<div dir="ltr">Hi,<div><br></div><div>My vote is for separate resource (e.g. 'New Model'). Also I'd like to see certificate handling as a separate extension/db mixing(in fact, persistence driver) similar to service_type extension.</div>
<div><br></div><div>Thanks,</div><div>Eugene.</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Thu, Dec 5, 2013 at 2:13 PM, Stephen Gran <span dir="ltr"><<a href="mailto:stephen.gran@theguardian.com" target="_blank">stephen.gran@theguardian.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi,<br>
<br>
Right, sorry, I see that wasn't clear - I blame lack of coffee :)<br>
<br>
I would prefer the "Revised New Model".  I much prefer the ability to restore a loadbalancer from config in the event of node failure, and the ability to do basic sharing of certificates between VIPs.<br>
<br>
I think that a longer term plan may involve putting the certificates in a smarter system if we decide we want to do things like evaluate trust models, but just storing them locally for now will do most of what I think people want to do with SSL termination.<br>

<br>
Cheers,<div class="HOEnZb"><div class="h5"><br>
<br>
On 05/12/13 09:57, Samuel Bercovici wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hi Stephen,<br>
<br>
To make sure I understand, which model is fine "Basic/Simple" or "New".<br>
<br>
Thanks,<br>
        -Sam.<br>
<br>
<br>
-----Original Message-----<br>
From: Stephen Gran [mailto:<a href="mailto:stephen.gran@theguardian.com" target="_blank">stephen.gran@<u></u>theguardian.com</a>]<br>
Sent: Thursday, December 05, 2013 8:22 AM<br>
To: <a href="mailto:openstack-dev@lists.openstack.org" target="_blank">openstack-dev@lists.openstack.<u></u>org</a><br>
Subject: Re: [openstack-dev] [Neutron][LBaaS] Vote required for certificate as first-class citizen - SSL Termination (Revised)<br>
<br>
Hi,<br>
<br>
I would be happy with this model.  Yes, longer term it might be nice to have an independent certificate store so that when you need to be able to validate ssl you can, but this is a good intermediate step.<br>
<br>
Cheers,<br>
<br>
On 02/12/13 09:16, Vijay Venkatachalam wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
LBaaS enthusiasts: Your vote on the revised model for SSL Termination?<br>
<br>
Here is a comparison between the original and revised model for SSL Termination:<br>
<br>
***************<br>
Original Basic Model that was proposed in summit<br>
***************<br>
* Certificate parameters introduced as part of VIP resource.<br>
* This model is for basic config and there will be a model introduced in future for detailed use case.<br>
* Each certificate is created for one and only one VIP.<br>
* Certificate params not stored in DB and sent directly to loadbalancer.<br>
* In case of failures, there is no way to restart the operation from details stored in DB.<br>
***************<br>
Revised New Model<br>
***************<br>
* Certificate parameters will be part of an independent certificate resource. A first-class citizen handled by LBaaS plugin.<br>
* It is a forwarding looking model and aligns with AWS for uploading server certificates.<br>
* A certificate can be reused in many VIPs.<br>
* Certificate params stored in DB.<br>
* In case of failures, parameters stored in DB will be used to restore the system.<br>
<br>
A more detailed comparison can be viewed in the following link<br>
<br>
<a href="https://docs.google.com/document/d/1fFHbg3beRtmlyiryHiXlpWpRo1oWj8FqVe" target="_blank">https://docs.google.com/<u></u>document/d/<u></u>1fFHbg3beRtmlyiryHiXlpWpRo1oWj<u></u>8FqVe</a><br>
ZISh07iGs/edit?usp=sharing<br>
</blockquote></blockquote>
<br>
-- <br>
Stephen Gran<br>
Senior Systems Integrator - <a href="http://theguardian.com" target="_blank">theguardian.com</a><br>
Please consider the environment before printing this email.<br>
------------------------------<u></u>------------------------------<u></u>------<br>
Visit <a href="http://theguardian.com" target="_blank">theguardian.com</a>   <br>
On your mobile, download the Guardian iPhone app <a href="http://theguardian.com/iphone" target="_blank">theguardian.com/iphone</a> and our iPad edition <a href="http://theguardian.com/iPad" target="_blank">theguardian.com/iPad</a>   Save up to 33% by subscribing to the Guardian and Observer - choose the papers you want and get full digital access.<br>

Visit <a href="http://subscribe.theguardian.com" target="_blank">subscribe.theguardian.com</a><br>
<br>
This e-mail and all attachments are confidential and may also<br>
be privileged. If you are not the named recipient, please notify<br>
the sender and delete the e-mail and all attachments immediately.<br>
Do not disclose the contents to another person. You may not use<br>
the information for any purpose, or store, or copy, it in any way.<br>
<br>
Guardian News & Media Limited is not liable for any computer<br>
viruses or other material transmitted with or as part of this<br>
e-mail. You should employ virus checking software.<br>
<br>
Guardian News & Media Limited<br>
<br>
A member of Guardian Media Group plc<br>
Registered Office<br>
PO Box 68164<br>
Kings Place<br>
90 York Way<br>
London<br>
N1P 2AP<br>
<br>
Registered in England Number 908396<br>
<br>
------------------------------<u></u>------------------------------<u></u>--------------<br>
<br>
<br>
______________________________<u></u>_________________<br>
OpenStack-dev mailing list<br>
<a href="mailto:OpenStack-dev@lists.openstack.org" target="_blank">OpenStack-dev@lists.openstack.<u></u>org</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" target="_blank">http://lists.openstack.org/<u></u>cgi-bin/mailman/listinfo/<u></u>openstack-dev</a><br>
</div></div></blockquote></div><br></div>