openstack-keystone中的权限管理理解
2013-10-08 10:01
429 查看
1)endpoint即提供服务的地址,服务(service)是个抽象的概念,endpoint需要绑定在service上;
2)权限即是否被允许访问openstack中某些服务;
3)角色代表一系列的权限;
4)用户需要绑定在相应的角色上,才能拥有这个角色的权限;
5)用户可以属于一个或者多个租户,用户在同一个租户中可以有一个或者多个角色;
以下摘自网络资源:
Keystone基本概念介绍
1. User
User即用户,他们代表可以通过keystone进行访问的人或程序。Users通过认证信息(credentials,如密码、APIKeys等)进行验证。
2. Tenant
Tenant即租户,它是各个服务中的一些可以访问的资源集合。例如,在Nova中一个tenant可以是一些机器,在Swift和Glance中一个tenant可以是一些镜像存储,在Quantum中一个tenant可以是一些网络资源。Users默认的总是绑定到某些tenant上。
3. Role
Role即角色,Roles代表一组用户可以访问的资源权限,例如Nova中的虚拟机、Glance中的镜像。Users可以被添加到任意一个全局的或租户内的角色中。在全局的role中,用户的role权限作用于所有的租户,即可以对所有的租户执行role规定的权限;在租户内的role中,用户仅能在当前租户内执行role规定的权限。
4. Service
Service即服务,如Nova、Glance、Swift。根据前三个概念(User,Tenant和Role)一个服务可以确认当前用户是否具有访问其资源的权限。但是当一个user尝试着访问其租户内的service时,他必须知道这个service是否存在以及如何访问这个service,这里通常使用一些不同的名称表示不同的服务。在上文中谈到的Role,实际上也是可以绑定到某个service的。例如,当swift需要一个管理员权限的访问进行对象创建时,对于相同的role我们并不一定也需要对nova进行管理员权限的访问。为了实现这个目标,我们应该创建两个独立的管理员role,一个绑定到swift,另一个绑定到nova,从而实现对swift进行管理员权限访问不会影响到Nova或其他服务。
5. Endpoint
Endpoint,翻译为“端点”,我们可以理解它是一个服务暴露出来的访问点,如果需要访问一个服务,则必须知道他的endpoint。因此,在keystone中包含一个endpoint模板(endpointtemplate,在安装keystone的时候我们可以在conf文件夹下看到这个文件),这个模板提供了所有存在的服务endpoints信息。一个endpointtemplate包含一个URLs列表,列表中的每个URL都对应一个服务实例的访问地址,并且具有public、private和admin这三种权限。publicurl可以被全局访问(如http://compute.example.com),privateurl只能被局域网访问(如http://compute.example.local),adminurl被从常规的访问中分离。
2)权限即是否被允许访问openstack中某些服务;
3)角色代表一系列的权限;
4)用户需要绑定在相应的角色上,才能拥有这个角色的权限;
5)用户可以属于一个或者多个租户,用户在同一个租户中可以有一个或者多个角色;
以下摘自网络资源:
Keystone基本概念介绍
1. User
User即用户,他们代表可以通过keystone进行访问的人或程序。Users通过认证信息(credentials,如密码、APIKeys等)进行验证。
2. Tenant
Tenant即租户,它是各个服务中的一些可以访问的资源集合。例如,在Nova中一个tenant可以是一些机器,在Swift和Glance中一个tenant可以是一些镜像存储,在Quantum中一个tenant可以是一些网络资源。Users默认的总是绑定到某些tenant上。
3. Role
Role即角色,Roles代表一组用户可以访问的资源权限,例如Nova中的虚拟机、Glance中的镜像。Users可以被添加到任意一个全局的或租户内的角色中。在全局的role中,用户的role权限作用于所有的租户,即可以对所有的租户执行role规定的权限;在租户内的role中,用户仅能在当前租户内执行role规定的权限。
4. Service
Service即服务,如Nova、Glance、Swift。根据前三个概念(User,Tenant和Role)一个服务可以确认当前用户是否具有访问其资源的权限。但是当一个user尝试着访问其租户内的service时,他必须知道这个service是否存在以及如何访问这个service,这里通常使用一些不同的名称表示不同的服务。在上文中谈到的Role,实际上也是可以绑定到某个service的。例如,当swift需要一个管理员权限的访问进行对象创建时,对于相同的role我们并不一定也需要对nova进行管理员权限的访问。为了实现这个目标,我们应该创建两个独立的管理员role,一个绑定到swift,另一个绑定到nova,从而实现对swift进行管理员权限访问不会影响到Nova或其他服务。
5. Endpoint
Endpoint,翻译为“端点”,我们可以理解它是一个服务暴露出来的访问点,如果需要访问一个服务,则必须知道他的endpoint。因此,在keystone中包含一个endpoint模板(endpointtemplate,在安装keystone的时候我们可以在conf文件夹下看到这个文件),这个模板提供了所有存在的服务endpoints信息。一个endpointtemplate包含一个URLs列表,列表中的每个URL都对应一个服务实例的访问地址,并且具有public、private和admin这三种权限。publicurl可以被全局访问(如http://compute.example.com),privateurl只能被局域网访问(如http://compute.example.local),adminurl被从常规的访问中分离。
相关文章推荐
- OpenStack Keystone (2): 角色权限管理
- 理解OpenStack认证:Keystone PKI
- openstack-keystone安装权限报错问题
- 终于理解你的软件 搞那么多年了 (通用权限管理系统组件源码完善了7-8年)
- 《转》OpenStack Keystone的基本概念理解
- OpenStack Keystone的基本概念理解
- openstack keystone分析之一---------登陆和权限验证
- 理解OpenStack认证:Keystone PKI
- rbac权限管理初步理解
- OpenStack keystone中各个角色的理解
- 用户组与权限管理的理解及切换用户相关命令使用
- OpenStack Keystone的基本概念理解
- 权限管理表设计逻辑理解
- OpenStack 认证服务 KeyStone连接和用户管理(四)
- HDFS多用户管理ACL机制other权限访问控制的理解
- Hive用户权限管理理解
- Linux权限管理以及Access Modify Change时间的理解
- 运维笔记4(用户信息涉及到的文件,用户管理命令,用户权限的下放,更新:关于useradd -b -d -m -k的一些理解和使用)
- 【Openstack】Openstack keystone的理解 1
- 理解 Keystone 核心概念 - 每天5分钟玩转 OpenStack(18)