OpenStack的各个服务组件都有提供相应的API接口,如nova-api,gance-api等等。使用这些 API和扩展可以让用户在OpenStack云中进行一系列的操作,如启动服务主机,创建镜像,给主机和镜像设置元数据,创建容器和对象等等。
但在调用任何组件的API前,必须通过Identity API进行鉴权。
Identity Service
Identity Service 具备的功能:
• Tracking users and their permissions.
• Providing a catalog of available services with their API endpoints
开始我认为是进行用户身份权限验证的服务,但是后来发现它只是进行用户授权。
为了方便管理,它抽象出了一组概念:
User | Credentials | Authentication | Token | Tenant | Service | Endpoint | Role | Keystone Client
具体对这些概念的说明,参见
http://docs.openstack.org/juno/install-guide/install/apt/content/keystone-concepts.html
http://www.cnblogs.com/yuki-lau/archive/2013/01/04/2843918.html
下图是一个权限验证的过程:
OpenStack Identity process flow
1. 用户想要创建一个服务器。首先用户要提供自己的认证信息(可能是用户名和密码,或者是用户名和API key),然后keystone提供一个临时的token和一个服务列表(serviceCatalog)
2. 用户使用临时的token请求他所有的Tenant信息(可以理解为一些资源),keystone返回Tenants 列表。
3. Keystone 提供用户目标Tenant里面的服务列表。用户用自己的鉴权信息获得目标Tenant的token和服务列表,然后使用tenant token和指定服务的endpoint(可以理解为具体的API)信息去启动服务器。
4. 该服务去和keystone验证该token是否正确。
5. Keystone返回这个token的相关信息:用户获得鉴权被允许访问这个服务;token和这个请求相符;token属于这个用户。
6. 服务执行该请求(创建服务器)。
7. 执行完成后返回结果。
OpenStack中调用任何API,在执行请求前都要经过keystone认证,下图说明了keystone和其他各个服务组件的关系:
Keystone在OpenStack中的访问流程
API调用方式
OpenStack提供了多种API调用的方式,参见http://docs.openstack.org/api/quick-start/content/ ,有
cURL
OpenStack命令行客户端
REST客户端
软件开发工具包(SDK)
Identity API
Identity API是一个ReSTful web service,是所有service APIs的入口。要访问Identity API,你必须知道它的URL和访问方式。默认Identity的服务端口为5000,具体可以查询keystone中对各个服务的endpoint的设置。下面介绍一些API的具体内容
请求认证并生成token的API:
method: 'POST' URL : '/v2.0/tokens'
每个ReST请求需要有X-Auth-Token 作为header。
认证时,需要提供user ID和密码或者是一个token。
如果token过期,会返回一个401
如果是请求中的token过期,会返回404
Identity将过期token视为无效token。
部署时可以指定token的过期时间
正常返回码:200,203
错误返回码:identityFault (400, 500, …), userDisabled (403), badRequest (400), unauthorized (401), forbidden (403), badMethod (405), overLimit (413), serviceUnavailable (503), itemNotFound (404)
所有的API提供json和xml两种格式
可以访问http://developer.openstack.org/api-ref.html 官方文档获取更具体的内容。
作者:hsmimi2005
链接:https://www.jianshu.com/p/cf5261ad8d81