Sobre los usuarios

Added by Alberto Molina Coballes about 7 years ago

Hola,

Estoy dándole vueltas al tema de los usuarios porque creo que en nuestro caso es más sencillo de como viene en la mayoría de la documentación. Me explico:

Estamos creando 3 usuarios para la base de datos: keystonedbadmin, glancedbadmin y novadbadmin

Además en Keystone creamos:

- 2 tenants: admin y service
- 3 usuarios (obviamos de momento swift): admin, glance y nova
- 2 roles: admin y Member

Por último añadimos el rol 'admin' al tenant 'admin' para el usuario 'admin' y el rol 'admin' para el tenant 'service' para glance y nova.

Teniendo en cuenta que en nuestro caso keystone, glance y nova van a estar en el mismo equipo, creo que sería más adecuado lo siguiente:

- 1 usuario en la base de datos: openstackdbadmin
- 2 tenants en keystone: admin y service
- 2 usuarios en keystone: granjefe y jefe
- 2 roles: admin y Member

Por último añadimos el rol 'admin' al tenant 'admin' para el usuario 'granjefe' y el rol 'admin' para el tenant 'service' para 'jefe'. El usuario de keystone para todos los servicios será 'jefe', mientras que si hay que tocar keystone en sí, será 'granjefe'

¿Qué os parece?


Replies (4)

RE: Sobre los usuarios - Added by Carlos Álvarez Barba about 7 years ago

Eso facilitaría además la exportación de variables, pudiendo estar todas en el bashrc ¿no?

RE: Sobre los usuarios - Added by José Domingo Muñoz Rodríguez about 7 years ago

Hago de abogado del diablo:

Si en casi toda la documentación indica esos usuarios, por algo será. Es decir, me parece lógico lo de los usuarios de la base de datos, no creo que sea necesario tener uno para cada servicio, sin embargo los usuarios de keystone me parece que no es tan complicado ponerlo y hacemos el sistema más flexible. ¿Y si más adelante hay que tratar de forma distinta (autorizaciones, políticas diferentes en diferentes proyectos,...) a cada usuario de cada servicio).

Yo opinó que no nos quitamos mucho trabajo, y que sin embargo más adelante nos podemos arrepentir.

Por lo tanto voto por reducir el número de base de datos, pero dejar la configuración de keystone como se nos sugiere (usuarios, roles, tnenats).

Hay que decidirlo.

Un saludo

RE: Sobre los usuarios - Added by Alejandro Roca Alhama about 7 years ago

No os sigo, ¿qué tiene que ver que los servicios estén o no en el mismo equipo?

Yo prefiero usuarios separados, de esta forma cada servicio tiene sus credenciales de autenticación. ¿Qué ventajas tiene reducir el número de usuarios?

Otra cosa, como la creación de usuarios en Keystone es un coñazo, he preparado un pequeño script que lo hace todo.

Sed libres de utilizarlo, modificarlo, mejorarlo o simplemente descartarlo. Lo he hecho porque ya van cuatro las veces que he seguido el procedimiento manual, y me aburre bastante :)

roles.sh Magnifier (4.2 KB)

RE: Sobre los usuarios - Added by Alberto Molina Coballes about 7 years ago

Es simplemente por simplificar todo. De forma general se permite crear diferentes usuarios para cada base de datos y diferentes usuarios de keystone para cada componente. Si a cada usuario le ponemos una contraseña de verdad y diferente, se complica la gestión inicial, y si le ponemos la misma, ¿para qué distinguimos el usuario?

Nosotros hemos optado por crear:

1 usuario en la BBDD

2 usuarios con el rol admin en keystone (uno para el tenant admin y otro para el tenant service)

Total: 3 contraseñas.

(1-4/4)