(一)Keystone端的操作
(二)如何在OpenStack服务上部署Keystone中间件
部署OpenStack时一般先安装Keystone服务, 一旦Keystone运行, 管理员搭建起服务目录, 形成OpenStack系统的框架. 创建"服务用户"和服务目录在上一篇随笔中有详细的介绍.
配置OpenStack服务与Keystone协同工作, 需要在这些服务上部署"keystonemiddleware"(即Keystone中间件), 通过该中间件完成令牌验证等需要和与Keystone交互的功能.
Keystone中间件的大体工作流程:
1. 客户端向服务发送服务请求是会携带从Keystone那里获得的令牌;
2. Keystone中间件会查询并验证这个令牌的有效性, 并采取相应的措施;
3. Keystone中间件会从有效的令牌中提取诸如用户名, 用户ID, 项目名, 项目ID, 角色等信息, 并将这些信息以header的形式传递给"下游"的OpenStack服务.
配置Keystone中间件并不是工作的全部, 我们将在下文进行详细的介绍.
Keystone中间件的"身份"和普通用户的身份不同. Keystone中间件部署在OpenStack服务的Paste管道上, 代表服务拦截用户的HTTP请求, 验证用户提供的令牌是否真实有效, 并判断用户是否具有相应的权限. 因此Keystone中间件的 "身份" 实质是其部署在OpenStack服务在Keystone服务端的身份. Keystone中间件是一个特殊的Keystone用户.
下面介绍如何部署和配置Keystone中间件:
1. 安装代码. 在OpenStack服务所在主机上安装"keystonemiddleware"项目代码, 可采用pip, easy_install工具或从GitHub下载源码等多种方式安装. Git项目和Pypi包均名为"keystonemiddleware".
2. 定义Paste过滤器. 在OpenStack服务的Paste部署文件(如:api-paste.ini)中,设置如下的WSGI组件:
[filter:authtoken] paste.filter_factory = keystonemiddleware.auth_token:filter_factory
3. 安装Keystone中间件. 将2中定义的Paste过滤器 "authtoken" 添加到Paste管道的适当位置, 完成在OpenStack服务上部署Keystone中间件.
4. 配置Keystone中间件. Keystone中间件的配置项包括Keystone服务的URL, 中间件用户名, 密码等. 具体的配置项我们在下一篇随笔中进行详细介绍. Keystone中间件有两种配置方法, 一是在第2步定义过滤器时紧随工厂函数设置. 另一种是将配置信息统一写入到OpenStack服务的主配置 *.conf文件中, 保持Paste部署文件简洁. 需注意当两处进行了重复配置时, Paste配置文件中的配置项起决定作用.
注意两种方法的细微差别:
(1) 在Paste部署文件中配置Keystone中间件,
[filter:authtoken] paste.filter_factory = keystonemiddleware.auth_token:filter_factory identity_uri = http://identity_url:35357/ admin_user = nova admin_password = password ...
这种方式的好处的是简单方便, Keystone中间件的部署与配置点相同.
(2) 在*.conf配置文件中配置Keystone中间件,
[DEFAULT] ... auth_strategy=keystone ... [keystone_authtoken] identity_uri = http://identity_url:35357/ admin_user = nova admin_password = password
...
即首先要到*.conf文件的 [DEFAULT] 段落下找到 auth_strategy 字段, 设置为"keystone". 接着到 [keystone_authtoken] 段落下, 配置项同(1).
可采取这些流程配置Keystone中间件的OpenStack服务包括: Nova, Neutron, Cinder, Glance等. 具体的配置文件分别是,
Nova: nova.conf 和 api-paste.ini
Neutron: neutron.conf 和 api-paste.ini
Cinder: cinder.conf 和 api-paste.ini
Glance: glance-api.conf 和glance-api-paste.ini
对象存储服务Swift略有不同. Swift默认的认证授权组件"tempauth"已经逐渐被社区弃用, 推荐一致地使用Keystone. Swift的默认配置目录中没有Paste部署文件, 因此对Keystone中间件的部署和配置都在Swift的proxy-server.conf文件中完成.
在Swift的proxy-server.conf文件中查找如下段落, 注意其中的 "tempauth"中间件,
[pipeline:main] pipeline = ... tempauth ... proxy-server
这里Swift默认使用自带的Paste过滤器 tempauth , 要使用Keystone中间件, 就要将这个Paste管道中的 tempauth 替换成如下的两个Paste过滤器:
[pipeline:main] pipeline = ... authtoken keystoneauth ... proxy-server
在文件proxy-server.conf中配置Paste过滤器 authtoken 和 keystoneauth :
[filter:authtoken] # paste.filter_factory = keystonemiddleware.auth_token:filter_factory # auth_uri = http://keystonehost:5000/ # admin_user = swift # admin_password = password ... [filter:keystoneauth] # use = egg:swift#keystoneauth ... # operator_roles = admin, swiftoperator ... # reseller_admin_role = ResellerAdmin ... # default_domain_id = default ... # allow_names_in_acls = true
配置文件模板会默认注释掉所有配置项, 管理员根据旁边的说明取消注释, 将配置项设置成适当的值, 这样就完成了在Swift上部署Keystone中间件的工作.
前文介绍了OpenStack的主要服务如何整合Keystone, 部署Keystone中间件. 这里还要简单说明OpenStack的Dashboard如何与Keystone整合.
Horizon是 OpenStack 的 Web UI, 为了使用第三版的 Keystone API, 我们需要在 Horizon 的 openstack_dashboard/local/local_settings.py 文件中做如下改动:
1. 在配置项 OPENSTACK_API_VERSIONS 中添加 "identity": 3
2. 将配置项 OPENSTACK_KEYSTONE_URL 的URL以 /v3/ 结尾.
至此就完成了Keystone中间件的部署, 本文没有涉及OpenStack的所有项目, 但是OpenStack不同服务的相似性很高, 后上马的项目尊重前期项目得出的一致性经验. 我们以OpenStack最核心的服务入手, 介绍了如何将其与Keystone服务整合. 接下来, 详细配置Keystone中间件.