通过 Keystone 到 Keystone (K2K) 联合,多个 OpenStack 部署可以共享同一个标识源。它对其中一个站点用作标识源的跨区域站点非常有用。
可以将 VMware Integrated OpenStack 部署配置为 Keystone 到 Keystone 联合的身份提供程序或服务提供商。身份提供程序向服务提供商提供用户身份验证服务。
过程
- 将 OpenStack 部署配置为 Keystone 身份提供程序。
- 以
admin用户身份登录到 Integrated OpenStack Manager Web 界面。 - 在 OpenStack 部署中,单击部署的名称,然后打开管理选项卡。
- 在身份联合选项卡中,单击添加。
- 从联合类型下拉菜单中,选择 K2K。
- 输入所需的参数。
选项 说明 名称
为身份提供程序输入名称。
描述
输入身份提供程序的描述。
K2K 提供程序类型
选择 Keystone 作为身份提供程序。
K2K 服务提供商地址
输入将充当服务提供商的 OpenStack 部署的公共 OpenStack 端点(例如 198.51.100.100)。
K2K 服务提供商 CA 证书
输入将充当服务提供商的 OpenStack 部署的 vio.pem 证书的内容。
可以通过运行以下命令显示 vio.pem 文件的内容:
kubectl -n openstack get secrets certs -o jsonpath='{@.data.vio_certificate}' | base64 --decode - 单击确定。
- 以
- 将第二个 OpenStack 部署配置为 Keystone 服务提供商。
- 以
admin用户身份登录到 Integrated OpenStack Manager Web 界面。 - 在 OpenStack 部署中,单击部署的名称,然后打开管理选项卡。
- 在身份联合选项卡中,单击添加。
- 从联合类型下拉菜单中,选择 K2K。
- 输入所需的参数。
选项 说明 名称
输入目标身份提供程序的名称。此字段的值在这两个部署上必须相同。
描述
输入服务提供商的描述。
K2K 提供程序类型
选择 Keystone 作为服务提供商。
K2K 身份提供程序地址
输入充当身份提供程序的 OpenStack 部署的公共 OpenStack 端点(例如,192.0.2.100)。
K2K 身份提供程序端口
输入充当身份提供程序的 OpenStack 部署的 Keystone 端口号(例如,5000)。
- (可选) 您可以选择,然后输入将导入联合用户的 OpenStack 域、项目和组。
注:
- 如果未输入域、项目或组,则使用以下默认值:
- 域:
federated_domain - 项目:
federated_project - 组:
federated_group
- 域:
- 不要输入
federated作为域名。此名称由 Keystone 预留。 - 如果提供自定义映射,则必须输入这些映射中包含的所有 OpenStack 域、项目和组。
- 如果未输入域、项目或组,则使用以下默认值:
- 单击确定。
- 以
结果
用户和组将从服务提供商部署联合到身份提供程序部署。当您登录到身份提供程序部署中的 VMware Integrated OpenStack 仪表板时,可以在页面的右上角选择服务提供商。然后,可以对服务提供商部署执行操作。
注: 使用身份联合时,必须通过公共 OpenStack 端点访问
VMware Integrated OpenStack 仪表板。不要使用专用 OpenStack 端点或控制器 IP 地址来联合用户身份登录。
