(原创)OpenStack服务如何使用Keystone (二)---部署和配置Keystone中间件

  (一)Keystone端的操作

  (二)如何在OpenStack服务上部署Keystone中间件

  (三)详细配置keystonemiddleware

 

  部署OpenStack时一般先安装Keystone服务, 一旦Keystone运行, 管理员搭建起服务目录, 形成OpenStack系统的框架. 创建"服务用户"和服务目录在上一篇随笔中有详细的介绍.

  配置OpenStack服务与Keystone协同工作, 需要在这些服务上部署"keystonemiddleware"(即Keystone中间件), 通过该中间件完成令牌验证等需要和与Keystone交互的功能.

  Keystone中间件的大体工作流程:

  1. 客户端向服务发送服务请求是会携带从Keystone那里获得的令牌;

  2. Keystone中间件会查询并验证这个令牌的有效性, 并采取相应的措施;

  3. Keystone中间件会从有效的令牌中提取诸如用户名, 用户ID, 项目名, 项目ID, 角色等信息, 并将这些信息以header的形式传递给"下游"的OpenStack服务.

  配置Keystone中间件并不是工作的全部, 我们将在下文进行详细的介绍.

  Keystone中间件的"身份"和普通用户的身份不同. Keystone中间件部署在OpenStack服务的Paste管道上, 代表服务拦截用户的HTTP请求, 验证用户提供的令牌是否真实有效, 并判断用户是否具有相应的权限. 因此Keystone中间件的 "身份" 实质是其部署在OpenStack服务在Keystone服务端的身份. Keystone中间件是一个特殊的Keystone用户.

 

  下面介绍如何部署和配置Keystone中间件:

  1. 安装代码. 在OpenStack服务所在主机上安装"keystonemiddleware"项目代码, 可采用pip, easy_install工具或从GitHub下载源码等多种方式安装. Git项目和Pypi包均名为"keystonemiddleware".

 

  2. 定义Paste过滤器. 在OpenStack服务的Paste部署文件(如:api-paste.ini)中,设置如下的WSGI组件:

[filter:authtoken]

paste.filter_factory = keystonemiddleware.auth_token:filter_factory

 

  3. 安装Keystone中间件. 将2中定义的Paste过滤器 "authtoken" 添加到Paste管道的适当位置, 完成在OpenStack服务上部署Keystone中间件. 

 

  4. 配置Keystone中间件. Keystone中间件的配置项包括Keystone服务的URL, 中间件用户名, 密码等. 具体的配置项我们在下一篇随笔中进行详细介绍. Keystone中间件有两种配置方法, 一是在第2步定义过滤器时紧随工厂函数设置. 另一种是将配置信息统一写入到OpenStack服务的主配置 *.conf文件中, 保持Paste部署文件简洁. 需注意当两处进行了重复配置时, Paste配置文件中的配置项起决定作用. 

  注意两种方法的细微差别:

  (1) 在Paste部署文件中配置Keystone中间件,

[filter:authtoken]

paste.filter_factory = keystonemiddleware.auth_token:filter_factory

identity_uri = http://identity_url:35357/

admin_user = nova

admin_password = password

...

  这种方式的好处的是简单方便, Keystone中间件的部署与配置点相同.

 

  (2) 在*.conf配置文件中配置Keystone中间件,

[DEFAULT]

...

auth_strategy=keystone

...



[keystone_authtoken]

identity_uri = http://identity_url:35357/

admin_user = nova 

admin_password = password
...

  

  即首先要到*.conf文件的 [DEFAULT] 段落下找到 auth_strategy 字段, 设置为"keystone". 接着到 [keystone_authtoken] 段落下, 配置项同(1).

  可采取这些流程配置Keystone中间件的OpenStack服务包括: Nova, Neutron, Cinder, Glance等. 具体的配置文件分别是,

  Nova:   nova.conf 和 api-paste.ini

  Neutron:  neutron.conf 和 api-paste.ini

  Cinder:    cinder.conf 和 api-paste.ini

  Glance:    glance-api.conf 和glance-api-paste.ini

  

  对象存储服务Swift略有不同. Swift默认的认证授权组件"tempauth"已经逐渐被社区弃用, 推荐一致地使用Keystone. Swift的默认配置目录中没有Paste部署文件, 因此对Keystone中间件的部署和配置都在Swift的proxy-server.conf文件中完成.

  在Swift的proxy-server.conf文件中查找如下段落, 注意其中的 "tempauth"中间件,

[pipeline:main]

pipeline = ... tempauth ... proxy-server

  

  这里Swift默认使用自带的Paste过滤器 tempauth , 要使用Keystone中间件, 就要将这个Paste管道中的 tempauth 替换成如下的两个Paste过滤器:

[pipeline:main]

pipeline = ... authtoken keystoneauth ... proxy-server

  

  在文件proxy-server.conf中配置Paste过滤器 authtoken 和 keystoneauth :

[filter:authtoken]

# paste.filter_factory = keystonemiddleware.auth_token:filter_factory

# auth_uri = http://keystonehost:5000/

# admin_user = swift

# admin_password = password

...



[filter:keystoneauth]

# use = egg:swift#keystoneauth

...

# operator_roles = admin, swiftoperator

...

# reseller_admin_role = ResellerAdmin

...

# default_domain_id = default

...

# allow_names_in_acls = true

  

  配置文件模板会默认注释掉所有配置项, 管理员根据旁边的说明取消注释, 将配置项设置成适当的值, 这样就完成了在Swift上部署Keystone中间件的工作.

  前文介绍了OpenStack的主要服务如何整合Keystone, 部署Keystone中间件. 这里还要简单说明OpenStack的Dashboard如何与Keystone整合.

  Horizon是 OpenStack 的 Web UI, 为了使用第三版的 Keystone API, 我们需要在 Horizon 的 openstack_dashboard/local/local_settings.py 文件中做如下改动:

  1. 在配置项 OPENSTACK_API_VERSIONS 中添加 "identity": 3 

  2. 将配置项 OPENSTACK_KEYSTONE_URL 的URL以 /v3/ 结尾.

  至此就完成了Keystone中间件的部署, 本文没有涉及OpenStack的所有项目, 但是OpenStack不同服务的相似性很高, 后上马的项目尊重前期项目得出的一致性经验. 我们以OpenStack最核心的服务入手, 介绍了如何将其与Keystone服务整合. 接下来, 详细配置Keystone中间件.

你可能感兴趣的:(openstack)