keystone浅入浅出

在OpenStack的框架体系中Keystone的作用类似于一个服务总线，为OpenStack提供身份管理服务(Identity Service)，包括用户认证，服务认证和口令认证，其他服务通过Keystone来注册服务的Endpoint，针对服务的任何调动都要通过Keystone的身份认证，并获得Endpoint来进行访问

keystone包含以下几个重要概念：

• User 用户：个人、系统或服务的一个数字化表现形式。用户可以分配给特定租户，获得租户下的访问权限
• Credentials 证书：如匹配的用户名和密码、身份证
• Authentication 认证：确认用户真实身份的行为
• Toke 令牌：具有时效性的访问资源的凭证
• Tenant 租户(早起版本中使Project)：各个服务中一些可访问资源的集合。根据不同的服务运行商，可以被映射到一个客户、账户、组织或项目
• Service 服务：一个OpenStack服务，一个服务提供一个或多个访问端点，用户通过访问端点访问资源或执行可能有用的操作
• Endpoint 访问端点：一个可以通过网络访问的地址，用户通过访问端点访问某个服务
• Role 角色：个性化的用户可以执行一组特定的操作。角色包括一组权利和特权。用户可以担当某角色从而获得该角色的权利和特权，在Keystone中发放的Token决定了用户的角色

keystone提供的服务

根据以上重要概念Keystone提供了Identity、Token、Catalog（目录）和Policy（安全策略或者说访问控制）4个方面的服务。

• Identity：对用户身份进行验证，通常通过用户名和密码的方式，认证服务同时提供了用户相关的元数据的提取
• Token：用Identity确认用户身份后，会给用户提供一个请求后续资源的令牌，令牌服务则验证并管理用于验证身份的令牌。用户将获得两种令牌，在通过Identity认证后用户将获得一种与租户无关的令牌，通过这个令牌用户可以向Keystone查询租户列表，用户选择要访问的租户，继而获得另一种与租户绑定的令牌，只有通过与特定租户绑定的令牌才可以访问该租户中的资源。令牌只在有效时间内有效，如果需要删除特定用户的权限，删除令牌即可。
• Catalog：对外提供一个服务的查询目录，是每个服务访问端点的列表。
• Policy：一个基于规则的身份验证引擎，通过配置文件定义各种动作与用户角色的匹配关系。

我们用openstack创建虚拟机的流程来举例子说明用户认证和服务认证的工作流程：

keystone创建虚拟机.jpg

1. 用户携带证书或密码进行Keystone认证
2. Keystone认证通过返回有角色限制的Token
3. 通过Token想Keystone获取服务访问目录
4. Keystone返回服务访问目录
5. 携带Token进行虚拟机创建，将指令传递给nova-api
6. Nova向Keystone验证TOken
7. Nova携带Token访问Glance，Glance也会向Keystone验证Token
8. Glance返回镜像
9. Nova返回创建成功的信息给用户
10. 虚拟机创建成功

openstack中的其他重要概念

• domain：表示project和user的集合，在公有云和私有云中常常用来表示一个客户，可以将其看成是一个project、user、group的namespace，一个domain中这些元素名称不可以重复，多个domain中可以重复。因此在确定这些元素时，要同时使用它们的名字和domain的id或者name。
• group：一个domain中user的集合，为了方便分配role。
• region（区域）：地理上的概念，各个region之间完全隔离但是共享同一个Keystone。

Authorization scopes授权范围

令牌有许多范围，代表各种授权和身份来源，以及可操作的范围，令牌具有单个操作范围，例如：操作范围为某个项目的Token不能在另一个项目中使用。

• Unscoped tokens：未范围的标记既不包含服务目录，也不包含任何角色，项目范围和域范围。它们的主要用例仅仅是稍后向keystone证明你的身份（通常用于生成范围标记），而不必重复提供原始凭据。

• Project-scoped tokens：项目范围的令牌表示您在云的特定租期中运行的授权，并且在与大多数其他服务一起使用时对自己进行身份验证很有用。它们包含服务目录，一组角色以及您获得授权的项目的详细信息。

• Domain-scoped tokens：域范围的令牌在OpenStack中的用例有限。它们表示您授权操作域级别，高于用户和域中包含的项目（通常作为域级管理员）。根据Keystone的配置，它们对于在Keystone中使用单个域非常有用。它们包含有限的服务目录（仅限那些不明确要求每个项目端点的服务），一组角色以及您拥有授权的项目的详细信息。它们还可用于处理其他服务中的域级别问题，例如配置适用于特定域中所有用户或项目的域范围配额。

• System-scoped tokens：OpenStack中的API很适合项目或域的概念，但也有影响整个部署系统的API（例如，修改端点，服务管理或列出有关虚拟机管理程序的信息）。这些操作需要使用系统范围的令牌，该令牌表示用户必须在整个部署中操作的角色分配。