Openstack(二):keystone认证服务
首先说明安装Opnstack服务安装的一些基本套路:
1、数据库创建
2、安装对应服务的软件包并修改配置文件
3、创建相应的服务并注册api
一、数据库
官方文档https://docs.openstack.org/keystone/stein/install/keystone-install-rdo.html
1、 创建数据库和keystone用户
mysql -uroot -p123456 MariaDB [(none)]> CREATE DATABASE keystone; GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'%' IDENTIFIED BY 'keystone123';
2、在控制端测试能否连接
mysql -ukeystone -pkeystone123 -hopenstack-mysql.heng.net
二、安装对应服务的软件包并修改配置文件
1、在控制端操作安装keystone软件包
yum install openstack-keystone httpd mod_wsgi # mod_wsgi用于httpd调用python服务
2、修改keystone配置文件
vi /etc/keystone/keystone.conf
[database] 搜索数据库部分 connection = mysql+pymysql://keystone:keystone123@openstack-mysql.heng.net/keystone [token] # ... provider = fernet 去掉注释
3、生成keystone数据库的表
su -s /bin/sh -c "keystone-manage db_sync" keystone
4、生成fernet验证文件
keystone-manage fernet_setup --keystone-user keystone --keystone-group keystone keystone-manage credential_setup --keystone-user keystone --keystone-group keystone
5、编辑apache配置文件
vi /etc/httpd/conf/httpd.conf
ServerName 192.168.12.17:80
6、创建/usr/share/keystone/wsgi-keystone.conf 的软连接,这个是apache调用python的配置文件,监听了5000端口
ln -s /usr/share/keystone/wsgi-keystone.conf /etc/httpd/conf.d/ systemctl start httpd.service systemctl enable httpd.service
三、创建相应的服务并注册api
1、Openstack由于现在没有账号和密码,keystone无法提供认证服务,通过认证服务就是为了获取一个token,所以可以直接先定义一个token,绕过认证
openssl rand -hex 10 3fdcd4af381781fda580
vi /etc/keystone/keystone.conf
admin_token = 3fdcd4af381781fda580
修改之后再次同步数据库,写到数据库
su -s /bin/sh -c "keystone-manage db_sync" keystone
2、查看日志是否有报错
keystone 日志文件:
ll /var/log/keystone/keystone.log
3、定义环境变量
export OS_TOKEN=3fdcd4af381781fda580 export OS_URL=http://192.168.12.17:5000/v3 export OS_IDENTITY_API_VERSION=3
echo $OS_TOKEN 确认是否设置成功
4、创建默认域
openstack domain create --description "Default Domain" default
5、创建一个admin项目
openstack project create --domain default --description "Admin Project" admin
6、创建 admin 用户并设置密码为 admin:
[root@controller1 ~]#openstack user create --domain default --password-prompt admin User Password: Repeat User Password:
7、创建admin角色并给amdin用户授权
openstack role create admin openstack role add --project admin --user admin admin
8、创建demo项目和用户
openstack project create --domain default --description "Demo Project" demo openstack user create --domain default --password-prompt demo User Password: Repeat User Password: openstack role create user openstack role add --project demo --user demo user
9、创建 service 项目
openstack project create --domain default --description "Service Project" service
10、创建认证服务
openstack service create --name keystone --description "OpenStack Identity" identity [root@controller1 ~]#openstack service list #查看当前的服务
11、注册api到认证服务
openstack endpoint create --region RegionOne identity admin http://openstack-vip.heng.net:5000/v3 openstack endpoint create --region RegionOne identity public http://openstack-vip.heng.net:5000/v3 openstack endpoint create --region RegionOne identity internal http://openstack-vip.heng.net:5000/v3
12、测试 keystone 是否可以做用户验证打开一个新终端
[root@controller1 ~]#export OS_IDENTITY_API_VERSION=3 [root@controller1 ~]#openstack --os-auth-url http://openstack-vip.heng.net:5000/v3 --os-project-domain-name Default --os-user-domain-name Default --os-project-name admin --os-username admin token issue
#输入这条命令不用输入密码即可显示结果,则表示成功
13、已经可以做用户认证后就不需要手动指定token来管理了,文件中的token已经用不到了,删除
vi /etc/keystone/keystone.conf
14、定义二个环境变量的脚本,通过这两个脚本定义变量,调用对应api
vi scripts/admin-stein.sh
export OS_PROJECT_DOMAIN_NAME=Default export OS_USER_DOMAIN_NAME=Default export OS_PROJECT_NAME=admin export OS_USERNAME=admin export OS_PASSWORD=admin export OS_AUTH_URL=http://openstack-vip.heng.net:5000/v3 export OS_IDENTITY_API_VERSION=3 export OS_IMAGE_API_VERSION=2
vi scripts/demo-stein.sh
export OS_PROJECT_DOMAIN_NAME=Default export OS_USER_DOMAIN_NAME=Default export OS_PROJECT_NAME=demo export OS_USERNAME=demo export OS_PASSWORD=demo export OS_AUTH_URL=http://openstack-vip.heng.net:5000/v3 export OS_IDENTITY_API_VERSION=3 export OS_IMAGE_API_VERSION=2
15、脚本使用,出现这个结果表示keystone服务安装成功
source demo-stein.sh openstack token issue
