Openstack keystone 多级用户扩展

需求：

适应政府、公司等多级组织结构，使不同层次的用户拥有不同权限（即上层用户可以管理下层用户的各种资源）

实现原理：

将Project-Users（一个Project对应一个或者多个User）做成树形结构，举个简单的例子：

假设我们有3个级别的用户：公司（C0）、部门（P1，P2）、小组（G1，G2，G3），对应到keystone即是5个Project分别为C0、P1、P2、G1、G2、G3

Project的树形结构为：

每个级别的用户对应关系：C0<->U0，P1<->U1，P2<->U2，G1<->(U3，U4)，G2<->(U5，U6)，G3<->(U7，U8)，将上层的Project的User加入到下层的所有Projects中，这样上层的用户将拥有对下层用户资源的控制权

通过这种树形结构，我们只需要在Keystone维护一个Project的树形对应关系表以及添加相关的API，而不需要修改Openstack其他组件的代码即可实现Openstack的多级用户及资源管理，缺点是组织层次太多的话数据库压力会比较大。。