Chapter5 Managing the Keystone Identity Service
source keystonerc_user1
keystone token-get
keystone user-list
总目标:管理Keystone Identity Service并进行排错
目标:
• 检查Keystone Identity Service
• 使用keystone命令进行用户管理
• 对Keystone Identity Service进行排错
章节:
• 检查Keystone Identity Service
• 使用keystone命令进行用户管理
• 对Keystone Identity Service进行排错
第一节:检查Keystone Identity Service
目标:
• 完成本节后,学员可以:查看OpenStack Keystone的配置
什么是Keystone identity service:
• Keystone identity service是红帽OpenStack平台提供的身份认证,token,
catalog和policy等服务
• Keystone使用token和authN和authZ三种方式的认证,并提供域服务
Keystone identity service的组织架构:
• Tenants:逻辑用户组,定义用户的权限(project)
• Roles:定义用户隶属于tenant的privilege层级
• Users:使用或管理OpenStack Cloud,用户可以隶属于多个tenants
• Services:定义OpenStack的服务,例如nova
• End points:描述services的网络地址,包含网络地址,API名称,相应的参数
• Catalog:服务的类型,为 identity, compute, network, image, 或 object-store 几
个 object 之一
• Tokens:临时keys,用户与服务进行交互式使用
将service加入Keystone service catalog并注册end point
• 第一步:创建 service,并指定属于的 type,以加入对应的 catalog:
- # keystone service-create --name=SERVICENAME --type=SERVICETYPE --
description="DESCRIPTION OF SERVICE"
- name和description由用户定义
- type必须为:identity, compute, network, image, 或 object-store几个object之
一
• 第二步:定义 service 的 end point:
- # keystone endpoint-create --service-id SERVICEID --publicurl 'URL' --
adminurl 'URL' --internalurl 'URL'
- service-id由 # service-create命令获得
- service-id还可以由 # keystone service-list命令获得
移除services和end points
• # keystone endpoint-list
• # keystone endpoint-delete ENDPOINTID
• # keystone service-list
• # keystone service-delete SERVICEID
OpenStack的配置文件
• OpenStack配置文件使用ini格式,分为多段,每段用[ ]包围
• 配置文件可以用crudini进行修改
• #crudini --set /etc/keystone/keystone.conf DEFAULT admin_token
abcdef1234567890
练习P79 Verifying the Keystone Identity Service
platform cloud 110+210+310 Devops 180 280 380