Openstack Keystone 认证流程(一)--Overview
2015-02-09 13:34
148 查看
Openstack 认证(Indentity)概念
Openstack,不做过多解释,让我们直入主题—Keystone。Openstack是一个SOA的架构,理论上各个子项目独立提供相关的服务,互不依赖。例如Nova提供计算服务,Swift提供对象存储服务,Glance提供镜像服务等。但是实际上(至少从Openstack目前开源实现上来看),所有组件都依赖于Keystone提供3A(Account,Authentication, Authorization)服务。除了3A之外,Keystone还对外提供服务目录(ServiceCatalog)服务,类似于UDDI服务的概念,用户(无论是Dashboard, APIClient)都需要访问Keystone获取服务列表,以及每个服务的地址(Openstack中称为Endpoint)。所以,学习Openstack第一个必须搞定的组件必然是Keystone。以上引用/article/9516668.html
Openstack认证服务提供如下功能:
用户跟踪及权限管理
基于端点(endpoint)提供有效服务的分类管理
在安装Keystone服务时,你必须注册安装相对应的每种服务到keystone中, 然后keystone就参跟踪及记录各种服务的位置信息, 为以后提供服务。
要了解Openstack的认证服务, 必须明白以下概念:
用户(User)
它是使用Openstack服务的人,系统或是服务的一种逻辑表现形式。 认证服务对用户的请求进行验证服务。 认证成功后,会返回一个token及相对应的项目的服务信息。用户可以根据这些服务信息作进一步的操作。
证书(Credentials)
用来确认用户认证信息的数据。比如:用户名和密码, 用户名及API key, 或是已被认证服务认证的token。
认证(Authentication)
用户认证的确认流程。Openstack用户可以通过可被支持的一些证书集合中的一个来进行认证。
这些证书可以是用户名和密码, 用户名及API key, 认证成功后,会返回一个token, 后续的服务就可以通过这个token时行后续的服务。
令牌(Token)
用来访问Openstack API和资源的一组可打印的字符串。一个令牌(Token)可在任何时候被调用, 并存在一个有限的时间, 过了这个时间的Token, 会被认为是无效认证。
Tenant
Tenant是对资源进行分组或隔离一种方式。Tenant对认证服务进行分组和隔离。根据不同的操作用户, 一个Tenant可被映射成不同的角色, 可以是一个客户, 帐号, 组织或是项目。
服务(Service)
像Openstack的其它服务一样,如: Compute (nova),Object Storage (swift) 或 Image Service (glance)。 它提供一个或是多个端点(endpoint)用来访问Openstack的资源或是对Openstack进行操作。
端点(Endpoint)
用来访问Openstack服务的一个可访问的网络地址, 它一般为一个URL地址。 使用一个扩展的模板, 可以创建一个端点。 它能表现在一个特定范围内可被访问的消费服务模板。
角色(Role)
定义用户的权限和对一些特定的操作进行分组。
在认证服务中, 一个令牌(Token)是用来表示一个用户的一组角色。也就是说一个用户可以有多个角色, 一个令牌是包括一个用户所有可访问的权限的集合。
Keystone client
Openstack 认证服务的命令行交互接口。比如说我们可以用
keystone service-create来创建一个服务, 或是用
keystone endpoint-create*来创建一个服务端点。
认证服务的流程如下:
相关文章推荐
- Openstack Keystone 认证流程(三)-WSGI
- Openstack Keystone 认证流程(六)--认证
- Openstack Keystone 认证流程(四)--Filter流水线
- Openstack Keystone 认证流程(七)--API 及 Driver
- Openstack组件部署 — Keystone功能介绍与认证实现流程
- juno版OpenStack部署流程--添加认证服务(keystone)(2)
- Openstack Keystone 认证流程(二)--门
- Openstack Keystone 认证流程(八)--总结
- OpenStack点滴积累2--KeyStone的认证流程
- Openstack Keystone 认证流程(五)--路由
- Centos7 Openstack - (第二节)添加认证服务(Keystone)
- Openstack组件 — Keystone认证功能实现原理
- openstack keystone认证过程之一
- OpenStack Keystone认证服务管理(五)
- Openstack组件实现原理 — Keystone认证功能
- openstack 认证(keystone)服务篇
- OpenStack实践系列②认证服务Keystone
- Centos7手动部署Openstack Mitaka版安装配置--(三)安装keystone认证服务
- Openstack源代码分析之keystone部分(一)--WSGI接口流程分析
- keystone之权限认证功能openstack