91超碰碰碰碰久久久久久综合_超碰av人澡人澡人澡人澡人掠_国产黄大片在线观看画质优化_txt小说免费全本

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

juno版OpenStack部署中如何添加認證服務

發布時間:2021-12-23 18:10:04 來源:億速云 閱讀:121 作者:柒染 欄目:云計算

這篇文章給大家介紹juno版OpenStack部署中如何添加認證服務,內容非常詳細,感興趣的小伙伴們可以參考借鑒,希望對大家能有所幫助。

keystone簡介

keystone主要為了實現以下關鍵功能:

  • 追蹤用戶和管理其權限;

  • 提供可訪問服務的目錄,并提供服務的API端點(API endpoints)。

keystone中的一些基本概念簡介

  • 用戶(User) 可使用OpenStack云服務的個人、系統或服務的數字化形象。(Digital representation of a person, system, or service who uses OpenStack cloud services. )

  • 證書(Credentials) 用于確認用戶身份的數據。

  • 認證(Authentication) 確認一個用戶身份的認證過程。

  • 令牌(Token) 一段字母和數字組成的文本,用于訪問OpenStack 的API和資源。

  • 租戶(Tenant) 一個用來分組或隔離資源的集合。租戶還可以用來分組或隔離認證對象。根據不同的服務操作者,一個租戶可以對應一個顧客、一個賬戶、一個組織或一個項目。(A container used to group or isolate resources. Tenants also group or isolate identity objects. Depending on the service operator, a tenant may map to a customer, account, organization, or project.)

  • 服務(Service) OpenStack的服務,用于Compute(nova),Object Storage(swift)或Image Service(glance)等。它為用戶訪問資源,實施運作提供了一個或多個端點(endpoint)。

  • 端點(Endpoint) 一個可以通過網絡來訪問服務的地址,通常是一個URL地址。

  • 角色 (Role) 一種定義好的擁有施行特定操作的權限的個人特征。

  • keystone客戶端(Keystone Client) 一種用于OpenStack認證API的命令行交互界面。

安裝和配置

keystone服務安裝在controller節點上。

##配置keystone所使用的數據庫 使用root身份進入數據庫(密碼為安裝數據庫步驟時設立的):

mysql -u root -p```

進入數據庫界面后創建屬于keystone的數據庫:

CREATE DATABASE keystone;```

把keystone數據庫的訪問權限賦予名為keystone,來自任何主機地址的用戶,并設定訪問密碼為KEYSTONE_DBPASS(替換為合適的密碼):

GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'localhost' IDENTIFIED BY 'KEYSTONE_DBPASS';
GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'%' IDENTIFIED BY 'KEYSTONE_DBPASS';```
可以把KEYSTONE_DBPASS變更為合適的密碼。

退出數據庫客戶端。

## 安裝配置組件
1. 安裝keystone包:

apt-get install keystone python-keystoneclient```

  1. 編輯```

vi /etc/keystone/keystone.conf```文件:

[DEFAULT]部分,定義initial administration token:

[DEFAULT]
 ...
 admin_token = ADMIN_TOKEN```

 其中替換ADMIN_TOKEN為合適的值,可以通過```
# openssl rand -hex 10```來生成。

 繼續在```
[DEFAULT]```部分開啟“輸出詳細記錄日志”的選項:

[DEFAULT] ... verbose = True```

[database]部分,設定數據庫訪問選項:

[database]
 ...
 connection = mysql://keystone:KEYSTONE_DBPASS@controller/keystone```
 把KEYSTONE_DBPASS替換為創建keystone數據庫時所授權的密碼。配置默認使用SQL的數據庫連接,需要注釋掉或刪除。

 在```
[token]```部分,配置UUID token provider和SQL driver:

[token] ... provider = keystone.token.providers.uuid.Provider driver = keystone.token.persistence.backends.sql.Token```

[revoke]部分,配置SQL revocation driver:

[revoke]
 ...
 driver = keystone.contrib.revoke.backends.sql.Revoke```

 同步認證服務數據庫:

keystone-manage db_sync```

完成最后的安裝

重啟認證服務:

# service keystone restart```

默認Ubuntu會產生SQLite數據庫,可以將其刪除:

rm -f /var/lib/keystone/keystone.db```

默認情況下,認證服務會無限量地存儲過期的token,這將導致數據庫占用空間大幅度增加而且會降低認證服務的性能,用以下命令可以定期清除過期的token:

# (crontab -l -u keystone 2>&1 | grep -q token_flush) || \
echo '@hourly /usr/bin/keystone-manage token_flush >/var/log/keystone/keystone-tokenflush.log 2>&1' \
>> /var/spool/cron/crontabs/keystone```

# 創建租戶,用戶和角色
## 配置所需的環境變量
在使用keystone命令操作前,需要先使用臨時的administration token(即在```
/etc/keystone/keystone.conf```文件中設定的ADMIN_TOKEN),并手動配置認證服務的地址(endpoint)。
將administration token寫入環境變量:

$ export OS_SERVICE_TOKEN=ADMIN_TOKEN``` 將endpoint寫入環境變量:

$ export OS_SERVICE_ENDPOINT=http://controller:35357/v2.0```

## 創建租戶,用戶和角色
1. 創建擁有管理操作職能的管理租戶,管理用戶和管理角色。

  創建```
admin```租戶:

$ keystone tenant-create --name admin --description "Admin Tenant" +-------------+----------------------------------+ | Property | Value | +-------------+----------------------------------+ | description | Admin Tenant | | enabled | True | | id | e8cda8def37b4d32b765759f1faa5ed2 | | name | admin | +-------------+----------------------------------+

  創建```
admin```用戶:

$ keystone user-create --name admin --pass ADMIN_PASS --email EMAIL_ADDRESS +----------+----------------------------------+ | Property | Value | +----------+----------------------------------+ | email | admin@example.com | | enabled | True | | id | 13b460ca8d9e4aa094e8f4f4fff6f087 | | name | admin | | username | admin | +----------+----------------------------------+``` 用合適的密碼代替ADMIN_PASS。

創建 admin角色:

$ keystone role-create --name admin
+----------+----------------------------------+
| Property |              Value               |
+----------+----------------------------------+
|    id    | 2bf07853b40b420eb9e9e2aa23ff3e9e |
|   name   |              admin               |
+----------+----------------------------------+```

  將```
admin```角色賦予給```
admin```租戶和```
admin```用戶。

$ keystone user-role-add --user admin --tenant admin --role admin``` 這條命令不會產生輸出顯示。

  1. 創建擁有特定權限的demo租戶,demo用戶

創建demo租戶:

$ keystone tenant-create --name demo --description "Demo Tenant"
+-------------+----------------------------------+
|   Property  |              Value               |
+-------------+----------------------------------+
| description |           Demo Tenant            |
|   enabled   |               True               |
|      id     | ef5783a270d84bb880a2c6fb85eac651 |
|     name    |               demo               |
+-------------+----------------------------------+```

  創建屬于```
demo```租戶的```
demo```用戶

keystone user-create --name demo --tenant demo --pass DEMO_PASS --email EMAIL_ADDRESS +----------+----------------------------------+ | Property | Value | +----------+----------------------------------+ | email | demo@example.com | | enabled | True | | id | 2a6e8190e26c4f27ba98171235a8b219 | | name | demo | | tenantId | ef5783a270d84bb880a2c6fb85eac651 | | username | demo | +----------+----------------------------------+``` 用合適的密碼代替DEMO_PASS

OpenStack服務的配置方案

OpenStack的服務都需要被賦予租戶,用戶和角色的性質來與其他服務進行交互。每個服務都需要創建一個或多個獨立的用戶,這個用戶被賦予 admin角色,并且屬于 service租戶下。

創建 service租戶:

$ keystone tenant-create --name service --description "Service Tenant"
+-------------+----------------------------------+
|   Property  |              Value               |
+-------------+----------------------------------+
| description |          Service Tenant          |
|   enabled   |               True               |
|      id     | e4288b01bc084a29ad6133f882a58732 |
|     name    |             service              |
+-------------+----------------------------------+```

# 創建服務實體和API端點(service entity and API endpoint)
## 配置所需的環境變量
具體操作如上一步驟所述。

## 創建服務實體和API端點
1. 創建服務實體
  認證服務會將OpenStack環境中的所有服務登記在目錄中,所有服務都通過這個目錄來定位環境中的其他服務。

  創建認證服務的服務實體:

$ keystone service-create --name keystone --type identity
--description "OpenStack Identity" +-------------+----------------------------------+ | Property | Value | +-------------+----------------------------------+ | description | OpenStack Identity | | enabled | True | | id | d7bbd538857b4caa9f7f9730a74b98ca | | name | keystone | | type | identity | +-------------+----------------------------------+```

  1. 創建服務API端點 認證服務會將OpenStack環境中每個服務對應的API端點登記在目錄中,這個目錄將用來支持各個服務之間的通信。

創建認證服務的API端點:

$ keystone endpoint-create \
--service-id $(keystone service-list | awk '/ identity / {print $2}') \
--publicurl http://controller:5000/v2.0 \
--internalurl http://controller:5000/v2.0 \
--adminurl http://controller:35357/v2.0 \
--region regionOne
+-------------+----------------------------------+
|   Property  |              Value               |
+-------------+----------------------------------+
|   adminurl  |   http://controller:35357/v2.0   |
|      id     | 32fb8b8934024c30bd1f0b7795a51220 |
| internalurl |   http://controller:5000/v2.0    |
|  publicurl  |   http://controller:5000/v2.0    |
|    region   |            regionOne             |
|  service_id | d7bbd538857b4caa9f7f9730a74b98ca |
+-------------+----------------------------------+```

# 驗證操作
1. 復位環境變量:

$ unset OS_SERVICE_TOKEN OS_SERVICE_ENDPOINT```

  1. admin租戶和用戶的身份,請求一條authentication token:

$ keystone --os-tenant-name admin --os-username admin --os-password ADMIN_PASS \
--os-auth-url http://controller:35357/v2.0 token-get
+-----------+----------------------------------+
|  Property |              Value               |
+-----------+----------------------------------+
|  expires  |       2015-11-24T12:37:45Z       |
|     id    | 1d5ebdf4e60a4f648240a20a65cbf96e |
| tenant_id | 4f7806287c9a437e9cd912504ff71727 |
|  user_id  | fd151acb7cc34bba8d4d9cf391ad0d06 |
+-----------+----------------------------------+```
ADMIN_PASS為之前設定的```
admin```用戶密碼。

3. 以```
admin```租戶和用戶的身份,列出租戶清單:

$ keystone --os-tenant-name admin --os-username admin --os-password ADMIN_PASS
--os-auth-url http://controller:35357/v2.0 tenant-list +----------------------------------+---------+---------+ | id | name | enabled | +----------------------------------+---------+---------+ | 4f7806287c9a437e9cd912504ff71727 | admin | True | | d1f7caccc65840b68258997a759da07f | demo | True | | 5ab4d5c513f543cfbf8e3be97f5df5fb | service | True | +----------------------------------+---------+---------+ ADMIN_PASS為之前設定的 admin```用戶密碼。

  1. admin租戶和用戶的身份,列出用戶清單:

$ keystone --os-tenant-name admin --os-username admin --os-password ADMIN_PASS \
--os-auth-url http://controller:35357/v2.0 user-list
+----------------------------------+-------+---------+-------------------+
|                id                |  name | enabled |       email       |
+----------------------------------+-------+---------+-------------------+
| fd151acb7cc34bba8d4d9cf391ad0d06 | admin |   True  | admin@example.com |
| 812116bcca5b4a01981669fcef09ee11 |  demo |   True  |  demo@example.com |
+----------------------------------+-------+---------+-------------------+```
ADMIN_PASS為之前設定的```
admin```用戶密碼。

5. 以```
admin```租戶和用戶的身份,列出角色清單:

$ keystone --os-tenant-name admin --os-username admin --os-password ADMIN_PASS
--os-auth-url http://controller:35357/v2.0 role-list +----------------------------------+----------+ | id | name | +----------------------------------+----------+ | 9fe2ff9ee4384b1894a90878d3e92bab | member | | 61286483662e40ba8f0a48b05fc8a451 | admin | +----------------------------------+----------+ ADMIN_PASS為之前設定的 admin```用戶密碼。其中_member_的來歷如下,在創建用戶時:Using the --tenant option automatically assigns the member role to a user. This option will also create the member role if it does not exist.(創建時使用的命令為keystone user-create --name demo --tenant demo --pass DEMO_PASS --email EMAIL_ADDRESS)

  1. demo租戶和用戶的身份,請求一條authentication token:

$ keystone --os-tenant-name demo --os-username demo --os-password DEMO_PASS \
--os-auth-url http://controller:35357/v2.0 token-get
+-----------+----------------------------------+
|  Property |              Value               |
+-----------+----------------------------------+
|  expires  |       2015-11-24T13:06:04Z       |
|     id    | 9eca8d1dff374c2da6f358e85f0b60af |
| tenant_id | d1f7caccc65840b68258997a759da07f |
|  user_id  | 812116bcca5b4a01981669fcef09ee11 |
+-----------+----------------------------------+```
DEMO_PASS為之前設定的```
demo```用戶密碼。

7. 以```
demo```租戶和用戶的身份,驗證無法執行```
admin```專屬命令:

$ keystone --os-tenant-name demo --os-username demo --os-password DEMO_PASS
--os-auth-url http://controller:35357/v2.0 user-list You are not authorized to perform the requested action: admin_required (HTTP 403)```

創建OpenStack客戶端環境腳本

創建腳本

  1. 創建文件 admin-openrc.sh,并輸入以下內容:

export OS_TENANT_NAME=admin
export OS_USERNAME=admin
export OS_PASSWORD=ADMIN_PASS
export OS_AUTH_URL=http://controller:35357/v2.0```
ADMIN_PASS為之前設定的```
admin```用戶密碼。

2. 創建文件```
demo-openrc.sh```,并輸入以下內容:

export OS_TENANT_NAME=demo export OS_USERNAME=demo export OS_PASSWORD=DEMO_PASS export OS_AUTH_URL=http://controller:5000/v2.0 DEMO_PASS為之前設定的 demo```用戶密碼。

**注:**端口35357是為擁有管理權限的操作準備的,端口5000是為普通用戶操作準備的。

啟動客戶端環境腳本

根據不同租戶和用戶,執行 $ source admin-openrc.sh $ source demo-openrc.sh

安裝時出現的問題及解決方法

安裝完keystone后,創建"Admin Tenant"時出現“Unable to establish connection to http://controller:35357/v2.0/tenants”的錯誤,可能是安裝keystone時未完整安裝,重新安裝并更新。在驗證步驟時出現(HTTP 401),有可能是密碼等配置錯誤,導致訪問權限受限,重新檢查配置文件和各個用戶的密碼情況。

關于juno版OpenStack部署中如何添加認證服務就分享到這里了,希望以上內容可以對大家有一定的幫助,可以學到更多知識。如果覺得文章不錯,可以把它分享出去讓更多的人看到。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

嘉义市| 霸州市| 淮北市| 竹北市| 沙田区| 陇川县| 隆尧县| 英吉沙县| 海城市| 北辰区| 紫云| 荣昌县| 武穴市| 兴隆县| 永福县| 黄浦区| 祁连县| 宁阳县| 安多县| 定襄县| 石城县| 毕节市| 景宁| 昆山市| 砚山县| 闻喜县| 东宁县| 府谷县| 锦屏县| 得荣县| 德钦县| 蒲城县| 海阳市| 闸北区| 彰化市| 托克逊县| 浪卡子县| 马关县| 兴和县| 平山县| 永胜县|