openstack - 关键点OpenStack中的端点，区域等之间的关系

Question

我真的想了解有关端点，区域，租户，服务，用户和角色之间的关系的基石。
我试图找到相关文档，但不幸的是，失败了。

有人可以提供任何指示或解释吗？

Answer 1

Keystone是OpenStack的身份管理服务。

本质上，它的作用是向用户(无论是人员，服务还是其他任何东西)授予 token 。

如果您在OpenStack中的任何地方进行API查询，那么如果允许您进行API查询，就会发现keystone的API。

让我们从头开始。

用户。今天，Keystone中的用户通常是人。目前，没有足够的细粒度ACL支持，以传统意义上来说，实际上无法将OpenStack中的许多用户称为“服务”帐户。但是，有一个服务帐户用作OpenStack基础架构本身的一部分，与Keystone API进行回程连接。我们将避免深入研究该异常用户。

当用户对Keystone进行身份验证时(您打了OS_AUTH_URL以与Keystone对话。通常是Keystone api框的端口5000)，用户会说“我是用户X，我有密码Y，我属于租户Z”。 。

X可以是用户名或用户ID(user的唯一uuid)
Y是密码，但是您也可以使用 token 进行身份验证。
Z是租户名称或租户ID(租户的唯一uuid)。在过去的Keystone API中，您不需要指定租户名称，但是如果您不指定 token ， token 将不会非常有用，因为 token 不会与租户关联，然后您将被拒绝对该 token 的任何ACL承租人。

所以...用户是很明显的事情。密码是很明显的事情。但是租客是什么？

好吧，租户也被称为项目。实际上，已经有过多次尝试使该名称成为承租人或项目名称，但是由于无法坚持只使用一个术语，所以它们两者含义相同。就API而言，项目是租户。因此，如果您登录到Horizo​​n，将看到项目的下拉列表。每个项目对应一个租户ID。您的 token 也与特定的租户ID相关联。因此，如果您打算在该用户所属的多个租户上工作，则可能需要为该用户提供多个 token 。

现在，假设您将用户添加到admin的租户ID中。该用户是否获得管理员权限？答案是不。这就是角色发挥作用的地方。尽管管理租户中的用户可以访问管理虚拟机和配额以扩展虚拟机，但用户将无法执行诸如查询用户列表的梯形失真之类的操作。但是，如果您向该用户添加管理员角色，他们将获得ACL权限，可以在keystone API和其他API中充当管理员。因此，将租户视为一种资源组，并将角色视为ACL集。

区域更像是在开放堆栈基础架构环境中对物理资源进行地理分组的方式。说您有两个分段的数据中心。您可以将一个放在您的Openstack环境的区域A中，另一个放在区域B。就其用途而言，区域正在迅速发展，尤其是在较新的Openstack版本中引入了单元和域。除非您打算构建大型云，否则您可能不需要掌握这些知识。

梯形失真校正提供了最后一件事。目录。 Keystone目录有点像openstack API的电话簿。每当您使用命令行客户端时(例如当您调用nova list列出实例时)，nova都会首先对keystone进行身份验证并获得使用该API的 token ，但它也会立即向keystone目录索要API端点列表。对于keystone，cinder，nova，glance，swift等。nova实际上仅使用nova-api端点，尽管根据您的查询，您可以使用keystone管理API端点...。 。但是从本质上讲，目录是API在世界范围内的规范信息来源。这样，您只需要告诉客户端keystone的公共(public)API端点在哪里，就可以从目录中找出其余的内容。

现在，我已经引用了公共(public)API和Keystone的管理API。

是的，keystone有两个API。它在端口5000上运行一个API，在32000范围内运行另一个。 5000是公共(public)港口。在这里，您可以执行诸如查找目录之类的操作，并索取 token ，以便可以与其他API通讯。这非常简单，并且经过了一些强化。管理API将用于诸如更改用户密码或向用户添加新角色之类的事情。

很简单吗？