通过 Keystone 到 Keystone (K2K) 联合,多个 OpenStack 部署可以共享同一个标识源。它对其中一个站点用作标识源的跨区域站点非常有用。

可以将 VMware Integrated OpenStack 部署配置为 Keystone 到 Keystone 联合的身份提供程序或服务提供商。身份提供程序向服务提供商提供用户身份验证服务。

过程

  1. 将 OpenStack 部署配置为 Keystone 身份提供程序。
    1. admin 用户身份登录到 Integrated OpenStack Manager Web 界面。
    2. OpenStack 部署中,单击部署的名称,然后打开管理选项卡。
    3. 身份联合选项卡中,单击添加
    4. 联合类型下拉菜单中,选择 K2K
    5. 输入所需的参数。
      选项 说明

      名称

      为身份提供程序输入名称。

      描述

      输入身份提供程序的描述。

      K2K 提供程序类型

      选择 Keystone 作为身份提供程序

      K2K 服务提供商地址

      输入将充当服务提供商的 OpenStack 部署的公共 OpenStack 端点(例如 198.51.100.100)。

      K2K 服务提供商 CA 证书

      输入将充当服务提供商的 OpenStack 部署的 vio.pem 证书的内容。

      可以通过运行以下命令显示 vio.pem 文件的内容:

      kubectl -n openstack get secrets certs -o jsonpath='{@.data.vio_certificate}' | base64 --decode
    6. 单击确定
  2. 将第二个 OpenStack 部署配置为 Keystone 服务提供商。
    1. admin 用户身份登录到 Integrated OpenStack Manager Web 界面。
    2. OpenStack 部署中,单击部署的名称,然后打开管理选项卡。
    3. 身份联合选项卡中,单击添加
    4. 联合类型下拉菜单中,选择 K2K
    5. 输入所需的参数。
      选项 说明

      名称

      输入目标身份提供程序的名称。此字段的值在这两个部署上必须相同。

      描述

      输入服务提供商的描述。

      K2K 提供程序类型

      选择 Keystone 作为服务提供商

      K2K 身份提供程序地址

      输入充当身份提供程序的 OpenStack 部署的公共 OpenStack 端点(例如,192.0.2.100)。

      K2K 身份提供程序端口

      输入充当身份提供程序的 OpenStack 部署的 Keystone 端口号(例如,5000)。
    6. (可选) 您可以选择高级设置 > 通用高级设置,然后输入将导入联合用户的 OpenStack 域、项目和组。
      注:
      • 如果未输入域、项目或组,则使用以下默认值:
        • 域:federated_domain
        • 项目:federated_project
        • 组:federated_group
      • 不要输入 federated 作为域名。此名称由 Keystone 预留。
      • 如果提供自定义映射,则必须输入这些映射中包含的所有 OpenStack 域、项目和组。
    7. 单击确定

结果

用户和组将从服务提供商部署联合到身份提供程序部署。当您登录到身份提供程序部署中的 VMware Integrated OpenStack 仪表板时,可以在页面的右上角选择服务提供商。然后,可以对服务提供商部署执行操作。

注: 使用身份联合时,必须通过公共 OpenStack 端点访问 VMware Integrated OpenStack 仪表板。不要使用专用 OpenStack 端点或控制器 IP 地址来联合用户身份登录。