注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

itoedr的it学苑

记录从IT文盲学到专家的历程

 
 
 

日志

 
 

keystone 命令简要说明  

2014-10-30 23:58:13|  分类: linux‘cloud |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
Nova从本质上来说就是在利用libvirt向其它模块通讯.
Keystone简介  Keystone是OpenStack的一个核心项目,其作用是为OpenStack其他各个组件提供统一的身份验证服务,例如nova、glance、cinder等。

  Keystone的主要功能

  Keystone服务主要提供两个功能:

  ?用户管理:记录用户信息及用户权限信息

  Keystone主要通过users(用户帐号),tenants(租户),roles(权限)来进行用户管理。

  而用户具体可以访问的资源,可以通过policy.json进行限制及调整。

  ?服务目录:提供可用可用服务的目录以及可用服务的API服务接入点。

  Keystone通过services(服务),endpoints(接入点)来提供服务目录的管理。

  Keystone的主要概念

  在OpenStack Keystone中,主要存在以下几个重要概念:

  ?User:用户。

  在keystone中,user是指使用OpenStack云服务的人、系统、或者服务的帐号。

  ?Credentials:数字凭证。

  是指有用户拥有并且由用户生成的数据。例如,匹配的用户名和密码。

  ?Authentication:验证。

  在keystone环境中,验证是指确认用户的身份或者某服务声明的真实性的行为。

   在keystone服务中,keystone会首先通过数字凭证(Credential,即keystone里面所存储的用户名和密码)来进行初始验 证。验证通过后,keystone服务会给用户分配一个令牌(Token)。用户即可通过该令牌进行权限范围内的后续操作。

  ?Token:令牌。

  在keystone中,是指用来访问资源的一组随机文字。每个令牌都会描述其所能访问的资源范围。

  Tenant:租户。

  在keystone中,租户是用来分组或隔离资源和被管理对象的容器。该租户可以是一个组织、项目、或者一个客户。

  ?Service:服务。

  是指一个OpenStack服务,例如计算服务(nova)、对象存储服务(swift)或者镜像服务(Glance)。

  一个服务会提供一个或多个接入点,使用户可以用来访问资源以及执行相应的操作。


  ?Endpoint:接入点。

  是一个通过网络进行访问的地址,例如访问服务的URL。

  ?Role:角色。

  角色包含一套访问权限和授权。例如管理员权限admin和普通用户组权限member。

Keystone的主要服务进程

  Keystone有一组内部服务组成。这些服务包含:

  ?Identity

  该服务主要提供对身份信息的验证包含用户、租户和角色,以及相关联的元数据。

  ?Token

  该服务验证并且管理所有的令牌信息。

  ?Catalog

  该服务提供对所有服务接入点的注册管理。

  ?Policy

  该服务提供了一个基于角色的授权管理系统及规则管理接口。

  Keystone主要验证后端简介

  Gizzly版本中的keystone功能已经非常丰富,提供了多种验证后端以期适应不同的环境需求。所有的后端都可在keystone.conf文件中进行定义。


keystone的通讯构架
keystone 命令简要说明 - itoedr - itoedr的it学苑
 

catalog: keystone catalog 可以显示所有已有的service keystone catalog --service service-type 显示某个service信息 endpoint: endpoint-create Create a new endpoint associated with a service endpoint-delete Delete a service endpoint endpoint-get endpoint-list List configured service endpoints keystone help endpoint-create --region <endpoint-region> Endpoint region region表示不同的范围,类似c++中命名空间,把服务“隔离“。 --service-id <service-id>, --service_id <service-id> ID of service associated with Endpoint --publicurl <public-url> Public URL endpoint --adminurl <admin-url> Admin URL endpoint --internalurl <internal-url> Internal URL endpoint keystone help endpoint-get --service <service-type> Service type to select --endpoint-type <endpoint-type> Endpoint type to select # adminurl,publicurl,internalurl --attr <service-attribute> Service attribute to match for selection --value <value> Value of attribute to match role:指定一个名字就ok,创建role后,根据policy文件去决定具有那些访问权限。由SA去分配和管理。 role-create Create new role role-delete Delete role role-get Display role details role-list List all roles service,即服务,给catalog添加service。 service-create Add service to Service Catalog service-delete Delete service from Service Catalog service-get Display service from Service Catalog service-list List all services in Service Catalog --name <name> Name of new service (must be unique) --type <type> Service type (one of: identity, compute, network, image, or object-store) --description <service-description> Description of service tenant,即资源。 tenant-create Create new tenant tenant-delete Delete tenant tenant-get Display tenant details tenant-list List all tenants tenant-update Update tenant name, description, enabled status keystone help tenant-create --name <tenant-name> New tenant name (must be unique) --description <tenant-description> Description of new tenant (default is none) --enabled <true|false> Initial tenant enabled status (default true) user,即用户,访问api或资源的抽象体。 user-create Create new user user-delete Delete user user-get Display user details. user-list List users user-password-update Update user password keystone help user-create --name <user-name> New user name (must be unique) --tenant-id <tenant-id> # 可以不指定,推迟通过user-role-add关联到某个tenant New user default tenant --pass <pass> New user password --email <email> New user email address --enabled <true|false> Initial user enabled status (default true) keystone help user-list --tenant-id <tenant-id> Tenant ID; lists all users if not specified keystone help user-role-add --user-id <user-id>, --user_id <user-id> User ID --role-id <role-id>, --role_id <role-id> Role ID --tenant-id <tenant-id> Tenant ID keystone help user-role-list 查看推迟关联的user对应的tenant信息 --user-id <user-id> List roles granted to a user --tenant-id <tenant-id> List roles granted on a tenant keystone help user-role-remove --user-id <user-id>, --user_id <user-id> User ID --role-id <role-id>, --role_id <role-id> Role ID --tenant-id <tenant-id> Tenant ID 注意:update 是分开的。 user-password-update: update password user-update :Update user's name, email, and enabled status
  评论这张
 
阅读(136)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017