打开《OpenStack 云平台-部署与高可用实战》_2.3.6 身份认证服务Keystone 端点

【摘要】 本书摘自《OpenStack 云平台-部署与高可用实战》一书中第2.3.6节，肖睿 雷宇飞主编。

2.3.6 身份认证服务Keystone 端点

6. 端 点(endpoint)

所谓端点，是指用于访问某个服务的网络地址或 URL。 如果需要访问一个服务，则 必须知道该服务的端点。在 Keystone 中包含一个端点模板，提供了所有已存在的服务的 端点信息。 一个端点模板包含一个URL 列表，列表中的每个URL 都对应一个服务实例 的访问地址，并且具有 public 、private 和 admin 三种权限。其中， public 类型的端点可 以被全局访问， private类型的端点只能被 OpenStack 内部服务访问， admin 类型的端点 只能被管理员访问。

OpenStack 身份认证服务将管理认证、授权以及服务目录整合为一个访问点，同时 也是用户和 OpenStack 进行交互的第一个服务。 一旦认证通过，终端用户将可以使用其 身份访问 OpenStack 其他服务。同样的，其他服务也将利用身份认证服务来确认用户身 份是否合法以及是否具备相应的权限。此外， OpenStack 身份认证服务还可以集成其他 的身份认证管理系统，如 LDAP 等。

身份认证服务为其他 OpenStack 服务提供验证和授权服务，为所有服务提供终端目 录。此外，只提供用户信息但是不在OpenStack 项目中的服务(如 LDAP 服务)可被整 合进先前存在的基础设施中。

为了从身份认证服务中获益，其他 OpenStack 服务需要与身份认证服务合作来完成 某个任务。当某个 OpenStack 服务收到来自用户的请求时，该服务发送请求到身份认证 服务，以验证用户是否具有权限进行此次请求。当安装 OpenStack 身份认证服务时，用 户必须将其注册到 OpenStack 安装环境的每个服务。身份认证服务才可以追踪到已经安 装了哪些 OpenStack 服务，并在网络中定位它们。

Keystone 是 OpenStack 框架中负责管理身份验证、服务规则和服务令牌功能的模块。 用户访问资源需要验证用户的身份与权限，服务执行操作也需要进行权限检测，这些都 需要通过 Keystone 来处理。Keystone 类似于一个服务总线，或者说是整个 OpenStack 框 架的注册表，其他服务都通过Keystone 来注册其服务的端点，任何服务之间的相互调用， 也需要经过 Keystone 的身份验证，并获得目标服务的端点，从而找到目标服务。以创建 一个云主机为例，图2.2是 Keystone 的工作流程图。

身份认证服务包含以下组件。

● 服务器： 一个中心化的服务器使用RESTful 接口来提供认证和授权服务。

· 驱动：驱动或服务后端被整合到集中式服务器中，它们被用来访问OpenStack 外 部仓库的身份信息，并且可能已经存在于 OpenStack 被部署的基础设施(如 SQL 数据库 或 LDAP 服务器)中。

· 模块：模块运行于使用身份认证服务的 OpenStack 组件的地址空间中，这些模块 用于拦截服务请求，获取用户凭据，并将它们送入中央服务器以寻求授权。使用 Python Web服务器网关接口，可以实现中间件模块和 OpenStack 组件间的整合。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们 18664393530@aliyun.com 处理，核实后本网站将在24小时内删除侵权内容。