OpenStackKeystoneV3简介

Keystone V3 简介

Keystone 中主要涉及到如下几个概念&＃xff1a;User、Tenant、Role、Token。下面对这几个概念进行简要说明。

• User&＃xff1a;顾名思义就是使用服务的用户&＃xff0c;可以是人、服务或者是系统&＃xff0c;只要是使用了 Openstack 服务的对象都可以称为用户。
• Tenant&＃xff1a;租户&＃xff0c;可以理解为一个人、项目或者组织拥有的资源的合集。在一个租户中可以拥有很多个用户&＃xff0c;这些用户可以根据权限的划分使用租户中的资源。
• Role&＃xff1a;角色&＃xff0c;用于分配操作的权限。角色可以被指定给用户&＃xff0c;使得该用户获得角色对应的操作权限。
• Token&＃xff1a;指的是一串比特值或者字符串&＃xff0c;用来作为访问资源的记号。Token 中含有可访问资源的范围和有效时间。

下面通过图 1 来说明 Keystone 和其它 OpenStack 服务之间是如何交互和协同工作的。首先用户向 Keystone 提供自己的身份验证信息&＃xff0c;如用户名和密码。Keystone 会从数据库中读取数据对其验证&＃xff0c;如验证通过&＃xff0c;会向用户返回一个 token&＃xff0c;此后用户所有的请求都会使用该 token 进行身份验证。如用户向 Nova 申请虚拟机服务&＃xff0c;nova 会将用户提供的 token 发给 Keystone 进行验证&＃xff0c;Keystone 会根据 token 判断用户是否拥有进行此项操作的权限&＃xff0c;若验证通过那么 nova 会向其提供相对应的服务。其它组件和 Keystone 的交互也是如此。

图 1. Keystone 与其它服务的交互

从以上过程可以看出&＃xff0c;用户的角色管理在 Keystone 中是很重要的工作。在 Keystone V3 之前&＃xff0c;用户的权限管理以每一个用户为单位&＃xff0c;需要对每一个用户进行角色分配&＃xff0c;并不存在一种对一组用户进行统一管理的方案&＃xff0c;这给系统管理员带来了额外的工作和不便。此外&＃xff0c;Keystone V3 之前的版本中&＃xff0c;资源分配是以 Tenant 为单位的&＃xff0c;这不太符合现实世界中的层级关系。如一个公司在 Openstack 中拥有两个不同的项目&＃xff0c;他需要管理两个 Tenant 来分别对应这两个项目&＃xff0c;并对这两个 Tenant 中的用户分别分配角色。由于在 Tenant 之上并不存在一个更高层的概念&＃xff0c;无法对 Tenant 进行统一的管理&＃xff0c;所以这给多 Tenant 的用户带来了不便。为了解决这些问题&＃xff0c;Keystone V3 提出了新的概念 Domain 和 Group&＃xff0c;本文将对 Keystone V3 的相关原理和配置进行介绍。

Keystone V3 API 新特性

Keystone V3 做出了许多变化和改进&＃xff0c;我们选取其中较为重要的进行阐述&＃xff1a;

• 将 Tenant 改称为 Project
• 引入 Domain 的概念
• 引入 Group 的概念

将 Tenant 改为 Project 并在其上添加 Domain 的概念&＃xff0c;这更加符合现实世界和云服务的映射。

V3 利用 Domain 实现真正的多租户&＃xff08;multi-tenancy&＃xff09;架构&＃xff0c;Domain 担任 Project 的高层容器。云服务的客户是 Domain 的所有者&＃xff0c;他们可以在自己的 Domain 中创建多个 Projects、Users、Groups 和 Roles。通过引入 Domain&＃xff0c;云服务客户可以对其拥有的多个 Project 进行统一管理&＃xff0c;而不必再向过去那样对每一个 Project 进行单独管理。

Group 是一组 Users 的容器&＃xff0c;可以向 Group 中添加用户&＃xff0c;并直接给 Group 分配角色&＃xff0c;那么在这个 Group 中的所有用户就都拥有了 Group 所拥有的角色权限。通过引入 Group 的概念&＃xff0c;Keystone V3 实现了对用户组的管理&＃xff0c;达到了同时管理一组用户权限的目的。这与 V2 中直接向 User/Project 指定 Role 不同&＃xff0c;使得对云服务进行管理更加便捷。

图 2. Domain、Group、Project、User 和 Role 的关系图

如图 2 所示&＃xff0c;在一个 Domain 中包含 3 个 Projects,可以通过 Group1 将 Role Sysadmin直接赋予 Domain,那么 Group1 中的所有用户将会对 Domain 中的所有 Projects 都拥有管理员权限。也可以通过 Group2 将 Role Engineer 只赋予 Project3,这样 Group2 中的 User 就只拥有对 Project3 相应的权限&＃xff0c;而不会影响其它 Projects。

Keystone V3 API 调用

下面我们通过实例操作来演示 Keystone V3 API 的使用&＃xff1a;当前 Openstack 中存在一个名为“default”的 Domain&＃xff0c;和一个名为“test_Group”的 Group。我们要在“default Domain”中新建一个 Project&＃xff0c;并在“test_Group”中添加一个用户“test_User”&＃xff0c;然后将“test_Group”中的所有 User 指定为新建 Project 的某个 Role。

1. 获取 token

   创建 JSON 文件填写必要的验证信息&＃xff0c;token-request.json 文件中的内容如下所示&＃xff1a;

   图 3. 获取 token 的验证信息

   

   用以上 JSON 文件申请 token 并将 token 写入环境变量“OS_TOKEN”中&＃xff0c;以便之后的使用。

   图 4. 获取到的 token

   

2. 创建 Project

   成功获得 token 之后&＃xff0c;我们就可以用获取的 token 调用 Keystone V3 的 API 与 Keystone 进行交互了。我们可以新建一个 Project&＃xff0c;将其命名为“test_Project”&＃xff1a;

   
   
   

   图 5. 新建 Project

   

   创建“test_Project”后&＃xff0c;调用 api 查看当前的 Projects,可以看到 test_Project 已经被成功创建&＃xff1a;

   图 6. 查看当前所有的 Project 信息

   

3. 在 Group 中添加 User

   首先查看当前所有的 Group&＃xff1a;

   图 7. 查看当前所有的 Group 信息

   

   查看所有的 User&＃xff1a;

   图 8. 查看当前所有的 User 信息

   

   将名为“test_User”的 User 添加到名为“test_Group”的 Group 中

   图 9. 为 Group 添加 User

   

4. 为 Group 指定 Role

   查看当前所有的 Role&＃xff1a;

   图 10. 查看当前所有的 Role 信息

   

   将名为“admin”的 Role 指派给名为“test_Project”的 Project 中&＃xff0c;名为“test_Group”的 Group&＃xff1a;

   图 11. 为 Group 指定 Role

   

   查看“test_Project”中“test_Group”的 Role&＃xff1a;

   图 12. 查看 Group 的 Role 信息

   

   可以看到&＃xff0c;已经成功为“test_Project”/“test_Group”指定了名为“admin”的 Role。

总结

本文对 Keystone 进行了简要的介绍&＃xff0c;分析并阐述了 Keystone V3 版本的新功能&＃xff0c;通过和老版本进行对比&＃xff0c;指出了新功能的用途和优势。最后通过具体实例讲解了如何使用新添加的 Domain 和 Group 的功能。