Chapter 3 OpenStack认证服务(Identity service)

vlei

　　Chapter 3 OpenStack认证服务(Identity service)
　　3.1 认证服务的概念
　　OpenStack认证服务主要提供以下两种功能：
　　跟踪用户及其权限
　　通过API端点(endpoint)提供一组可用的服务
　　

　　在安装认证服务后，需要为OpenStack其他服务进行注册，这样认证服务就能追踪哪些OpenStack服务已安装以及在网络中所处的位置。
　　

　　需要了解一下OpenStack认证服务以下概念：
　　用户：任何使用OpenStack云服务的用户、系统、服务的数字化表示。
　　证书(credential)：确保用户身份的数据。例如用户名和密码的组合、用户名和API键(key)的组合等
　　授权(authentication)：确认用户身份的过程
　　令牌(token)：数字-文字文本串，用于访问OpenStack API和资源
　　租户(tenant)：用于定义组或隔离资源的容器
　　服务(service)：OpenStack各个服务名称
　　终端(endpoint)：访问某个服务的URL地址
　　角色(role)：定义用户权限、可执行的操作
　　Keystone客户端(client)：OpenStack认证API的命令行接口
　　

　　下图展示了OpenStack认证服务的处理流程：
　　
　　

　　3.2 安装配置OpenStack认证服务
　　3.2.1 配置预先环境
　　在安装配置OpenStack认证服务之前，需要创建相应的数据库和一个管理员令牌(token)：
　　[root@controller ~]# mysql -uroot -piforgot
　　MariaDB [(none)]> CREATE DATABASE keystone;
　　MariaDB [(none)]> GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'localhost' \
　　  IDENTIFIED BY 'keystonepw';
　　MariaDB [(none)]> GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'%' \
　　  IDENTIFIED BY 'keystonepw';
　　MariaDB [(none)]> flush privileges;
　　[root@controller ~]# openssl rand -hex 10
　　c63cfc6c7e303d4515e6
　　

　　3.2.2 安装配置OpenStack认证服务组件
　　1. 安装相关软件包：
　　[root@controller ~]# yum -y install openstack-keystone httpd mod_wsgi python-openstackclient memcached python-memcached
　　

　　2. 启动Memcached服务并设置为开机自启：
　　[root@controller ~]# systemctl start memcached
　　[root@controller ~]# systemctl enable memcached
　　

　　3. 编辑/etc/keystone/keystone.conf文件：
　　[root@controller ~]# cp /etc/keystone/keystone.conf{,.bak}
　　[root@controller ~]# > /etc/keystone/keystone.conf
　　[root@controller ~]# vi /etc/keystone/keystone.conf
　　[DEFAULT]
　　admin_token = c63cfc6c7e303d4515e6
　　verbose = True
　　

　　[database]
　　connection = mysql://keystone:keystonepw@controller/keystone
　　

　　[memcache]
　　servers = localhost:11211
　　

　　[token]
　　provider = keystone.token.providers.uuid.Provider
　　driver = keystone.token.persistence.backends.memcache.Token
　　

　　[revoke]
　　driver = keystone.contrib.revoke.backends.sql.Revoke
　　

　　4. 填充认证服务数据库：
　　[root@controller ~]# su -s /bin/sh -c "keystone-manage db_sync" keystone
　　

　　3.2.3 配置Apache HTTP服务
　　1. 修改/etc/httpd/conf/httpd.conf文件：
　　[root@controller ~]# vi /etc/httpd/conf/httpd.conf
　　ServerName controller
　　

　　2. 创建/etc/httpd/conf.d/wsgi-keystone.conf文件并添加以下内容：
　　[root@controller ~]# vi /etc/httpd/conf.d/wsgi-keystone.conf
　　Listen 5000
　　Listen 35357
　　

　　<VirtualHost *:5000>
　　    WSGIDaemonProcess keystone-public processes=5 threads=1 user=keystone group=keystone display-name=%{GROUP}
　　    WSGIProcessGroup keystone-public
　　    WSGIScriptAlias / /var/www/cgi-bin/keystone/main
　　    WSGIApplicationGroup %{GLOBAL}
　　    WSGIPassAuthorization On
　　    LogLevel info
　　    ErrorLogFormat "%{cu}t %M"
　　    ErrorLog /var/log/httpd/keystone-error.log
　　    CustomLog /var/log/httpd/keystone-access.log combined
　　</VirtualHost>
　　

　　<VirtualHost *:35357>
　　    WSGIDaemonProcess keystone-admin processes=5 threads=1 user=keystone group=keystone display-name=%{GROUP}
　　    WSGIProcessGroup keystone-admin
　　    WSGIScriptAlias / /var/www/cgi-bin/keystone/admin
　　    WSGIApplicationGroup %{GLOBAL}
　　    WSGIPassAuthorization On
　　    LogLevel info
　　    ErrorLogFormat "%{cu}t %M"
　　    ErrorLog /var/log/httpd/keystone-error.log
　　    CustomLog /var/log/httpd/keystone-access.log combined
　　</VirtualHost>
　　

　　3. 创建WSGI组件目录结构并导入相关内容，然后修改目录的属性和权限：
　　[root@controller ~]# mkdir -p /var/www/cgi-bin/keystone
　　[root@controller ~]# curl http://git.openstack.org/cgit/openstack/keystone/plain/httpd/keystone.py?h=stable/kilo \
　　  | tee /var/www/cgi-bin/keystone/main /var/www/cgi-bin/keystone/admin
　　[root@controller ~]# chown -R keystone:keystone /var/www/cgi-bin/keystone
　　[root@controller ~]# chmod 755 /var/www/cgi-bin/keystone/*
　　

　　4. 启动httpd服务并设置为开机自启：
　　[root@controller ~]# systemctl restart httpd
　　[root@controller ~]# systemctl enable httpd
　　

　　3.3 创建服务实体(service entity)和API终端
　　OpenStack环境中各个服务都需要一个服务实体以及多个API终端。
　　

　　3.3.1 配置预先环境
　　1. 配置认证令牌：
　　[root@controller ~]# export OS_TOKEN=c63cfc6c7e303d4515e6
　　

　　2. 配置终端URL：
　　[root@controller ~]# export OS_URL=http://controller:35357/v2.0
　　

　　3.3.2 创建认证服务所需的服务实体以及API终端
　　[root@controller ~]# openstack service create \
　　  --name keystone --description "OpenStack Identity" identity
　　[root@controller ~]# openstack endpoint create \
　　  --publicurl http://controller:5000/v2.0 \
　　  --internalurl http://controller:5000/v2.0 \
　　  --adminurl http://controller:35357/v2.0 \
　　  --region RegionOne \
　　  identity
　　

　　3.4 创建项目名、用户以及角色
　　这里只创建与管理员相关的信息：
　　[root@controller ~]# openstack project create --description "Admin Project" admin
　　[root@controller ~]# openstack user create --password adminpw admin
　　[root@controller ~]# openstack role create admin
　　[root@controller ~]# openstack role add --project admin --user admin admin
　　[root@controller ~]# openstack project create --description "Service Project" service
　　[root@controller ~]# unset OS_TOKEN OS_URL
　　

　　3.5 验证操作
　　这里不作介绍，请查看http://docs.openstack.org/kilo/install-guide/install/yum/content/keystone-verify.html，注意，整个实验环境不会用到demo项目和用户。
　　

　　3.6 创建OpenStack客户端环境脚本
　　创建admin项目和用户所需要的客户端环境脚本：
　　[root@controller ~]# vi admin-openrc.sh
　　export OS_PROJECT_DOMAIN_ID=default
　　export OS_USER_DOMAIN_ID=default
　　export OS_PROJECT_NAME=admin
　　export OS_TENANT_NAME=admin
　　export OS_USERNAME=admin
　　export OS_PASSWORD=adminpw
　　export OS_AUTH_URL=http://controller:35357/v3
　　export OS_IMAGE_API_VERSION=2
　　注意，最后导入的环境变量表示镜像服务客户端使用API版本2.0。官方文档将这一变量在镜像服务章节加入的，这里提前介绍。