论坛 › Openstack › openstack实战部署Keystone认证服务及理论介绍

boss44 发表于 2018-5-31 06:48:44

openstack实战部署Keystone认证服务及理论介绍

　　openstack实战部署Keystone认证服务及理论介绍
　　理论介绍：
　　

　　1、Keystone介绍：
Keystone是openstack的组件之一，用于为openstack家族中的其他组件成员提供统一的认证服务，包括身份验证、令牌的发放和校验、服务列表、用户权限的定义等等。
　　2、KeyStone 两大功能：用户与认证、服务目录
用户与认证：用户权限与用户行为跟踪
服务目录：提供一个服务目录，包括所有服务项与相关Api的端点
注意：注册不能多，也不能少，更不能错，要是注册出现问题，可以删除重新建。
　　2、Keystone使用的名词：User用户、project项目、token令牌、role角色（代表一组用户可以访问的资源权限）、service服务、endpoint端点（每个endpoint有三个访问地址，三个访问地址的权限public公共的、private私有的、admin管理的）
　　3、keystone模块：
Token：用来生成和管理token。
Catalog：用来存储和管理service/endpoint。
Identity：用来管理tenant/user/role和验证。
Policy：用来管理访问权限。
　　4、keystone：包括一个命令行接口，可以与keystone API交互已管理keystone和相关服务。
Keystone-all：用于验证的，面向管理员和用户的API。
keystone-manage：管理keystone的命令行接口，用于管理与keystone相连接的数据库。
　　5、openstack老版本Tenant租户和User用户：

　　6、keystone基本架构：

　　

　　

　　部署并配置Keystone认证服务
　　

　　1、创建数据库：
　　mysql -u root -p（进入数据库）
　　create database keystone;（创建keystone库）
　　create database glance;（创建glance库）
　　create database nova;（创建Nova库）
　　create database nova_api; （创建Nova_api库）
　　create database neutron;（创建neutron库）
　　create database cinder;    （创建cinder库）
　　2、授权：
　　grant all on keystone.* to 'keystone'@'localhost' identified by 'keystone';   （给keystone授权）
　　grant all on keystone.* to 'keystone'@'%' identified by 'keeystone';    （给keystone授权，在任何上面都可以登录）
　　grant all on glance.* to 'glance'@'%' identified by 'glance';
　　grant all on glance.* to 'glance'@'localhost' identified by'glance';
　　grant all on nova.* to 'nova'@'localhost' identified by 'nova';
　　grant all on nova.* to 'nova'@'%' identified by 'nova';
　　grant all on nova_api.* to 'nova'@'localhost' identified by 'nova';
　　grant all on nova_api.* to 'nova'@'%' identified by 'nova';
　　grant all on neutron.* to 'neutron'@'localhost' identified by 'neutron';
　　grant all on neutron.* to 'neutron'@'%' identified by 'neutron';
　　grant all on cinder.* to 'cinder'@'localhost' identified by 'cinder';
　　grant all on cinder.* to 'cinder'@'%' identified by 'cinder';
　　3、查看创建的数据库：
　　show databases;

　　4、配置Keystone，修改Keystone配置文件:
　　vim /etc/keystone/keystone.conf
　　在中修改如下：
　　connection = mysql+pymysql://keystone:keystone@192.168.56.11/keystone设置数据库

　　在中修改如下：
　　servers = 192.168.56.11:11211
　　5、初始化keystone：
　　su -s /bin/sh -c "keystone-manage db_sync" keystone
　　注意：初始化keystone，使用的是keystone用户。
　　6、检查keystone是否初始化成功：
　　mysql -h 192.168.56.11 -ukeystone -pkeystone -e "use keystone;show tables;"


　　如果创建失败，说明数据库有问题，比如数据库创建失败，权限有问题，数据库连接失败等等。
　　7、由于使用memcache缓存tokens，上面也在keystone的memcache中添加了配置，需要安装memcache：
　　yum -y install memcached python-memcached
　　8、设置开机自动启动：
　　systemctl enable memcached.service
　　systemctl start memcached.service
　　9、可以在/etc/sysconfig/memcached 中，查看memcache配置：
　　默认：64兆

　　10、可以查看端口号：
　　netstat -ntpl
　　###可以看到是本地在监听11211端口，如果其他服务器访问，则访问失败，需要修改配置问题。
　　11、修改memcache配置
　　 vim /etc/sysconfig/memcached
　　修改：OPTIONS="-l 192.168.56.11,::1"

　　12、重启memecache：
　　systemctl restart memcached.service
　　13、需要在keystone配置中，设置令牌的提供者：
　　vim /etc/keystone/keystone.conf
　　修改中，如下：
　　provider = fernet   ###token提供者
　　driver = memcache   ###token存放的位置
　　Ps：补充一个小知识，查找keystone的配置。
　　grep '^' /etc/keystone/keystone.conf
　　connection = mysql+pymysql://keystone:keystone@192.168.56.11/keystone###链接数据库
　　servers = 192.168.56.11:11211      ###memcache地址
　　provider = fernet      ####token提供者
　　driver = memcache   ###token存放位置

　　14、初始化key，主要初始化完，生成证书。
　　keystone-manage fernet_setup --keystone-user keystone --keystone-group keystone
　　keystone-manage credential_setup --keystone-user keystone --keystone-group keystone
　　默认会在/etc/keystone 下创建一个fernet-keys目录。
　　15、初始化的用户，自动创建用户、密码等 （N版才有这个功能）
　　keystone-manage bootstrap --bootstrap-password admin \
　　--bootstrap-admin-url http://192.168.56.11:35357/v3/ \
　　--bootstrap-internal-url http://192.168.56.11:35357/v3/ \
　　--bootstrap-public-url http://192.168.56.11:5000/v3/ \
　　--bootstrap-region-id RegionOne

　　Ps：--bootstrap-admin-url http://192.168.56.11:35357/v3/ \   ###admin的url
　　--bootstrap-internal-url http://192.168.56.11:35357/v3/ \   ###内部的url
　　--bootstrap-public-url http://192.168.56.11:5000/v3/ \   ###public的url
这是endpoint的三个url
　　16、配置apache，设置servername
vim /etc/httpd/conf/httpd.conf
修改ServerName 192.168.56.11:80
　　17、创建软连接：
ln -s /usr/share/keystone/wsgi-keystone.conf /etc/httpd/conf.d/
　　18、启动Apache服务：
systemctl enable httpd.service
systemctl start httpd.service
　　验证端口：
　　19、只要使用keystone就要有验证，keystone提供了两种验证方式：1）选项的方式 2）环境变量
　　在这里我们使用环境变量，设置环境变量命令：
export OS_USERNAME=admin   ###用户名
export OS_PASSWORD=admin   ###密码
export OS_PROJECT_NAME=admin   ###哪个项目
export OS_USER_DOMAIN_NAME=default   ###默认的域
export OS_PROJECT_DOMAIN_NAME=default
export OS_AUTH_URL=http://192.168.56.11:35357/v3##验证的url
export OS_IDENTITY_API_VERSION=3            ###端口

　　20、执行命令测试，是否可以连接keystone：
openstack user list

　　21、创建service项目（安装其他服务，需要连接keystone，连接keystone这些服务和角色属于哪些项目，）
openstack project create --domain default --description "Server Project" service

　　再查看一下project有几个项目：

　　22、创建一个demo项目：（演示使用）
openstack project create --domain default --description "Demo Project" demo
　　23、创建demo的用户：
openstack user create --domain default --password-prompt demo
　　24、创建一个user角色（一个项目有两种角色admin超级管理员（M版本需要创建，N版不需要创建）和user，这个角色是keystone上的角色）
openstack role create user
　　25、添加user角色到demo项目和用户：
openstack role add --project demo --user demo user
Ps: 以上命令意思为：把demo用户加入到了demo项目，并赋予user角色

　　26、为了后期方便，也为了不容易出错，在这里我创建其余的用户并添加到相应的项目中，赋予相应的角色：
openstack user create --domain default --password-prompt glance
openstack role add --project service --user glance admin
openstack user create--domain default --password-prompt nova
openstack role add --project service --user nova admin
openstack user create--domain default --password-prompt neutron
openstack role add --project service --user neutron admin
openstack user create--domain default --password-prompt cinder
openstack role add --project service --user cinder admin
　　   删除用户 、服务、endpoint都一样使用：
openstack user delete 用户ID
　　27、验证keystone，需要先读取环境变量，由于安全性的原因，关闭临时认证指令牌机制，
第一步：把环境变量取消掉：
unset OS_AUTH_URL OS_PASSWORD
第二步：请求认证指令牌：
openstack --os-auth-url http://192.168.56.11:35357/v3   --os-project-domain-name default --os-user-domain-name default   --os-project-name admin --os-username admin token issue

如果密码错误是什么报错？说明密码错误。

　　如果获取到token成功，说明你的keystone安装成功。
　　28、创建admin和demo的环境变量脚本：
　　vim admin-openstack
　　export OS_USER_DOMAIN_NAME=default
　　export OS_PROJECT_DOMAIN_NAME=default
　　export OS_PROJECT_NAME=admin
　　export OS_USERNAME=admin
　　export OS_PASSWORD=admin
　　export OS_AUTH_URL=http://192.168.56.11:35357/v3
　　export OS_IDENTITY_API_VERSION=3
　　export OS_IMAGE_API_VERSION=2
　　vim demo-openstack
　　export OS_USER_DOMAIN_NAME=default
　　export OS_PROJECT_DOMAIN_NAME=default
　　export OS_PROJECT_NAME=demo
　　export OS_USERNAME=demo
　　export OS_PASSWORD=demo
　　export OS_AUTH_URL=http://192.168.56.11:5000/v3
　　export OS_IDENTITY_API_VERSION=3
　　export OS_IMAGE_API_VERSION=2
　　29、请求令牌（使用source命令）
source admin-openstack
　　查看测试结果：

　　到目前为止说明keystone已经成功，没有问题了！
　　

　　下次我们来实战部署glance镜像服务！希望大家可以学会!谢谢！

查看完整版本: openstack实战部署Keystone认证服务及理论介绍