带您轻松明白Keystone知识

作者:课课家教育更新于： 2017-06-30 18:26:07

　　欢迎各位阅读本篇文章，在整个云操作系统中它扮演了通用型认证系统，并且它可以与现有的后端目录服务如LDAP集成。本篇文章讲述了带您轻松明白Keystone知识，课课家教育平台提醒各位：本篇文章纯干货~因此大家一定要认真阅读本篇文章哦!

　　Keystone是OpenStack最基础、最关键的认证服务，目前已发展为Identity, Token, Catalog and Policy as a Service。

　　通过Keystone服务，我们可以在命令行创建user和tenant，也可以为OpenStack项目提供多租户的支持。搭建Keystone 服务要求Python 2.7或以上版本，为了简化安装我们制作了基于Liberty的Keystone容器镜像，一分钟就可以体验Keystone命令了，赶快尝试吧。

　　Keystone容器

　　Keystone容器镜像是基于Dockerfile automated build的Docker

　　使用方法非常简单，首先是通过apt或yum安装docker，运行Liberty Keystone就一行命令。

　　docker run -d -p 5000:5000 -p 35357:35357 tobegit3hub/keystone_docker

　　查看一下本地的5000和35357端口，发现Keystone已经运行起来了，接下来可以通过命令行或API来测试这个服务。

　　Keystone客户端

　　本地还需要安装Keystone客户端吗?当然不需要，设置连Python也不求要安装，直接复用前面的Keystone容器镜像。

　　docker run -i -t –net=host tobegit3hub/keystone_docker bash

　　Keystone命令行已经装好，使用已经提供的openrc文件即可。

　　source openrc

　　keystone user-create --name=admin --pass=ADMIN_PASS --email=admin@example.com

　　+----------+----------------------------------+

　　| Property | Value |

　　+----------+----------------------------------+

　　| email | admin@example.com |

　　| enabled | True |

　　| id | 6c12289f2324405aaa068da611a8fad0 |

　　| name | admin |

　　| username | admin |

　　+----------+----------------------------------+

　　keystone user-list

　　+----------------------------------+-------+---------+-------------------+

　　| id | name | enabled | email |

　　+----------------------------------+-------+---------+-------------------+

　　| 6c12289f2324405aaa068da611a8fad0 | admin | True | admin@example.com |

　　+----------------------------------+-------+---------+-------------------+

　　通过API也可以访问，测试命令如下：

　　curl -i \\

　　-H "Content-Type: application/json" \\

　　-d '

　　{ "auth": {

　　"identity": {

　　"methods": ["password"],

　　"password": {

　　"user": {

　　"name": "admin",

　　"domain": { "id": "default" },

　　"password": "ADMIN_PASS"

　　}

　　}

　　}

　　}

　　}' \\

　　http://localhost:5000/v3/auth/tokens ; echo

　　Keystone命令

　　有了环境，我们就可以使用Keystone命令行进行开发测试了。

　　创建新user

　　keystone user-create --name=admin --pass=ADMIN_PASS --email=admin@example.com

　　+----------+----------------------------------+

　　| Property | Value |

　　+----------+----------------------------------+

　　| email | admin@example.com |

　　| enabled | True |

　　| id | 6c12289f2324405aaa068da611a8fad0 |

　　| name | admin |

　　| username | admin |

　　+----------+----------------------------------+

　　列举所有user

　　keystone user-list

　　+----------------------------------+-------+---------+-------------------+

　　| id | name | enabled | email |

　　+----------------------------------+-------+---------+-------------------+

　　| 6c12289f2324405aaa068da611a8fad0 | admin | True | admin@example.com |

　　+----------------------------------+-------+---------+-------------------+

　　创建新tenant

　　keystone tenant-create –name admin-tenant

　　+————-+———————————-+

　　| Property | Value |

　　+————-+———————————-+

　　| description | |

　　| enabled | True |

　　| id | 8d66b107c30d45ca85353a5182f8a154 |

　　| name | admin-tenant |

　　+————-+———————————-+

　　列举所有tenant

　　keystone tenant-list

　　+———————————-+————–+———+

　　| id | name | enabled |

　　+———————————-+————–+———+

　　| 8d66b107c30d45ca85353a5182f8a154 | admin-tenant | True |

　　+———————————-+————–+———+

　　查看tenant详情

　　keystone tenant-get 8d66b107c30d45ca85353a5182f8a154

　　+————-+———————————-+

　　| Property | Value |

　　+————-+———————————-+

　　| description | |

　　| enabled | True |

　　| id | 8d66b107c30d45ca85353a5182f8a154 |

　　| name | admin-tenant |

　　+————-+———————————-+

　　创建新role

　　keystone role-create –name new-role

　　+———-+———————————-+

　　| Property | Value |

　　+———-+———————————-+

　　| id | 002701be4fd344538b93db05b9368b5c |

　　| name | new-role |

　　+———-+———————————-+

　　列举所有role

　　keystone role-list

　　+———————————-+———-+

　　| id | name |

　　+———————————-+———-+

　　| 002701be4fd344538b93db05b9368b5c | new-role |

　　+———————————-+———-+

　　查看服务

　　keystone service-list

　　总结

　　利用Docker和Keystone结合，我们可以快速clone出一个服务的运行环境，并且在本地开发和生产环境快速交付，还有更多Keystone命令等待大家去发现。

　　未来我们也将推出Glance、Cinder等容器镜像，让OpenStack交付更加轻松和容易!

　　课外知识分享：虚拟化

　　当安装一台电脑的时候，你不再是安装普通的Windows，而是安装一个资源调度程序，也叫“监控程序” (Hypervisor)。这个监控程序很小。

　　取决于哪个厂家的产品，小的只有100多兆字节， 大的也只有几个G的字节。 监控程序安装完成之后，会得到一个工作界面，你通过这个界面设置一个网络连接(IP地址)。这个界面很简单，多数情况下你可以通过浏览器从别的机器上访问这个界面。

　　前面说了，一个Windows机器，实质上就是一个由CPU、内存、和硬盘组成的一个组合体。通过监控程序的界面，你可以建立多个组合体。

　　每个这种组合体，就是一台仿真的电脑。当监控程序创建一个仿真的电脑时，它实际上只是创建了两个文件：一个是关于这个组合体的配置信息(被分配了多少CPU、多大内存、多大的硬盘);另外一个文件，这个仿真电脑的“硬盘”，这个仿真的“硬盘”实际上就是一个封装的文件(在有些情况下，也可以是几个文件)。

　　当你点击“开机”来启动这个仿真的电脑的时候，监控程序开始实际为它分配CPU和内存、并且启动它。当然，这“台”仿真的电脑在第一次启动的时候，是没有安装任何操作系统的“裸机”，那个封装的文件也是空的，这时你可以进行正常的系统安装(比如 安装Windows)。

　　对Windows而言，它不知道真假，它反正能够得到所需要的CPU、内存、和硬盘就可以正常运行了，一切都和真的机器一样。对监控程序而言，这个 Windows不是直接和硬件打交道的，一切资源都需要监控程序来调度和分配，所以这“台”Windows机器(组合体)就是一台虚拟的机器，简称VM。

　　这种通过监控程序把硬件的机器、同操作系统分开的过程，就是虚拟化。

　　当监控程序创建一个VM时，它就给VM配置资源的大小，比如2个1GHz的CPU、2GB内存、和100GB硬盘。这样，这个VM(Windows)就以为自己拥有了双核的1GHz CPU、2GB内存、和100GB 硬盘。但这只是Windows所能使用资源的上限。Windows在实际运行中并不需要消耗那么多，监控程序只是给它按需分配实际消耗的资源，比如 0.1GHz CPU、0.5GB 内存、和20GB 硬盘。

　　表现在实际的硬件消耗上，这20GB的存储量，就是实际硬盘上的那个20GB大小的封装文件。

　　一台电脑，可以通过监控程序创建几个、几十个、甚至上百个VMs。比如，一台拥有16GB内存的PC机，你可以创建10个VMs，给每个VM分配4GB内存。看似总共分配出了40GB的内存，但PC机的实际内存只有16GB。

　　通过虚拟化，一个单台的硬件机器可以同时运行多个虚拟的机器(VMs);更重要的是，虽然一个虚拟的Windows的系统盘(C盘)上有成千上万个系统文件，但它表现在硬件的存储设备(硬盘)上，只是一个或几个打包的大文件。当你把这一个或几个大文件移到别的地方，整个VM就移走了。

　　小结：它提供了多种格式的认证，包括标准的用户名、密码认证，基于令牌系统以及AWS类型的登录。当然如果大家还想了解更多方面的详细内容的话呢，不妨关注课课家教育平台，在这个学习知识的天堂中，您肯定会有意想不到的收获的!