Keystone認證安裝部署
- 一、建立資料庫執行個體和資料庫使用者
- 二、安裝、配置keystone、資料庫、Apache
- 三、建立OpenStack 域、項目、使用者和角色
- 四、小結
一、建立資料庫執行個體和資料庫使用者
[[email protected] ~]# mysql -u root -p123456 //進入資料庫
MariaDB [(none)]> create database keystone; //建立keystone
Query OK, 1 row affected (0.001 sec)
MariaDB [(none)]> GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'localhost' IDENTIFIED BY 'KEYSTONE_DBPASS'; //本地授權
Query OK, 0 rows affected (0.002 sec)
MariaDB [(none)]> GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'%' IDENTIFIED BY 'KEYSTONE_DBPASS'; //所有網段授權
Query OK, 0 rows affected (0.000 sec)
MariaDB [(none)]> flush privileges; //重新整理
Query OK, 0 rows affected (0.001 sec)
MariaDB [(none)]> exit //推出
Bye
二、安裝、配置keystone、資料庫、Apache
2.1、安裝keystone、httpd、mod_wsgi
[[email protected] ~]# yum -y install openstack-keystone httpd mod_wsgi
#mod_wsgi包的作用是讓apache能夠代理python程式的元件;openstack的各個元件,包括API都是用python寫的,但通路的是apache,apache會把請求轉發給python去處理,這些包隻安裝在controler節點
[[email protected] ~]# cp -a /etc/keystone/keystone.conf{,.bak} //建立備份
[[email protected] ~]# grep -Ev "^$|#" /etc/keystone/keystone.conf.bak > /etc/keystone/keystone.conf
//過濾掉備份裡的空行和“#”開頭的行,來覆寫原檔案
2.2、通過pymysql子產品通路mysql,指定使用者名密碼、資料庫的域名、資料庫名
[[email protected] ~]# openstack-config --set /etc/keystone/keystone.conf database connection mysql+pymysql://keystone:KEYSTONE_DBPASS@ct/keystone
// -config表示傳遞參數,--set表示修改,在keystone的配置檔案裡,找到“database”,連接配接mysql,通過pymysql子產品,指定使用者名密碼@資料庫的域名/資料庫名
2.3、設定以Fernet這種安全的格式來傳遞消息
[[email protected] ~]# openstack-config --set /etc/keystone/keystone.conf token provider fernet
//指定token的提供者;提供者就是keystone自己本身;Fernet:一種安全的消息傳遞格式
2.4、初始化認證服務資料庫
[[email protected] ~]# su -s /bin/sh -c "keystone-manage db_sync" keystone
//su表示切換,/bin/sh是終端環境,“keystone-manage是一條管理指令 db_sync表示資料同步”, keystone是使用者
2.5、初始化fernet 密鑰存儲庫(以下指令會生成兩個密鑰,生成的密鑰放于/etc/keystone/目錄下,用于加密資料)
[[email protected] ~]# cd /etc/keystone/
[[email protected] keystone]# keystone-manage fernet_setup --keystone-user keystone --keystone-group keystone
[[email protected] keystone]# keystone-manage credential_setup --keystone-user keystone --keystone-group keystone
2.6、配置bootstrap身份認證服務
[[email protected] ~]# keystone-manage bootstrap --bootstrap-password ADMIN_PASS \
> --bootstrap-admin-url http://ct:5000/v3/ \
> --bootstrap-internal-url http://ct:5000/v3/ \
> --bootstrap-public-url http://ct:5000/v3/ \
> --bootstrap-region-id RegionOne #指定一個區域名稱
#此步驟是初始化openstack,會把openstack的admin使用者的資訊寫入到mysql的user表中,以及url等其他資訊寫入到mysql的相關表中;
#admin-url是管理網(如公有雲内部openstack管理網絡),用于管理虛拟機的擴容或删除;如果共有網絡和管理網是一個網絡,則當業務量大時,會造成無法通過openstack的控制端擴容虛拟機,是以需要一個管理網;
#internal-url是内部網絡,進行資料傳輸,如虛拟機通路存儲和資料庫、zookeeper等中間件,這個網絡是不能被外網通路的,隻能用于企業内部通路
#public-url是共有網絡,可以給使用者通路的(如公有雲) #但是此環境沒有這些網絡,則公用同一個網絡
#5000端口是keystone提供認證的端口
#需要在haproxy伺服器上添加一條listen
#各種網絡的url需要指定controler節點的域名,一般是haproxy的vip的域名(高可用模式)
2.7、配置Apache HTTP伺服器
[[email protected] ~]# echo "ServerName controller" >> /etc/httpd/conf/httpd.conf
2.8、建立配置檔案
[[email protected] ~]# ln -s /usr/share/keystone/wsgi-keystone.conf /etc/httpd/conf.d/
#安裝完mod_wsgi包後,會生成 wsgi-keystone.conf 這個檔案,檔案中配置了虛拟主機及監聽了5000端口,mod_wsgi就是python的網關
2.9、開啟服務
[[email protected] ~]# systemctl enable httpd //開機自啟動
Created symlink from /etc/systemd/system/multi-user.target.wants/httpd.service to /usr/lib/systemd/system/httpd.service.
[[email protected] ~]# systemctl start httpd //開啟http服務
2.10、配置管理者賬戶的環境變量
#這些環境變量用于建立角色和項目使用,但是建立角色和項目需要有認證資訊,是以通過環境變量聲明使用者名和密碼等認證資訊,欺騙openstack已經登入且通過認證,這樣就可以建立項目和角色;也就是把admin使用者的驗證資訊通過聲明環境變量的方式傳遞給openstack進行驗證,實作針對openstack的非互動式操作
[[email protected] ~]# cat >> ~/.bashrc << EOF
> export OS_USERNAME=admin #控制台登陸使用者名
> export OS_PASSWORD=ADMIN_PASS #控制台登陸密碼
> export OS_PROJECT_NAME=admin
> export OS_USER_DOMAIN_NAME=Default
> export OS_PROJECT_DOMAIN_NAME=Default
> export OS_AUTH_URL=http://ct:5000/v3
> export OS_IDENTITY_API_VERSION=3
> export OS_IMAGE_API_VERSION=2
> EOF
[[email protected] ~]# source ~/.bashrc
2.11、通過配置環境變量,可以使用openstack指令進行一些操作
示例:
[[email protected] ~]# openstack user list
+----------------------------------+-------+
| ID | Name |
+----------------------------------+-------+
| 3abda3ada39e4b9a8e248b0a0292db76 | admin |
+----------------------------------+-------+
三、建立OpenStack 域、項目、使用者和角色
建立一個項目(project),建立在指定的domain(域)中,指定描述資訊,project名稱為service(可使用openstack domain list 查詢)
[[email protected] ~]# openstack project create --domain default --description "Service Project" service
+-------------+----------------------------------+
| Field | Value |
+-------------+----------------------------------+
| description | Service Project |
| domain_id | default |
| enabled | True |
| id | e0a540b73e2d47e69d7baf40528c4f1a |
| is_domain | False |
| name | service |
| options | {} |
| parent_id | default |
| tags | [] |
+-------------+----------------------------------+
建立角色(可使用openstack role list檢視)
[[email protected] ~]# openstack role create user
+-------------+----------------------------------+
| Field | Value |
+-------------+----------------------------------+
| description | None |
| domain_id | None |
| id | 5e8db63220394ae78272fda67fa73127 |
| name | user |
| options | {} |
+-------------+----------------------------------+
檢視openstack 角色清單
[[email protected] ~]# openstack role list
+----------------------------------+--------+
| ID | Name |
+----------------------------------+--------+
| 5e8db63220394ae78272fda67fa73127 | user |
| a2230029a5084694995d8d717cb56698 | admin |
| a7a3d1771cd04451830cee0e3fdc63be | reader |
| e8fbd28fe41f46ab8b0f0c69f7aa3c61 | member |
+----------------------------------+--------+
# admin:管理者
# member:租戶
# user:使用者
檢視是否可以不指定密碼就可以擷取到token資訊(驗證認證服務)
[[email protected] ~]# openstack token issue
+------------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| Field | Value |
+------------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| expires | 2021-02-19T10:10:58+0000 |
| id | gAAAAABgL4Ciq4WePoUzb89gQrjtI0lc8DxIXh5sPO1K43F3F3eSwvWV2HGtExHynC2n_Bolk3ONOX3ow9fzP5I6ZDnn5dEojlt2pWmZlzIYBR7xMyLNGXTBxLyRVEgE4jjTJ5xq-P3wqmZSLciMYwpCZgxVO5pVvDgCCl67xFv9o-Az8Hmptxs |
| project_id | 66751330acbc40178f9983cfabaf66ed |
| user_id | 3abda3ada39e4b9a8e248b0a0292db76 |
+------------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
四、小結
Keystone 元件是作為OpenStack 叢集中統一認證、授權的子產品,其核心功能就是針對于User(使用者)、Tenant(租戶)、Role(角色)、Token(令牌/憑證)的控制(手工編譯部署即圍繞此功能展開的)
User:使用 openstack 的使用者。
Tenant:租戶,可以了解為一個人、項目或者組織擁有的資源的合集。在一個租戶中可以擁有很多個使用者,這些使用者可以根據權限的劃分使用租戶中的資源。
Role:角色,用于配置設定操作的權限。角色可以被指定給使用者,使得該使用者獲得角色對應的操作權限。
Token:指的是一串比特值或者字元串,用來作為通路資源的記号。Token 中含有可通路資源的範圍和有效時間,token 是使用者的一種憑證,需要使用正确的使用者名和密碼向 Keystone 服務申請才能得到 token。