Как OpenStack Glance работает с Keystone и для чего конкретно нужны эти параметры конфигурации?

Question

Как OpenStack Glance работает с Keystone и для чего конкретно нужны эти параметры конфигурации?

Я настраиваю Glance для аутентификации на Keystone. Это работает, но я не уверен точно, как взаимодействуют некоторые параметры аутентификации.

Я начал с документации по настройке, но на самом деле это не документирует ни одну из этих опций. Я нашел документацию по аутентификации, которая обсуждает некоторые из них, но на самом деле не документирует auth_uri,

Пример конфигурации в руководстве по установке и развертыванию OpenStack выглядит следующим образом:

[filter:authtoken]
paste.filter_factory = keystone.middleware.auth_token:filter_factory
service_protocol = http
service_host = 127.0.0.1
service_port = 5000
auth_host = 127.0.0.1
auth_port = 35357
auth_protocol = http
auth_uri = http://127.0.0.1:5000/
admin_token = 012345SECRET99TOKEN012345

Документация по аутентификации гласит:

Эти переменные, начинающиеся с auth_, указывают на службу администратора Keystone. Эта информация используется промежуточным программным обеспечением для фактического запроса Keystone о достоверности токенов аутентификации.

Хорошо. Так как же auth_uri взаимодействовать с auth_host, auth_port, а также auth_protocol? Можно ли просто предоставить auth_uri и отказаться от других вариантов? Есть ли соответствующий service_uri вариант конфигурации? И почему порт в auth_uri соответствовать service_port в приведенной выше конфигурации вместо auth_port?

Краеугольный камень относится к порту 35357 в качестве порта "admin", который, как мне кажется, необходим только для администрирования keystone (создание / удаление служб, арендаторов и т. д.). Glance вместо этого именует это как порт "auth", который предлагает другое использование. Что именно предоставляется службой на порту 35357, а не службой на порту 5000?

4

openstack openstack-keystone openstack-glance

Источник

larsks 13 июн '12 в 20:45

1 ответ

Другие вопросы по тегам openstack openstack-keystone openstack-glance

Matt Joyce 07 мар '13 в 01:35 2013-03-07 01:35 · Answer 1 · 2013-03-07 01:35

Сначала проверьте: http://docs.openstack.org/ops/OpenStackOperationsGuide.pdf

Глядя на исходный код взгляда...

tools/migrate_image_owners.py

... это единственный файл, который ссылается на auth_uri.

Похоже, что эта переменная повсюду, и она помогает с обработкой токенов в клиентах и во всем openstack. Он не используется специально для glance... но используется утилитами, которые работают со стеком промежуточного программного обеспечения.

Что касается различий между 5000 и 35357 на краеугольном камне...

http://docs.openstack.org/developer/keystone/api_curl_examples.html довольно подробно обсуждает, какие примеры API работают с обоими или нет.

Насколько я понимаю, порт 5000 заключается в том, что его специальная цель - разрешить общедоступную аутентификацию API для keystone, поэтому вам не нужно выставлять 35357 только для того, чтобы позволить людям проходить аутентификацию на нем.

Что касается того, почему внутри каждого из компонентов openstack есть аутентификационные кредиты, которые связаны с краеугольным камнем... честно говоря, нет. знать.

Однако я должен отметить, что API v2 идет гризли. Пока еще не полностью задокументировано, и это начнет вносить некоторые радикальные изменения в работу keystone.