通过例子学习 Keystone - 每天5分钟玩转 OpenStack(19)
2016-07-15 14:48
274 查看
上一节介绍了 Keystone 的核心概念。
本节我们通过“查询可用 image”这个实际操作让大家对这些概念建立更加感性的认识。
User admin 要查看 Project 中的 image
![](http://7xo6kd.com1.z0.glb.clouddn.com/upload-ueditor-image-20160410-1460244058436054539.jpg)
当点击
![](http://7xo6kd.com1.z0.glb.clouddn.com/upload-ueditor-image-20160410-1460244058598077209.jpg)
时,OpenStack 内部发生了哪些事情?请看下面
![](http://7xo6kd.com1.z0.glb.clouddn.com/upload-ueditor-image-20160410-1460244058696027424.jpg)
Token 中包含了 User 的 Role 信息
![](http://7xo6kd.com1.z0.glb.clouddn.com/upload-ueditor-image-20160410-1460244058881056205.jpg)
请注意,顶部显示 admin 可访问的 Project 为 “admin” 和 “demo”。
其实在此之前发生了一些事情:
![](http://7xo6kd.com1.z0.glb.clouddn.com/upload-ueditor-image-20160410-1460244059021071153.jpg)
同时,admin 可以访问 Intance, Volume, Image 等服务
![](http://7xo6kd.com1.z0.glb.clouddn.com/upload-ueditor-image-20160410-1460244059210090437.jpg)
这是因为 admin 已经从 Keystone 拿到了各 Service 的 Endpoints
![](http://7xo6kd.com1.z0.glb.clouddn.com/upload-ueditor-image-20160410-1460244059337028738.png)
![](http://7xo6kd.com1.z0.glb.clouddn.com/upload-ueditor-image-20160410-1460244059478045055.jpg)
背后发生了这些事:
首先,admin 将请求发送到 Glance 的 Endpoint
![](http://7xo6kd.com1.z0.glb.clouddn.com/upload-ueditor-image-20160410-1460244059696063673.jpg)
Glance 向 Keystone 询问 admin 身份的有效性。
![](http://7xo6kd.com1.z0.glb.clouddn.com/upload-ueditor-image-20160410-1460244059852052353.jpg)
接下来 Glance 会查看 /etc/glance/policy.json。
判断 admin 是否有查看 image 的权限
![](http://7xo6kd.com1.z0.glb.clouddn.com/upload-ueditor-image-20160410-1460244059999022828.jpg)
权限判定通过,Glance 将 image 列表发给 admin。
每个 Service 都有自己的日志文件。
Keystone 主要有两个日志:
keystone.log 和 keystone_access.log
保存在 /var/log/apache2/ 目录里。
devstack 的 screen 窗口已经帮我们打开了这两个日志。
可以直接查看:
![](http://7xo6kd.com1.z0.glb.clouddn.com/upload-ueditor-image-20160410-1460244060222070269.jpg)
如果需要得到最详细的日志信息,可以在 /etc/keystone/keystone.conf 中打开 debug 选项
![](http://7xo6kd.com1.z0.glb.clouddn.com/upload-ueditor-image-20160410-1460244060474022892.jpg)
在非 devstack 安装中,日志可能在 /var/log/keystone/ 目录里。
Keystone 就到这里,下一节我们开始学习 Glance。
本节我们通过“查询可用 image”这个实际操作让大家对这些概念建立更加感性的认识。
User admin 要查看 Project 中的 image
第 1 步 登录
![](http://7xo6kd.com1.z0.glb.clouddn.com/upload-ueditor-image-20160410-1460244058436054539.jpg)
当点击
![](http://7xo6kd.com1.z0.glb.clouddn.com/upload-ueditor-image-20160410-1460244058598077209.jpg)
时,OpenStack 内部发生了哪些事情?请看下面
![](http://7xo6kd.com1.z0.glb.clouddn.com/upload-ueditor-image-20160410-1460244058696027424.jpg)
Token 中包含了 User 的 Role 信息
第 2 步 显示操作界面
![](http://7xo6kd.com1.z0.glb.clouddn.com/upload-ueditor-image-20160410-1460244058881056205.jpg)
请注意,顶部显示 admin 可访问的 Project 为 “admin” 和 “demo”。
其实在此之前发生了一些事情:
![](http://7xo6kd.com1.z0.glb.clouddn.com/upload-ueditor-image-20160410-1460244059021071153.jpg)
同时,admin 可以访问 Intance, Volume, Image 等服务
![](http://7xo6kd.com1.z0.glb.clouddn.com/upload-ueditor-image-20160410-1460244059210090437.jpg)
这是因为 admin 已经从 Keystone 拿到了各 Service 的 Endpoints
![](http://7xo6kd.com1.z0.glb.clouddn.com/upload-ueditor-image-20160410-1460244059337028738.png)
第 3 步 显示 image 列表
点击 “Images”,会显示 image 列表![](http://7xo6kd.com1.z0.glb.clouddn.com/upload-ueditor-image-20160410-1460244059478045055.jpg)
背后发生了这些事:
首先,admin 将请求发送到 Glance 的 Endpoint
![](http://7xo6kd.com1.z0.glb.clouddn.com/upload-ueditor-image-20160410-1460244059696063673.jpg)
Glance 向 Keystone 询问 admin 身份的有效性。
![](http://7xo6kd.com1.z0.glb.clouddn.com/upload-ueditor-image-20160410-1460244059852052353.jpg)
接下来 Glance 会查看 /etc/glance/policy.json。
判断 admin 是否有查看 image 的权限
![](http://7xo6kd.com1.z0.glb.clouddn.com/upload-ueditor-image-20160410-1460244059999022828.jpg)
权限判定通过,Glance 将 image 列表发给 admin。
Troubleshoot
OpenStack 排查问题的方法主要是通过日志。每个 Service 都有自己的日志文件。
Keystone 主要有两个日志:
keystone.log 和 keystone_access.log
保存在 /var/log/apache2/ 目录里。
devstack 的 screen 窗口已经帮我们打开了这两个日志。
可以直接查看:
![](http://7xo6kd.com1.z0.glb.clouddn.com/upload-ueditor-image-20160410-1460244060222070269.jpg)
如果需要得到最详细的日志信息,可以在 /etc/keystone/keystone.conf 中打开 debug 选项
![](http://7xo6kd.com1.z0.glb.clouddn.com/upload-ueditor-image-20160410-1460244060474022892.jpg)
在非 devstack 安装中,日志可能在 /var/log/keystone/ 目录里。
Keystone 就到这里,下一节我们开始学习 Glance。
相关文章推荐
- Linux-ACL相关设置
- 理解 Keystone 核心概念 - 每天5分钟玩转 OpenStack(18)
- 搭建 OpenStack 实验环境 - 每天5分钟玩转 OpenStack(16)
- OpenStack 架构 - 每天5分钟玩转 OpenStack(15)
- 动手实践 Linux VLAN - 每天5分钟玩转 OpenStack(13)
- Linux 如何实现 VLAN - 每天5分钟玩转 OpenStack(12)
- 理解 virbr0 - 每天5分钟玩转 OpenStack(11)
- LVM 类型的 Storage Pool - 每天5分钟玩转 OpenStack(8)
- [转载]通过ssh连接开发板之arm-linux下ssh的安装使用
- KVM 存储虚拟化 - 每天5分钟玩转 OpenStack(7)
- CPU 和内存虚拟化原理 - 每天5分钟玩转 OpenStack(6)
- 远程管理 KVM 虚机 - 每天5分钟玩转 OpenStack(5)
- 启动第一个 KVM 虚机 - 每天5分钟玩转 OpenStack(4)
- tomcat部署
- java模拟登录qq网站,实现一键签到等等功能
- Apache下的Commons项目下的DBUtils中的QueryRunner使用的例子
- shell命令统计文件内容行数和行首地址
- Linux内存管理基础
- Linux 从虚拟地址到物理地址
- android selinux 积累