OpenStack Train版双节点安装(三)安装身份认证服务keystone
第三部分 安装身份认证服务keystone
注意:在开始安装具体的OpenStack服务之前,请先备份一次我们已经安装好的两台vmware-workstation虚拟机。
备份虚拟机
关闭2台虚拟机,然后在windows资源管理器中找到安装好的虚拟机文件目录(这里是d:\OpenStack-Train),复制一份到其他盘,作为备份。
备份虚拟机文件夹
做好的备份
备份好之后,开启控制节点的虚拟机(暂时不开计算节点的虚拟机,以防止服务安装进错误的主机)
在控制节点上进行如下操作以安装keystone
建立keystone数据库
mysql -u root -p
MariaDB [(none)]> CREATE DATABASE keystone;
数据库授权
MariaDB [(none)]> GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'localhost' IDENTIFIED BY 'KEYSTONE_DBPASS';
MariaDB [(none)]> GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'%' IDENTIFIED BY 'KEYSTONE_DBPASS';
安装keystone软件包
yum install openstack-keystone httpd mod_wsgi -y
修改配置文件
cp /etc/keystone/keystone.conf /etc/keystone/keystone.conf.bak
grep -Ev '^$|#' /etc/keystone/keystone.conf.bak >/etc/keystone/keystone.conf
vim /etc/keystone/keystone.conf
在[database]和[token]区域加入下面2行:
[database]
connection = mysql+pymysql://keystone:KEYSTONE_DBPASS@ct/keystone
[token]
provider = fernet
填充数据库
su -s /bin/sh -c "keystone-manage db_sync" keystone
上述命令执行后,可以到mysql数据库中查看keystone数据库中是否包含有表,如果有,则表示填充数据库成功
初始化Fernet密钥存储库
这是新版本的OpenStack的新功能,在Train版本下,keystone不再使用简单的字符串作为临时token,而是使用下面创建的fernet的用户来运行keystone。同时,keystone也不再对管理员用户和普通用户的服务端点区分使用不同的端口5000和35357,而是只使用5000端口不再使用35357端口。
keystone-manage fernet_setup --keystone-user keystone --keystone-group keystone
keystone-manage credential_setup --keystone-user keystone --keystone-group keystone
keystone-manage bootstrap --bootstrap-password ADMIN_PASS --bootstrap-admin-url http://ct:5000/v3/ --bootstrap-internal-url http://ct:5000/v3/ --bootstrap-public-url http://ct:5000/v3/ --bootstrap-region-id RegionOne (共5个参数)
修改apache配置
vim /etc/httpd/conf/httpd.conf
取消注释并修改:
ServerName ct
创建wsgi配置文件软链接
ln -s /usr/share/keystone/wsgi-keystone.conf /etc/httpd/conf.d/
启动和开机自启动apache
systemctl enable httpd.service
systemctl restart httpd.service
初始化环境变量
export OS_USERNAME=admin
export OS_PASSWORD=ADMIN_PASS
export OS_PROJECT_NAME=admin
export OS_USER_DOMAIN_NAME=Default
export OS_PROJECT_DOMAIN_NAME=Default
export OS_AUTH_URL=http://ct:5000/v3
export OS_IDENTITY_API_VERSION=3
创建service项目及角色
在上面的初始化Fernet密钥存储时候已经创建了default域、admin项目和admin用户。(下面的3条命令必须要进行上面的初始化环境变量之后才能执行成功)
创建服务所使用的项目(注意:这一步和官方文档所述内容不一样)
openstack project create --domain default --description "Service Project" service
创建user角色
openstack role create user
暂时不创建普通用户的项目和用户
验证keystone服务
unset OS_AUTH_URL OS_PASSWORD
openstack --os-auth-url http://ct:5000/v3 --os-project-domain-name Default --os-user-domain-name Default --os-project-name admin --os-username admin token issue
密码为:ADMIN_PASS
能获取到token说明keystone安装成功。
创建客户端环境变量脚本
vim admin-openrc
加入:
export OS_PROJECT_DOMAIN_NAME=Default
export OS_USER_DOMAIN_NAME=Default
export OS_PROJECT_NAME=admin
export OS_USERNAME=admin
export OS_PASSWORD=ADMIN_PASS
export OS_AUTH_URL=http://ct:5000/v3
export OS_IDENTITY_API_VERSION=3
export OS_IMAGE_API_VERSION=2
使用脚本
. admin-openrc(注意前面的“.”,当然也可以使用source admin-openrc命令)
openstack token issue
同样能获取到token。
进一步检查,使用命令:curl http://ct:5000,直接访问keystone的API地址,能够返回json表示安装成功。
至此,keystone服务安装成功,下节安装镜像服务glance。