone:keystone /etc/keystone/ssl
chmod -R o-rwx /etc/keystone/ssl

使用下面的命令向keystone数据库填充数据：su -s /bin/sh -c "keystone-manage db_sync" keystone，该语句执行完毕后可以在数据库中发现相关的数据表。然后使用下面的命令启动keystone服务：systemctl start openstack-keystone.service，服务 启动后就可以使用keystone客户端创建租户、用户、角色、服务和endpoint了。命令分别为：

keystone --os-token 2606fd07fe3797661dbe --os-endpoint http://localhost:35357/v2.0 tenant-create --name admin --description "Admin Tenant"
+-------------+----------------------------------+
|   Property  |              Value               |
+-------------+----------------------------------+
| description |           Admin Tenant           |
|   enabled   |               True               |
|      id     | 2bee31cc468f402e9a784cc0a3b8d477 |
|     name    |              admin               |
+-------------+----------------------------------+
keystone --os-token 2606fd07fe3797661dbe --os-endpoint http://localhost:35357/v2.0 user-create --name admin --pass 123456
+----------+----------------------------------+
| Property |              Value               |
+----------+----------------------------------+
|  email   |                                  |
| enabled  |               True               |
|    id    | 0f521003d766433aa4da106d4d0187d5 |
|   name   |              admin               |
| username |              admin               |
+----------+----------------------------------+
keystone --os-token 2606fd07fe3797661dbe --os-endpoint http://localhost:35357/v2.0 role-create --name admin
+----------+----------------------------------+
| Property |              Value               |
+----------+----------------------------------+
|    id    | 4e1061f6a0b8411f97150c4f02a5b172 |
|   name   |              admin               |
+----------+----------------------------------+	

参数--os-token的字符串即为前面步骤生成的随机字符串。然后将角色admin添加到租户和用户中：

keystone --os-token 2606fd07fe3797661dbe --os-endpoint http://localhost:35357/v2.0 user-role-add --user admin --role admin --tenant admin

在创建完了租户、用户和角色后，就需要为身份服务创建服务实体和endpoint。身份服务管理OpenStack环境汇中的服务目录，服务使用该目录定位环境中的其它服务，使用下面的命令为身份服务创建服务实体:

keystone --os-token 2606fd07fe3797661dbe --os-endpoint http://localhost:35357/v2.0 service-create  --name keystone --type identity
+-------------+----------------------------------+
|   Property  |              Value               |
+-------------+----------------------------------+
| description |                                  |
|   enabled   |               True               |
|      id     | 4b739b0632554c1ba27d4e7ff8a87a10 |
|     name    |             keystone             |
|     type    |             identity             |
+-------------+----------------------------------+

身份服务管理者与服务相关联的API端点的目录，服务使用该目录确定如何与其它服务通信，OpenStack为每个服务提供了三种API端点：admin、internal和public。在生产环境中，出于安全的原因，不同的网络服务于不同类型的用户，而三种不同的API端点则依赖于这样的网络。OpenStack出于扩展性的考虑也支持多个region。下面的命令在regionOne创建了keystone的三种端点：

keystone --os-token 2606fd07fe3797661dbe --os-endpoint http://localhost:35357/v2.0 endpoint-create --service keystone --region regionOne --publicurl http://localhost:5000/v2.0 --internalurl http://localhost:5000/v2.0 --adminurl http://localhost:35357/v2.0
+-------------+----------------------------------+
|   Property  |              Value               |
+-------------+----------------------------------+
|   adminurl  |   http://localhost:35357/v2.0    |
|      id     | f54874cdbb8d4e2991ab38469813cc31 |
| internalurl |    http://localhost:5000/v2.0    |
|  publicurl  |    http://localhost:5000/v2.0    |
|    region   |            regionOne             |
|  service_id | 4b739b0632554c1ba27d4e7ff8a87a10 |

为admin租户和用户申请令牌：

keystone --os-tenant-name admin --os-username admin --os-password 123456 --os-auth-url http://localhost:35357/v2.0 tenant-list
+----------------------------------+---------+---------+
|                id                |   name  | enabled |
+----------------------------------+---------+---------+
| 2bee31cc468f402e9a784cc0a3b8d477 |  admin  |   True  |
| 73ab99661bd34a32b032cc6e04399b67 |   demo  |   True  |
| 2835009c452b4d408f95ff5a920fc877 | service |   True  |
+----------------------------------+---------+---------+

最后验证admin租户和用户：

keystone --os-tenant-name admin --os-username admin --os-password 123456 --os-auth-url http://localhost:35357/v2.0 tenant-list
+----------------------------------+---------+---------+
|                id                |   name  | enabled |
+----------------------------------+---------+---------+
| 2bee31cc468f402e9a784cc0a3b8d477 |  admin  |   True  |
| 73ab99661bd34a32b032cc6e04399b67 |   demo  |   True  |
| 2835009c452b4d408f95ff5a920fc877 | service |   True  |
+----------------------------------+---------+---------+

输出结果验证了身份服务工作正常，Keystone安装部署成功。在上面步骤中，每次都要输入冗长的命令，这样的操作增加了出错的可能性，幸好OpenStack支持将参数或者选项以环境变量的形式保存在称为OpenRC的文件中。通常这样的文件为所有的客户端，比如keystone、swift，保存了通用选项，但也支持特定于客户端的选项。下面为admin和demo创建相应的OpenRC文件（其实就是保存环境变量的脚本）：

admin-openrc.sh和demo-openrc.sh（其实就是保存环境变量的脚本）：
export OS_TENANT_NAME=admin
export OS_UESERNAME=admin
export OS_PASSWORD=123456
export OS_AUTH_URL=http://localhost:35357/v2.0

在执行keystone命令之前，先执行source admin-openrc.sh使环境变量生效，然后就不用输入冗长的参数了。这篇文章概括了Keystone的安装和配置，并简要描述了相关的概念，显然并未涉及Keystone的核心功能，而这需要进一步学习相关资料，并实践。