OpenStack云計(jì)算平臺(tái)搭建與管理（openEuler）（微課版） 教案 第11講 OpenStack的認(rèn)證中心-Keystone

PAGE76云計(jì)算基礎(chǔ)平臺(tái)搭建與應(yīng)用課程教案授課題目：第11講OpenStack的認(rèn)證中心——Keystone教學(xué)時(shí)數(shù)：3授課類型：R理論課R實(shí)踐課教學(xué)目的、要求：了解OpenStack的基本名詞了解Keystone的功能了解Keystone的組件構(gòu)成及功能了解Keystone的基本工作過程能夠安裝配置Keystone認(rèn)證組件教學(xué)重點(diǎn)：了解OpenStack的基本名詞Keystone的組件構(gòu)成及基本工作過程安裝配置keystone服務(wù)教學(xué)方法和手段：通過微課講解跟著視頻實(shí)作教學(xué)條件：網(wǎng)課參考資料：

云計(jì)算基礎(chǔ)平臺(tái)搭建與應(yīng)用課程教案教學(xué)內(nèi)容及過程旁批課前準(zhǔn)備：檢查自己前面的系統(tǒng)配置是否完全完成，必須完成后才能進(jìn)入這一段學(xué)習(xí)。教學(xué)引入：OpenStack云計(jì)算平臺(tái)是由OpenStack的多個(gè)功能組件組成。猶如搭積木一樣，各個(gè)功能組件構(gòu)成了云計(jì)算平臺(tái)，那應(yīng)該先搭建哪一個(gè)組件呢？由于OpenStack的所有組件都要通過“Keystone”組件的認(rèn)證才能夠進(jìn)入云管理平臺(tái)，因此首先安裝身份認(rèn)證組件：“Keystone”。教學(xué)內(nèi)容與教學(xué)設(shè)計(jì)：11.1Keystone的基本概念11.1.1基本名詞解釋從本章開始我們將要接觸很多OpenStack的專業(yè)名詞，如域、項(xiàng)目、服務(wù)、端點(diǎn)、用戶、角色、憑據(jù)、鑒權(quán)、令牌、組等，感覺好復(fù)雜的樣子呢。下面我們通過一個(gè)淺顯的例子來理解它們。假設(shè)我投資了一個(gè)網(wǎng)吧，這個(gè)網(wǎng)吧就是項(xiàng)目（Project）。該網(wǎng)吧對(duì)外提供多種服務(wù)（Service），比如上網(wǎng)、泡方便面、叫外賣等。為了知道客戶想要什么服務(wù)，每個(gè)服務(wù)都有一個(gè)不同的服務(wù)地址，只要你來到這個(gè)地址就能使用對(duì)應(yīng)的服務(wù)，如到前臺(tái)可以泡方便面，這里的地址就是服務(wù)端點(diǎn)（Endpoint）。在這個(gè)項(xiàng)目里，我、網(wǎng)管和來上網(wǎng)的人都是用戶（User），我們都可以使用該網(wǎng)吧的服務(wù)。但我們?cè)诰W(wǎng)吧里的權(quán)限又不一樣，因?yàn)槲覀兊慕巧≧ole）不一樣。我的角色是老板，我有查賬的權(quán)限；網(wǎng)管的角色是管理員，負(fù)責(zé)收銀和軟硬件管理；其他人的角色是顧客，只能上網(wǎng)與消費(fèi)。用戶來到服務(wù)端點(diǎn)后并不是馬上就可以使用服務(wù)，得把身份憑據(jù)（Credentials）提供出來由系統(tǒng)進(jìn)行鑒權(quán)（Authentication）以判斷是否可以使用該服務(wù)（比如年齡不到不允許使用上網(wǎng)服務(wù)）。當(dāng)通過鑒權(quán)后會(huì)給發(fā)給你一個(gè)令牌（Token），每次你要使用項(xiàng)目中某項(xiàng)服務(wù)的時(shí)候只需要出示令牌即可。比如你還需要買方便面時(shí)只需要出示令牌由管理員進(jìn)行記賬即可，不需要再次鑒權(quán)。另外，為了便于管理還可以將若干個(gè)用戶分為若干組（Group），如VIP組收費(fèi)打八折，一般會(huì)員組收費(fèi)打九折，這實(shí)際是進(jìn)行批量權(quán)限設(shè)定，你進(jìn)了這個(gè)組就有了這個(gè)組的所有權(quán)限。隨著業(yè)務(wù)擴(kuò)大，又開設(shè)了很多連鎖加盟店（不同的項(xiàng)目），顯然每個(gè)加盟店有自己的用戶，不能拿著一個(gè)網(wǎng)吧的會(huì)員卡到另一個(gè)網(wǎng)吧消費(fèi)。此時(shí)我們可以把部分項(xiàng)目（Project）和用戶（User）劃到一個(gè)域（Domain）中，并規(guī)定只有本域中的用戶才能使用本域中項(xiàng)目的資源。其中域（Domain）、項(xiàng)目（Project）、組（Group）、用戶（User）、角色（Role）的關(guān)系圖如圖11.1所示。圖11.1域、項(xiàng)目、組、用戶和角色關(guān)系模型圖項(xiàng)目（Project）Project是可供用戶訪問的資源集合，不同的項(xiàng)目（Project）之間資源是隔離的。用戶（User）User指代任何擁有身份驗(yàn)證信息來使用OpenStack的實(shí)體，它屬于特定的域（Domain），可以是真正的使用人、其他系統(tǒng)或者服務(wù)。OpenStack中自帶了“admin”用戶，該用戶從屬于“admin”項(xiàng)目并且分配有“admin”角色。用戶必須要指定一個(gè)項(xiàng)目（Project）才可以申請(qǐng)使用OpenStack的服務(wù)。域（Domain）Domain是項(xiàng)目（Project）和用戶（User）的集合。默認(rèn)存在“default”域，如果沒有創(chuàng)建域，所有項(xiàng)目和用戶都使用“default”域。角色（Role）Role是預(yù)定義的權(quán)限集合。OpenStack自帶兩個(gè)預(yù)定義角色，即“admin”和“member”?！癿ember”角色提供普通用戶訪問權(quán)限?！癮dmin”角色提供整個(gè)OpenStack環(huán)境的管理特權(quán)。如果項(xiàng)目中的用戶被分配了“admin”角色，則該用戶獲得與“admin”用戶相同的特權(quán)?！癮dmin”用戶不僅是所屬項(xiàng)目的管理員，還能夠管理OpenStack環(huán)境中的所有項(xiàng)目。組（Group）Group是域中的部分用戶的集合。通過分配角色到組，可以批量向在該組中的所有用戶分配權(quán)限。憑據(jù)（Credentials）是Keystone驗(yàn)證用戶身份時(shí)需要的身份驗(yàn)證數(shù)據(jù)。這些數(shù)據(jù)包含用戶名、密碼、項(xiàng)目名、域名等信息。鑒權(quán)（Authentication）鑒權(quán)（Authentication）是Keystone通過檢查用戶的憑據(jù)（Credentials）來確定用戶的身份的過程。當(dāng)用戶的憑據(jù)（Credentials）通過驗(yàn)證后，Keystone給用戶提供身份驗(yàn)證令牌（Token），讓用戶能夠訪問該服務(wù)。令牌（Token）令牌（Token）是一個(gè)加密字符串，作為訪問資源的“通行證”。一個(gè)Token包含了在指定范圍和有效時(shí)間內(nèi)可以被訪問的資源信息。服務(wù)（Service）即Openstack中提供的組件服務(wù)，如計(jì)算服務(wù)、鏡像服務(wù)等。端點(diǎn)（Endpoint）一個(gè)可以通過網(wǎng)絡(luò)來訪問和定位某個(gè)服務(wù)（Service）的地址，通常是一個(gè)URL地址。如“http://controller:5000/v3”就是Keystone組件對(duì)外提供服務(wù)的端點(diǎn)。Endpoint分為三類：admin-url：給管理員提供服務(wù)的地址internal-url：給OpenStack內(nèi)部組件提供服務(wù)的地址public-url：給其他用戶提供服務(wù)的地址在OpenStackTrain版中這三類端點(diǎn)是一樣的，只是保留了不同的定義而已。11.1.2Keystone基本架構(gòu)圖11.2Keystone服務(wù)后端支持模塊如圖11.2所示，Keystone的服務(wù)（Service）是由Token、Catalog、Identity、Policy四大后端模塊所支持的。Tokenbackend 顧名思義該模塊用來生成和管理Token令牌。Catalogbackend 用來存儲(chǔ)和管理服務(wù)（Service）、服務(wù)端點(diǎn)（Endpoint）。Identitybackend 用來管理項(xiàng)目（Project）、用戶（User）、角色（Role）和提供驗(yàn)證服務(wù)。Policybackend 用來管理所有訪問的權(quán)限。11.1.3Keystone認(rèn)證的基本步驟圖11.3虛擬機(jī)生成步驟示意圖從圖11.3可以看出，對(duì)OpenStack中任何服務(wù)的訪問都要經(jīng)過Keystone的鑒權(quán)。Keystone的鑒權(quán)分為兩種：判斷用戶憑證是否合法用戶初次使用服務(wù)時(shí)需要提交給Keystone用戶名、密碼等用戶憑證信息。Keystone進(jìn)行鑒權(quán)判斷是否為合法用戶，如果是則頒發(fā)令牌（Token）。在頒發(fā)的令牌中包含有用戶對(duì)服務(wù)的使用權(quán)限、令牌的失效時(shí)間等信息。拿著令牌就可以在系統(tǒng)內(nèi)通行了。判斷用戶令牌是否合法當(dāng)用戶（User）使用OpenStack的任一組件服務(wù)時(shí)都需要提交已獲得的令牌。提供服務(wù)的組件將收到的令牌提交給KeyStone判斷該令牌是否合法，是否過期，是否有權(quán)獲得服務(wù)等。只有通過了KeyStone的驗(yàn)證后服務(wù)才會(huì)響應(yīng)相應(yīng)的請(qǐng)求。11.2安裝與配置Keystone認(rèn)證服務(wù)為了避免接下來的工作中由于操作不當(dāng)造成系統(tǒng)重裝的風(fēng)險(xiǎn)，我們將前期工作進(jìn)行拍攝快照保存。由于本章工作只在控制節(jié)點(diǎn)上實(shí)施，因此只需要給控制節(jié)點(diǎn)拍攝快照。詳細(xì)操作請(qǐng)參閱任務(wù)6.4。11.2.1安裝和配置Keystone安裝Keystone軟件包[root@controller~]#yuminstallopenstack-keystonehttpdmod_wsgi-y這里安裝了三個(gè)軟件：“openstack-keystone”，“httpd”，“mod_wsgi”。openstack-keystone是Keystone的軟件包；Keystone組件實(shí)際是一款基于服務(wù)器網(wǎng)關(guān)接口（WSGI）協(xié)議的Web應(yīng)用，它需要在支持WSGI協(xié)議的Web服務(wù)器上運(yùn)行；Httpd是一個(gè)Web服務(wù)器，當(dāng)它安裝上mod_wsgi擴(kuò)展模塊就能支持WSGI協(xié)議，以滿足Keystone的運(yùn)行需要。在安裝openstack-keystone包的時(shí)候，同時(shí)也會(huì)在系統(tǒng)自動(dòng)創(chuàng)建名為“keystone”的用戶以及同名用戶組。我們可以用如下兩種方式查看系統(tǒng)自動(dòng)生成的“keystone”用戶和“keystone”用戶組的相關(guān)信息。查看keystone用戶信息[root@controller~]#cat/etc/passwd|grepkeystone能看見已經(jīng)存在“keystone”用戶。查看keystone用戶組信息[root@controller~]#cat/etc/group|grepkeystone能看見已經(jīng)存在“keystone”用戶組。創(chuàng)建keystone數(shù)據(jù)庫并授權(quán)進(jìn)入數(shù)據(jù)庫[root@controller~]#mysql-uroot-p000000因?yàn)镸ariaDB數(shù)據(jù)庫完全兼容MySql數(shù)據(jù)庫，因此在使用方式上是與MySql數(shù)據(jù)庫是一樣的。該命令的參數(shù)-u后為用戶名，-p后為密碼，不需要空格。建立keystone數(shù)據(jù)庫MariaDB[（none）]>CREATEDATABASEkeystone;#創(chuàng)建一個(gè)名為keystone的數(shù)據(jù)庫【提示】SQL命令需要“;”作為結(jié)束符，不要忘記。為數(shù)據(jù)庫授權(quán)MariaDB[（none）]>GRANTALLPRIVILEGESONkeystone.*TO'keystone'@'localhost'IDENTIFIEDBY'KEYSTONE_DBPASS';MariaDB[（none）]>GRANTALLPRIVILEGESONkeystone.*TO'keystone'@'%'IDENTIFIEDBY'KEYSTONE_DBPASS';上面兩條語句把“keystone”數(shù)據(jù)庫所有表（keystone.*）的所有權(quán)限（ALLPRIVILEGES）賦予本地主機(jī)（'localhost'）及任意遠(yuǎn)程主機(jī)（'%'）中名為keystone的用戶，驗(yàn)證密碼為“KEYSTONE_DBPASS”?！咎崾尽縊penStack的密碼都可以根據(jù)實(shí)際需要進(jìn)行設(shè)置，但一定要記住它們！退出數(shù)據(jù)庫MariaDB[（none）]>exit;修改Keystone配置文件[root@controller~]#vi/etc/keystone/keystone.conf這是一個(gè)很長的配置文件，我們首先配置Keystone組件使用的數(shù)據(jù)庫。利用vi的搜索功能，搜索到[database]區(qū)域，增加或者修改connection=mysql+pymysql://keystone:KEYSTONE_DBPASS@controller/keystone該行配置數(shù)據(jù)庫連接信息：用戶“keystone”和密碼“KEYSTONE_DBPASS”（keystone:KEYSTONE）去連接controller主機(jī)中的名字叫“keystone”的數(shù)據(jù)庫（@controller/keystone）?！咎崾尽窟@里設(shè)置的用戶名和密碼要和數(shù)據(jù)庫里對(duì)keystone數(shù)據(jù)庫授權(quán)時(shí)設(shè)置的用戶名和密碼一致。然后在[token]區(qū)域下取消注釋讓下面設(shè)置生效。provider=fernetKeystone令牌有三種生成方式：UUID、PKI、Fernet。其中“Fernettoken”是當(dāng)前主流推薦的token加密格式。它是一種輕量級(jí)的消息格式，不需要存儲(chǔ)于數(shù)據(jù)庫，減少了磁盤的IO，帶來了一定的性能提升。一個(gè)“Fernettoken”的樣子長得像這樣的：gAAAAABeuBugyxPug1qqhcvgl-4rHhlrd6VT71g0LdjbtnpvnKANkSqzndDcwHky-o0c06nU7jfaZhEpgnEnw8Csrw7nxrBeIMY3xBtLwLY0DJBQhHyd55b890lOt9UzXiv--YZNk7jPYP3RzfUg8HmBUSI2SUmHd2eYcrowUq32c7hv7gODLoA在這個(gè)字符串中存儲(chǔ)了用加密密鑰加密后的用戶信息、權(quán)限信息、過期時(shí)間信息等。Keystone在驗(yàn)證的時(shí)候?qū)⒂媒饷苊荑€進(jìn)行解密獲得原始信息。同步數(shù)據(jù)庫Keystone安裝后已經(jīng)提供了數(shù)據(jù)庫的基礎(chǔ)表數(shù)據(jù)，但還沒有導(dǎo)入到數(shù)據(jù)庫中，我們需要手動(dòng)將數(shù)據(jù)同步導(dǎo)入到數(shù)據(jù)庫中。[root@controller~]#sukeystone-s/bin/sh-c"keystone-managedb_sync"【命令解釋】sukeystone：切換到keystone用戶，因?yàn)橹挥衚eystone用戶（安裝時(shí)自動(dòng)創(chuàng)建的用戶）擁有對(duì)keystone數(shù)據(jù)庫完全操作的權(quán)限所以要切換到keystone用戶來執(zhí)行同步，執(zhí)行完后將把用戶切換回root用戶；-s/bin/sh：-s為su命令的參數(shù)，指定用什么編譯器（Shell）來執(zhí)行命令，“/bin/sh”就是指定的編譯器；-c：為su的參數(shù)，后面在引號(hào)內(nèi)的是具體執(zhí)行的命令；keystone-manage：是用來同Keystone服務(wù)進(jìn)行交互的命令行工具。keystone-manage的命令格式：keystone-manage[參數(shù)]具體操作（action）keystone-manage常見操作：db_sync：同步數(shù)據(jù)庫；fernet_setup：創(chuàng)建一個(gè)“Fernetkey”倉庫，用于令牌（token）加密；credential_setup：創(chuàng)建一個(gè)“Fernetkey”倉庫，用于憑證（credential）加密；bootstrap：認(rèn)證引導(dǎo)服務(wù)，初始化Keystone的登錄信息；token_flush：清除過期的token。檢查同步后的數(shù)據(jù)庫[root@controller~]#mysql-uroot-p000000#進(jìn)入到數(shù)據(jù)庫MariaDB[（none）]>usekeystone;#轉(zhuǎn)換到keystone數(shù)據(jù)庫MariaDB[keystone]>showtables;#查詢?cè)摂?shù)據(jù)庫中所有的表見到如上數(shù)據(jù)庫表列表時(shí)表示數(shù)據(jù)庫導(dǎo)入成功。11.2.2Keystone組件初始化初始化Fernet密鑰存儲(chǔ)庫[root@controller~]#keystone-managefernet_setup--keystone-userkeystone--keystone-groupkeystone該命令將自動(dòng)創(chuàng)建“/etc/keystone/fernet-keys/”目錄，并生成兩個(gè)Fernet密鑰放到目錄下。此密鑰用于加密和解密令牌（token）。[root@controller~]#keystone-managecredential_setup--keystone-userkeystone--keystone-groupkeystone該命令將自動(dòng)創(chuàng)建“/etc/keystone/credential-keys/”目錄，并生成兩個(gè)Fernet密鑰放到目錄下。此密鑰用于驗(yàn)證用戶憑證的正確性。當(dāng)token過期后需要重新輸入用戶名和密碼等相關(guān)憑證，該密鑰完成對(duì)憑證的加密和解密工作。初始化身份認(rèn)證引導(dǎo)已知OpenStack有一個(gè)默認(rèn)用戶為“admin”，但現(xiàn)在還沒有對(duì)應(yīng)的密碼等登錄所必需的信息。下面我們用“keystone-managebootstrap”命令來給admin用戶初始化它的登錄信息。以后登錄時(shí)只需要比對(duì)用戶名、密碼等信息就可以進(jìn)行鑒權(quán)。[root@controller~]#keystone-managebootstrap--bootstrap-passwordADMIN_PASS--bootstrap-admin-urlhttp://controller:5000/v3/--bootstrap-internal-urlhttp://controller:5000/v3/--bootstrap-public-urlhttp://controller:5000/v3/--bootstrap-region-idRegionOne【命令及參數(shù)解釋】keystone-managebootstrap：給系統(tǒng)初始化鑒權(quán)所需要的登錄信息；--bootstrap-password：設(shè)置admin用戶的密碼；--bootstrap-admin-url：設(shè)置admin用戶使用的服務(wù)地址（endpoint）；--bootstrap-internal-url：設(shè)置內(nèi)部用戶使用的服務(wù)地址（endpoint）；--bootstrap-public-ur：設(shè)置其他用戶使用的服務(wù)地址（endpoint）；--bootstrap-region-id：設(shè)置區(qū)域ID名稱，用于配置集群服務(wù)。從命令中可以看到admin-url、internal-url、public-ur都是同樣的地址，均指向Keystone的服務(wù)端點(diǎn)。創(chuàng)建wsgi配置文件軟鏈接[root@controller~]#ln-s/usr/share/keystone/wsgi-keystone.conf/etc/httpd/conf.d/該命令將wsgi-keystone.conf文件軟鏈接到了“/etc/httpd/conf.d/”這個(gè)目錄下面，鏈接完成后在該目錄下可以看到“wsgi-keystone.conf”文件。這里并不是把該文件拷貝過去，只是建立了一個(gè)映射，類似于快捷方式。因?yàn)椤?etc/httpd/conf.d/”目錄下的conf文件都是Apache的配置文件，所以這個(gè)命令讓“wsgi-keystone.conf”也成為Apache的配置文件之一。該配置文件讓Apache能夠應(yīng)用mod_wsgi模塊以支持WSGI協(xié)議。修改Apache配置，啟動(dòng)Apache服務(wù)Keystone本質(zhì)上是一個(gè)WEB應(yīng)用，所以要借助WEB服務(wù)器運(yùn)行。Apache就是一個(gè)WEB服務(wù)器應(yīng)用，它的服務(wù)名為“httpd”。修改Apache配置[root@controller~]#vi/etc/httpd/conf/httpd.conf配置服務(wù)器的名稱為控制節(jié)點(diǎn)的名稱：ServerNamecontroller重啟Apache服務(wù)[root@controller~]#systemctlenablehttpd#開機(jī)啟動(dòng)[root@controller~]#systemctlrestarthttpd#重新啟動(dòng)11.3鑒權(quán)并驗(yàn)證Keystone服務(wù)11.3.1鑒權(quán)在以上的操作中，我們?cè)O(shè)置了OpenStack用戶“admin”的密碼為“ADMIN_PASS”。現(xiàn)在該如何通過Keystone的認(rèn)證登入系統(tǒng)呢？我們首先需要鑒權(quán)，判斷用戶是否是合法用戶。我們可以通過環(huán)境變量傳送用戶名及密碼等相關(guān)登錄信息給KeyStone，由它進(jìn)行鑒權(quán)。創(chuàng)建初始化環(huán)境變量文件[root@controller~]#viadmin-openrc在文件中寫入如下命令exportOS_USERNAME=adminexportOS_PASSWORD=ADMIN_PASSexportOS_PROJECT_NAME=adminexportOS_USER_DOMAIN_NAME=DefaultexportOS_PROJECT_DOMAIN_NAME=DefaultexportOS_AUTH_URL=http://controller:5000/v3exportOS_IDENTITY_API_VERSION=3exportOS_IMAGE_API_VERSION=2在這里面我們定義了要登錄OpenStack系統(tǒng)用戶名（OS_USERNAME）是“admin”，登錄密碼（OS_PASSWORD）是“ADMIN_PASS”，用戶屬于的域（OS_USER_DOMAIN_NAME）是“Default”，項(xiàng)目屬于的域（OS_PROJECT_DOMAIN_NAME）是“Default”，認(rèn)證地址（OS_AUTH_URL）是“http://controller:5000/v3”，Keystone版本號(hào)（OS_IDENTITY_API_VERSION）是“3”，鏡像管理應(yīng)用的版本號(hào)（OS_IMAGE_API_VERSION）是“2”。導(dǎo)入環(huán)境變量進(jìn)行鑒權(quán)[root@controller~]#.admin-openrc#運(yùn)行[root@controller~]#export-p#查看環(huán)境變量能看到如上結(jié)果，說明環(huán)境變量導(dǎo)入成功。這里的環(huán)境變量就是模擬用戶登錄時(shí)將用戶名、密碼等信息提供給KeyStone來驗(yàn)證是否允許其登錄。11.3.2驗(yàn)證Keystone服務(wù)創(chuàng)建service項(xiàng)目[root@controller~]#openstackprojectcreate--domaindefaultservice【命令解釋】“openstackprojectcreate”：創(chuàng)建一個(gè)項(xiàng)目；“--domaindefault”：該項(xiàng)目建立在“default”這個(gè)域下，該域名必須存在；“service”：這是新項(xiàng)目的名?！咎崾尽肯到y(tǒng)存在一個(gè)默認(rèn)名為“Default”、ID名為“default”的域，由于在“--domain”后的輸入既可以是域的名字，也可以是域的ID，所以在這里輸入Default和default均可以。[root@controller~]#openstackprojectlist#查看現(xiàn)有項(xiàng)目列表創(chuàng)建user的角色[root@controller~]#openstackrolecreateuser登入系統(tǒng)查看系統(tǒng)已有的域、項(xiàng)目、用戶和角色信息如果在后面操作中看到“Missingvalueauth-urlrequiredforauthpluginpassword”這樣的錯(cuò)誤信息，說明用戶的登錄信息還沒有導(dǎo)入系統(tǒng)，只需將上面創(chuàng)建的“admin-openrc”導(dǎo)入到環(huán)境變量即可。查看已有域（Domain）[root@controller~]#openstackdomainlist#查看域列表這里我們就能夠看到存在一個(gè)名為Default，ID為default的域。查看已有項(xiàng)目（Project）[root@controller~]#openstackprojectlist#查看項(xiàng)目列表查看已有用戶（User）[root@controller~]#openstackuserlist#查看用戶列表查看已有角色（Role）[root@controller~]#openstackrolelist#查看角色列表更新令牌[root@controller~]#openstacktokenissue每一次運(yùn)行該命令將重新生成一個(gè)令牌，令牌過期時(shí)間也會(huì)重新計(jì)算。這里的id對(duì)應(yīng)的數(shù)據(jù)就是token值，expires是token的過期時(shí)間，project_id是項(xiàng)目id，user_id是用戶id。檢查Keystone服務(wù)端點(diǎn)（Endpo