4、Openstack/4、尚硅谷-Linux云计算-虚拟化技术 - Openstack/④、keystone/38、尚硅谷-Linux云计算- 虚拟化技术 - Keystone 组件之间的沟通方式

欢迎大家继续收看上硅谷的Linux云计算视频。大家好，我是王安老师。那上节课呢，我们去讲解了一些keyone的相关组件的意义，对吧，包括它的一些功能性介绍。还有它的一些专有名词的解释。那这节课呢，我们去看一下，到底我们的K顿认证服务和我们的其他组件之间，它的沟通方式，包括跟我们的用户之间的沟通方式，对吧？我们通过三张图给大家解释一下。首先我们先看第一张图，是我们的用户的认证过程，也就是用户跟K之间发生的一些故事，对吧？那如果。用户想要去访问我们整个open的体系的话，他需要先进行一次身份的认证。也就是访问了K4动，你必须要访问K动。因为K就是我们整个open star体系中去管理我们的。身份管理的权限管理的对吧，包括服务目录管理的好，那在这里呢，你输入你对应的凭证。

这个应该没问题，对吧，进行一个认证的过程，那这个凭证呢，我们第一次输入的是用户名加密码的方案。会发送到我们的keyone。K4在这里会进行认证，看你这个用户到底有没有权限。如果有的话，会返回一个talk。Token这里叫token杠一。这里需要注意一下这个TOKEN88出去以后呢，在k soon上面，它也会记录token对应的含义。或这个token对应的功能是哪些，他会把它记录上。并不是发给你以后，我本身不做任何记录。那这肯定是不合理的，对吧。好，那套返回以后呢，我们就已经认证成功了，但是用户想知道你当天能为他提供的。服务的集合有哪些对吧。比如叉叉叉宾馆，叉叉叉酒店，什么叉叉叉娱乐场所。

对吧，这些是不是就是我们的租户，我们要签有租户以后，也就是相当于今天你要干嘛，我不知道。那你怎么办呢？上大街溜一圈，看你提供的租户有哪些，你去选择一个租户，去访问它对应的一些服务。这个比较好理解对吧，所以如果我要不知道的话，如果不知道的话，我应该怎么办。如果你知道的话，很简单了，你是不是直接访问他的租户即可。好，那我不知道的情况下，我就要去访问租户。我拿着我的token。这里TON1并不是用户名加密码了，对吧？而是TON1去访问，Kone说，哎，你给我返回一下当年的最后列表有哪些，那这样的话K回认证这个令牌环是不是我颁发的哈。这立卖有没有在有效期限内啊，你别过期了，对吧？我们之前说过，令牌还并不是终身有效的，而会有它的过期时间。

别过期了啊，都没问题的话，我再返回给你租户列表。那这样的话，我们的用户才能去访问对应的服务，还是那句话，这个是一个可选选项。如果你已经知道你要访问的是什么住户或端点的话，你就不需要再进行这样的步骤了。但大部分的情况下，应该都是不知道。因为你的租户列表对应的也就是我们的端点都会显示出来对吧？好，那知道以后用户知道访问什么端点了，比如我要访问的是一个nova，对吧，Nova我们的计算服务，那用户呢，再去发送用户名和密码，再一次发送用户名和密码。他会想告诉他，哎，我要想访问的服务是什么？那这样的话，Kone就会返回一个对应的ton r和你的n point，也就是我们的端点。那这样用户。拿着这里的ton啊，拿着这里的talkn啊。

去访问到这个对应的端点。端点呢，会接收到这个token加上他的request的请求。但是这个point不知道。哎，这个用户到底有没有权限啊，立马别是搞个假的忽悠我。那怎么办呢？我去拿着这个掏坑啊，到我们keysone上进行认证，因为你这个令牌是keyone颁发的，我拿着令牌找你，你去认证，你跟我说你认证不了，怎么可能呢，对吧，所以K6会有这个功能。认证成功以后，他直接告诉nova说，哎。这个令牌环认证成功了，这个请求也是这个，你处理一下好，Nova就开始进行对应的处理，处理完成以后返回对应的处理结果给我们的用户。这就完成了我们的用户加我们的key认证服务。他们的一个。完整过程了。稍微有点复杂对吧。

这是我们的第一张图，用户认证的过程。第二张图，主件之间的协同。这里的图就比较多了，对吧，或者组件就比较多了，这里涉及到用户K认证服务。Nova计算符。Y进相府。牛创什么网络？这里这么几个服务之间呢。会有对应的关联关系。比如我要创建一个虚拟机，我需要借助到镜像，我也需要借助它对应的网络。这肯定是没问题的，对吧，用户先去发送对应的凭据。到我们的key顿，也就是用户名加密码的方式，对吧？Keyone会返回一个token，我们把它叫做令牌环。对吧，令牌还给用户。用户拿着这个令牌环，加上它对应的请求，请求一个虚拟机到我们的nova组件上。

Nova说了，哎，你这个人令徘徊到底有没有效啊？你别搞个假的忽悠我。所以他会拿着这个令牌环去找我们的keystone进行认证。K顿，如果认证成功以后呢，那这个nova是不是心里就有数了？哎，这个令牌是没问题的，那这次请求我应该帮他去处理。那处理的结果是什么呢？那nova就可以进行下一步操作了。Nova想要创虚拟机，创虚拟机的最重要的一个步骤，我是不是要先拿一个镜像啊，对吧，ISO镜像，当然我们这里的不是ISO镜像，而是一个符合我们的open star结构框架的这么一个镜像能力。那token加上我们请求的镜像呢，会被转接到我们的Y的这么一个服务上。当然，这里的token依然是之前用户。认证的时候，就是找我的nova的时候，赋予给nova的这么一个token。那token给了。这个token加请求给了我们的lay服务以后呢，Lay服务会拿着这个凭据，也就是我们的token再去找到我们的key stone说，哎，这个key stone有没有获取我们的镜像呢权利，那如果有的话，格Y返回我们的镜像到我们的nova。

那倾向也有了，下一步我是不是要获取对应的IP地址了，那所以nova再继续拿着这个之前用户给他的token，加上我们的请求，到达我们的流畅网络服务上。网络服务呢，会返回我们的。Token到keyone认证，认证成功以后，同理返回我们的对应的网络，返回成功，返回成功到用户，那这样的话，用户这台虚拟机就已经创建出来了。这个过程呢，是我们caseone里面比较复杂的，最复杂的这么一个，呃，组件之间的协同工作，这个如果能理解的话，相信其他的应该都没有问题。好，这是我们的第二张图，我们看下第三张图。

第三张图其实跟我们的角色之间的关系有关。这里是我们的服务对吧，然后呢，角色用户和租户。那所以你在这里会看到，首先你能确定的几点，第一个第一个。在一个用户的体系下，可以放在不同的租户里，也就一个用户允许有多个租户。没问题吧，一个用户允许有多个租户，这里的云是不是代表的就是租户啊，那这个租户里面是不是有一，那这个租户里是不是也是有一的，需要大家注意一下。好。第二个需要注意的就是。一个用户，一个用户可以绑定到不同的角色。对吧，一个用户可以绑定到不同的角色。这是第二点，我需要说明的第三点。一个角色可以去绑定到不同的服务。

或叫关联到不同的服务。如果我有Z1的角色，我就能去创建虚拟机，创建网，绑定网络。如果我有ZR的角色，我就可以去绑定券，可以去添加网络接口，如果有Z3增加端口绑定。端口。这应该没问题，对吧？这就是我这张图里想给大家展现的一个意义所在。这几个对应的关系需要大家好好的去理解一下，三张图非常重要。那这节课呢，我们就先讲到这里，我们下节课再见。