我想按照以下方式实现无令牌授权: tokenless_pike, tokenless_v2023。 我的目标是使用 x509 证书获取 fernet 令牌。配置后,根据第一个链接,您可以使用以下命令测试功能: curl -v -k -s -X GET --cert /<PATH>/x509client.crt \ --key /<PATH>/x509client.key \ --cacert /<PATH>/ca.crt \ -H "X-Project-Name: <PROJECT-...
我们目前正在使用 OpenStack Ansible(Yoga 版本)为我们大学的 OpenStack 环境实施 SSO。我们的目标是允许学生通过身份提供商使用他们的大学凭据登录 - 目前我们使用我们自己的 Keycloak 实例作为 IdP。计划是为首次用户自动创建一个新项目,而返校学生将被重定向到他们现有的项目来管理他们的实例。 对于初始测试,我们将所有用户引导至单个项目。最终,我们希望编写脚本,在控制器节点上动态创建项目以供首次登录使用。但是,我们遇到了一些问题: 我们在user_variables.yml文件中的Keystone配置如下: keyst...
尝试在三个节点上使用 openstack:antelope 构建测试环境;控制器、计算和网络。一切似乎都设置良好,除了我使用自签名证书,当我尝试从命令行启动实例时,我收到以下错误: 意外的 API 错误。请在 http:bugs.launchpad.net/nova/ 上报告此错误,并尽可能附上 Nova API 日志。<class 'keystoneauth1.exceptions.connection.SSLError'> (HTTP 500) (Request-ID: req-xxxxxxxxx) 在 Hyper-V 中运行的 3 个 ub...
我在虚拟机上安装了 packstack openstack ussri,没有任何问题(CLI 和仪表板)。 当我尝试在公司环境中安装它时,我无法使用 CLI 命令。安装过程中没有错误。但我可以登录仪表板并在那里执行操作。 抛出的错误: Failed to discover available identity versions when contacting http://ipaddr:5000/v3. Attempting to parse version from URL. Proxy Authentication Required (HTTP 407)...
我在控制器和计算节点上完成 nova 安装后,按照产品文档“https://docs.openstack.org/nova/2023.1/install/verify.html”操作,在验证安装并执行命令“nova-status upgrade check”时看到“没有这样的表:cell_mappings”。 ~# nova-status upgrade check Modules with known eventlet monkey patching issues were imported prior to eventlet monkey patchin...
控制器节点已重新启动,并且一些虚拟机正在运行。此后,当登录 Horizon 时,我不断收到以下错误:错误:无法检索实例。我再也看不到正在运行的虚拟机。以下是/var/log/apache2/error.log。我是初学者,我不知道该如何解决这个问题,如果能得到任何帮助我将不胜感激。 [Mon Jul 11 13:26:04.516711 2022] [wsgi:error] [pid 1509:tid 140620901611264] [remote 192.168.100.66:50458] WARNING horizon.exceptions Rec...
我有一个 openstack victoria 云设置。我使用 keystone 的默认策略,并且没有对该策略进行任何更改。 我在 openstack 中创建了一个名为 testuser 的测试用户名。我将其主要项目指定为 testproject 并指定管理员角色。但当我以 testuser 身份登录时,我也能访问管理员项目。看来我的范围不仅限于 testproject。 根据文档 https://docs.openstack.org/keystone/latest/admin/service-api-protection.html 项目管理员只能查看和修...
理论上,我可以通过凭证和实例 ID/网络 IP(不是浮动 IP)等 ssh 到 OpenStack 中的实例。这可能吗?我是否遗漏了什么?这只是一个尚不支持的功能吗? ...
在全新 openstack 安装中 Nova 拒绝工作: root@moscontrol:~# openstack hypervisor list The server is currently unavailable. Please try again at a later time.<br /><br /> The Keystone service is temporarily unavailable. (HTTP 503) (Request-ID: req-f2da21b3-fca8-408c-83ba-bf74f132c6d...
我一直在试图弄清楚为什么通过 OpenStack Keystone 请求访问令牌相对较慢(最低约为 400 毫秒,在某些情况下超过一秒)。 为了找到原因,我使用了 OSProfiler,似乎大部分时间都花在与数据库通信上。我可以看到 Keystone 在请求令牌时执行了大约一百次数据库调用。对数据库的单个调用相对较快(2-6 毫秒之间),但这样做 100 次很容易导致仅在数据库请求中就有 500 毫秒的延迟。 目前,数据库是通过网络访问的(网络往返时间约为 0.3 毫秒)。从 TCP 和 MySQL 开销来看,每个数据库查询的时间都是合理的,因此并不算太疯狂...
我认为 Openstack 中的大多数事物都有单独的 ID 和单独的名称(用户、项目、虚拟机等)。为什么身份提供者没有单独的 ID 和名称?还有其他类似的对象吗?是否有规则规定特定实体必须同时具有 ID 和名称,而其他实体可以没有单独的名称? $ openstack identity provider list +----------------+---------+-------------+ | ID | Enabled | Description | +----------------+---------+-----------...
我知道如何通过openstackCLI 通过用户凭据和令牌向 OpenStack 进行身份验证。现在我想知道如何使用应用程序凭据进行身份验证。 使用application_credential或application_credentials作为auth_type/OS_AUTH_TYPE只会触发一条关于未找到名为这样的插件的消息。 遗憾的是,我找不到任何文档,甚至没有提到这一点。是否可能需要为 Keystone 客户端提供单独的身份验证插件? CLI 版本是 5.4.0。 ...
我对以下问题有疑惑:“将 OpenStack 控制服务(如 Neurtron/Cinder/Glance/Keystone 服务器服务(neutron-API 等))和 nova 控制服务(如 Nova-api(nova-compute 除外))进行容器化/docker 化是否有意义?我对 Openstack Kolla 项目有研究,但它无法帮助我吸收其背后的想法。 任何帮助都将不胜感激。问候 ...
我一直在尝试使用 python-openstack sdk 建立与 Openstack 云的简单连接。但没有成功。有人能告诉我哪里出错了吗?我可以看到标头发送的是完全不同的东西,而不是身份验证令牌,但我不知道如何更改它。以下是代码: import openstack import sys conn=connection.Connection( auth_url='https://fra1.citycloud.com:5000', project_name="Default Project 39140", username="vishwa", password...
刚刚安装了 Openstack victoria。之前使用的是旧版本。出于某种原因,我在网上搜索这个问题时遇到了一些麻烦。 要点:具有项目“成员”角色的用户可以删除该项目中的任何内容,包括管理员角色添加的项目(例如路由器,网络,一览图像)。 更多详细信息:我创建了一个项目“myproject”和用户“myuser”。我将“myuser”添加到角色“成员”并登录到 Horizon 仪表板。此用户可以启动实例,一切正常。但是,我后来意识到,无意中,该用户可以删除路由器、网络、glance 图像以及项目中的任何内容。这不是我想要的行为。 我不确定这是我之前安装...