随着云计算的发展,需要在多个数据中心大规模部署OpenStack。Keystone如何支持这些形态下的大规模部署?如果采用集中单一的Keystone认证方式,这个单一的认证机构可能会变为认证过程的瓶颈。根据不同的数据中心的部署方式,采用层次化的Keystone认证结构是解决问题的办法。
在层次结构中,Keystone将它的认证权限授予一个或多个子Keystone,这些子Keystone再依次指派它们的子Keystone,直到某个Keystone实际对某用户进行了认证,颁发了该用户的签名证书为止。这种层次架构如图11-4所示。
图11-4 Keystone层次的架构
这种层次化的Keystone架构适应政府、大公司的数据中心支持多级组织结构,使不同层次的用户拥有不同权限。
第二种认证架构属于交叉认证,这种结构是两个独立的数据中心分别部署OpenStack时,各自有Keystone负责用户的认证,如图11-5所示。如果单位A和单位B属于友好关系(比如两家单位属于同一行业下有业务互补的单位,愿意为发展客户进行相互交叉认证),这时可以进行交叉认证。用户通过了单位A的Keystone安全认证后,Keystone同时和另外一家单位B的Keystone交叉认证,则用户同时取得访问单位B的部分权限。
图11-5 交叉认证的Keystone架构