博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
(原创)OpenStack服务如何使用Keystone (二)---部署和配置Keystone中间件
阅读量:5831 次
发布时间:2019-06-18

本文共 3554 字,大约阅读时间需要 11 分钟。

  (一)

  (二)

  (三)

 

  部署OpenStack时一般先安装Keystone服务, 一旦Keystone运行, 管理员搭建起服务目录, 形成OpenStack系统的框架. 创建"服务用户"和服务目录在中有详细的介绍.

  配置OpenStack服务与Keystone协同工作, 需要在这些服务上部署"keystonemiddleware"(即Keystone中间件), 通过该中间件完成令牌验证等需要和与Keystone交互的功能.

  Keystone中间件的大体工作流程:

  1. 客户端向服务发送服务请求是会携带从Keystone那里获得的令牌;

  2. Keystone中间件会查询并验证这个令牌的有效性, 并采取相应的措施;

  3. Keystone中间件会从有效的令牌中提取诸如用户名, 用户ID, 项目名, 项目ID, 角色等信息, 并将这些信息以header的形式传递给"下游"的OpenStack服务.

  配置Keystone中间件并不是工作的全部, 我们将在下文进行详细的介绍.

  Keystone中间件的"身份"和普通用户的身份不同. Keystone中间件部署在OpenStack服务的Paste管道上, 代表服务拦截用户的HTTP请求, 验证用户提供的令牌是否真实有效, 并判断用户是否具有相应的权限. 因此Keystone中间件的 "身份" 实质是其部署在OpenStack服务在Keystone服务端的身份. Keystone中间件是一个特殊的Keystone用户.

 

  下面介绍如何部署和配置Keystone中间件:

  1. 安装代码. 在OpenStack服务所在主机上安装"keystonemiddleware"项目代码, 可采用pip, easy_install工具或从GitHub下载源码等多种方式安装. Git项目和Pypi包均名为"keystonemiddleware".

 

  2. 定义Paste过滤器. 在OpenStack服务的Paste部署文件(如:api-paste.ini)中,设置如下的WSGI组件:

[filter:authtoken]paste.filter_factory = keystonemiddleware.auth_token:filter_factory

 

  3. 安装Keystone中间件. 将2中定义的Paste过滤器 "authtoken" 添加到Paste管道的适当位置, 完成在OpenStack服务上部署Keystone中间件. 

 

  4. 配置Keystone中间件. Keystone中间件的配置项包括Keystone服务的URL, 中间件用户名, 密码等. 具体的配置项我们在下一篇随笔中进行详细介绍. Keystone中间件有两种配置方法, 一是在第2步定义过滤器时紧随工厂函数设置. 另一种是将配置信息统一写入到OpenStack服务的主配置 *.conf文件中, 保持Paste部署文件简洁. 需注意当两处进行了重复配置时, Paste配置文件中的配置项起决定作用. 

  注意两种方法的细微差别:

  (1) 在Paste部署文件中配置Keystone中间件,

[filter:authtoken]paste.filter_factory = keystonemiddleware.auth_token:filter_factoryidentity_uri = http://identity_url:35357/admin_user = novaadmin_password = password...

  这种方式的好处的是简单方便, Keystone中间件的部署与配置点相同.

 

  (2) 在*.conf配置文件中配置Keystone中间件,

[DEFAULT]...auth_strategy=keystone...[keystone_authtoken]identity_uri = http://identity_url:35357/admin_user = nova admin_password = password ...

  

  即首先要到*.conf文件的 [DEFAULT] 段落下找到 auth_strategy 字段, 设置为"keystone". 接着到 [keystone_authtoken] 段落下, 配置项同(1).

  可采取这些流程配置Keystone中间件的OpenStack服务包括: Nova, Neutron, Cinder, Glance等. 具体的配置文件分别是,

  Nova:   nova.conf 和 api-paste.ini

  Neutron:  neutron.conf 和 api-paste.ini

  Cinder:    cinder.conf 和 api-paste.ini

  Glance:    glance-api.conf 和glance-api-paste.ini

  

  对象存储服务Swift略有不同. Swift默认的认证授权组件"tempauth"已经逐渐被社区弃用, 推荐一致地使用Keystone. Swift的默认配置目录中没有Paste部署文件, 因此对Keystone中间件的部署和配置都在Swift的proxy-server.conf文件中完成.

  在Swift的proxy-server.conf文件中查找如下段落, 注意其中的 "tempauth"中间件,

[pipeline:main]pipeline = ... tempauth ... proxy-server

  

  这里Swift默认使用自带的Paste过滤器 tempauth , 要使用Keystone中间件, 就要将这个Paste管道中的 tempauth 替换成如下的两个Paste过滤器:

[pipeline:main]pipeline = ... authtoken keystoneauth ... proxy-server

  

  在文件proxy-server.conf中配置Paste过滤器 authtoken 和 keystoneauth :

[filter:authtoken]# paste.filter_factory = keystonemiddleware.auth_token:filter_factory# auth_uri = http://keystonehost:5000/# admin_user = swift# admin_password = password...[filter:keystoneauth]# use = egg:swift#keystoneauth...# operator_roles = admin, swiftoperator...# reseller_admin_role = ResellerAdmin...# default_domain_id = default...# allow_names_in_acls = true

  

  配置文件模板会默认注释掉所有配置项, 管理员根据旁边的说明取消注释, 将配置项设置成适当的值, 这样就完成了在Swift上部署Keystone中间件的工作.

  前文介绍了OpenStack的主要服务如何整合Keystone, 部署Keystone中间件. 这里还要简单说明OpenStack的Dashboard如何与Keystone整合.

  Horizon是 OpenStack 的 Web UI, 为了使用第三版的 Keystone API, 我们需要在 Horizon 的 openstack_dashboard/local/local_settings.py 文件中做如下改动:

  1. 在配置项 OPENSTACK_API_VERSIONS 中添加 "identity": 3 

  2. 将配置项 OPENSTACK_KEYSTONE_URL 的URL以 /v3/ 结尾.

  至此就完成了Keystone中间件的部署, 本文没有涉及OpenStack的所有项目, 但是OpenStack不同服务的相似性很高, 后上马的项目尊重前期项目得出的一致性经验. 我们以OpenStack最核心的服务入手, 介绍了如何将其与Keystone服务整合. 接下来, .

转载于:https://www.cnblogs.com/Security-Darren/p/4072810.html

你可能感兴趣的文章
[Luogu P2973&BZOJ 1778][USACO10HOL]赶小猪DOtP(高斯消元+期望)
查看>>
深入浅出REST
查看>>
window.location.reload(false);window.location.reload(true);history.Go(0)区别
查看>>
cocos2dx JS layuot纯代码实现背景颜色渐变
查看>>
[速记]关于字符串数组+字符串常量+结束符号'\0'
查看>>
[php审计实战篇]BlueCms v1.6 Union注入
查看>>
【Excle数据透视表】如何在数据透视表顶部显示列总计数据
查看>>
IntelliJ IDEA default settings 全局默认设置
查看>>
SpringMVC,Mybatis,FreeMarker连接mycat示例(一)
查看>>
[NOIP2003普及组]麦森数(快速幂+高精度)
查看>>
sqlzoo需要知道的那些事
查看>>
git for windows配置SSH key
查看>>
互联网创业三件事:钱、人和项目
查看>>
十亿美金公司不常有 一亿美金公司花常开 | 雷锋网
查看>>
自己的养生计划
查看>>
django报错解决:view must be a callable or a list/tuple in the case of include().
查看>>
ACM HDU 1172 猜数字 (枚举法)
查看>>
黄聪:一个网络推广员的一周工作计划
查看>>
学会SVN的应用----源代码托管
查看>>
脸部识别JavaScript类库Tracking.js
查看>>