Como o OpenStack Glance trabalha com o Keystone e para que exatamente são essas opções de configuração?

4

Estou configurando o Glance para autenticar no Keystone. Funciona mas não tenho certeza exatamente como algumas das opções de autenticação interagir.

Comecei com a documentação configuração de relance , mas esta Na verdade, não documenta nenhuma dessas opções. Eu encontrei o documentação de autenticação , que discute alguns deles, mas na verdade não documentam auth_uri .

A configuração exemplo o OpenStack O Manual de instalação e implementação é semelhante ao seguinte:

[filter:authtoken]
paste.filter_factory = keystone.middleware.auth_token:filter_factory
service_protocol = http
service_host = 127.0.0.1
service_port = 5000
auth_host = 127.0.0.1
auth_port = 35357
auth_protocol = http
auth_uri = http://127.0.0.1:5000/
admin_token = 012345SECRET99TOKEN012345

A documentação de autenticação diz:

Those variables beginning with auth_ point to the Keystone Admin service. This information is used by the middleware to actually query Keystone about the validity of the authentication tokens.

Ok. Então, como auth_uri interage com auth_host , auth_port , e auth_protocol ? Pode-se simplesmente fornecer auth_uri e descartar as outras opções? Existe um service_uri correspondente opção de configuração? E por que a porta em auth_uri corresponde ao service_port na configuração acima, em vez do auth_port ?

Keystone refere-se à porta 35357 como a porta "admin", que para mim sugere que isso seria necessário apenas para a administração de Keystone (criação / exclusão de serviços, inquilinos, etc). Olhar em vez disso refere-se a isso como a porta "auth", que sugere um uso diferente. O que exatamente é fornecido pelo serviço na porta 35357 que não é fornecido pelo serviço na porta 5000?

    
por larsks 13.06.2012 / 22:45

1 resposta

2

Primeiro, confira: link

Olhando o código-fonte da vista ...

tools/migrate_image_owners.py 

... é o único arquivo que faz referência a auth_uri.

It appears this variable is all over the place and it assists with auth token handling in clients and across the whole of openstack. It's not used by glance specifically... but it is used by utilities that work with the middleware stack.

Quanto às diferenças entre 5000 e 35357 no keystone ...

O link tem uma discussão bastante explícita sobre quais exemplos de API funcionam ou não.

Meu entendimento da porta 5000 é que sua finalidade específica é permitir a autenticação de API pública para keystone, portanto, você não precisa expor 35357 apenas para permitir que as pessoas se autentiquem nela.

Por que existem auth creds dentro de cada um dos componentes do openstack que se encaixam no keystone ... na verdade eu não. sabe.

No entanto, devo salientar que a API v2 está em grizzly. Ainda não está totalmente documentado e começará a introduzir algumas mudanças radicais na forma como a keystone opera.

    
por 07.03.2013 / 02:35