手记

OpenStack API理解与应用

OpenStack的各个服务组件都有提供相应的API接口,如nova-api,gance-api等等。使用这些 API和扩展可以让用户在OpenStack云中进行一系列的操作,如启动服务主机,创建镜像,给主机和镜像设置元数据,创建容器和对象等等。

但在调用任何组件的API前,必须通过Identity API进行鉴权。

Identity Service

Identity Service 具备的功能:

• Tracking users and their permissions.

• Providing a catalog of available services with their API endpoints

开始我认为是进行用户身份权限验证的服务,但是后来发现它只是进行用户授权。

为了方便管理,它抽象出了一组概念:

User | Credentials | Authentication | Token | Tenant | Service | Endpoint | Role | Keystone Client

具体对这些概念的说明,参见

http://docs.openstack.org/juno/install-guide/install/apt/content/keystone-concepts.html

http://www.cnblogs.com/yuki-lau/archive/2013/01/04/2843918.html

下图是一个权限验证的过程:

OpenStack Identity process flow

1. 用户想要创建一个服务器。首先用户要提供自己的认证信息(可能是用户名和密码,或者是用户名和API key),然后keystone提供一个临时的token和一个服务列表(serviceCatalog)

2. 用户使用临时的token请求他所有的Tenant信息(可以理解为一些资源),keystone返回Tenants 列表。

3. Keystone 提供用户目标Tenant里面的服务列表。用户用自己的鉴权信息获得目标Tenant的token和服务列表,然后使用tenant token和指定服务的endpoint(可以理解为具体的API)信息去启动服务器。

4. 该服务去和keystone验证该token是否正确。

5. Keystone返回这个token的相关信息:用户获得鉴权被允许访问这个服务;token和这个请求相符;token属于这个用户。

6. 服务执行该请求(创建服务器)。

7. 执行完成后返回结果。

OpenStack中调用任何API,在执行请求前都要经过keystone认证,下图说明了keystone和其他各个服务组件的关系:


Keystone在OpenStack中的访问流程

API调用方式

OpenStack提供了多种API调用的方式,参见http://docs.openstack.org/api/quick-start/content/ ,有

cURL

OpenStack命令行客户端

REST客户端

软件开发工具包(SDK)

Identity API

Identity API是一个ReSTful web service,是所有service APIs的入口。要访问Identity API,你必须知道它的URL和访问方式。默认Identity的服务端口为5000,具体可以查询keystone中对各个服务的endpoint的设置。下面介绍一些API的具体内容

请求认证并生成token的API:

method: 'POST'     URL : '/v2.0/tokens'

每个ReST请求需要有X-Auth-Token 作为header。

认证时,需要提供user ID和密码或者是一个token。

如果token过期,会返回一个401

如果是请求中的token过期,会返回404

Identity将过期token视为无效token。

部署时可以指定token的过期时间

正常返回码:200,203

错误返回码:identityFault (400, 500, …), userDisabled (403), badRequest (400), unauthorized (401), forbidden (403), badMethod (405), overLimit (413), serviceUnavailable (503), itemNotFound (404)

所有的API提供json和xml两种格式

可以访问http://developer.openstack.org/api-ref.html 官方文档获取更具体的内容。



作者:hsmimi2005
链接:https://www.jianshu.com/p/cf5261ad8d81


0人推荐
随时随地看视频
慕课网APP