云计算基础架构构建与应用任务三Keystone的手工安装与配置课件.ppt
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《云计算基础架构构建与应用任务三Keystone的手工安装与配置课件.ppt》由用户(三亚风情)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 计算 基础 架构 构建 应用 任务 Keystone 手工 安装 配置 课件
- 资源描述:
-
1、OPENSTACK配置与管理项目式实训任务三 Keystone的手工安装与配置OPENSTACK配置与管理二任务涉及节点:controller三任务目标:1.完成Keystone基本组件的安装;2.完成Keystone数据库的创建以及授权;3.完成Keystone主配置文件的修改;4.完成Keystone安全与认证配置;5.完成Keystone用户、租户、角色以及服务和端点的创建;6.完成Keystone环境变量脚本的创建。一任务前提环境:成功完成任务3中所有内容后开始本实验,或者从已完成任务的镜像开始,继续完成本任务内容。OPENSTACK配置与管理四任务步骤及其详解:(此处有视频:6-1K
2、eystone的安装及其配置)步骤一:Keystone基本组件的安装在controller节点上执行yum源安装命令安装Keystone依赖包,命令如下。rootcontroller#yum-y install openstack-keystone python-keystoneclient执行上述安装命令成功后,我们可以看到成功标志,所有Keystone依赖包都安装完成,如图1所示。图1 Keystone依赖包安装完成反馈结果OPENSTACK配置与管理步骤二:创建Keystone数据库并授权首先,登陆MySQL数据库,命令如下。rootcontroller#mysql-uroot-p000
3、000登陆后,我们首先创建Keystone数据库,命令如下。mysqlCREATE DATABASE keystone;看到提示Query OK,1 row affected(0.00 sec),表明数据库创建成功。接着创建MySQL的Keystone用户,并赋予其Keystone数据库的操作权限,命令如下。mysql GRANT ALL PRIVILEGES ON keystone.*TO keystonelocalhost IDENTIFIED BY 000000;mysql GRANT ALL PRIVILEGES ON keystone.*TO keystone%IDENTIFIED
4、BY 000000;mysql exitOPENSTACK配置与管理上述SQL语句中,第一个Keystone为表名,第二个Keystone为MySQL的用户名,“*”代表该库中所有表,“%”代表所有主机,localhost代表本机。通用的语法为:GRANT ALL PRIVILEGES ON 数据库名.表名TO 用户名主机 IDENTIFIED BY 密码;执行上述SQL语句后,我们可以尝试使用Keystone用户,密码为000000登陆MySQL数据库,登陆命令如下。rootcontroller#mysql-ukeystone-p000000本书中随后的实训项目中,均以上述方式创建数据库并进
5、行数据库的授权,故后续实训项目中不再赘述。OPENSTACK配置与管理步骤三:修改配置Keystone文件rootcontroller#openstack-config-set/etc/keystone/keystone.conf database connection mysql:/keystone:000000controller/keystone上述命令的功能是在/etc/keystone/keystone.conf文件的database段落中添加“connection=mysql(数据库类型):/keystone(登陆数据库的用户名):000000(用户密码)controller(数据
6、库主机名)/keystone(数据库)”配置。我们通过vi命令直接修改/etc/keystone/keystone.conf文件,也可以达到相同效果。接着,我们需要同步数据库,为认证服务创建数据库表,命令如下。rootcontroller#su-s/bin/sh-c keystone-manage db_sync keystoneOPENSTACK配置与管理可以通过执行下面一条语句,查看是否同步并创建成功,命令如下,结果如图2所示。rootcontroller#mysql-u root-p000000-euse keystone;show tables;图2 查看Keystone数据库同步情况
7、接下来,我们通过openssl服务生成一个十位长度的十六进制随机数作为token值,命令如下。rootcontroller#ADMIN_TOKEN=$(openssl rand-hex 10)然后将此token值写入Keystone配置文件rootcontroller#openstack-config-set/etc/keystone/keystone.conf DEFAULT admin_token$ADMIN_TOKENOPENSTACK配置与管理上述命令的功能是在/etc/keystone/keystone.conf文件的DEFAULT段落中添加“admin_token=$ADMIN_T
8、OKEN”配置。将“ADMIN_TOKEN”变量的值传递给admin_token令牌。我们还可以通过命令echo$ADMIN_TOKEN查看token值。验证结果如下,83781a39b99cdba8596f(此数随机生成,每次各不相同不同)。OPENSTACK配置与管理步骤四:Keystone安全与认证配置(此处有视频:6-2Keystone的安装及其配置)默认情况下,Keystone使用PKI令牌。创建签名密钥和证书,并且限制对生成的数据的访问,命令如下。rootcontroller#keystone-manage pki_setup-keystone-user keystone-keys
9、tone-group keystone更改ssl目录及其下所有文件和目录的所属用户和所属组,命令如下。rootcontroller#chown-R keystone:keystone/etc/keystone/ssl上述命令中,-R参数可以实现迭代操作。去掉ssl目录及其下所有文件和目录的其他用户的所有权限,命令如下。rootcontroller#chmod-R o-rwx/etc/keystone/sslOPENSTACK配置与管理步骤五:启动认证服务并将其加入开机自启rootcontroller#service openstack-keystone start上述命令执行完之后,当看到OK
10、的提示时,表示成功,如图3所示。图3 启动认证服务接着我们服务加入开机自启,命令如下。rootcontroller#chkconfig openstack-keystone on上述命令执行后,可以通过命令chkconfig可以查看,看到3、4、5为on即表示成功加入开机自启,结果如下。rootcontroller#chkconfig|grep openstack-keystoneopenstack-keystone 0:off 1:off 2:on 3:on 4:on 5:on 6:offOPENSTACK配置与管理步骤六:清除失效令牌默认情况下,认证服务无限期的在数据库中存储失效的令牌。尽
11、管对生产环境中的审计有潜在价值时,但累积的得失效令牌将大幅增加数据库的大小,可能会降低服务质量,特别是在具备有限资源的测试环境下。我们建议使用cron配置一个周期性任务,来每小时清除失效的令牌。运行以下命令来每小时清除失效令牌,日志输出,命令如下。rootcontroller#(crontab-l-u keystone 2&1|grep-q token_flush)|echo hourly/usr/bin/keystone-manage token_flush/var/log/keystone/keystone-tokenflush.log 2&1 /var/spool/cron/keysto
12、neOPENSTACK配置与管理步骤七:创建用户、租户和角色在安装认证服务之后,我们需要设置用户、租户以及角色来进行认证。通常,我们需要指定一个用户名和密码通过认证服务进行身份验证。然而,在现在为止,我们还没有创建任何用户,所以我们必须使用在前面的步骤中创建的授权令牌。设置OS_SERVICE_TOKEN,以及OS_SERVICE_ENDPOINT环境变量来指定何处身份服务正在运行。我们需要用授权令牌取代ADMIN_TOKEN。命令如下。rootcontroller#export OS_SERVICE_TOKEN=$ADMIN_TOKENrootcontroller#export OS_SER
13、VICE_ENDPOINT=http:/controller:35357/v2.0我们可以通过env命令查看环境变量,来验证上述语句我们创建的环境变量是否生效,命令如下。rootcontroller#envOPENSTACK配置与管理现在我们可以创建一个管理用户、角色、租户并授予用户访问权限。命令如下,结果如图4、5和6所示。rootcontroller#keystone user-create-name=admin-pass=000000图4 创建用户的反馈结果OPENSTACK配置与管理上述命令用于创建用户并为其设定密码,这里我们创建了一个admin用户。本书实训中我们所有的密码都为000
14、000,实际生产环境中,我们应该按实际需要设定密码。rootcontroller#keystone role-create-name=admin图5 创建角色的反馈结果OPENSTACK配置与管理上述命令用于创建角色,这里我们创建了一个admin角色。rootcontroller#keystone tenant-create-name=admin-description=Admin Tenant图6 创建租户的反馈结果OPENSTACK配置与管理上述命令用于创建租户,这里我们创建了一个admin租户,对租户的描述即“-description”选项可以省略。rootcontroller#keys
15、tone user-role-add-user=admin-tenant=admin-role=admin上述命令可以实现用户、角色和组合的连接,即将用户添加到组合中,并赋予租户相应角色即权限,这里我们将admin用户添加到admin租户中并为admin用户绑定admin角色。同时,需要注意的是,执行绑定角色赋予权限的这条命令是没有任何输出的。rootcontroller#keystone user-role-add-user=admin-role=_member_-tenant=admin上述命令中,我们除了给admin用户赋予admin权限之外,还赋予admin用户_member_权限。默
16、认情况下,认证服务会创建一个特殊的_member_角色,OpenStack的Dashboard服务需要用户拥有_member_角色。所以我们赋予了admin用户_member_权限。OPENSTACK配置与管理云用户里,除了管理员之外,还应该有非管理员即一般用户,下面我们使用上面创建用户、租户和角色的命令来创建一个一般用户,命令如下。(此处有视频:6-3keystone的安装及其配置)rootcontroller#keystone user-create-name=demo-pass=000000rootcontroller#keystone tenant-create-name=demo-d
展开阅读全文