本节书摘来自异步社区《OpenStack云计算实战手册(第2版)》一书中的第1章,第1.9节,作者: 【英】Kevin Jackson , 【美】Cody Bunch 更多章节内容可以访问云栖社区“异步社区”公众号查看。
服务端点创建完成以后,接下来配置它们以便其他OpenStack服务能够调用它们。为此,要为每个服务都配置一个特定的service租户,并指定对应的用户名和密码。这样的目的是保证更高的安全性、以及用来为云环境做故障排除和审计等工作。对于每一个需要OpenStack身份认证服务来验证和授权的服务,都需要在该服务启动之前,在其相关的配置文件里详细写明用于Keystone验证的用户名和密码。例如,glance服务是在/etc/glance/glance-registry-api.ini文件中指定,当OpenStack身份认证服务使用时,必须与之前创建的相匹配。
[filter:authtoken] paste.filter_factory = keystone.middleware.auth_token:filter_factory service_protocol = http service_host = 172.16.0.200 service_port = 5000 auth_host = 172.16.0.200 auth_port = 35357 auth_protocol = http auth_uri = http://172.16.0.200:5000/ admin_tenant_name = service admin_user = glance admin_password = glance准备工作在开始之前,必须确认已经登录到已经安装了OpenStack身份认证服务的OpenStack控制节点上,或者有一个已经连接到安装了OpenStack身份认证服务的服务器上的Ubuntu客户端。
登录到使用Vagrant创建的OpenStack控制节点,执行以下命令:
vagrant ssh controller如果keystone客户端工具尚未安装,则可以通过如下命令在Ubuntu客户端上安装以便管理OpenStack身份认证服务:
sudo apt-get update sudo apt-get -y install python-keystoneclient确保已经设置了正确的环境变量,能访问到OpenStack环境。
export ENDPOINT=172.16.0.200 export SERVICE_TOKEN=ADMIN export SERVICE_ENDPOINT=http://${ENDPOINT}:35357/v2.0操作步骤要配置一个合适的服务租户,需要执行如下步骤。
1.创建服务租户,命令如下所示:
keystone tenant-create \ --name service \ --description "Service Tenant" \ --enabled true输出如图1-6所示。
2.记录下服务租户的ID,以方便后面使用。
SERVICE_TENANT_ID=$(keystone tenant-list \ | awk '/\ service\ / {print $2}')3.对于本节中的所有服务,都会为其创建一个用户账户,用户名和密码都和服务名称一致。例如,会在服务租户里用user-create选项创建一个用户名和密码均为nova的用户,命令如下所示:
keystone user-create \ --name nova \ --pass nova \ --tenant_id $SERVICE_TENANT_ID \ --email nova@localhost \ --enabled true输出如图1-7所示。
4.重复上一步,继续为其他用到OpenStack身份认证功能的服务创建用户。
keystone user-create \ --name glance --pass glance \ --tenant_id $SERVICE_TENANT_ID \ --email glance@localhost \ --enabled true keystone user-create \ --name keystone \ --pass keystone \ --tenant_id $SERVICE_TENANT_ID \ --email keystone@localhost \ --enabled true keystone user-create \ --name cinder \ --pass cinder \ --tenant_id $SERVICE_TENANT_ID \ --email cinder@localhost \ --enabled true5.现在为这些服务租户里的用户分配admin角色。为此,需要先取得nova用户的用户ID,然后在用user-role-add选项来分配角色。例如,为了将admin角色分配给服务租户里的nova用户,命令如下所示:
# Get the nova user id NOVA_USER_ID=$(keystone user-list \ | awk '/\ nova\ / {print $2}') # Get the admin role id ADMIN_ROLE_ID=$(keystone role-list\ | awk '/\ admin\ / {print $2}') # Assign the nova user the admin role in service tenant keystone user-role-add\ --user $NOVA_USER_ID\ --role $ADMIN_ROLE_ID\ --tenant_id $SERVICE_TENANT_ID6.接下来,重复上一步,继续为其他服务租户(glance、keystone和cinder用户)分配角色。
# Get the glance user id GLANCE_USER_ID=$(keystone user-list\ | awk '/\ glance\ / {print $2}') # Assign the glance user the admin role in service tenant keystone user-role-add\ --user $GLANCE_USER_ID\ --role $ADMIN_ROLE_ID\ --tenant_id $SERVICE_TENANT_ID # Get the keystone user id KEYSTONE_USER_ID=$(keystone user-list\ | awk '/\ keystone\ / {print $2}') # Assign the keystone user the admin role in service tenant keystone user-role-add\ --user $KEYSTONE_USER_ID\ --role $ADMIN_ROLE_ID\ --tenant_id $SERVICE_TENANT_ID # Get the cinder user id CINDER_USER_ID=$(keystone user-list\ | awk '/\ cinder \ / {print $2}') # Assign the cinder user the admin role in service tenant keystone user-role-add\ --user $CINDER_USER_ID\ --role $ADMIN_ROLE_ID\ --tenant_id $SERVICE_TENANT_ID工作原理创建服务租户,然后在其中添加OpenStack运行必需的各个服务的用户,这两步操作和在系统中添加需要admin角色的其他用户没什么不同。为每个拥有admin角色的用户分配用户名和密码,并确保它们存在于服务租户内。然后,使用这些凭证来配置服务OpenStack 的身份认证服务。
