实例解析：通过查询image理解Keystone核心功能

本章节标题为"19-通过例子学习 Keystone 1"，主要讲解的是如何通过实际操作来理解Keystone这个OpenStack的关键组件。Keystone是OpenStack的身份和访问管理服务，它负责认证、授权和令牌管理。在这一节中，我们将通过用户admin在OpenStack环境中查询可用image的操作来深入理解Keystone的工作原理。 首先，当Useradmin登录时，系统会验证其Token，Token中包含了用户的Role信息，这是身份验证过程的一部分。Keystone验证了admin的角色后，得知其具有访问Instance、Volume和Image等服务的权限，这源于Keystone为每个服务分配了Endpoints，即服务的访问URL。 接着，admin在界面上点击"Images"时，实际操作触发了向Glance（OpenStack的图像服务）的Endpoint发起请求。Glance收到请求后，会向Keystone查询admin的访问权限。权限验证通过后，Glance会加载其策略文件/etc/glance/policy.json，根据其中的规则判断admin是否有查看image的权限。如果权限允许，Glance将image列表返回给admin。 遇到问题时，OpenStack的问题排查通常依赖于日志，如keystone.log和keystone_access.log，它们记录了服务间的交互和访问信息。在devstack环境中，这些日志位于/var/log/apache2/目录下，可以通过devstack的screen窗口直接查看。在非devstack安装中，日志位置可能在/var/log/keystone/目录。要获取更详细的日志，可以修改keystone.conf文件，开启debug模式。 总结来说，本节内容重点在于演示了通过实际操作理解Keystone如何作为访问控制层协调其他OpenStack服务，以及如何通过日志来追踪和诊断问题。下一节将转向学习另一个核心组件Glance，进一步深入了解OpenStack的架构和功能。