OpenStack Identity（Keystone）服務為運行OpenStack Compute上的OpenStack云提供了認證和管理用戶、帳號和角色信息服務，并為OpenStack Object Storage提供授權服務。

Keystone體系結構

Keystone 有兩個主要部件：驗證和服務目錄

驗證：提供了一個基于令牌的驗證服務，主要有以下幾個概念：

租戶（Tenant）

使用OpenStack相關服務的一個組織。一個租戶映射到一個Nova的“project-id”，在對象存儲中，一個租戶可以有多個容器。根據(jù)不同的安裝方式，一個租戶可以代表一個客戶、帳號、組織或項目。

用戶（User）

代表一個個體，OpenStack以用戶的形式來授權服務給它們。用戶擁有證書（credentials），且可能分配給一個或多個租戶。經(jīng)過驗證后，會為每個單獨的租戶提供一個特定的令牌。

證書（credentials）

為了給用戶提供一個令牌，需要用證書來唯一標識一個Keystone用戶的密碼或其它信息

令牌（token）

一個令牌是一個任意比特的文本，用于與其它OpenStack服務來共享信息，Keystone以此來提供一個central location，以驗證訪問OpenStack服務的用戶。一個令牌可以是“scoped”或“unscoped”。一個scoped令牌代表為某個租戶驗證過的用戶，而unscoped令牌則僅代表一個用戶。令牌的有效期是有限的，可以隨時被撤回。

角色（Role）

一個角色是應用于某個租戶的使用權限集合，以允許某個指定用戶訪問或使用特定操作。角色是使用權限的邏輯分組，它使得通用的權限可以簡單地分組并綁定到與某個指定租戶相關的用戶。

服務目錄（Service Catalog）

Keystone為OpenStack安裝提供了一個REST API端點列表并以此作為決策參考。主要的概念包括：

服務（Service）

一個OpenStack服務，例如nova、swift、glance或keystone。一個服務可以擁有一個或多個端點，通過它用戶可以與OpenStack的服務或資源交互。

端點（Endpoint）

一個可以通過網(wǎng)絡訪問的地址（典型地，一個URL），代表了OpenStack服務的API接口。端點也可以分組為模板，每個模板代表一組可用的OpenStack服務，這些服務是跨區(qū)域（regions）可用的。

模板（Template）

一個端點集合，代表一組可用的OpenStack服務端點。

Keystone的組件

Keystone包含一個命令行接口，可以與Keystone API交互以管理keystone和相關服務。

keystone - 運行keystone-admin和keystone-service
keystone-admin - 操作keystone的管理API
keystone-service - 用于驗證的，面向用戶的AP
keystone-manage - 管理keystone的命令行接口
Keystone還包括WSGI中間件以為Nova和Swift提供驗證服務。
Keystone使用一個內(nèi)置的SQLite數(shù)據(jù)庫 - 為驗證用戶，將來也可能使用一個外部LDAP服務來代替存儲證書

中間件（Middleware）

Keystone中間件位于OpenStack服務前面，處理進來的請求驗證。中間件的設計遵循如下的規(guī)范。

中間件的源代碼位于Keystone/middleware。

中間件支持兩個接口：WSGI和REST/HTTP。

REST & HTTP API

如果進來一個未經(jīng)認證的調用，中間件將響應一個401 Unautorized錯誤。根據(jù)每HTTP的標準，它也會返回一個WWW-Authenticate包頭以通知調用者支持哪個協(xié)議。對于Keystone驗證，響應的語法格式如下：

WWW-Authenticate: Keystone uri="url to Keystone server"The client can then make the necessary calls to the Keystone server, obtain a token, and retry the call with the token.

令牌使用 X-Auth-Toke包頭傳遞。

WSGI API（包頭）

當成功驗證后中間件經(jīng)為下行的WSGI應用發(fā)送如下包頭：

X-Identity-Status

提供請求是否被驗證的信息。

X-Tenant

提供了租戶ID（在Keystone中以URL的形式出現(xiàn)）。在Keysotne轉為采用ID/Name模式之前，它為租戶提供了對任意遺留實現(xiàn)的支持。

X-Tenant-Id

唯一不變的租戶ID。

X-Tenant-Name

唯一但可變的租戶名字。

X-User

用于登錄的用戶名。

X-Roles

分配給用戶的角色。

以上所述是小編給大家介紹的OpenStack Identity(Keystone)身份服務、體系結構與中間件 ，希望對大家有所幫助，如果大家有任何疑問請給我留言，小編會及時回復大家的。在此也非常感謝大家對腳本之家網(wǎng)站的支持！

最新評論