<div dir="ltr">Vladik,<div><br></div><div>Thanks for the suggestion, but hypervisor-dependent solution is exactly what scares off people in the thread :-)</div><div><br></div><div>Thanks,</div><div><br></div><div>Dmitry</div>
<div> </div></div><div class="gmail_extra"><br><br><div class="gmail_quote">2013/12/11 Vladik Romanovsky <span dir="ltr"><<a href="mailto:vladik.romanovsky@enovance.com" target="_blank">vladik.romanovsky@enovance.com</a>></span><br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
Maybe it will be useful to use Ovirt guest agent as a base.<br>
<br>
<a href="http://www.ovirt.org/Guest_Agent" target="_blank">http://www.ovirt.org/Guest_Agent</a><br>
<a href="https://github.com/oVirt/ovirt-guest-agent" target="_blank">https://github.com/oVirt/ovirt-guest-agent</a><br>
<br>
It is already working well on linux and windows and has a lot of functionality.<br>
However, currently it is using virtio-serial for communication, but I think it can be extended for other bindings.<br>
<span class="HOEnZb"><font color="#888888"><br>
Vladik<br>
</font></span><div class="im HOEnZb"><br>
----- Original Message -----<br>
> From: "Clint Byrum" <<a href="mailto:clint@fewbar.com">clint@fewbar.com</a>><br>
> To: "openstack-dev" <<a href="mailto:openstack-dev@lists.openstack.org">openstack-dev@lists.openstack.org</a>><br>
> Sent: Tuesday, 10 December, 2013 4:02:41 PM<br>
> Subject: Re: [openstack-dev] Unified Guest Agent proposal<br>
><br>
</div><div class="HOEnZb"><div class="h5">> Excerpts from Dmitry Mescheryakov's message of 2013-12-10 12:37:37 -0800:<br>
> > >> What is the exact scenario you're trying to avoid?<br>
> ><br>
> > It is DDoS attack on either transport (AMQP / ZeroMQ provider) or server<br>
> > (Salt / Our own self-written server). Looking at the design, it doesn't<br>
> > look like the attack could be somehow contained within a tenant it is<br>
> > coming from.<br>
> ><br>
><br>
> We can push a tenant-specific route for the metadata server, and a tenant<br>
> specific endpoint for in-agent things. Still simpler than hypervisor-aware<br>
> guests. I haven't seen anybody ask for this yet, though I'm sure if they<br>
> run into these problems it will be the next logical step.<br>
><br>
> > In the current OpenStack design I see only one similarly vulnerable<br>
> > component - metadata server. Keeping that in mind, maybe I just<br>
> > overestimate the threat?<br>
> ><br>
><br>
> Anything you expose to the users is "vulnerable". By using the localized<br>
> hypervisor scheme you're now making the compute node itself vulnerable.<br>
> Only now you're asking that an already complicated thing (nova-compute)<br>
> add another job, rate limiting.<br>
><br>
> _______________________________________________<br>
> OpenStack-dev mailing list<br>
> <a href="mailto:OpenStack-dev@lists.openstack.org">OpenStack-dev@lists.openstack.org</a><br>
> <a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>
><br>
<br>
_______________________________________________<br>
OpenStack-dev mailing list<br>
<a href="mailto:OpenStack-dev@lists.openstack.org">OpenStack-dev@lists.openstack.org</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>
</div></div></blockquote></div><br></div>