Atom feed of this document
  

 租户、用户和角色

计算服务系统被设计为用于不同的消费者,在一个共享系统的各种租户和基于角色的访问授权。角色控制一个用户是否被允许执行某些操作。

在计算服务内部,租户是重要的组织结构形式来隔离资源的容器。它们由独立的VLAN、卷、实例、镜像、密钥以及用户形成,一个用户可以指定特定的租户,只要在它的访问密钥后加上:project_id 。如果在API请求中没有指定租户,计算服务会使用和用户一样的ID来使用租户。

对于租户来说,用户可以使用配额来限制如下内容:

  • 多少个卷可以被启动。

  • 多少个处理器核和多大内容被分配。

  • Floating IP 地址可赋予给任何在启动时的实例。这允许实例可以有同样的公有访问IP地址。

  • Fixed IP 地址可赋予给任何在启动时的实例。这允许实例可以有同样的公有或私有访问IP地址。

角色控制扮演的是用户被允许操作什么。默认情况下,绝大多数的动作是不需要指定角色的,但用户可通过编辑文件 policy.json来配置用户角色。举例来说,一个规则被定义为用户若要能够分配公有IP地址则必须拥有admin角色。

一个租户限制用户访问特定的镜像。每个用户会被赋予一个用户名及密码,Keypairs为每个用户赋予访问实例的权限,但是配额也可设置,因此每个租户可以控制资源的消费,且是跨可用的硬件资源。

[注意]注意

早期的OpenStack版本使用术语 项目替代 租户。因为这个遗留的术语,一些命令行工具使用参数 --project_id,实际上这里提供的应是租户ID。

Questions? Discuss on ask.openstack.org
Found an error? Report a bug against this page


loading table of contents...