当前位置: 开发笔记 > 前端 > 正文

OpenStackKeystone的基本概念详细介绍

作者：安徒生笔下苍老了谁1_120 | 来源：互联网 | 2022-03-18 13:21

这篇文章主要介绍了OpenStackKeystone的基本概念详细介绍的相关资料,需要的朋友可以参考下

OpenStack Keystone的基本概念理解

Keystone简介

　　Keystone（OpenStack Identity Service）是OpenStack框架中，负责身份验证、服务规则和服务令牌的功能，它实现了OpenStack的Identity API。Keystone类似一个服务总线，或者说是整个Openstack框架的注册表，其他服务通过keystone来注册其服务的Endpoint（服务访问的URL），任何服务之间相互的调用，需要经过Keystone的身份验证，来获得目标服务的Endpoint来找到目标服务。

Keystone基本概念介绍

　　1. User

　　User即用户，他们代表可以通过keystone进行访问的人或程序。Users通过认证信息（credentials，如密码、API Keys等）进行验证。

　　2. Tenant

　　Tenant即租户，它是各个服务中的一些可以访问的资源集合。例如，在Nova中一个tenant可以是一些机器，在Swift和Glance中一个tenant可以是一些镜像存储，在Quantum中一个tenant可以是一些网络资源。Users默认的总是绑定到某些tenant上。

　　3. Role

　　Role即角色，Roles代表一组用户可以访问的资源权限，例如Nova中的虚拟机、Glance中的镜像。Users可以被添加到任意一个全局的或租户内的角色中。在全局的role中，用户的role权限作用于所有的租户，即可以对所有的租户执行role规定的权限；在租户内的role中，用户仅能在当前租户内执行role规定的权限。

　　4. Service

　　Service即服务，如Nova、Glance、Swift。根据前三个概念（User，Tenant和Role）一个服务可以确认当前用户是否具有访问其资源的权限。但是当一个user尝试着访问其租户内的service时，他必须知道这个service是否存在以及如何访问这个service，这里通常使用一些不同的名称表示不同的服务。在上文中谈到的Role，实际上也是可以绑定到某个service的。例如，当swift需要一个管理员权限的访问进行对象创建时，对于相同的role我们并不一定也需要对nova进行管理员权限的访问。为了实现这个目标，我们应该创建两个独立的管理员role，一个绑定到swift，另一个绑定到nova，从而实现对swift进行管理员权限访问不会影响到Nova或其他服务。

　　5. Endpoint

　　Endpoint，翻译为“端点”，我们可以理解它是一个服务暴露出来的访问点，如果需要访问一个服务，则必须知道他的endpoint。因此，在keystone中包含一个endpoint模板（endpoint template，在安装keystone的时候我们可以在conf文件夹下看到这个文件），这个模板提供了所有存在的服务endpoints信息。一个endpoint template包含一个URLs列表，列表中的每个URL都对应一个服务实例的访问地址，并且具有public、private和admin这三种权限。public url可以被全局访问（如http://compute.example.com），private url只能被局域网访问（如http://compute.example.local），admin url被从常规的访问中分离。

　　=================== 引用 Aaron 的理解=====================

　　keystone 里面的概念很多，有：User，Credentials，Authentication，Token，Tenant，Service，Endpoint，Role。在这么多概念中，其实最主要的就是 User 和 Tenant 。由于一些安全，服务问题，才引发了其它的概念。

　　那什么叫做 User ，Tenant 呢？这里我举个比较好理解的例子。我们去宾馆住的时候，我们自己就相当于 User ，而宾馆就是 Tenant 。这是最简单的情况，宾馆值提供房间，我们只需要住房。

　　随着后来生活物质等的提高，这种现象就变了。我们去宾馆住的时候，很多东西都不一样，比如，开房间要身份证，房间的钥匙是一个可以当卡刷的牌子，我们进出宾馆的时候需要用自己的钥匙来开启宾馆的大门；还有就是，宾馆不仅仅是用来住的了，它可以给我们提供饮食，娱乐，健身等各种服务；而且服务层次的不同，房间也不同，房间里面的配置豪华程度也不一样。在这种情况下，描述我们和宾馆之间的关系就复杂一些了，这就引发了一些新的概念。

　　举完这个例子， keystone 中的各种概念就可以和例子中的事物相挂钩了。

User	住宾馆的人
Credentials	开启房间的钥匙
Authentication	宾馆为了拒绝不必要的人进出宾馆，专门设置的机制，只有拥有钥匙的人才能进出
Token	也是一种钥匙，有点特别
Tenant	宾馆
Service	宾馆可以提供的服务类别，比如，饮食类，娱乐类
Endpoint	具体的一种服务，比如吃烧烤，打羽毛球
Role	VIP 等级，VIP越高，享有越高的权限

Keystone在OpenStack中的访问流程范例

　　如上图所示，（这段不翻译了，看图也能看懂，反正我之前翻译的也不好T^T）To access some service, users provide their credentials to Keystone and receive a token. The token is just a string that is connected to the user and tenant internally by Keystone. This token travels between services with every user request or requests generated by a service to another service to process the user's request.The users find a URL of a service that they need. If the user, for example, wants to spawn a new VM instance in Nova, one can find an URL to Nova in the list of endpoints provided by Keystone and send an appropriate request.After that, Nova verifies the validity of the token in Keystone and should create an instance from some image by the provided image ID and plug it into some network. At first Nova passes this token to Glance to get the image stored somewhere in there. After that, it asks Quantum to plug this new instance into a network; Quantum verifies whether the user has access to the network in its own database and to the interface of VM by requesting info in Nova. All the way this token travels between services so that they can ask Keystone or each other for additional information or some actions.

参考内容：

http://mirantis.blogspot.com/2011/09/what-is-this-keystone-anyway.html

感谢阅读，希望能帮助到大家，谢谢大家对本站的支持！

推荐阅读

js
TortoiseSVN与VisualSVN Server的安装及基本操作指南

本文详细介绍了如何安装VisualSVN Server以及TortoiseSVN客户端，并提供了基本的操作步骤，包括配置仓库、用户管理及权限设置等关键环节。 ... [详细]

蜡笔小新 2024-12-19 14:26:53
js
CactiEZ 中文版安装与使用指南

本文将详细介绍如何安装和使用 CactiEZ 的中文版本，帮助那些对英文界面不太熟悉的用户轻松掌握这一强大的网络监控工具。 ... [详细]

蜡笔小新 2024-12-19 12:14:26
js
OpenStack Barbican 密钥管理组件详解

Barbican 是 OpenStack 社区的核心项目之一，旨在为各种环境下的云服务提供全面的密钥管理解决方案。 ... [详细]

蜡笔小新 2024-12-18 19:30:51
js
Java集合框架详解：Collection体系、Comparable与Comparator区别及底层数据结构分析

本文详细介绍了Java集合框架中的Collection体系，包括集合的基本概念及其与数组的区别。同时，深入探讨了Comparable和Comparator接口的区别，并分析了各种集合类的底层数据结构。最后，提供了如何根据需求选择合适的集合类的指导。 ... [详细]

蜡笔小新 2024-12-18 18:29:09
js
在Windows Server 2008 R2上配置IIS FTP服务

本文详细介绍了如何在Windows Server 2008 R2操作系统上通过IIS配置FTP服务的过程，包括服务器角色的选择与安装、FTP站点的创建以及必要的服务和防火墙设置检查。 ... [详细]

蜡笔小新 2024-12-18 15:40:25
js
MySQL锁机制详解

本文深入探讨了MySQL中的锁机制，包括表级锁、行级锁以及元数据锁，通过实例详细解释了各种锁的工作原理及其应用场景。同时，文章还介绍了如何通过锁来优化数据库性能，避免常见的并发问题。 ... [详细]

蜡笔小新 2024-12-18 14:24:14
js
使用SqlDependency执行复杂查询

本文探讨了如何利用SqlDependency执行复杂的SQL查询，并确保在多线程环境下的安全性与效率。 ... [详细]

蜡笔小新 2024-12-18 14:03:05
js
微信小程序中实现位置获取的全面指南

本文详细介绍了如何在微信小程序中实现地理位置的获取，包括通过微信官方API和腾讯地图API两种方式。文中不仅涵盖了必要的准备工作，如申请开发者密钥、下载并配置SDK等，还提供了处理用户授权及位置信息获取的具体代码示例。 ... [详细]

蜡笔小新 2024-12-18 10:41:24
js
Web与游戏开发的主要差异

本文探讨了Web开发与游戏开发之间的主要区别，旨在帮助开发者更好地理解两种开发领域的特性和需求。文章基于作者的实际经验和网络资料整理而成。 ... [详细]

蜡笔小新 2024-12-18 08:26:30
jquery
ThinkPHP6多数据库部署指南

本文将详细介绍如何在ThinkPHP6框架中实现多数据库的部署，包括读写分离的策略，以及如何通过负载均衡和MySQL同步技术优化数据库性能。 ... [详细]

蜡笔小新 2024-12-17 18:59:28
jquery
深入解析 Python 中的 with 语句及上下文管理器

本文详细介绍了 Python 中的 with 语句及其背后的上下文管理器机制，从基本概念入手，通过具体示例和原理分析，帮助读者深入理解这一重要的资源管理工具。 ... [详细]

蜡笔小新 2024-12-17 15:15:01
json
Spring Boot 解决 AJAX 跨域请求及自定义 Headers 方法

本文探讨了浏览器的同源策略限制及其对 AJAX 请求的影响，并详细介绍了如何在 Spring Boot 应用中优雅地处理跨域请求，特别是当请求包含自定义 Headers 时的解决方案。 ... [详细]

蜡笔小新 2024-12-17 13:57:01
js
在Swift项目中集成Objective-C类或第三方框架的方法

本文通过实例讲解如何在Swift项目中引入并使用Objective-C编写的ProgressHUD库。首先需要在项目中添加库文件，并设置Objective-C桥接头文件以实现语言间的互操作性。 ... [详细]

蜡笔小新 2024-12-08 18:22:21
js
迎接云数据库新时代：程序员如何应对变革？

在数据无处不在的时代，数据库成为了管理和处理数据的核心工具。从早期的信息记录方式到现代的云数据库，数据库技术经历了巨大的变革。本文将探讨云数据库的特点及其对程序员的影响。 ... [详细]

蜡笔小新 2024-12-17 14:42:46
js
深度解析 Redis 消息队列的应用与优势

本文深入探讨了消息队列的基本概念及其在Redis中的实现方式。通过分析消息队列的核心组件——消息、生产者和消费者，以及它与阻塞队列的主要区别，帮助读者更好地理解如何利用Redis消息队列提高应用性能。 ... [详细]

蜡笔小新 2024-12-17 14:18:35

安徒生笔下苍老了谁1_120

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章