-
个人理解:登录openstack时输入的账号与密码会传向后台经过keystone进行身份认证,keystone发现是合法用户身份会给一把钥匙token,用户拿着钥匙方可对服务进行访问控制即方可登录openstack。进入界面后,我们接触的是第一组件horizon(UI),用户(分不同角色:管理员、普通用户)进行的所有点击请求操作是horizon组件提供的服务接口,通过此接口进行服务操作,期间每一个请求操作需通过keystone的身份认证,其返回钥匙token后才可进行服务访问,当然其他的点击请求操作也都需经过keystone的认证,所以整个访问控制流程中horizon(UI)和keystone是贯穿整个过程的。其他的组件都是围绕VM虚拟机工作的,它们为虚拟机的访问控制提供资源支撑或基础的,具体是如何共同创建一个虚拟机并可以访问使用的可以看视频教程。 keystone的理解:keystone可以看作一个中介,它拥有服务资源(如一栋房子),租户(一家人)需要拿到服务资源(房子)的地址(节点endpoint)才能找到这个服务(房子),如果需要访问此服务(房子),当然还需要钥匙(token),keystone通过验证租户等记的信息验证是合法租户(一家人)后会给租户服务资源的钥匙,租户拿着钥匙就可以访问(使用)服务资源了(房子)。当然这个租户根据角色的不同对服务资源的权限也不同,如父母有管理房子的权限,而孩子只有使用权限。查看全部
-
五个层次:表示层、逻辑控制层、资源管理层(横向)、集成层、管理层(纵向)。
包含了十六个不同的功能模块:
资源层:计算(Nova-计算服务,即Compute API、Scheduling、Policy、Compute、Admin API)/存储(Cinder块/Swift网络对象-存储服务,即Volume)/网络资源管理模块(Neutron-网络服务,即Network)。
逻辑层:编排(Heat-编排组织服务,即Orchestration)、调度、策略、镜像注册(Glance-镜像服务,即Image Registry和Image API功能)、日志服务。
表示层(和客户打交道):API模块和UI模块(Horizon-UI服务,即User Dashboard云下运维和Customer Portal云上用户)。
集成层:计费和身份认证模块(Keystone-身份服务,即Identity)。
管理层:管理API和监控(Ceilometer-监控计量服务,即Billing和Monitoring)。
查看全部 -
Keystone--身份服务模块(控制核心) * User:即用户,代表可以通过keystone进行访问的人或程序,User通过认证信息(如密码、API Keys等)进行验证 * Tenant:即租户,它是各个服务中的一些可以访问的资源集合 * Role:即角色,Roles代表一组用户可以访问的资源权限。 * Service:即服务,如Nova、Glance、Swift。服务在KeyStone上进行注册。 * Endpoint:可以理解它是一个服务暴露出来访问点。如果需要访问一个服务则必须知道他的endpoint。 * Token:访问资源的令牌,相当于现实中钥匙。具有时效性。 提供的服务: * Identity服务验证了身份验证凭证。 * Token 服务将会验证并管理用于验证请求身份的令牌。 * Catalog 服务提供了可用于端点发现的服务注册表。 * Policy 服务暴露了一个基于规则的身份验证引擎。 易购环境集成: 每个Keystone 功能都支持用于集成到异构环境并展示不同功能的后端插件。更常见的一些后端包括: * -Key Value Store * -Memcached * -Structured Query Language(SQL)查看全部
-
后端插件查看全部
-
Rackspace和NASA共同发起的开源项目。 OprnStack是一系列软件的组合。 之间是一种松耦合的关系。查看全部
-
OpenStack组件间的关系:几乎所有组件都需要认证服务查看全部
-
OpenStack访问控制流程查看全部
-
Keystone-身份服务模块
负责身份认证和权限控制,基本所有用户操作都要依赖这个模块,是控制核心。
User:即用户,代表可以通过Keystone进行访问的人或程序,User通过认证信息(如密码、API Keys等)进行验证。
Tenant:即租户(用户的集合),它是各个服务中的一些可以访问的资源集合,决定用户可以访问资源的多少。
Role:即角色,代表一组用户可以访问的资源权限(管理/使用权限)。
Service:即服务,如Nova、Glance、Swift。服务在Keystone上进行注册。
EndPoint:一个服务暴露出来的访问点 (地址),如果需要访问一个服务则必须知道endpoint。
Token:访问资源的令牌,相当于钥匙,具有时效性。
Keystone提供的服务:
Identity服务提供了身份验证凭证。
Token服务将会验证并管理用于验证请求身份的令牌。
Catalog服务提供了可用于端点发现的服务注册表。
Policy服务暴露了一个基于规则的身份验证引擎,决定每个用户的访问控制权限。
查看全部 -
OpenStack介绍
是RackSpace(贡献了Swift)和NASA(贡献了Nova)共同发起的开源项目,是一系列开源软件项目的组合,它们之间是松耦合的关系,可以独立地安装、启动和停止,只有在必要时才进行通信,优点是扩展性比较好,安全性高,不会存在单点故障,缺点是安装和配置比较复杂。
是基础设施资源的系统管理平台,用户可通过它以按需、易扩展的方式获取所需要的资源,能够以更集中的方式有效地管理CPU、内存、磁盘等资源,通过计算机网络向用户提供基础设施资源。
查看全部 -
VM创建访问控制流程
一个用户需要创建VM需要首先向keystone发送认证信息
通过keystone认证之后,keystone返回给一个token
拿到token之后带着token将请求发送到nova,
nova接到请求之后需要验证token;发送给keystone进行验证,验证通过之后对于请求再进行处理
首先带着token去glance镜像服务申请镜像,glance拿到请求需要验证token返回给keystone进行验证,验证通过再去查询相应的镜像,查询到了之后返还给nova,
然后需要到(Quantum;neutron的前身)neutron组件去申请网络资源,依旧是带着token,然后neutron接收到请求,再到keystone进行验证token,
验证通过再分配相应的资源,返还给nova,然后nova得到所有的资源之后去创建VM
创建完成之后再返还给用户。
查看全部 -
主要功能组件:
资源层:计算资源模块,存储资源管理模块和网络资源管理模块。
逻辑控制层包含的基础功能服务:编排,调度,策略,镜像注册和日志服务。
表示层:API模块和UI模块(和客户接触)
集成部分: 认证和计费模块
管理部分:管理API 和监控
查看全部 -
摘取别人的个人理解: 登录openstack时输入的账号与密码会传向后台经过keystone进行身份认证,keystone发现是合法用户身份会给一把钥匙token,用户拿着钥匙方可对服务进行访问控制即方可登录openstack。进入界面后,我们接触的是第一组件horizon(UI),用户(分不同角色:管理员、普通用户)进行的所有点击请求操作是horizon组件提供的服务接口,通过此接口进行服务操作,期间每一个请求操作需通过keystone的身份认证,其返回钥匙token后才可进行服务访问,当然其他的点击请求操作也都需经过keystone的认证,所以整个访问控制流程中horizon(UI)和keystone是贯穿整个过程的。其他的组件都是围绕VM虚拟机工作的,它们为虚拟机的访问控制提供资源支撑或基础的,具体是如何共同创建一个虚拟机并可以访问使用的可以看视频教程。 keystone的理解:keystone可以看作一个中介,它拥有服务资源(如一栋房子),租户(一家人)需要拿到服务资源(房子)的地址(节点endpoint)才能找到这个服务(房子),如果需要访问此服务(房子),当然还需要钥匙(token),keystone通过验证租户等记的信息验证是合法租户(一家人)后会给租户服务资源的钥匙,租户拿着钥匙就可以访问(使用)服务资源了(房子)。当然这个租户根据角色的不同对服务资源的权限也不同,如父母有管理房子的权限,而孩子只有使用权限。查看全部
-
Keystone-身份服务模块 控制核心。 用户(user):可通过keystone进行访问的人或程序,user通过验证信息(如密码、API Keys等)。 租户(tenant):各个服务中的一些可以访问的资源合集。代表用户可访问资源的多少。 角色(role):代表一组用户可以访问的资源权限。 服务(service):如Nova、Swift等,服务在Keystone上进行注册。(中介) 访问点(endpoint):一个服务暴露出来的访问点。如需访问一个服务,则必须知道他的endpoint。(房屋地址) 令牌(token):访问资源的令牌,具有时效性。(房屋的钥匙) Keystone提供以下服务:Identify服务,验证身份凭证;Token服务,验证并管理用于验证请求身份的令牌;Catalog服务,提供了可用于端点发现的服务注册表;Policy服务,暴露了一个基于规则的身份验证引擎。 易购环境集成:每个Keystone功能都有支持用于集成到异构环境并展示不同功能的后端插件。更常见的一些后端包括:key value store,memcached,structured query language(SQL),PAM,LDAP。查看全部
-
Neutron 网络服务 三种模式: 前两种模式都是典型的网桥模式,所不同的是Flat模式是所有的配置都需要,手工配置,FlatDHCP模式是在网管处单独起了一个DHCP进程,可以辅助用户启动模式 VLAN模式为每一个不同的租户设置了不同的虚拟子网,在这个虚拟子网中,用户可以有自己的私有IP,用户需要时在这些私有IP中选择分配给每个虚拟机查看全部
-
openStack的主要功能组件查看全部
举报