Keystone 至 Keystone (K2K) 聯盟允許多個 OpenStack 部署共用相同的身分識別來源。此功能對於跨區域站台 (其中一個站台用作身分識別來源) 十分有用。
VMware Integrated OpenStack 部署可以設定為 Keystone 至 Keystone 聯盟的身分識別提供者或服務提供者。身分識別提供者會向服務提供者提供使用者驗證服務。
程序
- 將 OpenStack 部署設定為 Keystone 身分識別提供者。
- 以
admin使用者身分登入 Integrated OpenStack Manager Web 介面。 - 在 OpenStack 部署中,按一下部署名稱,然後開啟管理索引標籤。
- 在身分識別聯盟索引標籤上,按一下新增。
- 從聯盟類型下拉式功能表中,選取 K2K。
- 輸入必要的參數。
選項 說明 名稱
輸入身分識別提供者的名稱。
說明
輸入身分識別提供者的說明。
K2K 提供者類型
選取 Keystone 做為身分識別提供者。
K2K 服務提供者位址
輸入將充當服務提供者的 OpenStack 部署的公用 OpenStack 端點 (例如 198.51.100.100)。
K2K 服務提供者 CA 憑證
輸入將充當服務提供者的 OpenStack 部署中 vio.pem 憑證的內容。
您可以執行下列命令以顯示 vio.pem 檔案的內容:
kubectl -n openstack get secrets certs -o jsonpath='{@.data.vio_certificate}' | base64 --decode - 按一下確定。
- 以
- 將第二個 OpenStack 部署設定為 Keystone 服務提供者。
- 以
admin使用者身分登入 Integrated OpenStack Manager Web 介面。 - 在 OpenStack 部署中,按一下部署名稱,然後開啟管理索引標籤。
- 在身分識別聯盟索引標籤上,按一下新增。
- 從聯盟類型下拉式功能表中,選取 K2K。
- 輸入必要的參數。
選項 說明 名稱
輸入目標身分識別提供者的名稱。此欄位的值在兩個部署中必須相同。
說明
輸入服務提供者的說明。
K2K 提供者類型
選取 Keystone 做為服務提供者。
K2K 身分識別提供者位址
輸入充當身分識別提供者的 OpenStack 部署的公用 OpenStack 端點 (例如 192.0.2.100)。
K2K 身分識別提供者連接埠
輸入充當身分識別提供者的 OpenStack 部署的 Keystone 連接埠號碼 (例如 5000)。
- (選擇性) 您可以選取,然後輸入將要匯入同盟使用者的 OpenStack 網域、專案和群組。
備註:
- 如果您未輸入網域、專案或群組,將使用下列預設值:
- 網域:
federated_domain - 專案:
federated_project - 群組:
federated_group
- 網域:
- 請勿輸入
federated做為網域名稱。Keystone 已保留此名稱。 - 如果您提供自訂對應,則必須輸入這些對應中包含的所有 OpenStack 網域、專案和群組。
- 如果您未輸入網域、專案或群組,將使用下列預設值:
- 按一下確定。
- 以
結果
使用者和群組會從服務提供者部署同盟至身分識別提供者部署。當您在身分識別提供者部署上登入 VMware Integrated OpenStack 儀表板時,您可以在頁面的右上方選取服務提供者。然後,您可以在服務提供者部署上執行動作。
備註: 使用身分識別聯盟時,您必須透過公用 OpenStack 端點存取
VMware Integrated OpenStack 儀表板。請勿使用私人 OpenStack 端點或控制器 IP 位址以同盟使用者身分登入。
