<div dir="ltr"><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Thu, Mar 6, 2014 at 10:25 AM, Dmitry Mescheryakov <span dir="ltr"><<a href="mailto:dmescheryakov@mirantis.com" target="_blank">dmescheryakov@mirantis.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hello folks,<br>
<br>
A number of OpenStack and related projects have a need to perform<br>
operations inside VMs running on OpenStack. A natural solution would<br>
be an agent running inside the VM and performing tasks.<br>
<br>
One of the key questions here is how to communicate with the agent. An<br>
idea which was discussed some time ago is to use oslo.messaging for<br>
that. That is an RPC framework - what is needed. You can use different<br>
transports (RabbitMQ, Qpid, ZeroMQ) depending on your preference or<br>
connectivity your OpenStack networking can provide. At the same time<br>
there is a number of things to consider, like networking, security,<br>
packaging, etc.<br>
<br>
So, messaging people, what is your opinion on that idea? I've already<br>
raised that question in the list [1], but seems like not everybody who<br>
has something to say participated. So I am resending with the<br>
different topic. For example, yesterday we started discussing security<br>
of the solution in the openstack-oslo channel. Doug Hellmann at the<br>
start raised two questions: is it possible to separate different<br>
tenants or applications with credentials and ACL so that they use<br>
different queues? My opinion that it is possible using RabbitMQ/Qpid<br>
management interface: for each application we can automatically create<br>
a new user with permission to access only her queues. Another question<br>
raised by Doug is how to mitigate a DOS attack coming from one tenant<br>
so that it does not affect another tenant. The thing is though<br>
different applications will use different queues, they are going to<br>
use a single broker.<br>
<br>
Do you share Doug's concerns or maybe you have your own?<br></blockquote><div><br></div><div><div class="gmail_default" style="font-size:small">I would also like to understand why you don't consider Marconi the right solution for this. It is supposed to be a message system that's safe to use from within tenant images.</div>
<div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">Doug</div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<br>
Thanks,<br>
<br>
Dmitry<br>
<br>
[1] <a href="http://lists.openstack.org/pipermail/openstack-dev/2013-December/021476.html" target="_blank">http://lists.openstack.org/pipermail/openstack-dev/2013-December/021476.html</a><br>
<br>
_______________________________________________<br>
OpenStack-dev mailing list<br>
<a href="mailto:OpenStack-dev@lists.openstack.org">OpenStack-dev@lists.openstack.org</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>
</blockquote></div><br></div></div>