[Open Stack] [Controller Node] ③ Keystone - Identity 설치 및 구성

 

 

 

 

 

 

 

 

OpenStack for Architects - Second Edition Paperback

"이 포스팅은 쿠팡 파트너스 활동의 일환으로, 이에 따른 일정액의 수수료를 제공받습니다."

 

 

🗂 목차

1. [Hyper-V] [Open Stack] Open Stack이란?
2. [Hyper-V] [Open Stack] [Controller Node] Hyper-V 구성 및 Ubuntu 22.04.3 LTS Server 설치
3. [Hyper-V] [Open Stack] [Controller Node] ① 오픈스택 패키지 설치
4. [Hyper-V] [Open Stack] [Controller Node] ② NTP Server 구성
5. [Hyper-V] [Open Stack] [Controller Node] ③ RabbitMQ - Message Queue 설치 및 구성
6. [Hyper-V] [Open Stack] [Controller Node] ④ Memcached 설치 및 구성
7. [Hyper-V] [Open Stack] [Controller Node] ⑤ Etcd 설치 및 구성
8. [Hyper-V] [Open Stack] [Controller Node] ⑥ Keystone - Identity 설치 및 구성
9. [Hyper-V] [Open Stack] [Controller Node] ⑦ Image Service - Glance 설치 및 구성  
10. [Hyper-V] [Open Stack] [Controller Node] ⑧ Compute Service - Nova 설치 및 구성
11. [Hyper-V] [Open Stack] [Contoller Node] ⑨ Neutron - Network 서비스 설치 및 구성
12. [Hyper-V] [Open Stack] [Controller Node] ①⓪ Horizon - Dashboard 서비스 설치 및 구성

11. [Hyper-V] [Open Stack] [Compute Node] 준비중

 

 

 

 

🚀 Controller Node 구성

    🔽 개요

주니의 오픈스택 구성도

 

        📦 소개

이번에는 인증, 승인, 서비스에 대한 카탈로그 관리를 위한 Identity 서비스 설치 및 구성을 진행해 볼거에요.

오픈스택의 Identiry 서비스는 인증, 승인, 서비스에 대한 카탈로그 관리를 위한 단일 통합 지점을 제공하고 있다고 해요.

Identity 서비스는 사용자가 상호 작용하는 첫번째 서비스에요.
한 번 인증이 이루어지면 최종 사용자는 자신의 신원을 사용하여 다른 오픈스택 서비스에 접근할 수 있어요.
마찬가지로 다른 오픈스택 서비스는 Identity 서비스를 활용하여 사용자가 자신이 접속 허용하는 사용자임을 확인하고, 환경 내 다른 서비스의 위치를 확인합니다.
Identity 서비스는 일부 외부 사용자 관리 시스템 (예: LDAP)과 통합할 수도 있다고 해요.

사용자 및 서비스는 Identity 서비스에서 관리하는 서비스 카탈로그를 사용하여 다른 서비스를 찾을 수도 있다고 해요.
이름에서 보이듯 서비스 카탈로그는 오픈스택 환경에서 사용 가능한 서비스 모음이에요.

각 서비스는 하나 이상의 endpoint를 가질 수 있고, 각 endpoint는 admin, internal 또는 public 세 가지 유형 중 하나를 선택할 수 있어요. 프로덕션 환경에서 서로 다른 endpoint 유형이 보안상의 이유로 다른 유형의 사용자에게 노출된 별도의 네트워크에 존재할 수도 있어요. 예를 들어 public API 네트워크는 인터넷에서 볼 수 있기 때문에 사용자가 클라우드를 관리 할 수 있고, admin API 네트워크는 클라우드 인프라를 관리하는 조직 내의 운영자로 제한할 수 있어요.
internal API 네트워크는 오픈스택 서비스가 있는 호스트로 제한할 수 있다고 해요.

또한, 오픈스택은 확장성을 위해 여러 region을 지원하고 있어요.
주니는 현재 하나의 물리 서버를 사용하기 때문에 endpoint 유형 및 기본 RegionOne region에 대한 관리 네트워크로 구성해 보려고 해요. Identity 서비스에서 작성된 region, 서비스 및 endpoint를 함께 사용하여 배포를 위한 서비스 카탈로그를 구성할 수 있어요.

배포의 각 오픈스택 서비스에는 Identity 서비스에 저장된 endpoint에 대한 서비스 지점이 필요해요.
이 작업은 모두 Ideintity 서비스 설치 및 구성한 다음 작업할 수 있어요.

Identity는 다음 구성 요소를 가지고 있어요.

구성 요소	상세 내용
Server(서버)	중앙 집중된 서버는 RESTful 인터페이스를 이용하여 인증과 권한 부여 서비스 제공.
Driver(드라이버)	드라이버나 서비스 백엔드는 중앙 집중된 서버에 통합됨. 오픈스택 외부 저장소에서 Ientity 정보를 접근하는데 사용되며, 오픈스택 배포 시 (예: SQL DBMS, LDAP 서버) 인프라에 먼저 설치할 수 있음.
Module(모듈)	미들웨어 모듈은 Ientity 서비스를 사용하여 오픈스택 구성 요소에 대한 주소 공간에서 실행. 이러한 모듈은 서비스 요청을 가로챈 뒤 사용자 인증을 얻어내어 권한 부여에 대한 중앙 집중된 서버에 전송. 기존 미들웨어 모듈과 오픈스택 구성 요소간 통합을 파이썬 웹으로 구성된 서버 게이트웨이 인터페이스 사용.

 

Identity를 사용하기 위해서는 keystone이라는 프로젝트 이름을 가진 오픈스택 Ientity 서비스를 컨트롤러 노드에 설치하고, 구성해 주어야 해요. 확장성 목적을 위해 해당 구성에서 요청을 다루기 위한 Fernet 토큰 및 Apache HTTP 서버를 배포할 거에요.

 

 

 

    🔽 구성 요소 설치 및 구성

       📦 구성 요소 설치 및 구성

최초 위 작업을 하기 전 이전에 만들어 둔 Maria DBMS에 Data Base를 만들어 줘야 해요.

 

# === keystone ===
# Identity 서비스 이용을 위한 keystone DB 생성
use mysql;

CREATE DATABASE keystone;

# Keystone 계정 및 권한 부여
GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'192.168.0.%' IDENTIFIED BY 'PASSWORD';
GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'192.168.10.%' IDENTIFIED BY 'PASSWORD';
GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'192.168.20.%' IDENTIFIED BY 'PASSWORD';
GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'192.168.40.%' IDENTIFIED BY 'PASSWORD';

flush privileges;

위와 같이 keystone이라는 DB를 만들고, 계정을 생성하고, 권한을 부여해 주었어요.



다시 컨트롤러 노드로 돌아와 설치와 구성을 진행해 볼게요.

apt install -y keystone python3-openstackclient apache2 libapache2-mod-wsgi-py3 python3-oauth2client

위와 같이 필요 패키지를 설치해 주었어요.

vim /etc/keystone/keystone.conf 443번째 줄

 

memcache_servers = {Controller IP}:11211

vim /etc/keystone/keystone.conf 661번째 줄

 

[database]
connection = mysql+pymysql://keystone:password@{database IP}/keystone

위와 같이 변경을 해 주는데, PASSWORD에는 DB 계정 비밀번호를 넣어주어야 해요.

vim /etc/keystone/keystone.conf 2639번째 줄

 

provider = fernet

여기까지 완료 되었다면 저장하고, 나옵니다.

su -s /bin/sh -c "keystone-manage db_sync" keystone

반응형

위 명령어를 통해 Identity 서비스에 대한 Data Base에 Data를 넣어줍니다.

 

위와 같이 Table이 생성된 걸 확인할 수 있어요.

 

Fernet Key 저장소 초기화

 

# keystone-manage fernet_setup --keystone-user keystone --keystone-group keystone
# keystone-manage credential_setup --keystone-user keystone --keystone-group keystone

728x90

위 명령어를 통해 Fernet Key 저장소를 초기화 해주어야 해요.

export controller={Controller Node Domain Name}

위와 같이 주니는 hosts File에 도메인 이름을 정의하고, 키스톤 API Host 정의를 위해 controller라는 변수에 값을 넣어주었어요.

vim bootstrap-keyston (Identity 서비스 부트스트래핑)

위에서 adminpassword 부분은 관리 권한이 있는 사용자가 사용할 적절한 암호를 입력해 주어야 해요.

chmod +x bootstrap-keyston; ./bootstrap-keyston

저장하고, 나온 뒤 해당 스크립트를 실행해 줍니다.

 

vim /etc/apache2/apache2.conf 70번째 줄 추가

위 파일을 Editor를 이용하여 ServerName Option(옵션)이 컨트롤러 노드를 가리키도록 지정해 줍니다.

service apache2 restart

아파치 서비스를 재 기동하고, 기존에 만들어졌던 SQLite Data Base를 제거하여 주었어요.

 

 

 

       📦 Keystone Project 만들기

vim ~/keystonerc

export OS_PROJECT_DOMAIN_NAME=default
export OS_USER_DOMAIN_NAME=default
export OS_PROJECT_NAME=admin
export OS_USERNAME=admin
export OS_PASSWORD=adminpassword
export OS_AUTH_URL=http://junyss-os-controller:5000/v3
export OS_IDENTITY_API_VERSION=3
export OS_IMAGE_API_VERSION=2
export PS1='\u@\h \W(keystone)\$ '

환경 변수를 먼저 로드해 줄 거에요.
keystone 부트스트랩을 구성할 때 [OS_PASWORD] 값은 암호에서 나올 거에요.
[OS_AUTH_URL]의 경우 키스톤 서버의 호스트 이름 또는 IP 주소를 지정해 주었어요.

그리고, 위와 같이 관리 계정을 구성해 줍니다.

여기까지 되었다면 저장하고, 나와줍니다.

chmod 600 ~/keystonerc; source ~/keystonerc; echo "source ~/keystonerc " >> ~/.bashrc

위와 같이 환경 변수 파일에 대한 권한을 주고, 등록해 주었어요.


참고로 OS_PASSWORD에는 Keystone-install-configure 안에 
keystone-manage bootstrap 명령어에서 사용되는 암호로 변경해주어야 해요.

 

이번에는 도메인, 프로젝트, 사용자, 역할 생성 작업을 해볼게요.

Identity 서비스는 각 오픈스택 서비스를 위한 인증 서비스를 제공하고 있어요. 인증 서비스는 domains, projects, users, roles를 결합하여 사용하고 있답니다.

openstack project create --domain default --description "Service Project" service

최초 각 서비스에 대한 고유 사용자를 포함하는 서비스 프로젝트를 만들어 줄거에요.
service 프로젝트를 위와 같이 만들어 줍니다.

만약 잘못 만들어주었다면 아래와 같이 삭제할 수 있어요.

openstack project delete {Project Name 혹은 ID}

openstack project list

위 명령어로 프로젝트 목록을 확인할 수 있어요.

 

 

       📦 Open Stack Client 환경 Script 생성

위에서 주니는 openstack Client(클라이언트)를 이용하여 Identity 서비스와의 상호 작용을 위한 환경 변수와 명령어 옵션을 결합하여 사용하는 방법을 알게 되었어요.

클라이언트 동작에 대한 효율성 증대를 위해 오픈 스택은 OpenRC 파일을 이용하여 단순 클라이언트 환경 Script(스크립트)를 지원한다고 해요.
해당 스크립트는 모든 클라이언트에 대한 공통 옵션을 포함하고, 특정 옵션도 지정해 줄 수 있어요.

 

최초 admin과 demo Project(프로젝트)와 사용자에 대한 클라이언트 환경 스크립트를 만들어 보려고 해요.
이 스크립트를 클라이언트 작업에 대해 적절한 credential로 불러올 수 있답니다.

참고로 해당 스크립트 위치는 어디에 두어도 상관없어요.
주니는 root home Directory에 놓도록 할거에요.

만약 좀 더 편리한 방법으로 진행하고 싶다면 cluds.yaml과 같은 yaml 형식을 지원하는 os-client-config를 사용할 수 있어요.

주니는 yaml을 사용하지 않는 방법으로 진행해 볼게요.

admin에 관련한 내용은 위에서 기술했으니 demo에 대한 내용만 기술해 볼게요.

vim /root/keystone/management/demo-openrc

OS_PASSWORD에는 demo를 이용할 계정의 비밀번호를 적어주면 돼요.

openstack --os-auth-url http://{controller IP}:5000/v3 --os-project-domain-name default --os-user-domain-name default --os-project-name demo --os-username demo token issue

이렇게 스크립트를 이용하여 특정 프로젝트 및 사용자로 실행하기 위해서 실행 전 관련 클라이언트 환경 스크립트를 준비해 둘 수 있어요.

위와 같이 demo-openrc 스크립트를 실행하여 Ientity 서비스에 대한 위치와 demo 프로젝트 및 사용자 credential을 함께 환경 변수로 관리할 수 있어요.

 

 

       📦 잘 설치 되었나? 🤔

 

openstack --os-auth-url http://$controller:5000/v3 --os-project-domain-name default --os-user-domain-name default --os-project-name admin --os-username admin token issue

 

최초 unset 명령어로 전역 변수로 등록된 OS_AUTH_URL과 OS_PASSWORD를 메모리에서 제거해 준 뒤 위 명령어를 통해 관리자 계정으로 토큰을 요청해 보았어요.

Password는 관리자 계정의 비밀번호를 입력해 주면 된답니다.

 

 

 

 

Openstack Essentials Second Edition Paperback

"이 포스팅은 쿠팡 파트너스 활동의 일환으로, 이에 따른 일정액의 수수료를 제공받습니다."

 

 

🧐 참고 자료

OpenStack Docs: Identity 서비스

Ubuntu 22.04 LTS : OpenStack Zed : Configure Keystone #1 : Server World