1.如何让keystone数据库,任何客户端都能访问,包括本地?
2.如何配置keystone?
----------------------------------------------------------------------------------------------------------------------------------------------------------------------
我们安装部署keystone,那么我们就需要了解keystone的作用,简单来讲,keystone是openstack中验证组件。更多内容:
1.openstack中user是什么?
2.openstack中令牌的作用是什么?
3.openstack中,权限是由谁来实现的?
感谢Open Source, 感谢那些信奉自由的人们!
Openstack,不做过多解释,让我们直入主题---Keystone。Openstack是一个SOA的架构,理论上各个子项目独立提供相关的服务,互不依赖。例如Nova提供计算服务,Swift提供对象存储服务,Glance提供镜像服务等。但是实际上(至少从Openstack目前开源实现上来看),所有组件都依赖于Keystone提供3A(Account,
Authentication, Authorization)服务。除了3A之外,Keystone还对外提供服务目录(Service Catalog)服务,类似于UDDI服务的概念,用户(无论是Dashboard, API Client)都需要访问Keystone获取服务列表,以及每个服务的地址(Openstack中称为Endpoint)。所以,学习Openstack第一个必须搞定的组件必然是Keystone。
首先我们先看一下Keystone的几个基本概念,灰常重要!!!
User:
直译过来就是用户,如果意译的话就是马甲 :) 也就是一个人的账号,当然一个人可以有多个马甲,你懂得。
Crenditial:
用来证明用户身份的证据,大白话就是“信物”,这是一个逻辑概念。具体可以是密码,驾照、身份证等。
Authentication:
鉴权,也即对用户身份鉴别的一个过程。
Token:
令牌。对用户鉴权完毕之后,Keystone会为用户颁发一个令牌,这样用户在请求其他服务的时候,只需要亮出自己的令牌即可,而不需要发送自己的**。当然以防仿冒令牌,令牌是有时限的。
Service:服务。之前提到过,Keystone提供了系统能够提供的服务目录,例如Nova,
Glance, Swift等。
Endpoint:直译为端点,其实指的是访问服务的地址。如果细分的话,又可以进一步分为对外提供服务的地址,管理地址等。
Role:
权限。这就是3A中的Authorization,也即赋予该用户的权限。我们知道Openstack提供的是一个多租户环境,在Openstack中租户对应到项目(Project)。一个用户可以同时属于多个不同的项目,当然在不同的项目中可以充当不同的角色,也即拥有不同的权限。
在了解以上概念之后,从很高很高的高度来看一下Keystone的流程:
关键的两点:
1) User从Keystone获取令牌以及服务列表;
2) User访问服务时,亮出自己的令牌。相关的服务向Keystone求证令牌的合法性。
大致了解了这个流程之后,我们再来理解keystone的配置就不难了:
1) 从用户的角度来看,它归属于一个或多个Project,并且在每个项目中充当一个角色。所以我们需要创建Project,创建User,创建Role,并将User和Project、Role关联起来;
2)
Keystone本质是提供Identity服务的,所以它的实现或者提供的机制也是基于用户来设计的。为了提供服务目录,配置Keystone的时候创建了一个特殊的Service Project,为每个服务创建对应的用户(Nova, Swift, Quantum...),并且都归属于Service Project。然后配置、设置相应的Endpoint。
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
下面我们开始安装和部署:
创建数据库,并授权
|
1
|
mysql
-u root -p
|
创建keystone数据库
|
1
|
CREATE
DATABASE keystone;
|
对keystone授权
|
1
2
|
GRANT
ALL PRIVILEGES ON keystone.* TO 'keystone'@'localhost'
\
IDENTIFIED
BY 'KEYSTONE_DBPASS';
|
|
1
2
|
GRANT
ALL PRIVILEGES ON keystone.* TO 'keystone'@'%'
\
IDENTIFIED
BY 'KEYSTONE_DBPASS';
|
KEYSTONE_DBPASS可以自定义。
上面的含义:
实现了,对keystone用户实现了,本地和远程都可以访问
退出mysql
|
1
|
exit
|
生成token
|
1
|
openssl
rand -hex 10
|
安装keystone包:
1.默认keystone服务监听端口5000 和 35357,尽管如此向导配置 Apache HTTP server 监听这些端口,为了避免端口冲突,安装后禁止开机启动keystone 服务
|
1
|
echo
"manual"
> /etc/init/keystone.override
|
2.下载并安装keystone
|
1
|
apt-get
install
keystone python-openstackclient apache2 libapache2-mod-wsgi memcached python-memcache
|
编辑 /etc/keystone/keystone.conf
|
1
2
3
|
[DEFAULT]
...
admin_token
= ADMIN_TOKEN
|
这里修改如下比如:570f150cb897e793e58f
|
1
|
admin_token
=570f150cb897e793e58f
|
修改 [database]部分
|
1
2
3
|
补充:
记得一定注释掉:
|
1
|
connection=sqlite:////var/lib/keystone/keystone.db
|
修改[memcache],配置Memcache 服务:
|
1
2
3
|
[memcache]
...
servers
= localhost:11211
|
修改 [token]部分
|
1
2
3
4
|
[token]
...
provider
= keystone.token.providers.uuid.Provider
driver
= keystone.token.persistence.backends.memcache.Token
|
修改 [revoke] 部分, 配置 SQL revocation driver:
|
1
|
driver
= keystone.contrib.revoke.backends.sql.Revoke
|
修改[DEFAULT]部分
|
1
2
3
|
[DEFAULT]
...
verbose
= True
|
填充keystone
|
1
|
su
-s /bin/sh
-c "keystone-manage
db_sync"
keystone
|
这里最好切换至root用户,否则会同步不成功。
配置 Apache HTTP server
1.修改配置文件 /etc/apache2/apache2.conf,配置ServerName选项为控制节点hostname
|
1
|
ServerName
controller
|
2.创建/etc/apache2/sites-available/wsgi-keystone.conf 文件,添加如下内容
|
01
02
03
04
05
06
07
08
09
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
|
Listen
5000
Listen
35357
<VirtualHost
*:5000>
WSGIDaemonProcess
keystone-public processes=5 threads=1 user=keystone display-name=%{GROUP}
WSGIProcessGroup
keystone-public
WSGIScriptAlias
/ /var/www/cgi-bin/keystone/main
WSGIApplicationGroup
%{GLOBAL}
WSGIPassAuthorization
On
<IfVersion
>= 2.4>
ErrorLogFormat
"%{cu}t
%M"
</IfVersion>
LogLevel
info
ErrorLog
/var/log/apache2/keystone-error.log
CustomLog
/var/log/apache2/keystone-access.log
combined
</VirtualHost>
<VirtualHost
*:35357>
WSGIDaemonProcess
keystone-admin processes=5 threads=1 user=keystone display-name=%{GROUP}
WSGIProcessGroup
keystone-admin
WSGIScriptAlias
/ /var/www/cgi-bin/keystone/admin
WSGIApplicationGroup
%{GLOBAL}
WSGIPassAuthorization
On
<IfVersion
>= 2.4>
ErrorLogFormat
"%{cu}t
%M"
</IfVersion>
LogLevel
info
ErrorLog
/var/log/apache2/keystone-error.log
CustomLog
/var/log/apache2/keystone-access.log
combined
</VirtualHost>
|
3.启用身份服务虚拟主机:
|
1
|
ln
-s /etc/apache2/sites-available/wsgi-keystone.conf
/etc/apache2/sites-enabled
|
4.创建WSGI组件的目录结构:
|
1
|
mkdir
-p /var/www/cgi-bin/keystone
|
5.下载复制WSGI 组件到目录 /var/www/cgi-bin/keystone
|
1
2
|
curl
[url=http://git.openstack.org/cgit/openstack/keystone/plain/httpd/keystone.py?h=stable/kilo]http://git.openstack.org/cgit/openstack/keystone/plain/httpd/keystone.py?h=stable/kilo[/url]
\
|
tee
/var/www/cgi-bin/keystone/main
/var/www/cgi-bin/keystone/admin
|
上述文件官网给修改了,可以修改成:
|
1
2
|
curl
[url=http://git.openstack.org/cgit/openstack/keystone/plain/httpd/keystone.py]http://git.openstack.org/cgit/openstack/keystone/plain/httpd/keystone.py[/url]
\
|
tee
/var/www/cgi-bin/keystone/main
/var/www/cgi-bin/keystone/admin
|
当然可以下载内容:注意红字部分注释掉,来自网友实践,非常感谢
# Copyright 2013 OpenStack Foundation
#
# Licensed under the Apache License, Version 2.0 (the "License"); you may
# not use this file except in compliance with the License. You may obtain
# a copy of the License at
#
# http://www.apache.org/licenses/LICENSE-2.0
#
# Unless required by applicable law or agreed to in writing, software
# distributed under the License is distributed on an "AS IS" BASIS, WITHOUT
# WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied. See the
# License for the specific language governing permissions and limitations
# under the License.
import os
from oslo_log import log
from oslo_log import versionutils
from keystone.i18n import _LW
from keystone.server import wsgi as wsgi_server
name = os.path.basename(__file__)
#LOG = log.getLogger(__name__)
#def deprecation_warning():
# versionutils.report_deprecated_feature(
# LOG,
# _LW('httpd/keystone.py is deprecated as of Mitaka'
# ' in favor of keystone-wsgi-admin and keystone-wsgi-public'
# ' and may be removed in O.')
# )
# NOTE(ldbragst): 'application' is required in this context by WSGI spec.
# The following is a reference to Python Paste Deploy documentation
# http://pythonpaste.org/deploy/
application = wsgi_server.initialize_application(
name,
post_log_configured_function=deprecation_warning)
创建文件main和admin,放入上述内容,并且复制到相应的路径。
以上方法,大家可以尝试
6.修改权限
|
1
2
|
chown
-R keystone:keystone /var/www/cgi-bin/keystone
chmod
755 /var/www/cgi-bin/keystone/*
|
完成安装
1.重启 Apache HTTP server:
|
1
|
service
apache2 restart
|
2.如果存在 SQLite 数据库,则删除