Übersicht Identitätsdienst¶

Der OpenStack :term: Identitätsdienst <Identity service (keystone)> bietet einen einzigen Integrationspunkt für die Verwaltung der Authentifizierung, Autorisierung und eines Dienstkatalogs.

Der Identitätsdienst ist typischerweise der erste Dienst, mit dem ein Benutzer interagiert. Nach der Authentifizierung kann ein Endbenutzer seine Identität verwenden, um auf andere OpenStack-Dienste zuzugreifen. Ebenso nutzen andere OpenStack-Dienste den Identitätsdienst, um sicherzustellen, dass Benutzer die sind für die sie sich ausgeben und entdecken, wo andere Dienste innerhalb der Bereitstellung sind. Der Identitätsdienst kann auch mit einigen externen Benutzerverwaltungssystemen (wie LDAP) integriert werden.

Benutzer und Dienste können über den Dienstekatalog, der vom Identitätsdienst verwaltet wird, weitere Dienste finden. Wie der Name schon sagt, ist ein Dienstekatalog eine Sammlung verfügbarer Diensten in einer OpenStack-Implementierung. Jeder Dienst kann einen oder mehrere Endpunkte haben und jeder Endpunkt kann einer von drei Typen sein: admin, internal oder public. In einer Produktionsumgebung können sich verschiedene Endpunkttypen aus Sicherheitsgründen in separaten Netzwerken befinden, die auf verschiedene Benutzertypen begrenzt sind. Beispielsweise kann das öffentliche API-Netzwerk aus dem Internet sichtbar sein, sodass Kunden ihre Clouds verwalten können. Das Admin-API-Netz ist möglicherweise auf Betreiber innerhalb der Organisation beschränkt, die die Cloud-Infrastruktur verwaltet. Das interne API-Netz ist möglicherweise auf die Hosts beschränkt, die OpenStack-Dienste enthalten. Außerdem unterstützt OpenStack mehrere Bereiche für die Skalierbarkeit. Zur Vereinfachung verwendet dieses Handbuch das Verwaltungsnetzwerk für alle Endpunkttypen und die Standardregion RegionOne. Gemeinsam bilden die im Identitätsdienst erstellten Regionen, Dienste und Endpunkte den Dienstekatalog für eine Bereitstellung. Jeder OpenStack-Dienst in Ihrer Bereitstellung benötigt einen Diensteintrag mit entsprechenden Endpunkten, die im Identitätsdienst gespeichert sind. Dies kann alles erfolgen, nachdem der Identitätsdienst installiert und konfiguriert wurde.

Der Identitätsdienst enthält die folgenden Komponenten:

Server

Ein zentralisierter Server bietet Authentifizierung und Autorisierung mittels eines RESTful Interfaces.

Treiber

Treiber oder ein Dienste-Backend sind auf dem zentralen Server integriert. Sie werden für den Zugriff auf Identitätsinformationen in Repositorys außerhalb von OpenStack verwendet und können bereits in der Infrastruktur vorhanden sein, die in OpenStack implementiert sind (z. B. SQL-Datenbanken oder LDAP-Server).

Module

Middleware-Module werden im Adressraum der OpenStack-Komponente ausgeführt, die den Identitätsdienst verwenden. Diese Module unterbrechen Dienstanforderungen, extrahieren Benutzeranmeldeinformationen und senden sie an den zentralen Server zur Autorisierung. Die Integration zwischen den Middleware-Modulen und den OpenStack-Komponenten erfolgt über das Gateway-Interface von Python Web Server.