第一:keystone是什么?
keystone是 OpenStack Identity Service 的项目名称,是一个负责身份管理验证、服务规则管理和服务令牌功能。它实现了openstack的identity API。或者说是整个openstack架构的注册表。
简单例子:谁家的房子不上锁,一家几口人之间晚上睡觉,还有关上门呢。keystone就是房子的一扇门,是家人(组件之间),或者访客(用户)需要敲门
第二:keystone优势
keystone提供认证服务,安全,解决分布式环境下的统一认证方式。(解耦)
第三:keystone的功能:
openstack是一个SOA架构,理论上各子项目独立提供相关服务,互不依赖。
实际上所有的组件都依赖keystone,它有两个功能:
(1)用户信息管理:为了验证用户身份的合法性。提供user管理,租户管理
(2)服务注册表管理:keystone是整个openstack框架的注册表,其他的服务(nova,glance等等)需要通过keystone注册企其服务的Endpoint(服务访问的url)。openstack架构体系中,任何服务之间的相互调用都需要经过keystone来进行身份验证,进而获取到目标服务的Endpoint来找到目标服务。
第四:keystone详解:
part1
user---》用户:
使用Openstack的user,可以是人、服务、系统,只要使用Openstack服务的对象都叫做用户。
Credentials---》资格证书:是用户人份的证据,eg:省份证,可分为:
1.用户名和密码/用户名和Api Key
2.一个keystone分配的身份token
Authentication---》身份验证
- 是验证用户身份的过程。Keystone 服务通过检查用户的 Credential 来确定用户的身份。
- 第一次使用用户名/密码或者用户名/API key作为credential。当用户的credential被验证后,Keytone 会给用户分配一个 authentication token 供该用户后续的请求使用。
- Keystone中通过Policy(访问规则)来做到基于用户角色(Role)的访问控制。
Token---》令牌
- 是一个访问Openstack API和资源的数字字符串,访问资源时通过令牌认证通过,不在需要自己的秘钥,而该令牌是用户身份鉴定完毕之后颁发的。在keystone中主要是引入令牌机制来保护用户对于资源的访问,同时引入PKI(公钥基础实施)对令牌加以保护。
- 颁发的令牌也就是Token,他有可能任何时候被撤销,它包含了在指定范围和有效时间内可以被访问的资源。
Role---》角色
1.一个role可以看做是一个acl集合,主要是权限管理。
2.可以通过user指定role,让user获取role的权限。eg:dba用所有数据库的权限
3.在keystone中,在颁发给user的token里面包含role的列表,被访问的各个组件服务会判断user的角色和user提供的token中包含的角色,以及每个角色访问资源或者操作的权限。
4.系统默认使用的是role admin角色和成员role user角色(role _member_)
5.user验证是必须带有定制的Project(Tenant),role会被分配到指定的Project(Tenant)中
Policy---》策略
1.用户:Openstack对用户的验证除了Openstack的身份验证以外,还需要验证用户对某个服务是不是有访问的权限。Policy机制就是用来控制某一个用户在某一个Project(Tenant)中资源的操作权限,简单的说,该用户有啥权限,能操作什么,不能操作什么,就是Policy规定的。
2.对于keystone服务来说,Policy就是一个json文件,rpm包默认路径是/etc/keystone/policy.json。通过该配置文件,keystone可以对user进行权限管理。
Project(Tenant)---》项目(租户)
一个用于分组或者隔离资源的容器。一个 tenant 可能对应一个客户、账号、组织或者项目。在 OpenStack 中,用户至少必须在一个tenant中。tenant 容器的可使用资源的限制成为 Tenant Quota,它包括tenant 内各子资源的quota。
Service---》服务
OpenStack中的各个服务,比如Nova、Swift或者Glance等。
Endpoint ---》端点
- 是一个可以通过网络来访问和定位某个Openstack service的地址,通常是一个URL
- 不同的region有不同的endpoint(我们可以通过endpoint的region属性去定义多个region)。
- endpoint告诉openstack service 去哪里访问特定的service。如:当Nova需要访问Glance服务去获取image 时,Nova通过访问Keystone拿到Glance的endpoint,然后通过访问该endpoint去获取Glance服务。
- Endpoint 分为三类:
- admin url –> 给admin用户使用,Port:35357
- internal url –> OpenStack内部服务使用来跟别的服务通信,Port:5000
- public url –> 其它用户可以访问的地址,Port:5000
Service与Endpoint关系介绍:
- 在openstack中,每一个service都有三种endpoint. Admin, public, internal(创建完service后需要为其创建API EndPoint. )
- Admin是用作管理用途的,如它能够修改user/tenant(project)。权限最大,
- public 是让客户调用的,比如可以部署在外网上让客户可以管理自己的云。
- internal 是openstack内部服务调用的。
- 三种endpoints 在网络上开放的权限一般也不同。Admin通常只能对内网开放,public通常可以对外网开放,internal通常只能对安装有openstack对服务的机器开放。
V3新增的概念:
- Tenant 重命名为 Project
- 添加了 Domain 的概念
- 添加了 Group 的概念
V3 利用 Domain 实现真正的多租户(multi-tenancy)架构,Domain 担任 Project 的高层容器。云服务的客户是 Domain 的所有者,他们可以在自己的 Domain 中创建多个 Projects、Users、Groups 和 Roles。通过引入 Domain,云服务客户可以对其拥有的多个 Project 进行统一管理,而不必再向过去那样对每一个 Project 进行单独管理。
Group 是一组 Users 的容器,可以向 Group 中添加用户,并直接给 Group 分配角色,那么在这个 Group 中的所有用户就都拥有了 Group 所拥有的角色权限。通过引入 Group 的概念,Keystone V3 实现了对用户组的管理,达到了同时管理一组用户权限的目的。这与 V2 中直接向 User/Project 指定 Role 不同,使得对云服务进行管理更加便捷。
v3版本domain,group,project,user和role的关系图:
如上图所示,在一个 Domain 中包含 4 个 Projects,可以通过 Group2 将 Role Sysadmin直接赋予 Domain,那么 Group2 中的所有用户将会对 Domain 中的所有 Projects 都拥有管理员权限。也可以通过 Group1 将 Role Engineer 只赋予 Project1,这样 Group1 中的 User 就只拥有对 Project1 相应的权限,而不会影响其它 Projects。
part2
keystone管理和保存了user信息,管理user相关的project,role,group和domain等;用户credential的存放位置,验证关系,token的管理,下图是各部分关系
part3:
官网解释:
- User: has account credentials, is associated with one or more projects or domains(用户:有用户凭证,并且与一个或多个项目或域有关联)
- Group: a collection of users, is associated with one or more projects or domains(组:用户集合,域一个或者多个项目或域有关联)
- Project: unit of ownership in OpenStack, contains one or more users (项目:在openstack单元中,具有所有权,包含一个或者多个用户)
- Domain: unit of ownership in OpenStack, contains users, groups and projects(域:在openstack中单元中具有所有权,包含用户,组和项目)
- Role: a first-class piece of metadata associated with many user-project pairs.(角色:加载上一个项目下面的一个用户 给用户附上一个role的关联)
- Token: identifying credential associated with a user or user and project(令牌:与用户或者项目关联的凭证)
- Extras: bucket of key-value metadata associated with a user-project pair.(额外:与用户项目对关联的key-value数据对)
- Rule: describes a set of requirements for performing an action.(规则:描述执行动作的一组要求)
第五:keystone与openstack其他组件的关系
第六:keystone与其他组件协同工作流程
以用户新建一台vm为例介绍整体流程中keystone发挥的作用
第七:keystone工作流程图
(1) User从Keystone获取令牌以及服务列表;
(2) User访问服务时,亮出自己的令牌。
(3)相关的服务向Keystone求证令牌的合法性。
用户alice登录keystone系统(password或者token的方式),获取一个临时的token和catalog服务目录(v3版本登录时,如果没有指定scope,project或者domain,获取的临时token没有任何权限,不能查询project或者catalog)。
alice通过临时token获取自己的所有的project列表。
alice选定一个project,然后指定project重新登录,获取一个正式的token,同时获得服务列表的endpoint,用户选定一个endpoint,在HTTP消息头中携带token,然后发送请求(如果用户知道project name或者project id可以直接第3步登录)。
消息到达endpoint之后,由服务端(nova)的keystone中间件(pipeline中的filter:authtoken)向keystone发送一个验证token的请求。(token类型:uuid需要在keystone验证token,pki类型的token本身是包含用户详细信息的加密串,可以在服务端完成验证)
keystone验证token成功之后,将token对应用户的详细信息,例如:role,username,userid等,返回给服务端(nova)。
服务端(nova)完成请求,例如:创建虚拟机。
服务端返回请求结果给alice。