隨著雲計算的發展,需要在多個數據中心大規模部署OpenStack。Keystone如何支持這些形態下的大規模部署?如果採用集中單一的Keystone認證方式,這個單一的認證機構可能會變為認證過程的瓶頸。根據不同的數據中心的部署方式,採用層次化的Keystone認證結構是解決問題的辦法。
在層次結構中,Keystone將它的認證權限授予一個或多個子Keystone,這些子Keystone再依次指派它們的子Keystone,直到某個Keystone實際對某用戶進行了認證,頒發了該用戶的簽名證書為止。這種層次架構如圖11-4所示。
圖11-4 Keystone層次的架構
這種層次化的Keystone架構適應政府、大公司的數據中心支持多級組織結構,使不同層次的用戶擁有不同權限。
第二種認證架構屬於交叉認證,這種結構是兩個獨立的數據中心分別部署OpenStack時,各自有Keystone負責用戶的認證,如圖11-5所示。如果單位A和單位B屬於友好關係(比如兩家單位屬於同一行業下有業務互補的單位,願意為發展客戶進行相互交叉認證),這時可以進行交叉認證。用戶通過了單位A的Keystone安全認證後,Keystone同時和另外一家單位B的Keystone交叉認證,則用戶同時取得訪問單位B的部分權限。
圖11-5 交叉認證的Keystone架構