首页服务器Web服务器 OpenStack Mitaka 版本中的 domain 和 admin详解

OpenStack Mitaka 版本中的 domain 和 admin详解

admin admin 2019-10-13 14:35:06 阅读() 评论()

OpenStack 的 Keystone V3 中引入了 Domain 的概念。引入这个概念后,关于 admin 这个role 的定义就变得复杂了起来。 本文测试环境是社区 Mitaka 版本。 1. Domain,project,us…

OpenStack 的 Keystone V3 中引入了 Domain 的概念。引入这个概念后,关于 admin 这个role 的定义就变得复杂了起来。

本文测试环境是社区 Mitaka 版本。

1. Domain,project,user,role,token 的概念和关系

1.1 概况

简单来说,

  1. Domain - 表示 project 和 user 的集合,在公有云或者私有云中常常表示一个客户
  2. Group - 一个domain 中的部分用户的集合
  3. Project - IT基础设施资源的集合,比如虚机,卷,镜像等
  4. Role - 角色,表示一个 user 对一个 project resource 的权限
  5. Token - 一个 user 对于某个目标(project 或者 domain)的一个有限时间段内的身份令牌

它们之间的关系用一个不完整的图来表示:

OpenStack,Mitaka,domain,admin

说明:

  1. Domain 可以认为是 project,user,group 的 namespace。 一个 domain 内,这些元素的名称不可以重复,但是在两个不同的domain内,它们的名称可以重复。因此,在确定这些元素时,需要同时使用它们的名称和它们的 domain 的 id 或者 name。
  2. Group 是一个 domain 部分 user 的集合,其目的是为了方便分配 role。给一个 group 分配 role,结果会给 group 内的所有 users 分配这个 role。
  3. Role 是全局(global)的,因此在一个 keystone 管辖范围内其名称必须唯一。role 的名称没有意义,其意义在于 policy.json 文件根据 role 的名称所指定的允许进行的操作。
  4. 简单地,role 可以只有 admin 和 member 两个,前者表示管理员,后者表示普通用户。但是,结合 domain 和 project 的限定,admin 可以分为 cloud admin,domain admin 和 project admin。
  5. policy.json 文件中定义了 role 对某种类型的资源所能进行的操作,比如允许 cloud admin 创建 domain,允许所有用户创建卷等
  6. project 是资源的集合,其中有一类特殊的project 是 admin project。通过指定 admin_project_domain_name 和 admin_project_name 来确定一个 admin project,然后该project 中的 admin 用户即是 cloud admin。
  7. Token 具有 scope 的概念,分为 unscoped token,domain-scoped token 和 project-scoped token。下文有说明。

1.2 Token scope 和 Scoped token

官方文档在这里,我这里写的只是我的理解。

Token 是针对不同 scope 认证状态,这里的 scope 是指 project 和 domain,因此一共有三种 scoped token:

  1. project-scoped token:针对一个 project 的 token,它包含 service catalog, a set of roles, 和那个 project 的详细信息
  2. domain-scoped token:针对一个 domain  的 token,它具有有限的使用场景,只用于 domain 层面的操作。与 project-scoped 相比,它只具有优先的 sevice catalog
  3. unscoped token:当既不指定 project 也不指定 domain 为 scope ,同时 user 也没有 default project 时获得的 token,这是一种特殊的token。

下文有获取不同类型 token 的方法的描述。

2. 各种 admin

admin 是一种特别的 role。下面分两种情况讨论。

2.1 使用默认 policy.json 时候的 admin 的权限

2.1.1 Identity 资源的 admin 权限

对 Identiy 项目中的大多数资源的操作都需要 admin 权限,比如:

  "identity:get_user": "rule:admin_required",  "identity:list_users": "rule:admin_required",  "identity:create_user": "rule:admin_required",  "identity:update_user": "rule:admin_required",  "identity:delete_user": "rule:admin_required",
本文来自网络,不代表1号站长-站长学院|资讯交流平台立场。转载请注明出处: https://www.1cn.cc/fwq/web/2793.html
打赏
标签:
上一篇详解云与备份之VMware虚机备份和恢复
下一篇 在windows中追加/删除虚拟打印机实例教程
admin

作者: admin

这里可以再内容模板定义一些文字和说明,也可以调用对应作者的简介!或者做一些网站的描述之类的文字或者HTML!

为您推荐

OpenStack云计算快速入门教程(1)之OpenStack及其构成简介

OpenStack云计算快速入门教程(1)之OpenStack及其构成简介

OpenStack Identity(Keystone)身份服务、体系结构与中间件讲解

OpenStack Identity(Keystone)身份服务、体系结构与中间件讲解

OpenStack 中的Nova组件详解

OpenStack 中的Nova组件详解

OpenStack安装部署Liberty Neutron

OpenStack安装部署Liberty Neutron

OpenStack Keystone的基本概念详细介绍

OpenStack Keystone的基本概念详细介绍

OpenStack之虚机热迁移的代码详细解析

OpenStack之虚机热迁移的代码详细解析

评论列表()

    联系我们

    联系我们

    0898-88888888

    在线咨询: QQ交谈

    邮箱: email@wangzhan.com

    工作时间:周一至周五,9:00-17:30,节假日休息

    关注微信
    微信扫一扫关注我们

    微信扫一扫关注我们

    关注微博
    返回顶部