2、作用和功能 1.管理用户机器权限 2.维护openstack services的endpoint 3.Authentication(认证)和Authorization(鉴权)
3、Keystone中的几个概念:
1.User:指代任何使用OpenStack的实体,当User请求访问OpenStack时,keystone提供验证
2.Credentials(资格):User用来证明自己身份的信息(用户名/密码、Token、API Key、其他高级方式) (身份服务建立时就会生成,存储在数据库中,用于对比鉴定身份信息是否正确)
3.Authentication(验证):Keystone验证User身份的过程,验证合格后会签发一个令牌Token
4.Token(令牌):Authentication验证成功后会签发一个令牌,分配给user ,用作:访问Service的Credential(凭证)。 token并不是长久有效的,是有时效性的,在有效的时间内可以访问资源。
5.Project :是一个人或服务所拥有的资源集合。用于将OpenStack的资源(计算、存储、网络)进行分组和隔离 ,注:资源的所有权属于Project而不是User User在使用Project(Tenant)的资源前,必须要与这个Project关联,并且制定User在Project下的Role,一个assignment(关联) 即:Project-User-Role
6.Service:OpenStack的Service包括:compute(Nova)、Block Storage(Cinder)、Object Storage(Swift)、Image Service(Glance)、Networking Service(Neutron),每个Service都会提供若干个Endpoint,User 通过 Endpoint访问资源和执行操作
7.Endpoint: 是一个网络上可访问的地址,通常是一个 URL。Service 通过 Endpoint 暴露自己的 API。 Keystone 负责管理和维护每个 Service 的 Endpoint。
8.Role:安全包含两部分:Authentication(认证)和 Authorization(鉴权)
命令:openstack service list 查看Keystone服务是否开启 openstack endpoint list 查看PAI端点创建结果
