一分钟玩转Keystone是一种怎样的体验

Keystone是OpenStack最基础、最关键的认证服务,目前已发展为Identity, Token, Catalog and Policy as a Service。

通过Keystone服务,我们可以在命令行创建user和tenant,也可以为OpenStack项目提供多租户的支持。搭建Keystone 服务要求Python 2.7或以上版本,为了简化安装我们制作了基于Liberty的Keystone容器镜像,一分钟就可以体验Keystone命令了,赶快尝试吧。

Keystone容器

Keystone容器镜像是基于Dockerfile automated build的,完整的源码可以在Github查阅 https://github.com/tobegit3hub/keystone_docker

使用方法非常简单,首先是通过apt或yum安装docker,运行Liberty Keystone就一行命令。

docker run -d -p 5000:5000 -p 35357:35357 tobegit3hub/keystone_docker

查看一下本地的5000和35357端口,发现Keystone已经运行起来了,接下来可以通过命令行或API来测试这个服务。

Keystone客户端

本地还需要安装Keystone客户端吗?当然不需要,设置连Python也不求要安装,直接复用前面的Keystone容器镜像。

docker run -i -t –net=host tobegit3hub/keystone_docker bash

Keystone命令行已经装好,使用已经提供的openrc文件即可。


  1. source openrc 
  2. keystone user-create --name=admin --pass=ADMIN_PASS --email=admin@example.com 
  3. +----------+----------------------------------+ 
  4. | Property |              Value               | 
  5. +----------+----------------------------------+ 
  6. |  email   |        admin@example.com         | 
  7. | enabled  |               True               | 
  8. |    id    | 6c12289f2324405aaa068da611a8fad0 | 
  9. |   name   |              admin               | 
  10. | username |              admin               | 
  11. +----------+----------------------------------+ 
  12. keystone user-list 
  13. +----------------------------------+-------+---------+-------------------+ 
  14. |                id                |  name | enabled |       email       | 
  15. +----------------------------------+-------+---------+-------------------+ 
  16. | 6c12289f2324405aaa068da611a8fad0 | admin |   True  | admin@example.com | 
  17. +----------------------------------+-------+---------+-------------------+ 

通过API也可以访问,测试命令如下:


  1. curl -i \ 
  2.   -H "Content-Type: application/json" \ 
  3.   -d ' 
  4. { "auth": { 
  5.     "identity": { 
  6.       "methods": ["password"], 
  7.       "password": { 
  8.         "user": { 
  9.           "name": "admin", 
  10.           "domain": { "id": "default" }, 
  11.           "password": "ADMIN_PASS" 
  12.         } 
  13.       } 
  14.     } 
  15.   } 
  16. }' \ 
  17.   http://localhost:5000/v3/auth/tokens ; echo 

Keystone命令

有了环境,我们就可以使用Keystone命令行进行开发测试了。

创建新user


  1. keystone user-create --name=admin --pass=ADMIN_PASS --email=admin@example.com 
  2. +----------+----------------------------------+ 
  3. | Property |              Value               | 
  4. +----------+----------------------------------+ 
  5. |  email   |        admin@example.com         | 
  6. | enabled  |               True               | 
  7. |    id    | 6c12289f2324405aaa068da611a8fad0 | 
  8. |   name   |              admin               | 
  9. | username |              admin               | 
  10. +----------+----------------------------------+ 

列举所有user


  1. keystone user-list 
  2. +----------------------------------+-------+---------+-------------------+ 
  3. |                id                |  name | enabled |       email       | 
  4. +----------------------------------+-------+---------+-------------------+ 
  5. | 6c12289f2324405aaa068da611a8fad0 | admin |   True  | admin@example.com | 
  6. +----------------------------------+-------+---------+-------------------+ 

创建新tenant

keystone tenant-create –name admin-tenant

+————-+———————————-+
| Property   | Value                               |
+————-+———————————-+
| description |                                       |
| enabled      | True                              |
| id                | 8d66b107c30d45ca85353a5182f8a154 |
| name          | admin-tenant                 |
+————-+———————————-+

列举所有tenant

keystone tenant-list

+———————————-+————–+———+
| id                                       | name       | enabled |
+———————————-+————–+———+
| 8d66b107c30d45ca85353a5182f8a154 | admin-tenant | True |
+———————————-+————–+———+

查看tenant详情

keystone tenant-get 8d66b107c30d45ca85353a5182f8a154

+————-+———————————-+
| Property   | Value                               |
+————-+———————————-+
| description |                                        |
| enabled     | True                                |
| id               | 8d66b107c30d45ca85353a5182f8a154 |
| name        | admin-tenant                   |
+————-+———————————-+

创建新role

keystone role-create –name new-role

+———-+———————————-+
| Property | Value                              |
+———-+———————————-+
| id           | 002701be4fd344538b93db05b9368b5c |
| name     | new-role                          |
+———-+———————————-+

列举所有role

keystone role-list

+———————————-+———-+
| id                                       | name   |
+———————————-+———-+
| 002701be4fd344538b93db05b9368b5c | new-role |
+———————————-+———-+

查看服务

keystone service-list

总结

利用Docker和Keystone结合,我们可以快速clone出一个服务的运行环境,并且在本地开发和生产环境快速交付,还有更多Keystone命令等待大家去发现。

未来我们也将推出Glance、Cinder等容器镜像,让OpenStack交付更加轻松和容易!

本文作者:陈迪豪

来源:51CTO

时间: 2024-11-17 08:28:45

一分钟玩转Keystone是一种怎样的体验的相关文章

Swarm 如何存储数据?- 每天5分钟玩转 Docker 容器技术(103)

service 的容器副本会 scale up/down,会 failover,会在不同的主机上创建和销毁,这就引出一个问题,如果 service 有要管理的数据,那么这些数据应该如何存放呢? 选项一:打包在容器里. 显然不行.除非数据不会发生变化,否则,如何在多个副本直接保持同步呢? 选项二:数据放在 Docker 主机的本地目录中,通过 volume 映射到容器里. 位于同一个主机的副本倒是能够共享这个 volume,但不同主机中的副本如何同步呢? 选项三:利用 Docker 的 volum

docker managed volume - 每天5分钟玩转 Docker 容器技术(40)

docker managed volume 与 bind mount 在使用上的最大区别是不需要指定 mount 源,指明 mount point 就行了.还是以 httpd 容器为例: 我们通过 -v 告诉 docker 需要一个 data volume,并将其 mount 到 /usr/local/apache2/htdocs.那么这个 data volume 具体在哪儿呢? 这个答案可以在容器的配置信息中找到,执行 docker inspect 命令: docker inspect 21a

如何共享数据?- 每天5分钟玩转 Docker 容器技术(41)

数据共享是 volume 的关键特性,本节我们详细讨论通过 volume 如何在容器与 host 之间,容器与容器之间共享数据. 容器与 host 共享数据 我们有两种类型的 data volume,它们均可实现在容器与 host 之间共享数据,但方式有所区别. 对于 bind mount 是非常明确的:直接将要共享的目录 mount 到容器.具体请参考前面 httpd 的例子,不再赘述. docker managed volume 就要麻烦点.由于 volume 位于 host 中的目录,是在

Docker 的两类存储资源 - 每天5分钟玩转 Docker 容器技术(38)

我们从本章开始讨论 Docker 存储. Docker 为容器提供了两种存放数据的资源: 由 storage driver 管理的镜像层和容器层. Data Volume. 我们会详细讨论它们的原理和特性. storage driver 在前面镜像章节我们学习到 Docker 镜像的分层结构,简单回顾一下. 容器由最上面一个可写的容器层,以及若干只读的镜像层组成,容器的数据就存放在这些层中.这样的分层结构最大的特性是 Copy-on-Write: 新数据会直接存放在最上面的容器层. 修改现有数据

cloud-init 典型应用 - 每天5分钟玩转 OpenStack(174)

本节介绍几个 cloud-init 的典型应用:设置 hostanme,设置用户初始密码,安装软件.  设置 hostname cloud-init 默认会将 instance 的名字设置为 hostname.但这样不太方便,有时希望能够将二者分开,可利用 cloud-init 的set_hostname 模块实现.set_hostname 它会查询 metadata 中 hostname 信息,默认值就是 instance 的名字.我们可以指定自己的 hostname,方法是将下面的内容传给

万能日志数据收集器 Fluentd - 每天5分钟玩转 Docker 容器技术(91)

前面的 ELK 中我们是用 Filebeat 收集 Docker 容器的日志,利用的是 Docker 默认的 logging driver json-file,本节我们将使用 fluentd 来收集容器的日志. Fluentd 是一个开源的数据收集器,它目前有超过 500 种的 plugin,可以连接各种数据源和数据输出组件.在接下来的实践中,Fluentd 会负责收集容器日志,然后发送给 Elasticsearch.日志处理流程如下: 这里我们用 Filebeat 将 Fluentd 收集到的

学习 OpenStack 的方法论 - 每天5分钟玩转 OpenStack(150)

作为 OpenStack 的核心教程,我们已经到了最后总结的部分. OpenStack 目前已经有好几十个模块,本教程讨论的是最最重要的核心模块:Keystone,Nova,Glance,Cinder 和 Neutron.请大家看下图: 此图截自 https://www.openstack.org/software/project-navigator/,这是 OpenStack 官方定义的 6 个 Core Service.每个模块都会从三个维度来衡量: ADOPTION - 采用度 MATUR

日志管理之 Docker logs - 每天5分钟玩转 Docker 容器技术(87)

高效的监控和日志管理对保持生产系统持续稳定地运行以及排查问题至关重要. 在微服务架构中,由于容器的数量众多以及快速变化的特性使得记录日志和监控变得越来越重要.考虑到容器短暂和不固定的生命周期,当我们需要 debug 问题时有些容器可能已经不存在了.因此,一套集中式的日志管理系统是生产环境中不可或缺的组成部分. 本章我们将讨论监控容器的各种可用技术和方案,首先会介绍 Docker 自带的 logs 子命令,然后讨论 Docker 的 logging driver,接下来通过实践学习几个已经广泛应用

用 Label 控制 Service 的位置 - 每天5分钟玩转 Docker 容器技术(106)

上一节我们讨论了 Service 部署的两种模式:global mode 和 replicated mode.无论采用 global mode 还是 replicated mode,副本运行在哪些节点都是由 Swarm 决定的,作为用户我们有没有可能精细控制 Service 的运行位置呢? 答案是:能,使用 label. 逻辑分两步: 为每个 node 定义 label. 设置 service 运行在指定 label 的 node 上. label 可以灵活描述 node 的属性,其形式是 ke