Come funziona OpenStack Glance con Keystone e quali sono le opzioni di configuration esattamente?

Sto configurando Glance per autenticare contro Keystone. Funziona, ma non sono certo esattamente come interagiscono alcune opzioni di authentication.

Ho iniziato con la documentazione di sguardo di configuration , ma questo in realtà non documenta nessuna di queste opzioni. Ho trovato la documentazione di authentication , che parla di alcuni di essi, ma in realtà non documenta auth_uri .

La configuration dell'occhio di esempio nel manuale di installazione e distribuzione di OpenStack è simile al seguente:

 [filter:authtoken] paste.filter_factory = keystone.middleware.auth_token:filter_factory service_protocol = http service_host = 127.0.0.1 service_port = 5000 auth_host = 127.0.0.1 auth_port = 35357 auth_protocol = http auth_uri = http://127.0.0.1:5000/ admin_token = 012345SECRET99TOKEN012345 

La documentazione di authentication dice:

Quelle variables che iniziano con il punto di authorization al servizio Admin di Keystone. Queste informazioni vengono utilizzate dal middleware per interrogare Keystone in merito alla validità dei token di authentication.

Va bene. Quindi come funziona auth_uri con auth_host , auth_port e auth_protocol ? Può semplicemente fornire auth_uri e scartare le altre opzioni? C'è una corrispondente opzione di configuration service_uri ? E perché la port in auth_uri corrisponde alla service_port nella configuration precedente invece che l' auth_port ?

Keystone si riferisce alla port 35357 come port "admin", che mi suggerisce che ciò sarebbe stato richiesto solo per la gestione di keystone (creazione / eliminazione di servizi, inquilini, ecc.). Glance invece si riferisce a questo come la port "auth", che suggerisce un diverso uso. Che cosa è esattamente fornito dal servizio sulla port 35357 che non è fornito dal servizio sulla port 5000?

One Solution collect form web for “Come funziona OpenStack Glance con Keystone e quali sono le opzioni di configuration esattamente?”

Prima visita: http://docs.openstack.org/ops/OpenStackOperationsGuide.pdf

Guardando il codice sorgente …

 tools/migrate_image_owners.py 

… è l'unico file che fa riferimento a auth_uri.

Sembra che questa variabile sia tutto il posto e che assiste con la gestione dei token di authorization nei client e in tutto il complesso di opentack. Non viene utilizzato in modo specifico … ma viene utilizzato da utilità che funzionano con lo stack middleware.

Per quanto riguarda le differenze tra 5000 e 35357 su keystone …

http://docs.openstack.org/developer/keystone/api_curl_examples.html ha una discussione abbastanza esplicita su quali esempi di API funzionano in entrambi i casi o no.

La mia comprensione della port 5000 è che il suo scopo specifico è quello di consentire l'authentication API pubblica a keystone, quindi non è necessario esporre 35357 solo per consentire alle persone di autenticarsi.

Quanto al motivo per cui ci sono crediti di authorization dentro ciascuno dei componenti opentack che si legano in chiave di base … veramente non lo faccio. conoscere.

Tuttavia vorrei sottolineare che API v2 sta arrivando in grizzly. Non ancora completamente documentata, e comincerà a introdurre alcuni cambiamenti radicali in come funziona il keystone.

Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.