OpenStack Keystone：用户、租户、角色和服务解析

"本文介绍了OpenStack中的基础概念，特别是Keystone的身份验证机制，以及OpenStack的组件架构和简化的物理部署模型。" OpenStack是一个开源的云计算平台，它提供了多种服务，如计算（Nova）、存储（Swift和Cinder）、镜像（Glance）和网络（Neutron）。Keystone是OpenStack的核心组件，负责身份验证、授权和目录服务，确保只有具有正确权限的用户可以访问系统资源。 在OpenStack中，User是使用系统的人或程序，需要通过credentials（如密码或API Key）进行身份验证。Tenant，也称为项目，是资源的集合，不同服务中的tenant对应不同的资源类型，比如Nova中的虚拟机、Glance中的镜像或Swift中的对象。Role定义了用户能访问和操作的资源权限，用户可以拥有全局角色或特定租户的角色，权限范围据此而定。 Service代表OpenStack提供的各种功能，如Nova（计算服务）、Glance（镜像服务）、Swift（对象存储服务）等。当用户尝试访问服务时，Keystone会验证其身份和权限，以确定是否允许访问。 OpenStack的概念架构展示了各个组件间的相互关系。Horizon，作为dashboard，是用户与OpenStack交互的图形界面，它连接到其他主要模块，如Nova、Cinder、Glance、Swift、Neutron和Ceilometer。Ceilometer用于监控OpenStack环境中的资源使用情况。 在OpenStack的核心系统架构中，包括Horizon、Keystone、Nova、Glance、Cinder、Swift和Neutron等关键组件。物理架构方面，最简单的设置可能包括一个CloudControllerNode和一个ComputeNode。CloudControllerNode运行身份验证服务、镜像管理、计算资源管理和数据库服务等，而ComputeNode则负责实际的计算任务，如Nova-Compute、Nova-Network和KVM虚拟化。 内部网络（InternalNetwork）用于在虚拟机之间以及虚拟机到提供商网络之间的通信，外部网络（ExternalNetwork）则允许外部用户与虚拟机进行交互和控制，如访问互联网。 OpenStack通过复杂的组件协作，提供了一套完整的云基础设施服务，而Keystone作为身份验证中心，是保障整个系统安全和资源访问控制的关键。