我想要一个可以在任何项目中使用的openstack机器快照,并且可以启动其他快照本身。我希望这样任何人都可以在他们的项目中启动这个快照的实例,它将能够自己启动其他快照而无需任何额外的配置。这可能吗?
答案 0 :(得分:1)
简短的回答是:
目前没有办法安全地做到这一点......
随着Keystone扩展提供共享信任令牌的功能,这可能是可行的。
答案很长:
它基本上归结为图像可以完全由具有它们的用户访问。因此,您存储在该图像上的任何API信誉都可能被访客用户窃取。这意味着您无法将基本公共映像设置为具有可用于进行API调用的任何API凭据。
现在您可以在运行时注入凭据,但这必须由用户完成。您还可以在基本映像上拥有一个脚本,该脚本以交互方式请求用户auth creds,以便它可以从keystone获取有效令牌。哎呀,您甚至可以使用以下选项之一在实例的运行时传递它:
我更喜欢用户数据和cloud-init。 http://docs.openstack.org/trunk/openstack-compute/admin/content/user-data.html
Config驱动器在过去暴露了一些相当严重的安全风险。 http://docs.openstack.org/trunk/openstack-compute/admin/content/config-drive.html
这可能会让你足够远。但它不会完全自动化。