Kolla AnsibleでデプロイしたOpenstack環境でハンズオンをしながら基本機能の勉強です。
今回はユーザやプロジェクトを担うKeystoneです。
Keystoneとは
OpenStackにおける「認証(Authentication)」と「認可(Authorization)」をつかさどる、最も基本的かつ重要なコンポーネント。
AWSで言えば AWS IAM に相当しますが、OpenStackにおいてはそれに加えて 「サービス全体の住所録(サービスカタログ)」 の役割も。Keystoneがダウンすると、OpenStackのすべての操作(ログイン含む)が停止する。
| 用語 | 意味 | AWSでのイメージ |
|---|---|---|
| User | システムを利用する人やプログラム。 | IAMユーザー |
| Project | リソース(VMやNW)の入れ物。旧称テナント。 | AWSアカウント |
| Role | 権限の定義(Admin, Memberなど)。 | IAMポリシー/ロール |
| Token | 最重要。 認証済みであることを証明する一時的なチケット。 | 一時的セキュリティ認証情報 |
| Domain | ユーザーやプロジェクトをまとめる大きな枠。会社や組織単位で分ける際に使用。 | AWS Organizationに近い概念 |
| Endpoint | 各サービス(Nova等)へのアクセスURL。 | サービスのエンドポイント |
AWSでは「ユーザーはアカウントの中に作る」のが基本ですが、OpenStackでは「ユーザーはシステム全体に存在し、特定のプロジェクトに参加(アサイン)する」という形をとります。そのため、1人のユーザーが「開発用プロジェクト」と「本番用プロジェクト」の両方に所属し、ダッシュボード上で簡単に切り替えて作業することができます
手順
プロジェクト作成
adminユーザでOpenstackの管理画面にログイン
ユーザ管理のプロジェクトを押下します。
プロジェクトの作成を押下します。
kensyo-projectという名前にして作成します。
ユーザはこの後作成して、このPJにアサインします。
作成できたことを確認します。
ユーザ作成
ユーザ一覧を開いて、ユーザ作成を押下します。
kensyo-userという名前で作成します。
プロジェクトは先ほど作成したkensyo-projectとしています。
ロールはadminにしています。
作成できたことを確認します。
動作確認
先ほど作成したユーザでログインをしてみます。
ログインできましたね。
左上にkensyo-projectと記載されていることを確認しましょう。
