keystone浅入浅出
在OpenStack的框架体系中Keystone的作用类似于一个服务总线,为OpenStack提供身份管理服务(Identity Service),包括用户认证,服务认证和口令认证,其他服务通过Keystone来注册服务的Endpoint,针对服务的任何调动都要通过Keystone的身份认证,并获得Endpoint来进行访问
keystone包含以下几个重要概念:
-
User用户:个人、系统或服务的一个数字化表现形式。用户可以分配给特定租户,获得租户下的访问权限 -
Credentials证书:如匹配的用户名和密码、身份证 -
Authentication认证:确认用户真实身份的行为 -
Toke令牌:具有时效性的访问资源的凭证 -
Tenant租户(早起版本中使Project):各个服务中一些可访问资源的集合。根据不同的服务运行商,可以被映射到一个客户、账户、组织或项目 -
Service服务:一个OpenStack服务,一个服务提供一个或多个访问端点,用户通过访问端点访问资源或执行可能有用的操作 -
Endpoint访问端点:一个可以通过网络访问的地址,用户通过访问端点访问某个服务 -
Role角色:个性化的用户可以执行一组特定的操作。角色包括一组权利和特权。用户可以担当某角色从而获得该角色的权利和特权,在Keystone中发放的Token决定了用户的角色
keystone提供的服务
根据以上重要概念Keystone提供了Identity、Token、Catalog(目录)和Policy(安全策略或者说访问控制)4个方面的服务。
-
Identity:对用户身份进行验证,通常通过用户名和密码的方式,认证服务同时提供了用户相关的元数据的提取 -
Token:用Identity确认用户身份后,会给用户提供一个请求后续资源的令牌,令牌服务则验证并管理用于验证身份的令牌。用户将获得两种令牌,在通过Identity认证后用户将获得一种与租户无关的令牌,通过这个令牌用户可以向Keystone查询租户列表,用户选择要访问的租户,继而获得另一种与租户绑定的令牌,只有通过与特定租户绑定的令牌才可以访问该租户中的资源。令牌只在有效时间内有效,如果需要删除特定用户的权限,删除令牌即可。 -
Catalog:对外提供一个服务的查询目录,是每个服务访问端点的列表。 -
Policy:一个基于规则的身份验证引擎,通过配置文件定义各种动作与用户角色的匹配关系。
我们用openstack创建虚拟机的流程来举例子说明用户认证和服务认证的工作流程:
keystone创建虚拟机.jpg
- 用户携带证书或密码进行Keystone认证
- Keystone认证通过返回有角色限制的Token
- 通过Token想Keystone获取服务访问目录
- Keystone返回服务访问目录
- 携带Token进行虚拟机创建,将指令传递给nova-api
- Nova向Keystone验证TOken
- Nova携带Token访问Glance,Glance也会向Keystone验证Token
- Glance返回镜像
- Nova返回创建成功的信息给用户
- 虚拟机创建成功
openstack中的其他重要概念
-
domain:表示project和user的集合,在公有云和私有云中常常用来表示一个客户,可以将其看成是一个project、user、group的namespace,一个domain中这些元素名称不可以重复,多个domain中可以重复。因此在确定这些元素时,要同时使用它们的名字和domain的id或者name。 -
group:一个domain中user的集合,为了方便分配role。 -
region(区域):地理上的概念,各个region之间完全隔离但是共享同一个Keystone。
Authorization scopes授权范围
令牌有许多范围,代表各种授权和身份来源,以及可操作的范围,令牌具有单个操作范围,例如:操作范围为某个项目的Token不能在另一个项目中使用。
-
Unscoped tokens:未范围的标记既不包含服务目录,也不包含任何角色,项目范围和域范围。它们的主要用例仅仅是稍后向keystone证明你的身份(通常用于生成范围标记),而不必重复提供原始凭据。
-
Project-scoped tokens:项目范围的令牌表示您在云的特定租期中运行的授权,并且在与大多数其他服务一起使用时对自己进行身份验证很有用。它们包含服务目录,一组角色以及您获得授权的项目的详细信息。
-
Domain-scoped tokens:域范围的令牌在OpenStack中的用例有限。它们表示您授权操作域级别,高于用户和域中包含的项目(通常作为域级管理员)。根据Keystone的配置,它们对于在Keystone中使用单个域非常有用。它们包含有限的服务目录(仅限那些不明确要求每个项目端点的服务),一组角色以及您拥有授权的项目的详细信息。它们还可用于处理其他服务中的域级别问题,例如配置适用于特定域中所有用户或项目的域范围配额。
-
System-scoped tokens:OpenStack中的API很适合项目或域的概念,但也有影响整个部署系统的API(例如,修改端点,服务管理或列出有关虚拟机管理程序的信息)。这些操作需要使用系统范围的令牌,该令牌表示用户必须在整个部署中操作的角色分配。
