Keystone
중앙 집중식 인증을 통해 자원을 안전하게 사용할 수 있도록 인증 (Authentication) 및 인가 (Authorization), Endpoint URL, 서비스 검색 메커니즘을 제공하는 프로젝트
Keystone의 구성요소
- Token Backend
오픈스택 서비스에 접근하기 위한 임시 토큰을 관리
- Catalog Backend
모든 오픈스택 서비스에 대한 Endpoint URL을 관리
- Policy Backend
사용자 및 권한, 역할을 관리
- Identity Backend
사용자 및 그룹에 대한 인증을 관리
Domain
사용자 및 그룹, 프로젝트의 모음으로, 특정 조직을 격리할 수 있다
Keystone에서는 Default 라는 이름의 기본 도메인을 제공한다
각 도메인은 특정 API 이름 속성이 존재하는 네임 스페이스를 정의한다
아래는 Identity v3 API 속성의 고유성이다
- Domain Name
- Role Name
- User Name
- Project Name
- Group Name
Project (Tenant)
오픈스택 서비스에서 리소스를 그룹화하고 격리하기 위한 추상화 단위
프로젝트는 도메인 내에서 고유해야한다
프로젝트는 사용자 또는 사용자 그룹을 역할 할당 개념으로 사용하여, 프로젝트 리소스에 대한 접근 가능 권한을 부여할 수 있다
Identity v2에서는 Tenant로 불렸으나 직관적인 표현으로 표기하기 위해 v3 부터 project로 변경되었다
User 및 Group
- User
오픈스택 서비스를 사용하는 사용자 또는 서비스 (Nova, Cinder 등)을 의미
도메인 내에서 고유해야한다
- Group
User의 집합을 의미하며 도메인 내에서 고유해야한다
Role
User 및 Group가 프로젝트 리소스에 접근할 수 있는 권한의 집합을 의미
Token
오픈스택 API 및 리소스에 접근할 수 있는 인증키
Endpoint
User가 서비스를 이용하기 위한 URL 정보 (오픈스택 클라이언트에서 오픈스택 서비스 접근을 위한 주소)
서비스는 하나 이상의 Endpoint를 가질 수 있다
Endpoint 유형
- public (인터넷을 통해 접근 가능)
- admin (관리자에게만 접근을 허용)
- internal (오픈스택 서비스가 설치되어 있는 호스트에서만 접근 가능)
Reference
Openstack Keystone이란? (identity)
Overview 오늘은 openstack keystone에 대하여 공부해보려고 한다. Keystone이란? Keystone은 인증(Authentication) 및 인가(Authorization), Endpoint URL, 서비스 검색 메커니즘을 제공합니다. 중앙 집중식 인증을 통해
somaz.tistory.com
'InfraStructure > Openstack' 카테고리의 다른 글
| 오픈스택 컴퓨트 서비스 - Nova (1) | 2024.09.22 |
|---|---|
| 오픈스택 대시보드 - Horizon (0) | 2024.09.22 |
| 오픈스택의 노드 (0) | 2023.05.20 |
| 오픈스택의 컴포넌트 (1) | 2023.05.20 |
| 오픈스택 네트워크 종류 (0) | 2023.02.12 |