`
lynnkong
  • 浏览: 303178 次
  • 性别: Icon_minigender_1
  • 来自: 西安
社区版块
存档分类
最新评论

【openstack】Nova中的policy

阅读更多

 

Nova中的policy

本博客欢迎转发,但请保留原作者(@孔令贤HW)信息!内容系本人学习、研究和总结,如有雷同,实属荣幸!
任何对外暴露接口的系统,都必须有分权分域以及认证鉴权的功能。在
openstack中,keystone组件用来对用户进行认证,说白了就是看用户是否是系统的合法用户,而policy机制则主要看用户的操作是否满足特定的条件,比如一些接口是特权接口(仅限管理员使用),普通用户不允许调用。下面以Nova中创建虚拟机为例,讲述Novapolicy机制的原理。

 

nova.compute.api.API::create()函数中:



 <!--[endif]-->

_check_create_policies函数就是完成校验的工作。


 

首先,policy.json文件预定义了不同操作的策略,目前有三种类型策略,rule类型,role类型,generic类型。1.rule定义了一些要从文件中读取的规则,比如rule:admin_or_owner admin_or_owner的定义内容需要再从文件中读取。

2.role定义了基于用户身份(context[‘roles’])的规则,比如role:admin,要求只有admin用户才能匹配成功。

3.generic类型基于参数,比如project_id:%(project_id)s,其中%(project_id)是通过参数中的字典传递进来的,然后会与context中的project_id作比较。而is_admin:True则是直接将Truecontextis_admin的值作比较。

举个例子:

      "admin_or_owner":  [["is_admin:True"], ["project_id:%(project_id)s"]],

"compute:create": [["rule:admin_or_owner"]],

这是定义创建虚拟机操作的策略。表示只有admintenant内的用户可以进行创建虚拟机操作。

 

其次,每次进行判断前,都会对policy.json文件进行读取,如果文件相对前一次读取没有改变,则直接从缓存中获取文件内容,否则重新读取文件内容。这也是Nova支持动态策略的原因,即可以根据需要动态的修改policy.json的内容,而不需要重启进程即可让策略生效。

 

貌似Quantum中的policy机制与Nova类似,在Quantum Admin Guide中的Authentication and Authorization章节也有阐述。大家可以作为参考。

本博客欢迎转发,但请保留原作者(@孔令贤HW)信息!内容系本人学习、研究和总结,如有雷同,实属荣幸!

  • 大小: 25.1 KB
  • 大小: 131.4 KB
0
0
分享到:
评论

相关推荐

    open stack nova 源码

    - `nova/policy`:权限控制,基于OpenStack的RBAC(Role-Based Access Control)。 - `nova/db`:数据库操作,与SQLAlchemy集成。 3. **核心类和接口** - `nova.compute.manager.ComputeManager`:负责实例生命...

    NetBackup10_OpenStack_PSF_Guide.pdf

    1. **OpenStack Nova支持**:NetBackup能够识别和备份OpenStack Nova虚拟机,包括实时迁移的虚拟机,确保在整个云环境中的数据一致性。 2. **Swift对象存储保护**:支持对OpenStack Swift对象存储进行备份,保护云...

    centos6.5+openstack+kvm云平台部署

    ### CentOS 6.5 + OpenStack + KVM 云平台部署 ...接下来的步骤将涉及到OpenStack各组件的具体安装与配置,包括但不限于Keystone认证服务、Glance镜像服务、Nova计算服务等。后续内容将在后续章节中详细介绍。

    OpenStack Keystone

    Keystone的主要功能是提供身份服务,为OpenStack其他组件如Nova、Glance、Swift等提供认证、授权和账户管理服务。Keystone在OpenStack系统中承担着安全核心的角色,通过它可以实现对资源的精细化控制和身份的统一...

    openstack学习指南

    ##### Keystone在OpenStack中的作用 - **身份认证**:通过用户名、密码等方式验证用户身份。 - **令牌发放与校验**:成功验证用户身份后,Keystone会发放一个令牌(token),该令牌作为后续所有API调用的身份证明。 -...

    OpenStack镜像管理与制作.md

    在OpenStack中,镜像特指虚拟机镜像,是包含有可启动的操作系统的虚拟机实例磁盘的单个文件。 ##### 2、什么是镜像服务 镜像服务是用于管理镜像的系统,其主要目的是让用户能够发现、获取和保存镜像。在OpenStack中...

    ACI Openstack

    部署指南中提到的Red Hat是Linux操作系统的一个分支,它支持OpenStack。部署指南的标题暗示了特定的实施指导是针对使用Red Hat操作系统的环境。文档指出,尽管ACI的TCP头部压缩实现是基于加州大学伯克利分校开发的...

    Python库 | oslo.policy-0.2.0-py2.py3-none-any.whl

    在实际开发中,oslo.policy库常与其他OpenStack服务如Nova、Neutron、Glance等结合使用,确保服务的安全性和合规性。安装这个库后,开发者可以轻松地在自己的服务中集成强大的权限管理和策略控制。 总之,oslo....

    Mark's talk on DefCore

    然而,由于OpenStack项目的复杂性和可配置选项众多(例如,截至2015年末,官方批准发布的OpenStack项目中有大约4,650个配置选项以及约1,073个policy.json配置),这导致即使是基于相同技术栈构建的云平台也可能表现...

    18-理解 Keystone 核心概念1

    Keystone是OpenStack中的核心组件,主要负责身份管理、认证与授权,为OpenStack平台提供基础的安全框架。了解Keystone,首先需要掌握以下几个关键概念: 1. **User**:User代表使用OpenStack的实体,可以是实际的...

    Python库 | senlin-4.0.0.tar.gz

    6. **更好的兼容性**:此版本对OpenStack的其他组件有更佳的兼容性,如Nova、Neutron和Cinder等,使得整体云环境的集成更加顺畅。 在实际应用中,Senlin通过RESTful API与用户交互,这意味着你可以使用Python SDK、...

    Cinder-Samples

    通过研究Cinder-Samples,开发者可以了解Cinder的工作流程,学习如何与其他OpenStack服务(如Nova)协作,以及如何扩展Cinder以适应新的存储需求。这对于想要为OpenStack社区贡献代码或者在企业环境中自定义Cinder...

    行业分类-设备装置-用于云计算平台的资源管理.zip

    这通常通过自动化工具实现,如OpenStack的 Nova 或 AWS 的 Auto Scaling。 2. 虚拟化技术:虚拟化是云计算资源管理的核心,它允许多个虚拟实例在单个物理硬件上并行运行。例如,KVM、VMware vSphere 和 Docker 容器...

Global site tag (gtag.js) - Google Analytics