红帽全球峰会第 1 章 Identity Service (keystone)简介.
作为云管理员,您可以管理项目、用户和角色。
项目是包含资源集合的组织单元。您可以将用户分配给项目中的角色。角色定义这些用户能够对给定项目中的资源执行的操作。可以在多个项目中为用户分配角色。
每个 Red Hat OpenStack (RHOSP)部署必须包含分配给项目中的角色的用户。作为云管理员,您可以:
- 添加、更新和删除项目与用户。
- 将用户分配给一个或多个角色,并更改或删除这些分配。
- 管理相互独立的项目和用户。
您还可以使用 Identity 服务(keystone)配置用户身份验证,以控制对服务和端点的访问。Identity 服务提供基于令牌的身份验证,并可与 LDAP 和 Active Directory 集成,以便您可以从外部管理用户和身份,并将用户数据与 Identity 服务同步。
1.1. 资源凭据文件
安装 Red Hat OpenStack Platform director 时,会自动生成资源凭证(RC)文件:
# Clear any old environment that may conflict.
for key in $( set | awk -F= '/^OS_/ {print $1}' ); do unset "${key}" ; done
export OS_CLOUD=undercloud
# Add OS_CLOUDNAME to PS1
if [ -z "${CLOUDPROMPT_ENABLED:-}" ]; then
export PS1=${PS1:-""}
export PS1=\${OS_CLOUD:+"(\$OS_CLOUD)"}\ $PS1
export CLOUDPROMPT_ENABLED=1
fi
export PYTHONWARNINGS="ignore:Certificate has no, ignore:A true SSLContext object is not available"
提供 stackrc 文件,以将身份验证详细信息导出到 shell 环境中。这可让您针对本地 Red Hat OpenStack Platform director API 运行命令。
在安装 overcloud 期间生成的 RC 文件的名称是使用 'rc' 后缀的部署堆栈的名称。如果没有为堆栈提供自定义名称,则堆栈标记为 overcloud。创建了称为 overcloudrc 的 RC 文件:
# Clear any old environment that may conflict.
for key in $( set | awk '{FS="="} /^OS_/ {print $1}' ); do unset $key ; done
export OS_USERNAME=admin
export OS_PROJECT_NAME=admin
export OS_USER_DOMAIN_NAME=Default
export OS_PROJECT_DOMAIN_NAME=Default
export OS_NO_CACHE=True
export OS_CLOUDNAME=overcloud
export no_proxy=10.0.0.145,192.168.24.27
export PYTHONWARNINGS='ignore:Certificate has no, ignore:A true SSLContext object is not available'
export OS_AUTH_TYPE=password
export OS_PASSWORD=mpWt4y0Qhc9oTdACisp4wgo7F
export OS_AUTH_URL=http://10.0.0.145:5000
export OS_IDENTITY_API_VERSION=3
export OS_COMPUTE_API_VERSION=2.latest
export OS_IMAGE_API_VERSION=2
export OS_VOLUME_API_VERSION=3
export OS_REGION_NAME=regionOne
# Add OS_CLOUDNAME to PS1
if [ -z "${CLOUDPROMPT_ENABLED:-}" ]; then
export PS1=${PS1:-""}
export PS1=\${OS_CLOUDNAME:+"(\$OS_CLOUDNAME)"}\ $PS1
export CLOUDPROMPT_ENABLED=1
fi
overcloud RC 文件在文档中称为 overcloudrc,无论堆栈的实际名称是什么。提供 overcloudrc 文件,以将身份验证详细信息导出到 shell 环境中。这可让您针对 overcloud 集群的 control plane API 运行命令。自动生成的 overcloudrc 文件会在 admin 项目中将您验证为 admin 用户。此身份验证对于域管理任务(如创建提供商网络或项目)非常重要。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}