OpenStackKeystone身份服务体系结构与中间件.pdf
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
OpenStack Keystone 是 OpenStack 云平台的身份和访问管理服务,它的核心职责是验证用户身份、管理用户、租户和角色,以及提供服务目录。Keystone 通过令牌验证机制确保安全的资源访问,同时为其他 OpenStack 服务如 Compute (Nova) 和 Object Storage (Swift) 提供授权服务。 Keystone 的体系结构主要由两个关键组件构成:验证和服务目录。验证组件处理用户身份验证,服务目录则提供 OpenStack 服务的 REST API 端点信息。 1. **验证组件**: - **租户(Tenant)**:租户是组织或项目的一种抽象,它定义了资源的边界,比如在 Compute 中的项目ID,在 Object Storage 中则可以关联多个容器。租户可以代表客户、账户、组织或项目。 - **用户(User)**:用户是使用 OpenStack 服务的个体,拥有证书(credentials),可以被分配到一个或多个租户中。经过验证,用户会获得特定租户的令牌。 - **证书(Credentials)**:用于验证用户身份的凭证,可以是证书、密码或其他形式的信息。 - **令牌(Token)**:令牌是一个用于访问 OpenStack 服务的凭据,可以是未指定租户的(unscoped)或指定租户的(scoped)。每个令牌都有有效期,可随时撤销。 - **角色(Role)**:角色定义了一组权限,允许用户在特定租户下执行某些操作。它是权限的逻辑分组,简化了权限分配。 2. **服务目录(Service Catalog)**: - **服务(Service)**:OpenStack 中的各种服务,如 Nova、Swift、Glance 或 Keystone。 - **端点(Endpoint)**:网络可达的地址(通常是URL),代表 OpenStack 服务的 API 接口。端点可按区域(regions)分组。 - **模板(Template)**:端点模板是一组可供不同区域使用的 OpenStack 服务端点集合。 3. **Keystone 组件**: - **命令行接口**:keystone 命令行工具,包括 keystone-admin(管理API)、keystone-service(用户API)和 keystone-manage(管理命令行接口)。 - **中间件(Middleware)**:Keystone 中间件部署在 OpenStack 服务前,负责请求的验证。中间件支持 WSGI 和 REST/HTTP 接口,未认证的请求会收到 401 Unauthorized 错误,并提示认证协议。验证成功后,中间件会通过特定的包头(如 X-Identity-Status 和 X-Tenant-ID)向下游 WSGI 应用传递信息。 Keystone 还使用 SQLite 数据库存储用户信息,未来可能支持 LDAP 服务。中间件的设计遵循 WSGI 规范,对于 REST/HTTP API,如果请求未认证,它会返回 WWW-Authenticate 头部指示客户端如何获取令牌。令牌通过 X-Auth-Token 包头传递给服务。 Keystone 在 OpenStack 生态系统中扮演着关键的角色,构建了安全的身份验证和授权框架,确保了资源的正确访问和管理。理解其架构和组件对于有效管理和使用 OpenStack 云环境至关重要。
- 粉丝: 72
- 资源: 5万+
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助