AOC55

Cloud, Devops, Backend, Kubernetes, Openstack, ...

Cloud/Openstack

Openstack :: Keystone System Role

aoc55.soft@gmail.com 2025. 2. 16. 23:02

 

개인적으로 공부하는 관점에서 작성한 내용이라, 잘못된 부분이 있을 수 있습니다. 잘못된 부분은 말씀주시면 감사하겠습니다

본 내용은 아래 자료를 기반으로 학습하면서 작성했습니다.

 

 

 

Keystone - System Role

Openstack 의 RBAC 모델의 일부로서, Openstack의 "전체적"으로 제어하는 권한에 대한 정의
즉, 특정 tenant 단위가 아닌 Openstack 클러스터 수준에서 수행되는 작업의 제어하는 역할을 의미

참고

Openstack 에서 Role 은 3가지 범위로 존재

(1) System Scope -> Openstack Cluster 전체 관리를 위한 권한
(2) Domain Scope -> User / Group 관리를 위한 권한
(3) Project Scope -> Project(Tenant) 내의 리소스 관리를 위한 권한

System Role 적용 대상

요약하면 "Openstack Cluster 전체"에 영향을 미치는 작업을 수행

  • OpenStack 서비스 관리 (예: Nova, Neutron, Glance, Cinder 등)
  • 사용자 및 역할(Role) 관리 (예: Keystone에서 사용자 생성, 할당)
  • Openstack 클러스터의 전체 설정 변경 (예: Nova 스케줄링 정책 변경)
  • 하이퍼바이저 와 같은 및 물리적 리소스 관리 (예: Hypervisor, 네트워크 노드, 스토리지 노드)
  • 모든 Tenant 의 자원 조회 (예: 전체 VM, 네트워크, 볼륨 조회 가능)
  • 그 외 등등..

System Role 종류

아래와 같이 3가지 Role 존재

system admin

  • Openstack 전체 및 최고 관리자 권한으로 페르소나로 보면 Operator/Cloud 관리자
  • Openstack 서비스 (nova, cinder ..) 등 모든 서비스에 대한 관리 및 카탈로그 내 Endpoint 추가/삭제 등 가능
  • 그 외에 새로운 도메인 생성, 모든 User/Project/Role 등 관리 등 가능
  • 클러스터 내 모든 테넌트의 리소스 수정/삭제 등 가능

system reader & system member

  • 무엇보다 "System 레벨"에서는 member 와 reader 는 매우 유사한 권한 가지고 있음
  • (즉, system 권한에서 member 와 reader 간에 구분 지을만한 특징이 없다... 필요 시 일반적으로 reader 를 사용하는 것 같다?)
  • 두 권한의 가장 중요한 점은 Keystone 내의 모든 리소스(role assignments, users, projects, and group 등)에 대해서 조회가 가능하다는 점이다.
  • 페르소나로 보면 마치 Support Team 처럼 민감한 정보에 접근이 필요하지 않을 경우 유용하다 (혹은 Promehteus 처럼 모니터링 시스템?)

 

관련 CLI 및 실습

User 생성 및 System Permission(Role) 부여

openstack user create system-user1
openstack role add --user system-user1 --system all admin

openstack user create system-user2
openstack role add --user system-user2 --system all member

openstack user create system-user3
openstack role add --user system-user3 --system all reader
  • --system all 을 통한 System Role 부여

 

System Permission(Role) 부여 확인

openstack role assignment list --system all

openstack role assignment list --role admin --system all

openstack role assignment list --role member --system all

openstack role assignment list --role reader --system all

 

Skyline 에서 System Role 부여 조회

저작자표시 비영리

'Cloud > Openstack' 카테고리의 다른 글

Openstack :: barbican 이란?  (1) 2025.02.08

'Cloud/Openstack'의 다른글

  • 현재글Openstack :: Keystone System Role

관련글

댓글

티스토리툴바