RAID-Technologie verspricht höhere Performance und mehr Sicherheit beim permanenten Speichern von Daten. Die ADMIN-Redaktion gibt einen Überblick über ... (mehr)

OpenStack ist modular

Grundsätzlich gilt: Die OpenStack-Architektur ist modular, jeder Aufgabe ist eine einzelne Komponente zugeordnet, die die jeweiligen Funktionen bereitstellt. Laut offizieller Sprachregelung unterscheidet OpenStack dabei zwischen den tatsächlichen Kern-Komponenten der Software und Zusatz-Werkzeugen. Jene kümmern sich um Funktionen, die für einzelne Bedarfsfälle gebraucht werden, das Gros der Benutzer aber nicht interessieren. Der Name OpenStack subsummiert die Kern-Komponenten.

Zusätzlich gibt es noch die Kategorie der Incubated Projects: Das ist Software, die in absehbarer Zeit zur Kern-Komponente werden soll, aber deren Entwicklung noch nicht so weit ist, dass sie die Klasssifizierung "stable" bereits verdient. In Folsom hat die Zahl der Kern-Komponenten zugenommen: Neben Keystone (Autentifizierung), Glance (Images), Nova (Cloud Controller), Dashboard (Webinterface, Abbildung 2 und 3 ) und Swift (Storage) gehört jetzt auch Quantum dazu, das sich umfassend um das Netz in der Cloud kümmert, so wie Cinder, das virtuellen Maschinen Speicher in Form von Block-Storage zur Verfügung stellt. Doch was tun die einzelnen Teile von OpenStack eigentlich genau?

Abbildung 2: Das Dashboard ist die zentrale Benutzerschnittstelle. Vorhandene VMs, die hier Instanzen heißen, lassen sich löschen und starten.
Abbildung 3: Das Dashboard bietet auch eine Kurzübersicht über die Ressourcen, die ein Benutzer innerhalb eines definierten Zeitraums verwendet hat.

Keystone: Sag mir, wer du bist

Den Anfang im Reigen macht Keystone: Es bietet innerhalb von OpenStack ein standardisiertes Interface zur Authentifizierung. Dass innerhalb einer Wolke und der dazu gehörenden Infrastruktur ein möglichst feingranulares System der Benutzerverwaltung nötig ist, leuchtet ein – einerseits gibt es Admins des Cloud-Betreibers, die sich um den administrativen Alltag kümmern und die Cloud nötigenfalls warten. Auf der anderen Seite stehen die Kunden, die ihre virtuellen Systeme und ihren Online-Speicher autonom verwalten sollen. Beide Gruppen sind bei OpenStack in zwei Kategorien eingeteilt: Die Mandanten (englisch Tenants) bilden in diesem System die Unternehmen, die Dienste einer Cloud in Anspruch nehmen. Die Benutzer (User) gehören zu einem oder mehreren Tenants und können dabei unterschiedliche Rollen haben. So ist es beispielsweise möglich, dass ein Benutzer für einen Tenant als Administrator fungiert und im Namen dieses Tenants neue virtuelle Systeme erstellen kann, während ein anderer User desselben Tenants nur sehen darf, welche virtuellen Systeme bereits laufen. Die Analogie zu anderen Rollenmodellen auf Linux-Systemen ist dabei zulässig und hilft, das System der Rechtevergabe von OpenStack besser zu verstehen.

Keystone ist für alle anderen Dienste die zentrale Anlaufstelle, wenn es um Benutzerauthentifizierung geht. Um mit Keystone reden zu dürfen, müssen sich allerdings auch alle anderen OpenStack-Komponenten erst gegenüber Keystone mit einem Passwort authentifizieren. Das »Admin Token« , das direkt in der Keystone-Konfigurationsdatei »keystone.conf« festzulegen ist, ist der Zentralschlüssel zur Wolke – wer es kennt, kann in der Cloud tun und lassen, was er will.

Die Keystone-Entwickler haben sich bei ihrer Arbeit übrigens auch Gedanken über die Anbindung an bestehende Systeme zur Benutzerverwaltung gemacht. Dabei spielt LDAP eine wichtige Rolle: Wenn ein Unternehmen bereits eine komplette LDAP-Autorisierung nutzt, lässt sich Keystone an diese anbauen. Danach lassen sich Benutzer Berechtigungen über entsprechende LDAP-Flags zuweisen.

Übrigens: In OpenStack hat jedes Core-Projekt grundsätzlich zwei Namen. Der eine Name ist der offizielle Projektname, der die Funktion der Komponente beschreibt und im Falle von Keystone »Identity« lautet. Der andere ist der Codename, eben »Keystone« . Wer im Netz nach Informationen über eine der OpenStack-Komponenten sucht, ist aber gut beraten, nach dem Codename Ausschau zu halten: Diese sind deutlich weiter verbreitet, als die offiziellen Namen.

Ähnliche Artikel

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023