OpenStack离线Train版安装系列—3控制节点-Keystone认证服务组件

本文主要是介绍OpenStack离线Train版安装系列—3控制节点-Keystone认证服务组件,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

本系列文章包含从OpenStack离线源制作到完成OpenStack安装的全部过程。
在本系列教程中使用的OpenStack的安装版本为第20个版本Train(简称T版本),2020年5月13日,OpenStack社区发布了第21个版本Ussuri(简称U版本)。

OpenStack部署系列文章
OpenStack Victoria版 安装部署系列教程
OpenStack Ussuri版 离线安装部署系列教程(全)
OpenStack Train版 离线安装部署系列教程(全)
欢迎留言沟通,共同进步。


文章目录

  • Keystone认证服务组件
    • 一、创建keystone数据库并授权
      • 1.登录进入数据库
      • 2.创建keystone数据库并授权
    • 二、keystone相关软件安装与配置
      • 1.安装keystone相关软件
      • 2.快速修改keystone配置
      • 3.初始化同步keystone数据库
      • 4.同步完成进行连接测试
      • 5.初始化Fernet令牌库
      • 6.配置启动Apache(httpd)
      • 7.初始化引导keystone认证服务
      • 8.创建keystone的一般实例
        • ①JUST仅仅阅读1
        • ②JUST仅仅阅读2
        • 实际操作
    • 三、验证操作keystone是否安装成功
      • 1.去除环境变量
      • 2.作为管理员用户去请求一个认证的token
      • 3.使用普通用户获取认证token
    • 四、创建OpenStack客户端环境变量脚本
      • 1.创建admin用户的环境管理脚本
      • 2.创建普通用户myuser的客户端环境变量脚本
      • 3.测试环境管理脚本
    • 五、keystone安装完毕


Keystone认证服务组件

官方参考:openstack-services,keystone-install
博客园:CentOS7安装OpenStack(Rocky版)-02.安装Keyston认证服务组件(控制节点)

一、创建keystone数据库并授权

1.登录进入数据库

使用mysql数据库的root账户登录,密码为控制节点环境准备时初始化mysql数据设置的密码为root。

mysql -u root -proot

2.创建keystone数据库并授权

CREATE DATABASE keystone;GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'localhost' \
IDENTIFIED BY 'keystone';GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'%' \
IDENTIFIED BY 'keystone';flush privileges;
show databases;
select user,host from mysql.user;
exit

二、keystone相关软件安装与配置

1.安装keystone相关软件

# 配置Apache服务,使用带有“mod_wsgi”的HTTP服务器来相应认证服务请求,端口为5000和35357, 默认情况下,Kestone服务仍然监听这些端口
yum install httpd mod_wsgi -y
yum install openstack-keystone python-keystoneclient -y
#用于快速配置
yum install openstack-utils -y 

2.快速修改keystone配置

# 下面使用的快速配置方法需要安装Openstack-utils才可以实现
openstack-config --set /etc/keystone/keystone.conf database connection mysql+pymysql://keystone:keystone@controller/keystone
openstack-config --set /etc/keystone/keystone.conf token provider fernet
# 注意:keystone不需要连接rabbitmq
# 查看生效的配置
egrep -v "^#|^$" /etc/keystone/keystone.conf
# 其他方式查看生效配置
grep '^[a-z]' /etc/keystone/keystone.conf
# keystone不需要启动,通过http服务进行调用

3.初始化同步keystone数据库

同步keystone数据库

su -s /bin/sh -c "keystone-manage db_sync" keystone

4.同步完成进行连接测试

mysql  -ukeystone -pkeystone -e "use keystone;show tables;"
mysql -h192.168.232.101 -ukeystone -pkeystone -e "use keystone;show tables;"|wc -l

5.初始化Fernet令牌库

Initialize Fernet key repositories,关于Fernet令牌的介绍Keystone Fernet tokens

# 以下命令无返回信息keystone-manage fernet_setup --keystone-user keystone --keystone-group keystone
keystone-manage credential_setup --keystone-user keystone --keystone-group keystone

6.配置启动Apache(httpd)

(1)修改httpd主配置文件

sed  -i  "s/#ServerName www.example.com:80/ServerName controller/" /etc/httpd/conf/httpd.conf

或者

vim /etc/httpd/conf/httpd.conf +95
-------------------------------------
ServerName controller
-------------------------------------

(2)配置虚拟主机

# 创建keystone虚拟主机配置文件的快捷方式,也可以复制过来ln -s /usr/share/keystone/wsgi-keystone.conf /etc/httpd/conf.d/

(3)启动httpd并配置开机自启动
如果http起不来,需要关闭 selinux 或者安装 yum install openstack-selinux

systemctl start httpd.service
systemctl status httpd.service
netstat -anptl|grep httpdsystemctl enable httpd.service
systemctl list-unit-files |grep httpd.service

至此,http服务配置完成

7.初始化引导keystone认证服务

(1)创建 keystone 用户,初始化的服务实体和API端点
创建用户:需要创建一个密码ADMIN_PASS,作为登陆openstack的admin管理员用户,这里密码也创建为admin。
创建keystone服务实体和身份认证服务,以下三种类型分别为公共的、内部的、管理的。

  • 在endpoint表增加3个服务实体的API端点
  • 在local_user表中创建admin用户
  • 在project表中创建admin和Default项目(默认域)
  • 在role表创建3种角色,admin,member和reader,即公共的、内部的、管理的。
  • 在service表中创建identity服务
keystone-manage bootstrap --bootstrap-password admin \--bootstrap-admin-url http://controller:5000/v3/ \--bootstrap-internal-url http://controller:5000/v3/ \--bootstrap-public-url http://controller:5000/v3/ \--bootstrap-region-id RegionOnesource admin-openrc.sh
openstack catalog list

思考:
①此处的controller是否可以考虑换为管理网的IP地址,以便其他主机方便调用API,或者在其他主机配置主机文件controller为相应的IP地址。
②在之前的版本(queens之前),引导服务需要2个端口提供服务(用户5000和管理35357),本版本通过同一个端口提供服务
③关于访问地址endpoint表:Keystone介绍,Keystone介绍与安装
Endpoint 是一个网络上可访问的地址,通常是一个 URL。Service 通过 Endpoint 暴露自己的 API。 Keystone 负责管理和维护每个 Service 的 Endpoint。可以使用下面的命令来查看 Endpoint。

(2)临时配置管理员账户的相关变量进行管理

# 这里的export OS_PASSWORD要使用上面配置的ADMIN_PASS
export OS_USERNAME=admin
export OS_PASSWORD=admin
export OS_PROJECT_NAME=admin
export OS_USER_DOMAIN_NAME=Default
export OS_PROJECT_DOMAIN_NAME=Default
export OS_AUTH_URL=http://controller:5000/v3
export OS_IDENTITY_API_VERSION=3# 查看声明的变量
env |grep OS_

附:常用的openstack管理命令,需要应用管理员的环境变量

# 查看keystone实例相关信息
openstack endpoint list
openstack project list
openstack user list# 删除endpoint
openstack endpoint delete [ID]

8.创建keystone的一般实例

①JUST仅仅阅读1

https://www.cnblogs.com/shhnwangjian/p/6360066.html

openstack service create \--name=keystone \--description="Keystone Identity Service" \identityopenstack user create --password admin admin
openstack role create admin
openstack project create admin
openstack role add --project admin --user admin adminopenstack user create --password demo demo
openstack role create _member_
openstack project create demo
openstack role add --project demo --user demo _member_
②JUST仅仅阅读2
创建admin用户
1. 创建admin用户
# keystone user-create --name=admin --pass=ADMIN_PASS --email=ADMIN_EMAIL
2. 创建admin角色
# keystone role-create --name=admin
3. 创建admin租户
# keystone tenant-create --name=admin --description="Admin Tenant"
4. 将admin用户、admin角色、admin租户联系到一起
# keystone user-role-add --user=admin --tenant=admin --role=admin
5. 将admin用户、_member_角色、admin租户联系到一起
# keystone user-role-add --user=admin --role=_member_ --tenant=admin
创建普通用户
可以通过重复下面的步骤建立其他用户,创建其他用户时跳过创建租户的步骤。1. 创建demo用户
# keystone user-create --name=demo --pass=DEMO_PASS--email=DEMO_EMAIL
2. 创建demo租户:
# keystone tenant-create --name=demo --description="Demo Tenant"
3. 将demo用户、_member_角色、和demo租户联系到一起
# keystone user-role-add --user=demo --role=_member_ --tenant=demo
创建service租户
OpenStack服务需要一个用户名、租户和角色来访问其他OpenStack服务。所有的OpenStack服务通常共享一个名为service的租户。创建service租户
# keystone tenant-create --name=service --description="Service Tenant"
————————————————
版权声明:本文为CSDN博主「KILL_USR」的原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/shajc0504/article/details/39835817

创建域domain,项目 projects,用户 users,角色roles,OpenStack官方说明:keystone-users-rdo

域:default,已经在keystone引导程序步骤中创建。

实际操作

DO as followed

(1)【非必须】 创建一个名为example的域
在project表中创建名为example的项目

openstack domain create --description "An Example Domain" example

(2)【必须】 创建名为service的项目,在default域中。
用于常规(非管理)任务,需要使用无特权用户。以下命令会在project表中创建名为service的项目

openstack project create --domain default --description "Service Project" service

(3)【非必须】 创建名为myproject项目,在default域中。

作为一般用户(非管理员)的项目,为普通用户提供服务。以下命令会在project表中创建名为myproject项目

openstack project create --domain default --description "Demo Project" myproject

(4)【非必须】 创建myuser用户,在default域中。
以下命令会在local_user表增加myuser用户。使用–password选项为直接配置明文密码,使用–password-prompt选项为交互式输入密码
直接创建用户和密码

openstack user create --domain default  --password=myuser myuser

或者交互式输入密码

openstack user create --domain default  --password-prompt myuser

(5)【非必须】 创建myrole角色,在role表中。

openstack role create myrole

【必须】 但是需要创建一个默认角色user或者_member_

openstack role create user

原因/etc/openstack-dashboard/local_settings文件配置中填写的是user

vim /etc/openstack-dashboard/local_settings
--------------
#OPENSTACK_HOST = "127.0.0.1"
OPENSTACK_HOST = "controller"#unchanged
OPENSTACK_KEYSTONE_URL = "http://%s:5000/v3" % OPENSTACK_HOST#add new
OPENSTACK_KEYSTONE_MULTIDOMAIN_SUPPORT = True
OPENSTACK_KEYSTONE_DEFAULT_DOMAIN = "Default"
OPENSTACK_KEYSTONE_DEFAULT_ROLE = "user"
--------------

具体影响,OpenStack离线Train版安装系列—8.控制节点-Horizon服务组件

(6)将myrole角色添加到myproject项目中和myuser用户
以下命令无返回,数据表操作不太明显

openstack role add --project myproject --user myuser myrole

具体问题参考:具体影响,8.控制节点-Horizon服务组件
,亦可在上一步(5)的操作中,keystone创建的时候角色名称修改为_member_

(7)查看keystone实例相关信息

openstack endpoint list
openstack project list
openstack user list

三、验证操作keystone是否安装成功

1.去除环境变量

关闭临时认证令牌机制,获取 token,验证keystone配置成功

unset OS_AUTH_URL OS_PASSWORD
env |grep OS_
## 

2.作为管理员用户去请求一个认证的token

测试是否可以使用admin账户进行登陆认证,请求认证令牌

openstack --os-auth-url http://controller:5000/v3 \--os-project-domain-name Default --os-user-domain-name Default \--os-project-name admin --os-username admin token issue
输入密码:admin

3.使用普通用户获取认证token

以下命令使用”myuser“用户的密码和API端口5000,只允许对身份认证服务API的常规(非管理)访问。

openstack --os-auth-url http://controller:5000/v3 \--os-project-domain-name Default --os-user-domain-name Default \--os-project-name myproject --os-username myuser token issue
输入密码:myuser

四、创建OpenStack客户端环境变量脚本

Create OpenStack client environment scripts,上面使用环境变量和命令选项的组合通过“openstack”客户端与身份认证服务交互。
为了提升客户端操作的效率,OpenStack支持简单的客户端环境变量脚本即OpenRC 文件,我这里使用自定义的文件名

1.创建admin用户的环境管理脚本

cd
touch admin-openrc.sh
vim admin-openrc.sh
# 文件内容
export OS_PROJECT_DOMAIN_NAME=Default
export OS_USER_DOMAIN_NAME=Default
export OS_PROJECT_NAME=admin
export OS_USERNAME=admin
export OS_PASSWORD=admin
export OS_AUTH_URL=http://controller:5000/v3
export OS_IDENTITY_API_VERSION=3
export OS_IMAGE_API_VERSION=2

2.创建普通用户myuser的客户端环境变量脚本

touch myuser-openrc.sh
vim myuser-openrc.sh
# 文件内容
export OS_PROJECT_DOMAIN_NAME=Default
export OS_USER_DOMAIN_NAME=Default
export OS_PROJECT_NAME=myproject
export OS_USERNAME=myuser
export OS_PASSWORD=myuser
export OS_AUTH_URL=http://controller:5000/v3
export OS_IDENTITY_API_VERSION=3
export OS_IMAGE_API_VERSION=2

3.测试环境管理脚本

source admin-openrc.sh
openstack token issuesource myuser-openrc.sh
openstack token issue

可以看到user_id和上面用命令获取到的是一样的,说明配置成功

五、keystone安装完毕

至此,控制节点的keystone认证服务组件完成安装与配置,使用VMware虚拟机的话,现在可以关机做快照。

这篇关于OpenStack离线Train版安装系列—3控制节点-Keystone认证服务组件的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1147924

相关文章

Spring Security 基于表达式的权限控制

前言 spring security 3.0已经可以使用spring el表达式来控制授权,允许在表达式中使用复杂的布尔逻辑来控制访问的权限。 常见的表达式 Spring Security可用表达式对象的基类是SecurityExpressionRoot。 表达式描述hasRole([role])用户拥有制定的角色时返回true (Spring security默认会带有ROLE_前缀),去

浅析Spring Security认证过程

类图 为了方便理解Spring Security认证流程,特意画了如下的类图,包含相关的核心认证类 概述 核心验证器 AuthenticationManager 该对象提供了认证方法的入口,接收一个Authentiaton对象作为参数; public interface AuthenticationManager {Authentication authenticate(Authenti

Spring Security 从入门到进阶系列教程

Spring Security 入门系列 《保护 Web 应用的安全》 《Spring-Security-入门(一):登录与退出》 《Spring-Security-入门(二):基于数据库验证》 《Spring-Security-入门(三):密码加密》 《Spring-Security-入门(四):自定义-Filter》 《Spring-Security-入门(五):在 Sprin

JS常用组件收集

收集了一些平时遇到的前端比较优秀的组件,方便以后开发的时候查找!!! 函数工具: Lodash 页面固定: stickUp、jQuery.Pin 轮播: unslider、swiper 开关: switch 复选框: icheck 气泡: grumble 隐藏元素: Headroom

Zookeeper安装和配置说明

一、Zookeeper的搭建方式 Zookeeper安装方式有三种,单机模式和集群模式以及伪集群模式。 ■ 单机模式:Zookeeper只运行在一台服务器上,适合测试环境; ■ 伪集群模式:就是在一台物理机上运行多个Zookeeper 实例; ■ 集群模式:Zookeeper运行于一个集群上,适合生产环境,这个计算机集群被称为一个“集合体”(ensemble) Zookeeper通过复制来实现

CentOS7安装配置mysql5.7 tar免安装版

一、CentOS7.4系统自带mariadb # 查看系统自带的Mariadb[root@localhost~]# rpm -qa|grep mariadbmariadb-libs-5.5.44-2.el7.centos.x86_64# 卸载系统自带的Mariadb[root@localhost ~]# rpm -e --nodeps mariadb-libs-5.5.44-2.el7

Centos7安装Mongodb4

1、下载源码包 curl -O https://fastdl.mongodb.org/linux/mongodb-linux-x86_64-rhel70-4.2.1.tgz 2、解压 放到 /usr/local/ 目录下 tar -zxvf mongodb-linux-x86_64-rhel70-4.2.1.tgzmv mongodb-linux-x86_64-rhel70-4.2.1/

【前端学习】AntV G6-08 深入图形与图形分组、自定义节点、节点动画(下)

【课程链接】 AntV G6:深入图形与图形分组、自定义节点、节点动画(下)_哔哩哔哩_bilibili 本章十吾老师讲解了一个复杂的自定义节点中,应该怎样去计算和绘制图形,如何给一个图形制作不间断的动画,以及在鼠标事件之后产生动画。(有点难,需要好好理解) <!DOCTYPE html><html><head><meta charset="UTF-8"><title>06

Centos7安装JDK1.8保姆版

工欲善其事,必先利其器。这句话同样适用于学习Java编程。在开始Java的学习旅程之前,我们必须首先配置好适合的开发环境。 通过事先准备好这些工具和配置,我们可以避免在学习过程中遇到因环境问题导致的代码异常或错误。一个稳定、高效的开发环境能够让我们更加专注于代码的学习和编写,提升学习效率,减少不必要的困扰和挫折感。因此,在学习Java之初,投入一些时间和精力来配置好开发环境是非常值得的。这将为我

如何在页面调用utility bar并传递参数至lwc组件

1.在app的utility item中添加lwc组件: 2.调用utility bar api的方式有两种: 方法一,通过lwc调用: import {LightningElement,api ,wire } from 'lwc';import { publish, MessageContext } from 'lightning/messageService';import Ca