Question

在 OpenStack 中， CORS（跨源资源共享） 头部通常用于支持跨域请求，特别是当你在 Web 应用程序中调用 OpenStack API 时。如果你希望允许浏览器从不同的域发起请求并访问 OpenStack 资源，可以通过设置适当的 CORS 头部来启用跨域资源共享。

CORS 是一个浏览器的安全机制，它允许服务器声明哪些源（origin）可以访问它的资源。默认情况下，OpenStack API 不会为跨域请求提供响应，因此你需要进行配置，允许某些跨域请求。

1. 在 OpenStack 中启用 CORS

CORS 设置通常是在 Keystone 或 Glance 等 OpenStack 服务的配置文件中进行的。这里以 Swift 和 Keystone 为例，展示如何配置 CORS。

配置 Swift 启用 CORS

Swift 是 OpenStack 的对象存储服务，通常会用来存储图片、文件等数据。在 Swift 中配置 CORS 需要编辑配置文件。

1. 编辑 proxy-server.conf 配置文件

   proxy-server.conf 是 Swift 的代理服务配置文件。在该文件中添加 CORS 相关设置。

   [filter:cors]
   use = egg:swift#cors
   allowed_origin = *
   allowed_methods = GET, PUT, POST, DELETE
   allowed_headers = X-Auth-Token, X-Requested-With, Content-Type, Authorization
   expose_headers = X-Auth-Token
   max_age = 3600

配置说明：

• allowed_origin ：允许哪些源（域）进行跨域请求， * 表示允许所有域。如果你希望限制特定域，可以指定一个具体的 URL（例如： https://example.com ）。
• allowed_methods ：允许的 HTTP 方法，如 GET 、 PUT 、 POST 、 DELETE 。
• allowed_headers ：允许跨域请求中包含的请求头。
• expose_headers ：允许客户端访问的响应头。
• max_age ：CORS 预检请求的缓存时间（单位：秒）。

1. 重启 Swift 服务

   修改配置文件后，需要重启 Swift 的代理服务以使更改生效：

   sudo systemctl restart swift-proxy

配置 Keystone 启用 CORS

Keystone 是 OpenStack 的身份认证服务，有时你可能也需要配置 CORS 头以支持从浏览器跨域访问 Keystone API。Keystone 的配置通常在 keystone.conf 文件中进行。

1. 编辑 keystone.conf 配置文件

   打开 Keystone 的配置文件（通常位于 /etc/keystone/keystone.conf ）：

   [cors]
   enable = true
   allowed_origins = *
   allowed_methods = GET, POST, PUT, DELETE
   allowed_headers = X-Auth-Token, X-Requested-With, Content-Type, Authorization
   expose_headers = X-Auth-Token
   max_age = 3600

配置说明：

• enable = true ：启用 CORS 支持。
• allowed_origins ：允许的源（可以是 * 或指定域名）。
• allowed_methods 、 allowed_headers 和 expose_headers 配置与 Swift 中的相似。
• max_age ：指定预检请求的缓存时间。

1. 重启 Keystone 服务

   修改配置后，需要重启 Keystone 服务来应用更改：

   sudo systemctl restart apache2   # 如果使用 Apache 作为 Keystone 的 Web 服务器

2. 使用 Python SDK 进行 CORS 配置（针对 OpenStack 服务）

如果你使用 Python SDK 操作 OpenStack 并希望通过编程方式访问资源，也可以确保响应中包含 CORS 头部。

例如，在使用 Glance 服务时，可以在 API 请求中检查 CORS 头部：

import openstack

# 连接 OpenStack
conn = openstack.connect(
    auth_url="http://keystone.example.com:5000/v3",
    username="admin",
    password="password123",
    project_name="admin_project",
    user_domain_name="default",
    project_domain_name="default",
)

# 获取镜像列表，并检查 CORS 响应头部
images = conn.image.images()
for image in images:
    print(image)

这段代码展示了如何使用 Python SDK 来与 OpenStack 进行交互。虽然 OpenStack 客户端本身不直接设置 CORS 头部，但你可以通过服务端的配置来保证跨域请求能够成功。

3. 在前端进行 CORS 请求

前端应用程序（如使用 JavaScript 的 Web 应用）向 OpenStack API 发起跨域请求时，浏览器会自动处理 CORS 预检请求和响应。如果服务器返回了适当的 CORS 头部，浏览器会允许跨域请求。

例如，使用 JavaScript 向 OpenStack API 发起请求：

fetch('https://openstack.example.com/v3/servers', {
    method: 'GET',
    headers: {
        'X-Auth-Token': 'your-auth-token',
        'Content-Type': 'application/json'
    }
})
.then(response => {
    if (response.ok) {
        return response.json();
    }
    throw new Error('Network response was not ok');
})
.then(data => console.log(data))
.catch(error => console.error('There has been a problem with your fetch operation:', error));

确保 OpenStack 服务端正确返回 CORS 头部，浏览器才会允许这种跨域请求。

4. 注意事项

• 安全性 ：在生产环境中，不建议使用 * 来允许所有源进行跨域请求。你应该根据实际需求，指定受信任的域名。
• 服务重启 ：配置 CORS 后需要重启相应的服务（如 Keystone、Swift 等）以应用更改。
• 浏览器支持 ：不同的浏览器对 CORS 的支持可能有所不同，但大多数现代浏览器都支持 CORS。

总结

通过在 OpenStack 的相关服务中配置 CORS 头部，你可以允许浏览器从不同的域访问 OpenStack API 资源。通常情况下，配置过程涉及编辑服务的配置文件（如 keystone.conf 或 proxy-server.conf ），然后重启相应的服务。配置 CORS 可以帮助开发人员在跨域环境中更方便地与 OpenStack 进行交互。