上节介绍了 Keystone 的核心概念。本节我们通过“查询可用 image”这个操作让大家对这些概念简历更加感性的认识。User admin 要查看 Project 中的image。
第一步 登录
.png)
当点击 Connect 按钮的时候,OpenStack内部发生了哪些事情呢?见下图
Token 中包含了 User 的Role 信息
.png)
第二步 显示操作界面
.png)
请注意,顶部显示 admin 可访问的 Project 为 admin 和 demo 。其实在这之前发生了一些事情:
.png)
同时,admin 可以访问 Intance、Volume、Image 等服务。
.png)
这是因为 admin 已经从 Keystone 拿到了各 Service 的Endpoints 。
.png)
第三步 显示 image 列表
点击 Images 会显示 images 列表
.png)
背后有发生了些什么呢?
首先 admin将请求发送到 Glance 的Endpoint
.png)
Glance 向 Keystone 询问 admin 身份是否有效
.png)
接下来Glance 会查看 /etc/glance/policy.json 判断 admin是否有查看 image 的权限。
.png)
权限判定通过,Glance 将image列表发给 admin。
Troubeshoot
OpenStack排错问题的方法主要是通过日志。
每个 Service 都有自己的日志文件。Keystone 主要有两个日志: keystone.log 和 keystone_access.log ,保存在 /var/log/apache2/ 目录里
root@DevStack-Controller:/var/log/apache2# ll
total 25836
drwxr-x--- 2 root adm 4096 May 22 01:12 ./
drwxrwxr-x 14 root syslog 4096 May 22 00:08 ../
-rw-r----- 1 root adm 201783 May 22 01:12 access.log
-rw-r----- 1 root adm 2940 May 22 01:13 error.log
-rw-r--r-- 1 root root 2027277 May 22 20:37 horizon_access.log
-rw-r--r-- 1 root root 329201 May 22 20:34 horizon_error.log
-rw-r--r-- 1 root root 803 May 22 19:48 keystone_access.log
-rw-r--r-- 1 root root 19381569 May 22 20:37 keystone.log
-rw-r----- 1 root adm 0 May 22 00:09 other_vhosts_access.log
-rw-r--r-- 1 root root 4479073 May 22 20:37 placement-api.log
DevStack 的 screen 窗口已经帮我们打开了这两个日志,可以直接查看
如果需要得到详细的日志信息,可以在 cat /etc/keystone/keystone.conf 中打开debug选项。
root@DevStack-Controller:/var/log/apache2# cat /etc/keystone/keystone.conf | grep '^[^#]'
[DEFAULT]
max_token_size = 16384
logging_exception_prefix = %(asctime)s.%(msecs)03d %(process)d TRACE %(name)s %(instance)s
debug = True
admin_endpoint = http://10.12.31.241/identity_admin
public_endpoint = http://10.12.31.241/identity
transport_url = rabbit://stackrabbit:[email protected]:5672/
在非 DevStack安装中,日志可能在 /var/log/keystone 目录中。