03-keystone组件

原创 已于 2025-05-07 16:21:48 修改 · 422 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #centos #openstack

于 2025-05-07 16:12:51 首次发布

keystone组件

一、数据库

1.安装软件

[root@controller ~]# yum install -y openstack-keystone httpd mod_wsgi python2-openstackclient

2.创建keystone数据库

[root@controller ~]# mysql -uroot -p
MariaDB [(none)]> create database keystone;
Query OK, 1 row affected (0.00 sec)

3.建两个授权用户

  • 允许本地登录的数据库用户
MariaDB [(none)]> grant all on keystone.* to 'keystone'@'localhost' identified by 'redhat';Query OK, 0 rows affected (0.00 sec)
  • 允许远程登录主机数据库的用户
MariaDB [(none)]> grant all on keystone.* to 'keystone'@'%' identified by 'redhat';
Query OK, 0 rows affected (0.00 sec)

MariaDB [(none)]> flush privileges;
Query OK, 0 rows affected (0.00 sec)

二、keystone配置文件

1.指定数据库的连接

[root@controller ~]# vim /etc/keystone/keystone.conf
[database]
connection = mysql+pymysql://keystone:redhat@controller/keystone
#数据库类型+数据库的驱动://数据库:密码@主机名/数据库
[token]
provider = fernet
#令牌生成的方法

2.生成认证服务需要的表

[root@controller ~]# su -s /bin/sh -c "keystone-manage db_sync" keystone

3.验证是否有表

[root@controller ~]# mysql -uroot -p
Enter password:
Welcome to the MariaDB monitor.  Commands end with ; or \g.
Your MariaDB connection id is 11
Server version: 10.3.20-MariaDB MariaDB Server

Copyright (c) 2000, 2018, Oracle, MariaDB Corporation Ab and others.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

MariaDB [(none)]> use keystone;
Reading table information for completion of table and column names
You can turn off this feature to get a quicker startup with -A

MariaDB [keystone]> show tables;
+------------------------------------+
| Tables_in_keystone                 |
+------------------------------------+
| access_rule                        |
| access_token                       |
| application_credential             |
| application_credential_access_rule |
| application_credential_role        |
| assignment                         |
| config_register                    |
| consumer                           |
| credential                         |
| endpoint                           |
| endpoint_group                     |
| federated_user                     |
| federation_protocol                |
| group                              |
| id_mapping                         |
| identity_provider                  |
| idp_remote_ids                     |
| implied_role                       |
| limit                              |
| local_user                         |
| mapping                            |
| migrate_version                    |
| nonlocal_user                      |
| password                           |
| policy                             |
| policy_association                 |
| project                            |
| project_endpoint                   |
| project_endpoint_group             |
| project_option                     |
| project_tag                        |
| region                             |
| registered_limit                   |
| request_token                      |
| revocation_event                   |
| role                               |
| role_option                        |
| sensitive_config                   |
| service                            |
| service_provider                   |
| system_assignment                  |
| token                              |
| trust                              |
| trust_role                         |
| user                               |
| user_group_membership              |
| user_option                        |
| whitelisted_config                 |
+------------------------------------+
48 rows in set (0.000 sec)

三、初始化fernet

[root@controller ~]# keystone-manage fernet_setup --keystone-user keystone --keystone-group keystone
[root@controller ~]# keystone-manage credential_setup --keystone-user keystone --keystone-group keystone

四、定义访问地址、区域名称、admin用户的密码

[root@controller ~]#  keystone-manage bootstrap --bootstrap-password redhat \
 --bootstrap-admin-url http://controller:5000/v3/ \
 --bootstrap-internal-url http://controller:5000/v3/ \
 --bootstrap-public-url http://controller:5000/v3/ \
 --bootstrap-region-id RegionOne

public 公共地址 面向用户
internal 内部地址 用于云平台的组件的相互通信
admin 管理地址 用户管理员后台管理
设置地区

五、让apache在controller启动服务

1.修改配置文件

[root@controller ~]# vim /etc/httpd/conf/httpd.conf
ServerName controller

2.keystone所带的虚拟主机配置文件与httpd的子配置文件建立软件链接

在启动httpd的时候会自动读取这个虚拟主机的配置文件

[root@controller ~]# ln -s /usr/share/keystone/wsgi-keystone.conf /etc/httpd/conf.d/

3.启动httpd

[root@controller ~]# systemctl start httpd
[root@controller ~]# systemctl enable httpd
Created symlink from /etc/systemd/system/multi-user.target.wants/httpd.service to /usr/lib/systemd/system/httpd.service.
[root@controller ~]# netstat -antp | grep http
tcp6       0      0 :::5000                 :::*                    LISTEN      7588/httpd
tcp6       0      0 :::80                   :::*                    LISTEN      7588/httpd

六、keystone相关名词解释

用户user
角色role:普通角色、管理角色
项目project:每个用户必须依托一个项目
域domain:项目需要工作在域中

在这里插入图片描述

七、环境变量

[root@controller ~]# export OS_USERNAME=admin
[root@controller ~]# export OS_PASSWORD=redhat
[root@controller ~]# export OS_PROJECT_NAME=admin
[root@controller ~]# export OS_USER_DOMAIN_NAME=Default
[root@controller ~]# export OS_PROJECT_DOMAIN_NAME=Default
[root@controller ~]# export OS_AUTH_URL=http://controller:5000/v3
[root@controller ~]# export OS_IDENTITY_API_VERSION=3
[root@controller ~]# export OS_IMAGE_API_VERSION=2

八、创建域

创建一个叫example的域,–description “An Example Domain”是这个域的描述信息

[root@controller ~]# openstack domain create --description "An Example Domain" example
+-------------+----------------------------------+
| Field       | Value                            |
+-------------+----------------------------------+
| description | An Example Domain                |
| enabled     | True                             |
| id          | df9cb673851b4588aa1125c64fd66558 |
| name        | example                          |
| options     | {}                               |
| tags        | []                               |
+-------------+----------------------------------+

每个域在创建好后会有一个唯一的id

列出所有的域

[root@controller ~]# openstack domain list
+----------------------------------+---------+---------+--------------------+
| ID                               | Name    | Enabled | Description        |
+----------------------------------+---------+---------+--------------------+
| default                          | Default | True    | The default domain |
| df9cb673851b4588aa1125c64fd66558 | example | True    | An Example Domain  |
+----------------------------------+---------+---------+--------------------+

系统默认有个default的域

九、创建项目

–domain default 指定所在域为default
–description “Service project” 和”Demo Project” 是描述信息
service和myproject 是项目名称

[root@controller ~]# openstack project create --domain default --description "Service project" service
+-------------+----------------------------------+
| Field       | Value                            |
+-------------+----------------------------------+
| description | Service project                  |
| domain_id   | default                          |
| enabled     | True                             |
| id          | 29d43980ca534e1b9f239c13ba24c7d1 |
| is_domain   | False                            |
| name        | service                          |
| options     | {}                               |
| parent_id   | default                          |
| tags        | []                               |
+-------------+----------------------------------+

[root@controller ~]# openstack project create --domain default --description "Demo Project" myproject
+-------------+----------------------------------+
| Field       | Value                            |
+-------------+----------------------------------+
| description | Demo Project                     |
| domain_id   | default                          |
| enabled     | True                             |
| id          | 63868136773b449c8802d08b091e910e |
| is_domain   | False                            |
| name        | myproject                        |
| options     | {}                               |
| parent_id   | default                          |
| tags        | []                               |
+-------------+----------------------------------+

十、创建用户

–domain default指定域
–password-prompt 设置密码
myuser 创建的用户的名字

[root@controller ~]# openstack user create --domain default --password-prompt myuser
User Password:
Repeat User Password:
+---------------------+----------------------------------+
| Field               | Value                            |
+---------------------+----------------------------------+
| domain_id           | default                          |
| enabled             | True                             |
| id                  | 0df0a4daa52b4911bb36ef5c5735250a |
| name                | myuser                           |
| options             | {}                               |
| password_expires_at | None                             |
+---------------------+----------------------------------+

十一、关联角色

创建角色

[root@controller ~]# openstack role create myrole
+-------------+----------------------------------+
| Field       | Value                            |
+-------------+----------------------------------+
| description | None                             |
| domain_id   | None                             |
| id          | 4592ab03696946a9a55ff93056d8951a |
| name        | myrole                           |
| options     | {}                               |
+-------------+----------------------------------+

关联角色

[root@controller ~]# openstack role add --project myproject --user myuser myrole

这是现在的结构
在这里插入图片描述

十二、验证

管理员角色验证令牌成功

[root@controller ~]# openstack --os-auth-url http://controller:5000/v3 \
> --os-project-domain-name Default --os-user-domain-name Default \
> --os-project-name admin --os-username admin token issue
+------------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| Field      | Value                                                                                                                                                                                   |
+------------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| expires    | 2024-10-09T03:07:16+0000                                                                                                                                                                |
| id         | gAAAAABnBeVUumzoDfSjMfX6DNC_CyV_atF3UjAN_xH00zMNZgQ0LTZ3mmt8PbNvI1BdeNw4XbCT1pxXjBXX-OgVcTF09pSih825hpFvzZ2fUI8Y7nu7HlZN5ocTUa0oW5b1bjjebUQP7WYqArM048OfvWpXwH-Z4N0-lnn4XJNdFDJvYlL6oVw |
| project_id | c0dc4cf8eda54d6584997ecbf8c7d1b8                                                                                                                                                        |
| user_id    | 8b501de8f7404fb4ba3d4ca043f6e85e                                                                                                                                                        |
+------------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+

如果普通用户想想验证令牌
需要重新输入环境变量,为了方便可以将环境变量写入脚本中
例如:

[root@controller ~]# vim adminexport 
OS_USERNAME=adminexport OS_PASSWORD=redhatexport 
OS_PROJECT_NAME=adminexport 
OS_USER_DOMAIN_NAME=Defaultexport 
OS_PROJECT_DOMAIN_NAME=Defaultexport 
OS_AUTH_URL=http://controller:5000/v3export 
OS_IDENTITY_API_VERSION=3export OS_IMAGE_API_VERSION=2

然后使用命令使其生效

[root@controller ~]# source admin

再次验证只需输入

[root@controller ~]# openstack token issue
+------------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| Field      | Value                                                                                                                                                                                   |
+------------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| expires    | 2024-10-09T03:14:28+0000                                                                                                                                                                |
| id         | gAAAAABnBecEr4o-zk_Pu5KhIttBa3SEwriQw9U_4SmekyTAo4sbsgKTZ6jzBJaTzXRMrJ3Ru2O9pzH6-ZfKgvUd9QcdvnUHvL-8vKa6kP-WAiy-Br5azpJaQJooqAMMKybodwHeWGx2NmG01JR3TkFh2hN6BRHRVL_2js5LD--COMLzykj_hUM |
| project_id | c0dc4cf8eda54d6584997ecbf8c7d1b8                                                                                                                                                        |
| user_id    | 8b501de8f7404fb4ba3d4ca043f6e85e                                                                                                                                                        |
+------------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
4fb4ba3d4ca043f6e85e                                                                                                                                                        |
+------------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
OpenStack实践:安装和配置Keystone服务
YjKubernetes的博客
10-03 428
其中之一是Keystone,它作为OpenStack的身份认证服务,负责管理用户、角色和权限。完成以上步骤后,你已成功安装和配置了Keystone服务。现在,你可以使用Keystone提供的API进行用户认证和身份管理了。在Keystone服务中,有一个特殊的用户称为管理员。在本篇文章中,我们将详细介绍如何安装和配置Keystone服务。首先,我们需要安装Keystone服务的软件包。接下来,我们需要创建Keystone所需的数据库。现在,我们需要同步Keystone服务与数据库的结构。
keystone安装脚本
02-05
OpenStack组件KeyStone的安装脚本,详见http://blog.csdn.net/networm3/article/details/8568784
keystone组件
weixin_52340511的博客
10-20 666
keystone组件
openstack——Keystone组件
哈哈园
12-26 251
Keystone Keystone手动安装 二进制安装包 二进制安装 源码安装 首先安装keystone依赖的操作系统的软件包 $ sudo apt-get install git python-dev sqlite3 libxml2-dev libxslit1-dev libsasl2 libsqlite3-dev libssl-dev libldap2-dev $ sud...
OpenStack_Havana_Install_guide的keystone脚本2
tsjsdbd的专栏
11-21 1061
endpoint.sh 内容: 直接帖上来就是发不了,下载附件
OpenStack Keystone服务安装脚本
ranweizheng的专栏
10-18 941
标题Controller #!/bin/bash install_keystone(){ #报错即刻退出 set -o errexit set -x #echo "--------------将dash修改为bash" #ls -l `which sh` #dpkg-reconfigure dash #ls -l `which sh` #sleep 5s echo "-------------...
OpenStack--Keystone组件部署
马铃薯老哥的博客
08-29 207
KEYSTONE主要功能管理对象Keystone认证过程Keystone身份服务组件安装创建数据库实例和数据库用户安装keystone、http、mod_wsgi配置 keystone初始化数据库 主要功能 身份认证:对用户进行身份认证,并对应权限范围 用户授权(令牌管理权限):以token令牌的方式标识用户对应拥有的权限范围 用户管理(寻址功能):提供用户访问资源的寻址功能(URL) 服务目录:所有服务的交互/调用,均需要keyston进行认证 管理对象 User:指使用Openstack serv
Openstack架构构建及详解(2)--keystone组件
2401_83817916的博客
04-02 547
由于篇幅限制,小编在此截出几张知识讲解的图解《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》点击传送门即可获取!” />由于篇幅限制,小编在此截出几张知识讲解的图解[外链图片转存中…(img-eIpkWjo8-1712054454294)][外链图片转存中…(img-K9inZGrE-1712054454294)][外链图片转存中…(img-j5tCjQXX-1712054454295)][外链图片转存中…(img-XdJWW10N-1712054454295)]
Linux运维-新集群运维高并发云计算Openstack虚拟化技术 - Keystone 组件之间的沟通方式.mp4
06-05
Linux运维-新集群运维高并发云计算Openstack虚拟化技术 - Keystone 组件之间的沟通方
安装及配置keystone
weixin_34032827的博客
04-10 308
[9] Install Keystone # Install from EPEL OpenStack,EPEL [root@cloud01 ~]#yum –enablerepo=epel-openstack-grizzly,epel -y install openstack-keystone opens...
openstack(F) keystone 安装的初始化的两个脚本
03-31
openstack keystone安装的两个脚本,网上版本很多,我安装的是F版的,可以使用。
Keystone安装配置.docx
07-30
Keystone安装配置
openstack【Kilo】入门 【keystone篇】九: 创建openstack客户端环境变量脚本
Jian Sun_的博客
11-17 1737
问题导读 1.juno版本与Kilo版本脚本有什么区别? 2.如何加载不同租户? 3.如何获取token? 1.创建脚本 创建admin 和 demo 租户脚本 1.编辑admin-openrc.sh 文件,添加如下内容 [Bash shell] 纯文本查看 复制代码 ? 1 2 3 4 5
Openstack云平台脚本部署之Keystone认证服务配置(六)
梅馨嫣栀
11-05 531
Openstack云平台脚本部署之Keystone认证服务配置
OpenStack平台Keystone组件的使用
m0_73299799的博客
05-25 1347
安装基础服务的服务器规划IP地址主机名节点controllerOpenstack控制节点使用机电云共享的单节点的openstack系统,自行修改虚拟网络编辑器、网络适配器,系统用户名:root,密码:000000。
【亲测免费】 Keystone 开源项目教程
gitblog_00868的博客
08-09 1245
Keystone 开源项目教程 项目介绍 Keystone 是一个开源的汇编框架,旨在提供一个跨平台的汇编引擎。它支持多种架构,包括 x86、ARM、MIPS 等,并且可以用于编译和反编译操作。Keystone 的主要特点是其灵活性和高性能,使其成为安全研究和开发工具的理想选择。 项目快速启动 安装 Keystone 首先,你需要克隆 Keystone 的仓库并进行安装: git clone ht...
实验06 Keystone安装与配置
inexaustible的博客
11-15 2137
一、实验目的: 1、掌握OpenStack环境搭建的基础工作 2、掌握keystone的安装与配置方法 3、掌握keystone基础接口的调用方法 二、实验步骤: 1、利用最初创建的快照克隆两台CentOS服务器,克隆的两台分别修改主机名为xxx-controller和xxx-compute1,修改IP地址为192.168.xx.10和192.168.xx.20。(xxx为自己姓名拼音,...
openstack keystone运维基础命令
WWNY666的博客
03-22 1250
查看当前openstack系统中所有的端点地址信息查询。查看当前openstack 系统中的某一个用户信息。查看当前openstack 系统中的所有项目信息。创建alice用户 密码为123456。查看openstack 中系统的用户列表。查看某一个角色列表的详细信息。根据创建的角色进行用户绑定。最后利用--help查看文档。执行环境变量脚本进行授权。
docspace|Linux|使用docker完全离线化部署onlyoffice之docspace文档协作系统(全网首发)
最新发布
zsk_john的技术分享专用博客
08-12 833
摘要:本文详细介绍了如何在离线环境下使用Docker快速部署OnlyOffice DocSpace文档协作系统。DocSpace提供了文档编辑、格式转换、协同修改等核心功能,支持主流文档格式(包括PDF)。部署过程包括环境准备(Docker 27+、docker-compose 2.0+)、离线镜像导入、系统安装及配置优化。通过修改安装脚本参数可自定义版本(如文档服务切换至9.0.4.1或6.1.1),并指定端口(案例使用1888)。文章包含完整的安装命令、常见问题处理(如MySQL健康检查)和卸载方法。该
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值