今年 7 月,OpenStack 社区庆祝了开源云协作五周年。如今,它已发展成为一个全球性社区,拥有 500 多个组织和 30,000 名个人成员,遍布 166 个国家。OpenStack 拥有近 400 万行代码,并为包括 AT&T、迪士尼、PayPal 和沃尔玛在内的全球一些最大品牌的云提供动力。
构建云的开源组件——这基本上就是 OpenStack 解决的问题。OpenStack 正在提供构建私有云和公共云的构建块,以开源的方式,基于标准、协作和非专有。什么样的云?OpenStack 主要帮助开源开发人员交付基础设施即服务 (IaaS) 云,其中包含计算资源、虚拟机和可以很好地连接在一起的虚拟网络。它几乎全部用 Python 编写,并带有您可以使用的常用库、虚拟机模板存储和身份验证。
OpenStack 东京峰会将于 10 月 27 日至 30 日举行,届时将汇聚数千名 OpenStack 云软件的开发人员、用户和管理员,并在运维轨道上邀请到最杰出的 Keystone 专家和 OpenStack 先驱之一,Priti Desai。
在构建您的开源云时,身份和访问管理是用户更安全、更成功地进行身份验证的关键。Keystone 是 OpenStack 身份解决方案,用于管理用户数据库和服务目录,并与后端目录服务(如 LDAP)集成。您可以使用 Keystone 为云实施您自己的用户单点登录 (SSO)。有多种 Keystone 身份验证令牌格式可供选择。
Priti 是 IBM 的咨询软件工程师,也是多个 OpenStack 项目(包括 Keystone 和 OpenStack 安全项目(正式名称为 OpenStack 安全组))的成员。她还曾在 Symantec 担任首席软件工程师,在那里她领导了 Symantec 私有云的身份管理架构开发,为下一代 Symantec 产品提供基础设施和平台服务。今年在 OpenStack 东京峰会上,Priti 的会议将探讨 Fernet 和其他令牌格式。
当她不从事 Keystone 实施或主持 OpenStack 聚会、黑客马拉松或午餐学习时,您可能会在工作室里发现 Priti 在练习传统的印度艺术形式 Madhubani 绘画。
您即将到来的会议的目标受众是谁?他们应该期待什么?
OpenStack 峰会是工作会议。它们是从事 OpenStack 不同方面的工程师齐聚一堂、协作设计以及在不同会议上与同行分享最佳实践的机会。峰会通常面向开发人员、基础设施工程师以及运维和支持工程师。我的会议面向这些类别中的所有人。
在日益增长的高度分布式云世界中,身份服务变得越来越重要,这些云托管着我们都已逐渐依赖的 Web 应用程序,这可能会扩大攻击面。因此,当我们构建私有云和公共云时,我们希望讨论对用户来说简单,同时又尽可能安全的身份验证策略。
我关于 Keystone 令牌的会议将深入探讨四种不同令牌格式的优缺点,以帮助您决定哪种格式适合您的云。它面向希望了解 Keystone 令牌如何在 OpenStack 世界中实施和利用的开发人员,希望学习如何部署和进行配置更改的基础设施工程师,以及有兴趣了解在收到关于身份验证失败的工单时如何进行故障排除和理解常用检查清单的运维和支持人员。
我们已经有了 UUID、PKI 和 PKIZ 令牌格式。是什么让 Fernet 令牌对于多站点云部署如此有趣?
我们已经有相当稳定的 Keystone 令牌格式在生产部署中运行了几年。UUID、PKI 和 PKIZ 已在许多 OpenStack 云中建立和实施。它们经过了很好的审查。
UUID 令牌是最小且最常用的。主要缺点是 OpenStack 服务必须与 Keystone 通信以验证 UUID 令牌。
相比之下,PKI 令牌尺寸较大。它甚至超过了 HTTP 标头大小。例如,在 Symantec 私有云的实施中,PKI 令牌大小为 18KB。PKI 令牌在简洁性方面的不足,在效率方面弥补了。Keystone 中间件可以解码 PKI 令牌并对其进行验证,而无需为每个令牌验证返回 Keystone 服务。这里的主要缺点是它会在网络上产生大量流量。
PKIZ 是 PKI 的压缩形式。通过其优化的压缩算法,尺寸大大减小,但仍未接近 128 位 UUID 令牌。因此,即使 PKIZ 比 PKI 小,但对于需要在美国东部到美国西部传输数据的云基础设施而言,它仍然很大,会消耗大量带宽。
当您想要在全球范围内扩展 OpenStack 部署时,这些格式都不是理想的选择。存在复制问题。每当用户在一个区域中通过身份验证时,他/她都无法在另一个区域或数据中心使用相同的令牌。您必须复制令牌以进行多站点部署,这需要持久性。
这些令牌必须存储在某个地方。该存储可以是 MemCache 或 SQL 后端。如果不复制令牌后端,则在一个数据中心生成的令牌无法在另一个数据中心中使用。
Fernet 则不同。它不如 UUID 小,但明显小于 PKI 和 PKIZ。更重要的是,它是非持久性的。您不必缓存它。相反,Keystone 基于令牌本身中的元数据重建 Fernet 令牌。当您跨多个区域进行身份验证时,例如,您可以在美国西部使用与美国东部相同的令牌。由于 Fernet 可以根据其余后端数据重新生成,因此它大大减少了网络流量。
让我们谈谈速度。Fernet 如何提高性能和响应时间,提高了多少?
我鼓励大家阅读 Dolph 关于基准测试这些令牌的博客文章。这项研究对 keystone 的不同令牌格式进行了基准测试,包括令牌再生和吊销。
在我的会议中,我们将解释这些数字,并针对我参与过的一些开源云项目运行它,重点关注令牌创建和验证性能。
您花费了多年时间从事大型企业云项目。对于高级用户,当您在跨多个数据中心的集群或分布式环境中扩展 Keystone 时,您会分享一些技巧和窍门吗?
当然。Keystone 不仅为身份验证提供平台,还为授权提供平台。企业云有自己的用例,包括用户数量、基于 BU 的用户隔离以及每个 BU 的策略和角色。我们还将讨论每个 BU 的策略和角色,以及公共云和经销商云在用户配置限制方面的常见问题。
我们将深入探讨兼容性问题。OpenStack 项目大约每 6 个月发布一次,Juno 是去年 10 月,Kilo 是去年 4 月。通常,您希望将相关的 Kilo 组件与 Kilo 一起部署,而不是混用。对于生产部署,部署特定版本的每个组件变得非常关键。
我们将讨论的关于 Fernet 令牌的一个技巧是,在许多情况下,它们向后兼容过去 4 个版本,从 Havana 开始。例如,如果您刚刚将 Keystone 更新到 Kilo,但所有其他服务仍为 Juno,对于 Fernet 来说没问题。当您拥有 PKI 令牌并想要将令牌格式更改为 Fernet 时,这非常有效。
您是如何开始接触开源的?
2013 年,我对我所在的团队感到沮丧,并正在寻找改变。我开始在不同的公司面试,展示我的简历。在描述我构建的一个配置和包管理工具以帮助我完成一个项目时,一位面试官表示惊讶,并想知道我是否听说过 Puppet、Chef 等。我为什么要重新发明轮子?
那时我发现了开源并深入其中。我很快意识到,虽然在闭源项目上工作可能会获得出色的问题解决和编码技能,但您可能会错过开源提供的广泛解决方案和世界协作机会。
在加入 Symantec 的 OpenStack 团队成为第四名员工后,我开始阅读和探索 OpenStack 文档,并在发现问题时维护我自己的解决方案。我发现,通过分享我的解决方案,我可以为他人解决问题,并更有效地克服障碍。当然,您可以通过博客和为社区做贡献来获得一些认可。
开源拥有来自世界各地的许多创新工程师。它颠覆了对专有解决方案的传统信念。您不必每天在您的隔间或办公室里躲藏八个小时。走出去呼吸新鲜空气。你并不孤单。世界上其他人可能也面临着同样的问题。与人交谈。获取一些关于我们如何才能更好地共同解决问题的想法。
您在这样一个男性主导的领域取得的成功是一种鼓舞。根据 OpenStack 基金会营销协调员 Allison Price 的说法,今年温哥华峰会的与会者中只有约 10% 是女性。您会对其他渴望从事类似技术角色的女性提供什么建议?
不要害怕,要无所畏惧。当您听到同事(男性或女性)在桌子前端发出响亮或有力的声音时,他可能并不总是对的。如果您认为自己是对的并且知道解决方案,请不要畏缩在椅子上。大胆地说出来,大声说话。最后但并非最不重要的一点是,要有自信并相信自己。
虽然在 OpenStack 峰会期间,女性洗手间的排队时间较短很不错,但我期待着改变。
在 OpenStack 东京峰会上,OpenStack 女性组织将为女性与会者和男性盟友举办多场社交活动,包括“指挥存在感”研讨会和关于克服微妙偏见的会议。
查看 Priti 过去演讲的视频
演讲者访谈
本文是 OpenStack 东京峰会 2015 演讲者访谈系列的一部分,OpenStack 东京峰会 是面向 OpenStack 云软件的开发人员、用户和管理员为期四天的会议.
1 条评论