@zhangyy 2019-12-25T09:21:34.000000Z 字数 3917 阅读 284

Openstack 云计算（二）： Openstack Rocky部署二 keystone 部署与验证

openstack系列

一： keystone认证服务

二： keystone的部署

一： keystone 认证服务

Keystone(OpenStack Identity Service)是 OpenStack 框架中负责管理身份验证、服务规则和服务令牌功能的模块。用户访问资源需要验证用户的身份与权限，服务执行操作也需要进行权限检测，这些都需要通过 Keystone 来处理。Keystone类似一个服务总线， 或者说是整个Openstack框架的注册表， 其他服务通过keystone来注册其服务的Endpoint（服务访问的URL），任何服务之间相互的调用， 需要经过Keystone的身份验证， 来获得目标服务的Endpoint来找到目标服务。
1）用户与认证：用户权限与用户行为跟踪
User          用户
Tenant        租户
Token         令牌
Role          角色
2）服务目录：提供一个服务目录，包括所有服务项与相关API的端点
Service       服务
Endpoint      端点

二： keystone的部署

2.1 在控制节点创建keystone相关数据库并授权

mysql -uroot -pflyfish225
CREATE DATABASE keystone;
GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'localhost' IDENTIFIED BY  'keystone';
GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'%' IDENTIFIED BY  'keystone';
flush privileges;
show databases;
select user,host from mysql.user;

image_1d8llli4l1lo92go8bpum519uq9.png-183.4kB

2.2.在控制节点安装keystone相关软件包

yum install openstack-keystone httpd mod_wsgi -y
yum install openstack-keystone python-keystoneclient openstack-utils -y

image_1d8lmb1ui1uqsttn1fu9vqc1teom.png-177.2kB

image_1d8lmc5441e07e221cbb13bj1c5613.png-173.1kB

2.3 keystone 文件配置

openstack-config --set /etc/keystone/keystone.conf database connection mysql+pymysql://keystone:keystone@controller/keystone
openstack-config --set /etc/keystone/keystone.conf token provider fernet
grep '^[a-z]' /etc/keystone/keystone.conf

image_1d8lmn0qsa751eqtgd3g031au71g.png-31.9kB

su -s /bin/sh -c "keystone-manage db_sync" keystone
mysql -uroot -pflyfish225
use keystone; 
show tables;

image_1d8lmr9i2n043ba1m6t185519nt1t.png-154.8kB

2.4 初始化Fernet令牌库

keystone-manage fernet_setup --keystone-user keystone --keystone-group keystone
keystone-manage credential_setup --keystone-user keystone --keystone-group keystone

image_1d8lmvl5pvco1nv0156detd6q62a.png-44.7kB

2.5 定义访问端点

keystone-manage bootstrap --bootstrap-password admin \
  --bootstrap-admin-url http://controller:5000/v3/ \
  --bootstrap-internal-url http://controller:5000/v3/ \
  --bootstrap-public-url http://controller:5000/v3/ \
  --bootstrap-region-id RegionOne

image_1d8ln65mu1jkl1pkpqo1vuu2a22n.png-50.6kB

2.6 配置httpd 服务

vim /etc/httpd/conf/httpd.conf
---
ServerName controller
---
ln -s /usr/share/keystone/wsgi-keystone.conf /etc/httpd/conf.d/
service httpd start 
chkconfig httpd on

3.png-27.9kB

image_1d8lnfl3f9qr1n91mre1o471gsm3g.png-130.8kB

临时配置管理员账户的相关变量进行管理
export OS_USERNAME=admin
export OS_PASSWORD=admin
export OS_PROJECT_NAME=admin
export OS_USER_DOMAIN_NAME=Default
export OS_PROJECT_DOMAIN_NAME=Default
export OS_AUTH_URL=http://controller:5000/v3
export OS_IDENTITY_API_VERSION=3

image_1d8lnl8c4rug1rkrjea1qjg1dvk4d.png-77.4kB

env |grep OS_

image_1d8lnmi4b4i019fsfqcrlv9va4q.png-65.6kB

查看命令
openstack endpoint list
openstack project list
openstack user list

image_1d8lnpahupumdb7e6jaqr14lr57.png-123.9kB

2.7 创建keystone的一般实例

# 以下命令会在project表中创建名为example的项目
openstack domain create --description "An Example Domain" example

image_1d8lnslif1dtjcon1dmqetq1e1p5n.png-51.4kB

为keystone系统环境创建名为service的项目提供服务
用于常规（非管理）任务，需要使用无特权用户
以下命令会在project表中创建名为service的项目
openstack project create --domain default --description "Service Project" service

image_1d8lnutvbsiq1n9qk6f13ufupc64.png-63.9kB

创建myproject项目和对应的用户及角色
# 作为一般用户（非管理员）的项目，为普通用户提供服务
# 以下命令会在project表中创建名为myproject项目
openstack project create --domain default --description "Demo Project" myproject

image_1d8lo0m0gl71rdba51nv3m06k.png-55.4kB

在默认域创建myuser用户
openstack user create --domain default  --password-prompt myuser
在role表创建myrole角色
openstack role create myrole

image_1d8lo7gb8117k3k0nsj13cl1bih71.png-70.8kB

image_1d8lo942i136v1tqs1nlm5fojo7e.png-44.2kB

将myrole角色添加到myproject项目中和myuser用户组中
openstack role add --project myproject --user myuser myrole

image_1d8lobqih1rbm1b7cn9a1csv1gfi7r.png-29.1kB

2.8 验证keystone

去除环境变量
unset OS_AUTH_URL OS_PASSWORD
env |grep OS_

image_1d8lofd6u4pb7ug1456150jg328b.png-61.7kB

作为管理员用户去请求一个认证的token测试是否可
以使用admin账户进行登陆认证，请求认证令牌
openstack --os-auth-url http://controller:5000/v3 \
  --os-project-domain-name Default --os-user-domain-name Default \
  --os-project-name admin --os-username admin token issue

image_1d8lohcfha8rvd59hl2qn1cv48r.png-115.8kB

使用普通用户获取认证token
openstack --os-auth-url http://controller:5000/v3 \
  --os-project-domain-name Default --os-user-domain-name Default \
  --os-project-name myproject --os-username myuser token issue

image_1d8lojvupacti6b6or6t11r5398.png-128.4kB

2.9 创建OpenStack客户端环境脚本

创建admin用户的环境管理脚本
mkdir /openstack
cd /openstack
vim keystone-admin-pass.sh
---
export OS_PROJECT_DOMAIN_NAME=Default
export OS_USER_DOMAIN_NAME=Default
export OS_PROJECT_NAME=admin
export OS_USERNAME=admin
export OS_PASSWORD=admin
export OS_AUTH_URL=http://controller:5000/v3
export OS_IDENTITY_API_VERSION=3
export OS_IMAGE_API_VERSION=2
---
source keystone-admin-pass.sh
创建普通用户myuser的客户端环境变量脚本
cd /openstack
vim keystone-myuser-pass.sh
---
export OS_PROJECT_DOMAIN_NAME=Default
export OS_USER_DOMAIN_NAME=Default
export OS_PROJECT_NAME=myproject
export OS_USERNAME=myuser
export OS_PASSWORD=myuser
export OS_AUTH_URL=http://controller:5000/v3
export OS_IDENTITY_API_VERSION=3
export OS_IMAGE_API_VERSION=2
---
source keystone-myuser-pass.sh
请求认证令牌:
   openstack token issue 
# 可以看到user_id和上面用命令获取到的是一样的，说明配置成功
# 至此，keystone安装完毕

image_1d8lotqa01s594ka1tc13nl1bmg9l.png-101kB