权限划分介绍

权限划分介绍2知识目标理解Keystone中的重要概念掌握Keystone的管理类别学习目标3目录01Keystone中的重要概念02Keystone的管理类别4Keystone中的重要概念1.User（用户）User指代任何使用OpenStack的实体，可以是真正的用户，其他系统或者服务。当User请求访问OpenStack时，Keystone会对其进行验证。2.Group（组）组Group是表示用户集合的容器。5Keystone中的重要概念3.Credentials（证书）Credentials是User用来证明自己身份的信息，可以是：用户名/密码TokenAPIKey其他高级方式6Keystone中的重要概念4.Authentication（认证）Authentication是Keystone验证User身份的过程。User访问OpenStack时向Keystone提交用户名和密码形式的Credentials，Keystone验证通过后会给User签发一个Token作为后续访问的Credential。7Keystone中的重要概念5.Token（令牌）用户从Keystone那里获取的令牌，用于访问其他服务和资源的凭证，每个令牌都有一个访问范围，允许访问OpenStack范围内的服务资源。6.Project（项目）Project用于将OpenStack的资源（计算、存储和网络）进行分组和隔离。根据OpenStack服务的对象不同，Project可以是一个客户（公有云，也叫租户）、部门或者项目组（私有云）。8Keystone中的重要概念7.Service（服务）OpenStack的Service包括Compute(Nova)、BlockStorage(Cinder)、ObjectStorage(Swift)、ImageService(Glance)、NetworkingService(Neutron)等。每个Service都会提供若干个Endpoint，User通过Endpoint访问资源和执行操作。9Keystone中的重要概念8.Endpoint（访问端点）Endpoint是一个网络上可访问的地址，通常是一个URL，Service通过Endpoint暴露自己的API，Keystone负责管理和维护每个Service的Endpoint。10Keystone中的重要概念9.Role（角色）个性化的用户可以执行一组特定的操作，角色包括一组权利和特权，如果用户担当某一角色，就可以继承角色的权利和特权。在Keystone服务中，发放的令牌(Token)决定了用户的角色，包括一系列的权限，用户调用的服务诠释了用户的角色具体操作权利，即哪些操作可以，哪些操作不可以。11Keystone中的重要概念10.Domain（域）域Domain是项目、用户和组的高级容器,每个都由一个域拥有。每个域定义一个名称空间，其中API可见名称属性存在。Keystone提供了一个默认域名，称为“Default”。12Keystone的管理类别Keystone的管理主要包括用户身份管理和服务管理。1.用户身份管理用户身份管理有以下三个主要概念：用户（User）项目（Project）角色（Role