前言

一：Keystone项目

提供了一个基于令牌的验证服务
用户（user）
- 使用服务的用户，可以是人、服务或者系统，只要是使用了openstack服务的对象都可以成为用户。当用户对openstack进行访问时，keystone会对其进行验证
项目（project）
- 租户：可以理解为一个人、项目或组织拥有的资源的合集，一个租户中可以拥有多个用户，这些用户可以根据权限的划分访问租户中的资源
  
  项目：是各个服务中心的一些可以被访问的资源集合，用来分组或隔离资源或者身份对象，不同服务中心涉及的资源也不一样
角色（role）
- 角色，是一组用户可以访问的资源权限的集合
令牌（token）
- 指的是一串比特值或者字符串，用来作文访问资源的令牌。Token中含有可访问资源的范围和有效时间

服务（service）
- Openstack service，即openstack中运行的组件服务，如Nova，glance等
- 用户使用云中的资源是通过访问服务的形式实现的
- 创建一个服务就会创建一个endpoint，service决定每个role能做什么事情，service通过各自的policy.json文件对role进行访问控制
端点（endpoint）
- 是一个可以通过网络来访问和定位某个openstack service的地址，通常是一个URL。
- Endpoint使用对象分为三类：
  - 1、admin URL：给admin用户使用，被常规的访问中分离
  - 2、Internal URL：openstack内部服务使用来跟别的服务通信，只能被局域网访问
  - 3、Public URL：其他用户可以访问的地址，可以被全局访问
  - 4、User通过endpoint访问资源和执行操作
- 所谓端点，是指用于访问某个服务的网络地址或URL。如果需要访问一个服务，则必须知道该服务的端点。在 keystone中包含一个端点模板，这个模板提供了所有已存在的服务的端点信息。一个端点模板包含一个URL列表，列表中的每个URL都对应一个服务实例的访问地址，并且具有 public、 private和 admin这三种权限。其中 public类型的端点可以被全局访问， private类型的端点只能被 OpenStack内部服务访问， admin类型的端点只能被管理员访问。