今天來講 Openstack 中 的 Identity Service (Keystone)

複習一下先前這個Service的用途，

先前只簡單解釋是提供憑證與認証的伺服器。

"Keystone is the project name for OpenStack Identity Service" 官方定義

所以主要是用來使用者權限與各個Service是否有權限可以正常執行。

其認証方式基於下列兩種：

username/password based

token based

由上圖可以清楚得知Keystone 與 其他服務的 關係圖。

在之後再設定Keystone的課程時候，會遇到下列的名詞。

這邊我們先做解釋

Authentication

the act of confirming the identity of a user

用來描述使用者透過Keystone來申請授權，並且回覆授權這個動作。

User

a person, system, or service who uses OpenStack services

這裡的使用者指的不一定是 End-User 或者管理者，

抑或是系統上的服務或者其他 openstack Service.

Role

a personality that a user assumes when performing specific operations

指的上頭的所描述的User 操作運作時，可允許特定操作的

Credentials

data that is owned by users to prove who they are

指的使用者需要其證明身份ID卡

Token

an arbitrary bit of text that is used to access resources

證明身份之令牌

Tenant （）

以群組來分割其資源其物件，

例如以公司內部來說，

將會計部門與MIS部門已不同群組來分割。

Service

提供endpoint接口，提供讓上述的User 來操作其服務

provide endpoints through which users can access resources and perform operations

Endpoint

設定endpoint接口位址

an URL where a service may be accessed

下面來介紹的Keystone 服務的請求流程

我們一樣用啟動虛擬機器來介紹此次流程

1. Alice User需要啟動一台虛擬機器

首先他需送出 Credentials 的ID卡給Keystone Service.

確認正確性後，

而Keystone 傳送其時效性的 Tokens 給 Alice

與一般性資料給Alice

2. Alice 請求他所有可使用的Tenants ，於 Keystone

他把之前Keystone 所送回來的的Token ，送回去來確認是否為合法使用者。

Keystone 確認無誤後，則會將 他所擁有的Tenants 送回去。

3. Keystone 提供Alice 她所有的服務清單

Alice 將其Credentials 的ID 卡送給需求的專案服務之前必須先通過Keystone，

keystone 將會先確認合法性後，將其與專案溝通的Token 提供給Alice

此時Alice才可以合法與其他服務透過End-Point溝通（例如NOVA）

4. 服務會來 確認Alice的token是否合法

Nova Service 透過其End-point 與 Keystone。

溝通確認是否為正確的token,與其允許Alice的服務使用用量

5. Keystone 將會提供額外的資訊給 Compute-related Service (NOVA)

回傳 Alice 是否有權限來使用Service，並且確認token 是否合法。

6. 服務執行其請求 (開啟虛擬機器

7. service 將會報其資訊給alice （此次就不需要Keystone介入）

原因是 其已經讓到授權的token，不需要再次認証。直到其Token 過期為止

Happy Hacking

Day 14 ending