HC5351107 - 4 1 Keystone介绍与验证服务原理

HC53511,云计算,V1R6,1.0,袁静岚,2017-08,杨力凡,新开发,第四章第一节Keystone介绍与验证服务原理,Keystone服务简介Keystone对象模型Keystone中service和endpoint详解,Keystone简介,Keystone是什么：OpenStack是一个SOA的架构，理论上各个子项目独立提供相关的服务，互不依赖。例如Nova提供计算服务，Swift提供对象存储服务，Glance提供镜像服务等。实际上(至少从OpenStack目前开源实现上来看)，所有组件都依赖于Keystone提供3A(Account,Authentication,Authorization)服务。Keystone用于为OpenStack框架中的其他组件成员提供身份验证、令牌的发放和校验、服务规则和用户权限的定义等功能。任何服务之间的相互调用，都需要经过Keystone的身份验证。Keystone作用：Keystone作为OpenStack的IdentityService，可以分解为两个核心功能，用户管理和认证服务。用户管理：user/project等基本信息及管理，提供统一的用户标识服务，使用户可以方便的接入OpenStack的其它服务（compute，volume，glanceetc）。认证服务：登录认证，各个组件API的权限控制。一句话来描述就是：用户登录Keystone，获得一个token，用此token作为一个统一标识，访问其他的计算、存储和网络等服务。,OpenStack中的Keystone,以创建虚拟机的流程为例，介绍keystone的工作流程：,Keystone工作流程,Keystone服务简介Keystone对象模型Keystone中service和endpoint详解,Keystone对象模型-基本概念,Domain：域，keystone中资源（project、user、group）的持有者。每一个project或user只能属于一个domain。Domain有命名空间的概念，即在一个命名空间内的名称是否是全局唯一。Project：租户，其他组件中资源（虚拟机、镜像等）的持有者。一个project属于某一个domain。它是各个服务中的一些可以访问的资源集合。例如，在Nova中一个project可以是一些机器，在Swift和Glance中可以是一些镜像存储，在Neutron中可以是一些网络资源。User：用户，云系统的使用者。属于一个指定的domain，user可以属于多个projects。用户携带token能够访问openstack各个服务和资源。User默认会绑定到某些projects上。,Keystone对象模型-基本概念,Group：用户组，可以把多个用户作为一个整体进行角色管理。可达到同时管理一组用户权限的目的（整体授权或取消权限）。Role：角色，基于角色进行访问控制。表示一组用户可以访问的资源集合。user验证的时候必须带有project。例如user可以被添加到任意一个全局的或租户内的角色中，在全局role中，用户的role权限作用于所有的租户，即可以对所有的租户执行role规定的权限；在租户内的role中，用户仅能在当前租户内执行role规定的权限。和policy配合使用。实现分层控制。Trust：委托，把自己拥有的角色临时授权给别人。Policy：访问控制策略，定义接口访问控制规则。通过policy实现了对user基于role的权限管理。,Keystone对象模型-基本概念,Service：服务，一组相关功能的集合，比如Nova提供的计算服务、neutron提供的网络服务、Glance提供的镜像服务等。Endpoint：必须和一个服务关联，代表这个服务的访问地址，即如果需要访问一个服务，则必须知道他的endpoint。一般一个服务需要提供三种类型的访问地址：public、internal、admin。Publicurl可以被全局访问，privateurl只能被局域网访问，adminurl被从常规的访问中分离。Region：区域，在keystone里基本代表一个数据中心。更多侧重地理位置的概念。AZ：可用分区，可简单理解为一组节点的集合，这组节点具有独立的电力供应设备，比如一个个独立供电的机房，机架都可以被划分成AZ。AZ是针对一个Region来说的，将其区分成更小的范围。注：service、endpoint和region（AZ）一块使用。,Keystone对象模型-基本概念,Assignment：一个(actor,target,role)三元组叫一个assignment，actor包括user、group，target包括domain、project。每个assignment代表一次赋权操作。actor和target有个绑定关系，绑定的角色就是role。actor和target是多对多的关系。Token：令牌，用户访问服务的凭证，代表着用户的账户信息，一般需要包含user信息、scope信息（project、domain或者trust）、role信息。分为PKI,UUID,PKIZ,Fernet几种类型（前两种常用）。Credentials：用来证明用户身份的凭证。为了给用户提供一个令牌，需要用证书来唯一标识一个keystone用户的密码或其他信息。,KeystoneV2vsV3,V3版本是V2版本功能的超集，提供了更为一致的开发者体验，现均支持V2和V3的API，建议使用V3版本的API。V3将Tenant改为ProjectV3添加Domain概念。V3中引入Group概念。在V3中，token作为响应头的X-Subject-Token字段由Keystone服务返回，而不是存放于响应体中。当需要向其他的服务证明自己的身份时，仍然将获取到的令牌放置在请求头的X-Auth-Token字段中即可。,user,group,project,domain,role,assignment之间的关系如下图所示:,Keystone对象模型-相互关系,user,group,project,domain,role绑定关系接口举例：赋予用户在租户上有指定的权限,actor,target,Keystone对象模型相互关系,Keystone服务简介Keystone对象模型Keystone中service和endpoint详解,Service及endpoint详解,Service：Service即服务，主要包括Nova、Glance、Swift等服务。根据前面（User，Project和Role）的概念，一个服务可以确认当前用户是否具有访问其资源的权限。但是当一个user尝试着访问其租户内的service时，必须要知道这个service是否存在以及如何访问这个service，这里通常使用一些不同的名称表示不同的服务。在上文中谈到的Role，也是可以绑定到某个service的。Endpoint，翻译为“端点”，我们可以理解为它是一个服务暴露出来的访问点，如果需要访问一个服务，则必须知道他的endpoint。因此，在keystone中包含一个endpoint模板（endpointtemplate，在安装keystone的时候我们可以在conf文件夹下看到这个文件），这个模板提供了所有存在的服务endpoints信息。,Region,service,endpoint之间关系图:,Keystone中service和endpoint,Keystone中service和endpoint,整个框架为catalog（目录），可以根据region和service可以检索出一个endpoint。一个系统中有多个region，region下面有多个服务。服务下面有endpoint地址，包括三种（internal、public和admin）。在https系统中，internal的url格式为:$port/,其中这个域名为映射到HAProxy内网的前端IP。端口$port表示不同的服务有不同的端口号。public和admin的url格式一致，为https:/$service.$region.$:443/，其中$service表示属于哪个服务，比如nova为compute。$region即为catalog中的r