验证Keystone服务
创建服务实体和 API 端点
认证服务提供服务目录和位置。在目录中,您添加到OpenStack环境的每个服务需要一个服务实体和多个API端点。
配置前的准备
缺省情况下,认证服务数据库不包含支持通用的认证和目录服务的信息。您必须使用一个 “安装和配置”一节 中创建临时的认证令牌为认证服务初始化服务实体和API端点。
您必须使用–os-token 参数或设置OS_TOKEN环境变量传递认证令牌的值给命令openstack。类似的,您必须传递使用参数 –os-url 或设置OS_URL环境变量传递认证服务URL给命令openstack。本教程使用环境变量缩短命令行的长度。
[警告]
因为安全的原因,,除非做必须的认证服务初始化,不要长时间使用临时认证令牌。
配置认证令牌:
export OS_TOKEN=ADMIN_TOKEN将其中的 ADMIN_TOKEN 替换为您在 “安装和配置”一节 中生成的管理员令牌。例如:
export OS_TOKEN=294a4c8a8a475f9b9836配置端点URL:
export OS_URL=http://controller:35357/v2.0创建服务实体和API端点
在你的Openstack环境中,认证服务管理服务目录。服务使用这个目录来决定您的环境中可用的服务。
创建服务实体和身份认证服务:
openstack service create \
--name keystone --description "OpenStack Identity" identity
+-------------+----------------------------------+
| Field | Value |
+-------------+----------------------------------+
| description | OpenStack Identity |
| enabled | True |
| id | 4ddaae90388b4ebc9d252ec2252d8d10 |
| name | keystone |
| type | identity |
+-------------+----------------------------------+[注意]
OpenStack 是动态生成 ID 的,因此您看到的输出会与示例中的命令行输出不相同。
身份认证服务管理了一个与您环境相关的 API 端点的目录。服务使用这个目录来决定如何与您环境中的其他服务进行通信。
OpenStack 为每个服务提供了三个 API 端点的值:admin、internal 和 public。admin API 端点默认允许修改用户和租户,而 public 和 internal API 不允许。在生产环境中,出于安全考虑,这些变量可能设置在服务于不同类型用户的隔离网络中。例如,public API 网络也许可以从外部云被管理工具访问到,admin API 网络会被保护,而 internal API 网络是连接到每台主机上的。而且,OpenStack 为了可扩展性,支持多个区域。简单来说,这个配置给所有端点变量和 regionOne 区域使用管理网络。
openstack endpoint create \
--publicurl http://controller:5000/v2.0 \
--internalurl http://controller:5000/v2.0 \
--adminurl http://controller:35357/v2.0 \
--region RegionOne identity
+--------------+----------------------------------+
| Field | Value |
+--------------+----------------------------------+
| adminurl | http://controller:35357/v2.0 |
| id | 4a9ffc04b8eb4848a49625a3df0170e5 |
| internalurl | http://controller:5000/v2.0 |
| publicurl | http://controller:5000/v2.0 |
| region | RegionOne |
| service_id | 4ddaae90388b4ebc9d252ec2252d8d10 |
| service_name | keystone |
| service_type | identity |
+--------------+----------------------------------+[注意]
在认证服务中,您添加到OpenStack环境的每个服务需要一个或多个服务实体和一个API端点。
创建项目(租户)、用户和角色
认证服务为每一个Openstack服务提供认证。认证服务使用domains, projects (tenants), users, 和roles的组合。
[注意]
为简单起见,默认使用 缺省 域。
- 在你的环境中,为进行管理操作,创建admin的项目、用户和角色:
创建 admin 项目:
openstack project create --description "Admin Project" admin
+-------------+----------------------------------+
| Field | Value |
+-------------+----------------------------------+
| description | Admin Project |
| enabled | True |
| id | cf12a15c5ea84b019aec3dc45580896b |
| name | admin |
+-------------+----------------------------------+[注意]
OpenStack 是动态生成 ID 的,因此您看到的输出会与示例中的命令行输出不相同。
a、创建 admin 用户:
openstack user create --password-prompt admin
User Password:
Repeat User Password:
+------------+----------------------------------+
| Field | Value |
+------------+----------------------------------+
| email | None |
| enabled | True |
| id | 4d411f2291f34941b30eef9bd797505a |
| name | admin |
| username | admin |
+------------+----------------------------------+b、创建 admin 角色:
openstack role create admin
+-------+----------------------------------+
| Field | Value |
+-------+----------------------------------+
| id | cd2cb9a39e874ea69e5d4b896eb16128 |
| name | admin |
+-------+----------------------------------+c、添加admin角色给admin项目和用户;
openstack role add --project admin --user admin admin
+-------+----------------------------------+
| Field | Value |
+-------+----------------------------------+
| id | cd2cb9a39e874ea69e5d4b896eb16128 |
| name | admin |
+-------+----------------------------------+[注意]
所有角色都会映射到某个Openstack服务所在文件夹的policy.json文件中,默认的规则下,admin 角色可以访问大多是服务,关于项目与用户管理了解更多信息.
- 本教程使用一个service项目,服务项目为每个添加到环境的服务包含一个唯一的用户
创建service项目
openstack project create --description "Service Project" service
+-------------+----------------------------------+
| Field | Value |
+-------------+----------------------------------+
| description | Service Project |
| enabled | True |
| id | 55cbd79c0c014c8a95534ebd16213ca1 |
| name | service |
+-------------+----------------------------------+- 常规(非管理)任务应该使用一个非特权项目和用户。比如,本手册创建demo 项目和用户。
创建一个demo项目
openstack project create --description "Demo Project" demo
+-------------+----------------------------------+
| Field | Value |
+-------------+----------------------------------+
| description | Demo Project |
| enabled | True |
| id | ab8ea576c0574b6092bb99150449b2d3 |
| name | demo |
+-------------+----------------------------------+创建 demo 用户:
openstack user create --password-prompt demo
User Password:
Repeat User Password:
+------------+----------------------------------+
| Field | Value |
+------------+----------------------------------+
| email | None |
| enabled | True |
| id | 3a81e6c8103b46709ef8d141308d4c72 |
| name | demo |
| username | demo |
+------------+----------------------------------+创建user角色:
openstack role create user
+-------+----------------------------------+
| Field | Value |
+-------+----------------------------------+
| id | 9fe2ff9ee4384b1894a90878d3e92bab |
| name | user |
+-------+----------------------------------+添加user角色到 demo 项目和用户:
openstack role add --project demo --user demo user
+-------+----------------------------------+
| Field | Value |
+-------+----------------------------------+
| id | 9fe2ff9ee4384b1894a90878d3e92bab |
| name | user |
+-------+----------------------------------+验证操作
在安装其他服务之前确认身份认证服务的操作。
因为安全性的原因,关闭临时认证令牌机制:
编辑文件/etc/keystone/keystone-paste.ini,从 [pipeline:public_api], [pipeline:admin_api], and [pipeline:api_v3]中移除admin_token_auth 。
取消临时的OS_TOKEN 和OS_URL 环境变量的设置:
unset OS_TOKEN OS_URL作为admin用户,通过Identity2.0版API请求一个认证令牌:
openstack --os-auth-url http://controller:35357 \
--os-project-name admin --os-username admin --os-auth-type password \
token issue
Password:
+------------+----------------------------------+
| Field | Value |
+------------+----------------------------------+
| expires | 2015-03-24T18:55:01Z |
| id | ff5ed908984c4a4190f584d826d75fed |
| project_id | cf12a15c5ea84b019aec3dc45580896b |
| user_id | 4d411f2291f34941b30eef9bd797505a |
+------------+----------------------------------+Identity 3.0版API增加了对包含项目与用户的域的支持。项目与用户可以再不同的域中使用相同的名字。因此,要使用3.0版的API,请求中至少必须显性包含 default 域或者是用户ID。为简化起见,本指南中显性指定default域,这样示例中可以使用用户名而不是ID。
openstack --os-auth-url http://controller:35357 \
--os-project-domain-id default --os-user-domain-id default \
--os-project-name admin --os-username admin --os-auth-type password \
token issue
Password:
+------------+----------------------------------+
| Field | Value |
+------------+----------------------------------+
| expires | 2015-03-24T18:55:01Z |
| id | ff5ed908984c4a4190f584d826d75fed |
| project_id | cf12a15c5ea84b019aec3dc45580896b |
| user_id | 4d411f2291f34941b30eef9bd797505a |
+------------+----------------------------------+[注意]
上面命令使用admin用户的密码。
作为admin用户,列出各项目来验证admin用户可以执行限admin用户使用的命令行接口命令;
openstack --os-auth-url http://controller:35357 \
--os-project-name admin --os-username admin --os-auth-type password \
project list
Password:
+----------------------------------+---------+
| ID | Name |
+----------------------------------+---------+
| 55cbd79c0c014c8a95534ebd16213ca1 | service |
| ab8ea576c0574b6092bb99150449b2d3 | demo |
| cf12a15c5ea84b019aec3dc45580896b | admin |
+----------------------------------+---------+作为admin用户,列出各用户来验证身份认证服务
openstack --os-auth-url http://controller:35357 \
--os-project-name admin --os-username admin --os-auth-type password \
user list
Password:
+----------------------------------+-------+
| ID | Name |
+----------------------------------+-------+
| 4d411f2291f34941b30eef9bd797505a | admin |
| 3a81e6c8103b46709ef8d141308d4c72 | demo |
+----------------------------------+-------+作为 the admin 用户,列出所有角色验证认证服务
openstack --os-auth-url http://controller:35357 \
--os-project-name admin --os-username admin --os-auth-type password \
role list
Password:
+----------------------------------+-------+
| ID | Name |
+----------------------------------+-------+
| 9fe2ff9ee4384b1894a90878d3e92bab | user |
| cd2cb9a39e874ea69e5d4b896eb16128 | admin |
+----------------------------------+-------+作为 demo用户,从认证3.0 AP请求一个认证令牌
openstack --os-auth-url http://controller:5000 \
--os-project-domain-id default --os-user-domain-id default \
--os-project-name demo --os-username demo --os-auth-type password \
token issue
Password:
+------------+----------------------------------+
| Property | Value |
+------------+----------------------------------+
| expires | 2014-10-10T12:51:33Z |
| id | 1b87ceae9e08411ba4a16e4dada04802 |
| project_id | 4aa51bb942be4dd0ac0555d7591f80a6 |
| user_id | 7004dfa0dda84d63aef81cf7f100af01 |
+------------+----------------------------------+作为demo 用户,尝试列出用户以验证它不能执行只有管理员能执行的命令行
openstack --os-auth-url http://controller:5000 \
--os-project-domain-id default --os-user-domain-id default \
--os-project-name demo --os-username demo --os-auth-type password \
user list
Password:
ERROR: openstack You are not authorized to perform the requested action, admin_required. (HTTP 403)创建 OpenStack 客户端环境脚本
前面的操作都是通过命令参数传递一些认证与端点信息,为了使得操作更加方便高效,Openstack提供通过设置环境变量的方式传递这些信息。把这些环境变量写在一个脚本里面,就是所谓的openrc文件。
创建脚本
编辑 admin-openrc.sh 文件并添加下列内容
export OS_PROJECT_DOMAIN_ID=default
export OS_USER_DOMAIN_ID=default
export OS_PROJECT_NAME=admin
export OS_TENANT_NAME=admin
export OS_USERNAME=admin
export OS_PASSWORD=ADMIN_PASS
export OS_AUTH_URL=http://controller:35357/v3将其中的 ADMIN_PASS 替换为您在身份认证服务中为 admin 用户设置的密码。
编辑 demo-openrc.sh 文件并添加下列内容:
export OS_PROJECT_DOMAIN_ID=default
export OS_USER_DOMAIN_ID=default
export OS_PROJECT_NAME=demo
export OS_TENANT_NAME=demo
export OS_USERNAME=demo
export OS_PASSWORD=DEMO_PASS
export OS_AUTH_URL=http://controller:5000/v3将其中的 DEMO_PASS 替换为您在身份认证服务中为 demo 用户设置的密码。
加载客户端环境脚本
使用特定租户和用户运行客户端,你可以在运行之前简单地加载相关客户端脚本。例如:
运行 admin-openrc.sh 脚本,配置认证服务的位置、admin 租户和用户凭证的环境变量:
source admin-openrc.sh
请求认证令牌:
openstack token issue
+------------+----------------------------------+
| Field | Value |
+------------+----------------------------------+
| expires | 2015-03-25T01:45:49.950092Z |
| id | cd4110152ac24bdeaa82e1443c910c36 |
| project_id | cf12a15c5ea84b019aec3dc45580896b |
| user_id | 4d411f2291f34941b30eef9bd797505a |
+------------+----------------------------------+Was this helpful?
0 / 0
