OpenStackKeystone身份服务体系结构与中间件.pdf

OpenStack Keystone 是 OpenStack 云平台的身份和访问管理服务，它的核心职责是验证用户身份、管理用户、租户和角色，以及提供服务目录。Keystone 通过令牌验证机制确保安全的资源访问，同时为其他 OpenStack 服务如 Compute (Nova) 和 Object Storage (Swift) 提供授权服务。 Keystone 的体系结构主要由两个关键组件构成：验证和服务目录。验证组件处理用户身份验证，服务目录则提供 OpenStack 服务的 REST API 端点信息。 1. **验证组件**： - **租户(Tenant)**：租户是组织或项目的一种抽象，它定义了资源的边界，比如在 Compute 中的项目ID，在 Object Storage 中则可以关联多个容器。租户可以代表客户、账户、组织或项目。 - **用户(User)**：用户是使用 OpenStack 服务的个体，拥有证书（credentials），可以被分配到一个或多个租户中。经过验证，用户会获得特定租户的令牌。 - **证书(Credentials)**：用于验证用户身份的凭证，可以是证书、密码或其他形式的信息。 - **令牌(Token)**：令牌是一个用于访问 OpenStack 服务的凭据，可以是未指定租户的（unscoped）或指定租户的（scoped）。每个令牌都有有效期，可随时撤销。 - **角色(Role)**：角色定义了一组权限，允许用户在特定租户下执行某些操作。它是权限的逻辑分组，简化了权限分配。 2. **服务目录(Service Catalog)**： - **服务(Service)**：OpenStack 中的各种服务，如 Nova、Swift、Glance 或 Keystone。 - **端点(Endpoint)**：网络可达的地址（通常是URL），代表 OpenStack 服务的 API 接口。端点可按区域（regions）分组。 - **模板(Template)**：端点模板是一组可供不同区域使用的 OpenStack 服务端点集合。 3. **Keystone 组件**： - **命令行接口**：keystone 命令行工具，包括 keystone-admin（管理API）、keystone-service（用户API）和 keystone-manage（管理命令行接口）。 - **中间件(Middleware)**：Keystone 中间件部署在 OpenStack 服务前，负责请求的验证。中间件支持 WSGI 和 REST/HTTP 接口，未认证的请求会收到 401 Unauthorized 错误，并提示认证协议。验证成功后，中间件会通过特定的包头（如 X-Identity-Status 和 X-Tenant-ID）向下游 WSGI 应用传递信息。 Keystone 还使用 SQLite 数据库存储用户信息，未来可能支持 LDAP 服务。中间件的设计遵循 WSGI 规范，对于 REST/HTTP API，如果请求未认证，它会返回 WWW-Authenticate 头部指示客户端如何获取令牌。令牌通过 X-Auth-Token 包头传递给服务。 Keystone 在 OpenStack 生态系统中扮演着关键的角色，构建了安全的身份验证和授权框架，确保了资源的正确访问和管理。理解其架构和组件对于有效管理和使用 OpenStack 云环境至关重要。