keystone浅入浅出

在OpenStack的框架体系中Keystone的作用类似于一个服务总线,为OpenStack提供身份管理服务(Identity Service),包括用户认证,服务认证和口令认证,其他服务通过Keystone来注册服务的Endpoint,针对服务的任何调动都要通过Keystone的身份认证,并获得Endpoint来进行访问

keystone包含以下几个重要概念:

  • User 用户:个人、系统或服务的一个数字化表现形式。用户可以分配给特定租户,获得租户下的访问权限
  • Credentials 证书:如匹配的用户名和密码、身份证
  • Authentication 认证:确认用户真实身份的行为
  • Toke 令牌:具有时效性的访问资源的凭证
  • Tenant 租户(早起版本中使Project):各个服务中一些可访问资源的集合。根据不同的服务运行商,可以被映射到一个客户、账户、组织或项目
  • Service 服务:一个OpenStack服务,一个服务提供一个或多个访问端点,用户通过访问端点访问资源或执行可能有用的操作
  • Endpoint 访问端点:一个可以通过网络访问的地址,用户通过访问端点访问某个服务
  • Role 角色:个性化的用户可以执行一组特定的操作。角色包括一组权利和特权。用户可以担当某角色从而获得该角色的权利和特权,在Keystone中发放的Token决定了用户的角色

keystone提供的服务

根据以上重要概念Keystone提供了Identity、Token、Catalog(目录)和Policy(安全策略或者说访问控制)4个方面的服务。

  • Identity:对用户身份进行验证,通常通过用户名和密码的方式,认证服务同时提供了用户相关的元数据的提取
  • Token:用Identity确认用户身份后,会给用户提供一个请求后续资源的令牌,令牌服务则验证并管理用于验证身份的令牌。用户将获得两种令牌,在通过Identity认证后用户将获得一种与租户无关的令牌,通过这个令牌用户可以向Keystone查询租户列表,用户选择要访问的租户,继而获得另一种与租户绑定的令牌,只有通过与特定租户绑定的令牌才可以访问该租户中的资源。令牌只在有效时间内有效,如果需要删除特定用户的权限,删除令牌即可。
  • Catalog:对外提供一个服务的查询目录,是每个服务访问端点的列表。
  • Policy:一个基于规则的身份验证引擎,通过配置文件定义各种动作与用户角色的匹配关系。

我们用openstack创建虚拟机的流程来举例子说明用户认证和服务认证的工作流程:


keystone创建虚拟机.jpg
  1. 用户携带证书或密码进行Keystone认证
  2. Keystone认证通过返回有角色限制的Token
  3. 通过Token想Keystone获取服务访问目录
  4. Keystone返回服务访问目录
  5. 携带Token进行虚拟机创建,将指令传递给nova-api
  6. Nova向Keystone验证TOken
  7. Nova携带Token访问Glance,Glance也会向Keystone验证Token
  8. Glance返回镜像
  9. Nova返回创建成功的信息给用户
  10. 虚拟机创建成功

openstack中的其他重要概念

  • domain:表示project和user的集合,在公有云和私有云中常常用来表示一个客户,可以将其看成是一个project、user、group的namespace,一个domain中这些元素名称不可以重复,多个domain中可以重复。因此在确定这些元素时,要同时使用它们的名字和domain的id或者name。
  • group:一个domain中user的集合,为了方便分配role。
  • region(区域):地理上的概念,各个region之间完全隔离但是共享同一个Keystone。

Authorization scopes授权范围

令牌有许多范围,代表各种授权和身份来源,以及可操作的范围,令牌具有单个操作范围,例如:操作范围为某个项目的Token不能在另一个项目中使用。

  • Unscoped tokens:未范围的标记既不包含服务目录,也不包含任何角色,项目范围和域范围。它们的主要用例仅仅是稍后向keystone证明你的身份(通常用于生成范围标记),而不必重复提供原始凭据。

  • Project-scoped tokens:项目范围的令牌表示您在云的特定租期中运行的授权,并且在与大多数其他服务一起使用时对自己进行身份验证很有用。它们包含服务目录,一组角色以及您获得授权的项目的详细信息。

  • Domain-scoped tokens:域范围的令牌在OpenStack中的用例有限。它们表示您授权操作域级别,高于用户和域中包含的项目(通常作为域级管理员)。根据Keystone的配置,它们对于在Keystone中使用单个域非常有用。它们包含有限的服务目录(仅限那些不明确要求每个项目端点的服务),一组角色以及您拥有授权的项目的详细信息。它们还可用于处理其他服务中的域级别问题,例如配置适用于特定域中所有用户或项目的域范围配额。

  • System-scoped tokens:OpenStack中的API很适合项目或域的概念,但也有影响整个部署系统的API(例如,修改端点,服务管理或列出有关虚拟机管理程序的信息)。这些操作需要使用系统范围的令牌,该令牌表示用户必须在整个部署中操作的角色分配。

你可能感兴趣的:(keystone浅入浅出)