在OpenStack的框架体系中Keystone的作用类似于一个服务总线,为OpenStack提供身份管理服务,包括用户认证,服务认证和口令认证,其他服务通过Keystone来注册服务的Endpoint(端点),针对服务的任何调动都要通过Keystone的身份认证,并获得Endpoint(端点)来进行访问。
部署顺序
keystone组件是第一个要安装的组件,其他组件之间通信都是需要通过keystone进行认证;
然后,glance组件负责镜像管理,启动实例时提供镜像服务,可存储各个不同操作系统的镜像;
然后,placement组件,负责为nova提供资源的监控的功能;
然后,nova组件负责管理实例,创建、删除、管理等操作;
最后,neutron组件负责网络,二层和三层网络,通过linuxbridge网桥来镜像连接;
dashboard提供一个图形界面,在web页面可以启动实例,创建网络等等操作;
cinder组件提供一个额外的volume存储卷,启动实例的时候可以创建卷给他绑定上去,自己搭建练习,有没有都行;
keystone数据库配置
controller节点
在安装和配置keystone身份服务之前,必须创建服务对应的数据库用于存储相关数据
然后授权keystone用户本地访问和远程访问两种访问权限
mysql -u root -p123456
CREATE DATABASE keystone;
GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'localhost' IDENTIFIED BY '123';
GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'%' IDENTIFIED BY '123'; 
keystone服务安装配置
安装keystone、httpd、mod_wsgi软件(mod_wsgi会提供一个对外的api接口用于接收请求)
yum -y install openstack-keystone httpd mod_wsgi
修改
keystone.conf
配置文件
#查看文件属性
ll /etc/keystone/keystone.conf
-rw-r----- 1 root keystone 140415 6月12 2023 /etc/keystone/keystone.conf#提前备份配置文件
cp /etc/keystone/keystone.conf{,.bak}
#重新生成配置文件
egrep -v '^#|^$' /etc/keystone/keystone.conf.bak >/etc/keystone/keystone.conf
/etc/keystone/keystone.conf
#修改文件内容
vim /etc/keystone/keystone.conf
[database]
#配置keystone访问数据库的密码
connection =
mysql+pymysql://keystone:123@controller/keystone
[token]
#配置Fernet令牌,方便其他程序通过令牌来连接keyston进行验证
provider = fernet
初始化数据库,keystone服务会向数据库中导入表结构
su -s /bin/sh -c "keystone-manage db_sync" keystone查看数据库验证
mysql -u keystone -p123
use keystone
show tables;
初始化Fernet密钥存储库
keystone-manage fernet_setup --keystone-user keystone --keystone-group keystone
keystone-manage credential_setup --keystone-user keystone--keystone-group keystone
引导身份服务,使得
keystone
可以在所有网卡的
5000
端口上运行,这里的
ADMIN_PASS
(管理员密码)改为:
123
keystone-manage bootstrap --bootstrap-password 123 \
--bootstrap-admin-url http://controller:5000/v3/ \
--bootstrap-internal-url http://controller:5000/v3/ \
--bootstrap-public-url http://controller:5000/v3/ \
--bootstrap-region-id RegionOne
配置HTTP服务
配置 ServerName选项为控制器节点名称
vim /etc/httpd/conf/httpd.conf
创建文件链接,这个文件是keystone给生成好的,用于访问keystone的5000端口
ln -s /usr/share/keystone/wsgi-keystone.conf /etc/httpd/conf.d/
设置开机启动并启动
http
服务
systemctl enable httpd.service && systemctl start httpd.service
http
服务正常启动,
keystone
的
5000
端口已经打开
netstat -tunpl | grep httpd
配置
admin
管理员环境变量,定义
admin
管理员的密码为
123
export OS_USERNAME=admin
export OS_PASSWORD=123
export OS_PROJECT_NAME=admin
export OS_USER_DOMAIN_NAME=Default
export OS_PROJECT_DOMAIN_NAME=Default
export OS_AUTH_URL=http://controller:5000/v3
export OS_IDENTITY_API_VERSION=3
创建认证账号
keystone
为
OpenStack
提供身份验证功能,
身份验证使用域 (domain),项目(project),用户(user),角色(Role)的组合。
User 用户: User 就是用户,它代表可以通过 keystone 进行访问的人或者程序;Role 角色: Role 代表一组用户可以访问的资源权限,用户可以使用角色从而获得该角色的权限;project 项目:他是各个服务中一些可以访问的资源集合,例如:镜像,存储,网络等资源; domain 域: Domain 的概念实现真正的多租户架构。云服务的客户是 Domain 的所有者,他们可以在自己的 Domain 中创建多个 Projects、 Users 、 Groups 和 Roles ;
controller节点
首先创建
domain
域:域名称
example
openstack domain create --description "An Example Domain" example
#查看域列表
openstack domain list
查看对于域可进行的操作如下:
[root@controller ~]# openstack domain --help
#查看指定域详细信息
openstack domain show default+-------------+--------------------+| Field | Value |+-------------+--------------------+| description | The default domain || enabled | True || id | default || name | Default || options | {} || tags | [] |+-------------+--------------------+
创建project项目:项目名称service,并指定放在default域中
openstack project create --domain default \
--description "Service Project" service
#查看项目列表
openstack project list 
#查看指定项目详细信息
openstack project show service
创建一个
project
项目:项目名称
myproject
,并指定放在
default
域中
openstack project create --domain default \
--description "Demo Project" myproject
创建非特权user用户:用户名称myuser ,用户的密码:123
openstack user create --domain default \
--password-prompt myuser
#查看用户列表
openstack user listadmin 是openstack自带的管理员用户
#查看可进行的操作
openstack user list
#查看指定用户详细信息
openstack user show myuser
创建
role
角色:角色名称为
myrole
openstack role create myrole
#查看指定角色详细信息
openstack role show myrole 
角色绑定:myrole角色绑定到myuser用户与myproject项目上
openstack role add --project myproject --user myuser
myrole
取消环境变量
unset OS_AUTH_URL OS_PASSWORD
向
keyston
获取
token
令牌,如果能成功获取那么说明
keyston
服务就是没有问题的了
#以admin用户获取token令牌
openstack --os-auth-url http://controller:5000/v3 \
--os-project-domain-name Default --os-user-domain-name
Default \
--os-project-name admin --os-username admin token issue注意:这里要输入密码
#以myuser用户获取token令牌
openstack --os-auth-url http://controller:5000/v3 \
--os-project-domain-name Default --os-user-domain-name
Default \
--os-project-name myproject --os-username myuser token
issue
创建环境变量脚本
在 OpenStack 环境中执行命令的时候需要验证用户身份,而用户身份在Open Stack中通过环境变量的方式来定义与切换,但是这些参数是非常多而且长的,每次输入一次命令就要加上这些参数为了简化,可以将变量写入脚本,使用的时候只需要执行不同的脚本就可以切换用户身份,方便!
#admin用户脚本(用户密码:123)
vim admin-openrc 
export OS_PROJECT_DOMAIN_NAME=Default
export OS_USER_DOMAIN_NAME=Default
export OS_PROJECT_NAME=admin
export OS_USERNAME=admin
export OS_PASSWORD=123
export OS_AUTH_URL=http://controller:5000/v3
export OS_IDENTITY_API_VERSION=3
export OS_IMAGE_API_VERSION=2#myuser用户脚本(用户密码:123)
vim demo-openrc
export OS_PROJECT_DOMAIN_NAME=Default
export OS_USER_DOMAIN_NAME=Default
export OS_PROJECT_NAME=myproject
export OS_USERNAME=myuser
export OS_PASSWORD=123
export OS_AUTH_URL=http://controller:5000/v3
export OS_IDENTITY_API_VERSION=3
export OS_IMAGE_API_VERSION=2
切换用户身份只需执行脚本即可
![Linux [工具]](https://img-blog.csdnimg.cn/2d680da66cd7423cb9f22312b42e6dd8.png)