首页 > 代码库 > Icehouse版keystone配置完全详解(更新中)
Icehouse版keystone配置完全详解(更新中)
本文全面解读Icehouse发行版keystone的配置文件keystone.conf
[DEFAULT]
admin_token=(string value)
# 这是一个公知的密码,用于初始化keystone,强烈建议在生产模式中禁用,只需要在# keystone-paste.ini文件中移除AdminTokenAuthMiddleware这个pipeline即可
public_bind_host=(string value)
# The IP Address of the network interface to for the public
# service to listen on. (string value)
admin_bind_host=(string value)
# The IP Address of the network interface to for the admin
# service to listen on. (string value)
compute_port=(integer value)
# Openstack计算(compute)服务监听的端口号,默认8774
admin_port=(integer value)
# admin服务监听的端口号,默认35357
public_port=(integer value)
# public服务监听的端口号,默认5000
public_endpoint=(string valuue)
# 对于client而言,keystone的public endpoint地址,默认http://localhost:5000
admin_endpoint=(string value)
# 对于client而言,keystone的admin endpoint地址,默认http://localhost:35357
onready=(string value)
#暂时不了解
# onready allows you to send a notification when the process
# is ready to serve For example, to have it notify using
# systemd, one could set shell command: "onready = systemd-
# notify --ready" or a module with notify() method: "onready =
# keystone.common.systemd".
max_request_body_size=(integer value)
# 最大请求容量,由keystone.middleware:RequestBodySizeLimiter来执行,默认
# 114688
max_param_size=(integer value)
# 用户、租户的ID/名称的最大长度
max_token_size=(integer value)
# token的最大长度
[assignment] | |
| dirver | (StrOpt)assignment后端驱动 |
| caching | (BoolOpt)缓存asignment数据,除非启用全局缓存,否则本选项无效 |
| cache_time | (IntOpt)缓存assignment数据的时间(单位:秒),除非启用全局缓存,否则本选项无效 |
| list_limit | (IntOpt)返回的assignment集合中数据项的容量 |
[auth] | |
| methods | (ListOpt)默认的认证方法 |
| password | (StrOpt)Password认证插件模块 |
| token | (StrOpt)Token认证插件模块 |
| external | (StrOpt)External(REMOTE_USER)认证插件模块 |
[cache] | |
| backend | (StrOpt) Dogpile.cache后端模块,在生产部署模式中推荐使用dogpile.cache.memcache或dog -pile.cache.redis,小规模负载情况下可以使用dogpile.cache.memory后端 |
| backend_argument | (MultiStrOpt)传给dogpile.cache后端模块的参数,参考格式:“名:值“ |
| config_prefix | (StrOpt)为缓冲域建立配置字典时的前缀,除非有相同配置名称dogpile.cache域,否则本选项不需要更改提供的默认值 |
| debug_cache_backend | (BoolOpt)额外的缓存后端调试,通常为False |
| enabled | (BoolOpt)全局缓存开关 |
| expiration_time | (IntOpt)dogpile.cache域中的全局缓存时间(单位:秒),适用于任何没有明确标明缓存时间的非全局缓存项。 |
| proxies | (ListOpt)可以引入的能够影响dogpile.cache后端工作的代理类, |
| use_key_mangler | (BoolOpt)使用key-mangling function (如:SHA-1)来确保缓存键的长度统一,推荐设为True |
[catalog] | |
template_file | (StrOpt)指定目录模板文件 |
driver | (StrOpt)目录后端驱动 |
| list_limit | (IntOpt)一次返回的目录集合容量 |
[credential] | |
driver | (StrOpt)Credential后端驱动 |
[database] | |
sqlite_db | (StrOpt)使用SQLite的文件名 |
| backend | (StrOpt)用于数据库的后端 |
| connection | (StrOpt)连接至指定数据库的SQLAlchemy连接字符串 |
| slave_connection |
|
| mysql_sql_mode | (StrOpt)MYSQL会话使用的SQL模式,该设置覆写数据库服务器处的设置,使用 数据库服务器自带的SQL模式,这里置空不填任何值 |
| idle_timeout | (IntOpt)重复空闲sql连接时的间隔 |
| min_pool_size | (IntOpt)连接池的最小规模 |
| max_pool_size | (IntOpt)连接池的最大规模 |
| max_retries | (IntOpt)启动阶段最大数据库连接重试次数,-1代表无穷次重试 |
| retry_interval | (IntOpt)重试启动sql连接时的间隔 |
| max_overflow | (IntOpt)与sqlalchemy中的max_overflow相对应 |
| connection_debug | (IntOpt)SQL调试信息的复杂程度,0是什么都不反馈,100是什么都提示 |
| connection_trace | (BoolOpt)将python的栈踪迹(stack trace)添加到SQL中作为注释 |
| pool_timeout | (IntOpt)与sqlalchemy中的pool_timeout相对应 |
| use_db_reconnect | (BoolOpt)在连接丢失时启用实验性质的数据库重连 |
| db_retry_interval | (IntOpt)数据库重连间隔(单位:秒) |
db_inc_retry_interval | (BoolOpt)是否启用数据库重连增量间隔 |
| db_max_retry_interval | (IntOpt)重连增量间隔的上限 |
| db_max_retries | (IntOpt)最大数据库连接重试次数(-1为无穷次) |
[ec2] | |
driver | (StrOpt)EC2Credential后端驱动 |
[federation] | |
assertion_prefix | (StrOpt)从环境中筛选断言参数时使用的值 |
driver | (StrOpt)keystone联盟后端驱动 |
[identity] | |
default_domain_id | (StrOpt)所有Identity API v2请求都使用的domain,专为支持v2用户保留,v3 API无法删除 |
domain_config_dir | (StrOpt)下一个选项为True时,keystone用来定位domain-specific的身份配置文件 |
| domain_specific_drivers_enabled | (BoolOpt)是否允许所有domain中的一部分拥有自己的identity驱动 |
| driver | (StrOpt)keystone Identity后端驱动 |
| list_limit | (IntOpt)keystone服务器返回的数据项容量 |
| max_password_length | (IntOpt)用户密码长度上限 |
[kvs] | |
backends | (ListOpt)额外的dogpile.cache后端模块 |
config_prefix | (StrOpt)为KVS域创建配置字典时的前缀,除非有另一个配置名称相同的dogpile.cache域,否则不推荐修改默认值 |
default_lock_timeout | (IntOpt)分布式加锁的超时限制 |
enable_key_mangler | (BoolOpt)推荐设置为真,同[cache]的use_key_mangler |
[memcache] | |
max_compare_and_set_retry | (IntOpt)使用令牌memcache后端的compare-and-set时进行尝试的次数 |
servers | (ListOpt)"host:port"格式的memcache服务器 |
[oauth1] | |
access_token_duration | (IntOpt)OAuth访问令牌的有效期(单位:秒) |
driver | (StrOpt)keystone credential后端驱动 |
request_token_duration | (IntOpt)OAuth请求令牌的有效期(单位:秒) |
[os_inherit] | |
| enabled | (BoolOpt)从拥有的domain向项目继承角色指派可以有选择的开启 |
[revoke] | |
caching | (BoolOpt)是否开启缓存撤销事件,只有在全局缓存开启后才有效 |
driver | (StrOpt)为持续的撤销事件实现的后端驱动 |
| expiration_buffer | (IntOpt)在一个撤销事件从该后端删除前,该值(单位:秒)将被增加到token的失效期上 |
[stats] | |
driver | (StrOpt) Keystone stats后端驱动 |
[token] | |
bind | (ListOpt)需要与令牌绑定的外部认证机制,如kerberos, x.509等 |
cache_time | (IntOpt)缓存令牌的时间(单位:秒) |
caching | (BoolOpt)是否缓存令牌,只有在全局缓存启用后才有效 |
driver | (StrOpt)令牌持久存储后端驱动 |
enforce_token_bind | (StrOpt)令牌绑定信息提供给keystone的执行策略,可选值有disabled, permissive, strict, required或特别要求绑定的模式,如kerberos, x.509等 |
expiration | (IntOpt)令牌有效期限(单位:秒) |
provider | (StrOpt)控制着令牌的构造,验证,撤销等操作,包括pki, uuid等提供者 |
revocation_cache_time | (IntOpt)缓存撤销列表的时间(单位:秒)和一旦撤销扩展被启用时的撤销事件。除非全局缓存启用否则本设置无效 |
| revoke_by_id | (BoolOpt)通过令牌ID撤销令牌,设置为True时允许多种形式的枚举令牌。建议只在使用撤销扩展且后端驱动不是KVS时禁用该选项。 |
[trust] | |
driver | (StrOpt)信任后端驱动 |
enabled | (BoolOpt)是否启用代理和身份扮演功能 |