OpenStack安装(一)-KeyStone模块

一、安装和配置KeyStone

1. 为KeyStone配置数据库

  1. 使用数据库客户端,以root用户连接到数据库中:mysql -u root -p
  2. 创建KeyStone数据库:CREATE DATABASE keystone;
  3. 为KeyStone用户授权:
    GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'localhost' IDENTIFIED BY 'KEYSTONE_DBPASS';
    GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'%' IDENTIFIED BY 'KEYSTONE_DBPASS';

2. 安装KeyStone

  1. KeyStone服务的监听端口是5000和35357,配置Apache HTTP服务监听这两个端口,为了避免端口冲突,在Ubuntu上禁止KeyStone开机自启动:echo "manual" > /etc/init/keystone.override
  2. 安装与Keystone相关的软件包:
    apt-get install keystone python-openstackclient apache2 libapache2-mod-wsgi memcached python-memcache

3. 修改KeyStone的配置文件keystone.conf

修改/etc/keystone/keystone.conf
小技巧:将原文件备份,使用命令cat backup_file | grep -v '^#' > new_file可以生成新文件,并去掉注释,即cat /etc/keystone/keystone.conf.bak | grep -v '^#' > /etc/keystone/keystone.conf

  1. 随机生成一个16进制的token:openssl rand -hex 10
  2. 修改[default]部分,配置初始的令牌管理:admin_token = ADMIN_TOKEN
    ADMIN_TOKEN是刚才所生成的随机值
  3. 修改[database]部分,配置数据库的连接:
    connection = mysql://keystone:KEYSTONE_DBPASS@controller/keystone
  4. 修改[memcache],配置Memcache 服务:
    servers = localhost:11211
    11211是memecahced服务器的默认端口号
  5. 修改[token]部分,配置UUID令牌的提供者和memcached的持久化驱动:
    provider = keystone.token.providers.uuid.Provider
    driver = keystone.token.persistence.backends.memcache.Token
  6. 修改[revoke] 部分, 配置SQL的撤回驱动:
    driver = keystone.contrib.revoke.backends.sql.Revoke
    可选:为了方便做问题诊断,在[DEFAULT]部分,配置详细的日志输出:
    verbose = True
  7. 为keystone数据库填充数据:su -s /bin/sh -c "keystone-manage db_sync" keystone

4. 配置 Apache HTTP server

  1. 编辑/etc/apache2/apache2.conf,配置ServerName选项为控制节点hostname:ServerName controller
  2. 创建/etc/apache2/sites-available/wsgi-keystone.conf文件,添加如下内容:
    Listen 5000
    Listen 35357
    
    <VirtualHost *:5000>
        WSGIDaemonProcess keystone-public processes=5 threads=1 user=keystone display-name=%{GROUP}
        WSGIProcessGroup keystone-public
        WSGIScriptAlias / /var/www/cgi-bin/keystone/main
        WSGIApplicationGroup %{GLOBAL}
        WSGIPassAuthorization On
        <IfVersion >= 2.4>
        ErrorLogFormat "%{cu}t %M"
        </IfVersion>
        LogLevel info
        ErrorLog /var/log/apache2/keystone-error.log
        CustomLog /var/log/apache2/keystone-access.log combined
    </VirtualHost>
    
    <VirtualHost *:35357>
        WSGIDaemonProcess keystone-admin processes=5 threads=1 user=keystone display-name=%{GROUP}
        WSGIProcessGroup keystone-admin
        WSGIScriptAlias / /var/www/cgi-bin/keystone/admin
        WSGIApplicationGroup %{GLOBAL}
        WSGIPassAuthorization On
        <IfVersion >= 2.4>
        ErrorLogFormat "%{cu}t %M"
        </IfVersion>
        LogLevel info
        ErrorLog /var/log/apache2/keystone-error.log
        CustomLog /var/log/apache2/keystone-access.log combined
    </VirtualHost>
    
  3. 启用身份认证服务的虚拟主机:
    ln -s /etc/apache2/sites-available/wsgi-keystone.conf /etc/apache2/sites-enabled
  4. 为WSGI组件创建目录结构:mkdir -p /var/www/cgi-bin/keystone
  5. 拷贝WSGI组件到当前创建好的目录/var/www/cgi-bin/keystone下:
    curl http://git.openstack.org/cgit/openstack/keystone/plain/httpd/keystone.py?h=stable/kilo | tee /var/www/cgi-bin/keystone/main /var/www/cgi-bin/keystone/admin
  6. 设置目录和文件的权限:
    chown -R keystone:keystone /var/www/cgi-bin/keystone
    chmod 755 /var/www/cgi-bin/keystone/*
  7. 重启apache http server:service apache2 restart
  8. 删除ubuntu默认创建的SQLite数据库:rm -f /var/lib/keystone/keystone.sqlite

二、配置服务实体与API端点

1. 配置认证服务的服务实体

  1. 设置操作系统临时环境变量:校验令牌:export OS_TOKEN=ADMIN_TOKEN
  2. 设置操作系统临时环境变量:端点URL:export OS_URL=http://controller:35357/v2.0
  3. 为认证服务创建服务实体:
    openstack service create --name keystone --description "OpenStack Identity" identity
  4. 配置认证服务的API端点:
    openstack endpoint create --publicurl http://controller:5000/v2.0 --internalurl http://controller:5000/v2.0 --adminurl http://controller:35357/v2.0 --region RegionOne identity

三、创建项目(租户)、用户和角色

  1. 创建admin租户:openstack project create --description "Admin Project" admin
  2. 创建admin用户:openstack user create --password-prompt admin
  3. 创建admin角色:openstack role create admin
  4. 添加admin角色到admin租户和用户:openstack role add --project admin --user admin admin

四、创建服务项目

  1. 位其他的OpenStack服务创建服务项目:openstack project create --description "Service Project" service

五、创建普通项目和用户

  1. 创建demo项目:openstack project create --description "Demo Project" demo
  2. 创建demo用户:openstack user create --password-prompt demo
  3. 创建demo角色:openstack role create user
  4. 添加user角色到demo租户和用户:openstack role add --project demo --user demo user

六、校验安装

1. 校验安装前的准备

  1. 基于安全的原因,先临时禁止校验令牌的机制。编辑/etc/keystone/keystone-paste.ini:
    移除admin_token_auth从[pipeline:public_api], [pipeline:admin_api], [pipeline:api_v3]部分
  2. 取消设置的操作系统环境变量:unset OS_TOKEN OS_URL

2. 使用admin用户校验安装

  1. 以admin用户,从2.0版本的认证API申请一个校验令牌:
    openstack --os-auth-url http://controller:35357 --os-project-name admin --os-username admin --os-auth-type password token issue
    3.0版本的认证API支持域名,以admin用户申请一个校验令牌:
    openstack --os-auth-url http://controller:35357 --os-project-domain-id default --os-user-domain-id default --os-project-name admin --os-username admin --os-auth-type password token issue
  2. 以admin用户,校验admin用户是否有权限云查看认证服务中所包含的项目:
    openstack --os-auth-url http://controller:35357 --os-project-name admin --os-username admin --os-auth-type password project list
  3. 以admin用户,查看认证服务中的用户是否创建成功:
    openstack --os-auth-url http://controller:35357 --os-project-name admin --os-username admin --os-auth-type password user list
  4. 以admin用户,查看认证服务中的角色是否创建成功:
    openstack --os-auth-url http://controller:35357 --os-project-name admin --os-username admin --os-auth-type password role list

3. 使用demo用户校验安装

  1. 以demo用户,从v3版本的认证API中申请校验令牌:
    openstack --os-auth-url http://controller:5000 --os-project-domain-id default --os-user-domain-id default --os-project-name demo --os-username demo --os-auth-type password token issue
  2. 以demo用户,尝试能否执行只有管理用户才能执行的查看用户的操作:
    openstack --os-auth-url http://controller:5000 --os-project-domain-id default --os-user-domain-id default --os-project-name demo --os-username demo --os-auth-type password user list

七、创建OpenStack客户端脚本

1. 创建admin用户的脚本

创建和编辑文件admin-openrc.sh,加入如下内容:

export OS_PROJECT_DOMAIN_ID=default
export OS_USER_DOMAIN_ID=default
export OS_PROJECT_NAME=admin
export OS_TENANT_NAME=admin
export OS_USERNAME=admin
export OS_PASSWORD=ADMIN_PASS
export OS_AUTH_URL=http://controller:35357/v3

2. 创建demo用户的脚本

创建和编辑文件demo-openrc.sh,加入如下内容:

export OS_PROJECT_DOMAIN_ID=default
export OS_USER_DOMAIN_ID=default
export OS_PROJECT_NAME=demo
export OS_TENANT_NAME=demo
export OS_USERNAME=demo
export OS_PASSWORD=DEMO_PASS
export OS_AUTH_URL=http://controller:5000/v3

3. 测试脚本

  1. 加载脚本:source admin-openrc.sh
  2. 测试脚本:openstack token issue
    原文作者:野狗子嗷嗷嗷
    原文地址: https://www.jianshu.com/p/38cd74b7b3de
    本文转自网络文章,转载此文章仅为分享知识,如有侵权,请联系博主进行删除。
点赞