2. Keystone
• Keystone – AAC сервис
– авторизация
– аутентификация
– каталог сервисов
• «краеугольный камень» часто
становится «камнем преткновения»
– 30-40% проблем при развертывании
кластера – неправильная конфигурация
Keystone
21.06.2012 2
3. модель данных: авторизация и аутентификация
• пользователи
– имя, пароль
• роли
– полномочия роли описываются в
отдельном policy-файле
• тенанты
– пользователи + роли
– объекты (образы, виртуальные тома,
виртуальные машины и т.д.)
• токены
02.07.2012 3
4. модель данных: каталог сервисов
• сервис
– имя + тип
– типы: identity (Keystone), compute (Nova
API), volume (Nova API), image (Glance), ec2
(Nova API), object-store (Swift proxy)
• точки доступа к сервисам (“endpoint”)
– регион (region) (по-умолчанию RegionOne)
– public URL
– private URL
– admin URL
02.07.2012 4
5. минимальная конфигурация 1
данные общего назначения
• роли
– admin
– Member
• пользователи
– admin
• тенанты
– admin
02.07.2012 5
6. минимальная конфигурация 2
служебные данные
• сервисы
– identity, compute, volume, image, ec2
• точки доступа
• пользователи
– по пользователю на каждый сервис
• nova, glance
• служебный тенант (service)
– пользователи-сервисы + роль admin
02.07.2012 6
7. хранение данных
• пользователи, токены, тенанты и роли
– «из-коробки» хранятся в базе данных
• каталог
– default_catalog.templates
• настроен по-умолчанию
• удобно для отладки
– база данных
• оптимальный выбор для минимального
production кластера
• LDAP, etc. не рассматриваем
02.07.2012 7