一、Keystone介绍:
keystone 是OpenStack的组件之一,用于为OpenStack家族中的其它组件成员
提供统一的认证服务,包括身份验证、令牌的发放和校验、服务列表、用户权限的定义等等。
云环境中所有的服务之间的授权和认证都需要经过 keystone. 因此 keystone 是云平台中第一个即需要安装的服务。
作为 OpenStack 的
基础支持服务,Keystone 做下面这几件事情:
-
管理用户及其权限
-
维护 OpenStack Services 的 Endpoint
-
Authentication(认证)和 Authorization(鉴权)
学习 Keystone,得理解下面这些概念:
User
User
指代任何使用 OpenStack 的实体,可以是
真正的用户,其他系统或者服务。
当 User 请求访问 OpenStack 时,Keystone 会对其进行验证。Horizon 在 Identity -> Users 管理 User
demo: 常规(非管理)任务应该使用无特权的项目和用户,所有要创建 demo 项目和 demo 用户
除了 admin 和 demo,OpenStack 也为 nova、cinder、glance、neutron 服务创建了相应的 User。 admin 也可以管理这些 User。
Credentials(资格证明)
Credentials 是 User 用来证明自己身份的信息,可以是:
1. 用户名/密码
2. Token
3. API Key
4. 其他高级方式
Authentication(身份认证)
Authentication 是 Keystone 验证 User 身份的过程。 User 访问 OpenStack 时向 Keystone 提交用户名和密码形式的 Credentials,Keystone 验证通过后会给 User 签发一个 Token 作为后续访问的 Credential。
Token
Token 是
由数字和字母组成的字符串,User 成功 Authentication 后
Keystone 生成 Token 并分配给 User。
-
Token 用做访问 Service 的 Credential
-
Service 会通过 Keystone 验证 Token 的有效性
-
Token 的有效期默认是 24 小时
Project
Project 用于将 OpenStack 的资源(计算、存储和网络)进行分组和隔离。
根据 OpenStack 服务的对象不同,
Project 可以是一个客户(公有云,也叫租户)、部门或者项目组(私有云)。
这里请注意:
-
资源的所有权是属于 Project 的,而不是 User。
-
在 OpenStack 的界面和文档中,Tenant / Project / Account 这几个术语是通用的,但长期看会倾向使用 Project
-
每个 User(包括 admin)必须挂在 Project 里才能访问该 Project 的资源。 一个User可以属于多个 Project。
-
admin 相当于 root 用户,具有最高权限
Horizon 在 Identity->Projects 中管理 Project
通过
Manage Members 将
User 添加到 Project
Service
OpenStack 的 Service 包括 Compute (Nova)、Block Storage (Cinder)、Object Storage (Swift)、Image Service (Glance) 、Networking Service (Neutron) 等。
每个 Service 都会提供若干个 Endpoint,User 通过 Endpoint 访问资源和执行操作。
Endpoint
Endpoint 是一个网络上可访问的地址,通常是一个 URL。Service 通过 Endpoint 暴露自己的 API。
Keystone 负责管理和维护每个 Service 的 Endpoint。
可以使用下面的命令来查看 Endpoint。
# source devstack/openrc admin admin# openstack catalog list
Role
安全包含两部分:
Authentication(认证)和 Authorization(鉴权)
Authentication 解决的是“你是谁?”的问题
Authorization 解决的是“你能干什么?”的问题
Keystone 借助 Role 实现 Authorization:
-
Keystone定义Role
-
可以为 User 分配一个或多个 Role,Horizon 的菜单为:Identity->Project->ManageMembers
-
Service 决定每个 Role 能做什么事情 Service 通过各自的 policy.json 文件对 Role 进行访问控制。 下面是 Nova 服务 /etc/nova/policy.json 中的示例:
上面配置的含义是:对于 create、attach_network 和 attach_volume 操作,任何Role的 User 都可以执行; 但只有 admin 这个 Role 的 User 才能执行 forced_host 操作。
2. OpenStack 默认配置只区分 admin 和非 admin Role。 如果需要对特定的 Role 进行授权,可以修改 policy.json。
Openstack对User的验证除了身份验证,还需要
鉴别 User 对某个Service是否有访问权限。P
olicy用来定义什么角色对应什么权限。对Keystone来说,Policy其实是一个JSON文件,默认是 /etc/keystone/policy.json 。 通过Policy,Keystone实现了对User的权限管理。
3.
openstack系统基本角色有两个:
一个是管理员admin
一个是租户_member_
二、Keystone基本架构:
•Token: 用来生成和管理token
•Catalog:用来存储和管理service/endpoint
•Identity:用来管理tenant/user/role和验证
•Policy:用来管理访问权限
三、通过例子认识Keystone:
我们通过“查询可用 image”这个实际操作让大家对这些概念建立更加感性的认识。User admin 要查看 Project 中的 image
第 1 步 登录
当点击 时,OpenStack 内部发生了哪些事情?请看下面
Token 中包含了 User 的 Role 信息
第 2 步 显示操作界面
请注意,顶部显示 admin 可访问的 Project 为 “admin” 和 “demo”。 其实在此之前发生了一些事情:
同时,admin 可以访问 Intance, Volume, Image 等服务
这是因为 admin 已经从 Keystone 拿到了各 Service 的 Endpoints
第 3 步 显示 image 列表
点击 “Images”,会显示 image 列表
背后发生了这些事:
首先 admin 将请求发送到 Glance 的 Endpoint
接下来 Glance 会查看 /etc/glance/policy.json 判断 admin 是否有查看 image 的权限
权限判定通过,Glance 将 image 列表发给 admin。
Troubleshoot
OpenStack 排查问题的方法主要是通过日志。
每个 Service 都有自己的日志文件。
Keystone 主要有两个日志: keystone.log 和 keystone_access.log,保存在 /var/log/apache2/ 目录里。
devstack 的 screen 窗口已经帮我们打开了这两个日志。 可以直接查看:
如果需要得到最详细的日志信息,可以在 /etc/keystone/keystone.conf 中打开 debug 选项
在非 devstack 安装中,日志可能在 /var/log/keystone/ 目录里。
keystone环境部署
机器:3台
1:controller:3块网卡(集群网,租户网,外网)
2:compute:2块网卡(集群网,租户网)
3:storage:1块网卡(集群网)
1)设置主机名,彼此域名解析,无密钥登陆
vim /etc/hosts 192.168.253.135 controller 192.168.253.194 compute 192.168.253.15 storage ssh-keygen ssh-copy-id
2)点进openstack packages
在controller节点上:
安装openstack客户端软件包
yum -y install python-openstackclient
安装openstack-selinux软件包
yum -y install openstack-selinux
3)点进SQL database
安装数据库
yum -y install mariadb mariadb-server python2-pymysql
并创建openstack的配置文件(注意连接数)
vim /etc/my.cnf.d/openstack.cnf
[mysqld] bind-address = 192.168.253.135(主节点集群ip) default-storage-engine = innodb innodb_file_per_table = on max_connections = 4096 collation-server = utf8_general_ci character-set-server = utf8
重启自启mariadb.server
systemctl restart(enable) mariadb.service
初始化mysql
mysql_secure_installation
4)点进Message queue
安装rabbitmq并启动自启,创建openstack的用户
yum -y install rabbitmq-server rabbitmqctl add_user openstack admin(密码) #添加openstack用户 rabbitmqctl set_permissions openstack ".*" ".*" ".*" #给予所有虚拟机的所有交换机的所有消息队列的权限 rabbitmqctl set_user_tags mama administrator #设为管理员
systemctl restart rabbitmq-server.service
systemctl enable rabbitmq-server.service #开机自启
5)点进Memcached
安装memcache
yum -y install memcached python-memcached
修改配置文件写入主机名
vim /etc/sysconfig/memecached
[root@controller ~]# cat /etc/sysconfig/memcached PORT="11211" USER="memcached" MAXCONN="1024" CACHESIZE="64" OPTIONS="-l 127.0.0.1,::1,controller"
重启自启memcached.service
systenctl restart memcached.service
systemctl enable memcached.service
6)点击identity service——install and configure
登陆数据库,创建keystone的用户和数据库以及密码
create database keystone; grant all on keystone.* to keystone@'localhost' identified by 'KEYSTONE_DBPASS'; grant all on keystone.* to keystone@'%' identified by 'KEYSTONE_DBPASS';
安装keystone服务,清空配置文件并导入
yum -y install openstack-keystone httpd mod_wsgi
Vim /etc/keystone/keystone.conf
数据库的参数 [database] connection = mysql+pymysql://keystone:KEYSTONE_DBPASS@controller/keystone Token的参数 [token] provider = fernet
导入keystone数据库中的表
su -s /bin/sh -c "keystone-manage db_sync" keystone
创建keystone用户和keystone组
# 创建keystone用户与组
keystone-manage fernet_setup --keystone-user keystone --keystone-group keystone
# 身份信息认证keystone-manage credential_setup --keystone-user keystone --keystone-group keystone
创建admin用户的密码,并宣告keystone服务端点(密码,三个服务端点)
keystone-manage bootstrap --bootstrap-password admin \ --bootstrap-admin-url http://controller:35357/v3/ \ --bootstrap-internal-url http://controller:5000/v3/ \ --bootstrap-public-url http://controller:5000/v3/ \ --bootstrap-region-id RegionOne
修改apache服务的配置文件
ServerName controller
创建keystone服务调用httpd的模块配置文件的软连接
ln -s /usr/share/keystone/wsgi-keystone.conf /etc/httpd/conf.d/
启动httpd(注意apache端口不要被占用)
systemctl restart httpd
编辑环境变量的配置文件
vim openrc
export OS_USERNAME=admin export OS_PASSWORD=admin export OS_PROJECT_NAME=admin export OS_USER_DOMAIN_NAME=Default export OS_PROJECT_DOMAIN_NAME=Default export OS_AUTH_URL=http://controller:35357/v3 export OS_IDENTITY_API_VERSION=3
7)点击identity Create a domain, projects, users, and roles
宣告环境变量
source openrc
创建service 、 demo 的项目
在domain区域内创建一个名为server的服务项目
openstack project create --domain default \ --description "Service Project" service openstack project create --domain default \ --description "Demo Project" demo
创建demo的用户
openstack user create --domain default \ --password-prompt demo
创建user的角色
openstack role create user
2.18、把demo用户设置为user角色
openstack role add --project demo --user demo user
查看项目 user 角色等
openstack project list
openstack user list
openstack role list
openstack endpoint list
openstack catalog list
一些报错:
1、
[root@controller conf.d]# openstack project create --domain default \ > --description "Service Project" service Failed to discover available identity versions when contacting http://controller:35357/v3. Attempting to parse version from URL. Unable to establish connection to http://controller:35357/v3/auth/tokens: HTTPConnectionPool(host='controller', port=35357): Max retries exceeded with url: /v3/auth/tokens (Caused by NewConnectionError(': Failed to establish a new connection: [Errno 111] \xe6\x8b\x92\xe7\xbb\x9d\xe8\xbf\x9e\xe6\x8e\xa5',))
原因:35357端口无法启动
而造成35357端口无法启动的原因有两方面:
1)apache服务出现问题
解决方法:查看80端口是否有其他服务占用
[root@controller ~]# lsof -i:80 COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME httpd 20375 root 4u IPv6 85035 0t0 TCP *:http (LISTEN) httpd 20389 apache 4u IPv6 85035 0t0 TCP *:http (LISTEN) httpd 20393 apache 4u IPv6 85035 0t0 TCP *:http (LISTEN) httpd 20409 apache 4u IPv6 85035 0t0 TCP *:http (LISTEN) httpd 20410 apache 4u IPv6 85035 0t0 TCP *:http (LISTEN) httpd 20411 apache 4u IPv6 85035 0t0 TCP *:http (LISTEN) httpd 20603 apache 4u IPv6 85035 0t0 TCP *:http (LISTEN)
如果有就停掉其他服务或kill掉
2)wsgi配置文件出错或者软连接没起作用
[root@controller ~]# cd /etc/httpd/conf.d/ [root@controller conf.d]# ls autoindex.conf README userdir.conf welcome.conf wsgi-keystone.conf [root@controller conf.d]# vim wsgi-keystone.conf [root@controller conf.d]# cat wsgi-keystone.conf Listen 5000 Listen 35357
2、
[root@controller ~]# openstack project create --domain default --description "Service Project" service
-bash: openstack: 未找到命令
这是因为keystoneclient客户端安装出了问题,尝试重新安装。
OpenStack排错常用步骤和命令
1.查看日志
OpenStack的日志系统设计的非常棒。大多数的问题都能从日志中找到原因。
日志路径通常在/var/log/下。
哪里有问题就去哪里找:去相应的日志文件夹查看日志。
比如上传镜像报错,就去/var/log/glance/
如果实例启动失败,就去/var/log/nova下查看。注意nova的日志分布于controller节点和compute节点
Devstack 环境中的日志,不同版本是不一样的。P版本之前采用screen命令查看, 而P版本开始用jounalctl 命令查看
2.端口被占用
比如keystone集成到apache里了,使用80端口。如果80端口被其他服务占用,那就完蛋了。
3.查看租户/工程
租户tenant和工程project在openstack中本质是一样的。新版本已经不再区分这2个概念
openstack project list
4.检查服务状态
ps -aux | grep keystone 或者ps -ef | grep keystone
5.查看openstack发行版本
nova-manage --version 14.0.2 对应着N版本
查看所有的组件状态:
openstack-status