<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=Windows-1252">

<base href="x-msg://387/">

</head>

<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">

<br>

<div>

<div>On Apr 21, 2014, at 1:51 PM, "Eichberger, German" <<a href="mailto:german.eichberger@hp.com">german.eichberger@hp.com</a>></div>

<div> wrote:</div>

<br class="Apple-interchange-newline">

<blockquote type="cite">

<div lang="EN-US" link="blue" vlink="purple" style="font-family: Helvetica; font-size: medium; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: -webkit-auto; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; ">

<div class="WordSection1" style="page: WordSection1; ">

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125); ">Hi,<o:p></o:p></span></div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125); "> </span></div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125); ">Despite there are some good use cases for the re-encryption I think it’s out of scope for a Load Balancer. We can defer that functionality to the VPN – as long as we

 have a mechanism to insert a LoadBalancer as a VPN node we should get all kind of encryption infrastructure “for free”.</span></div>

</div>

</div>

</blockquote>

<div><br>

</div>

   I think the feature should be apart of the API but I think it should be up to the vender to implement the feature or not since some venders can't.<br>

<div>Plus an end user might not be able to append a vpn tunnel on the tail of the loadbalancer.</div>

<br>

<blockquote type="cite">

<div lang="EN-US" link="blue" vlink="purple" style="font-family: Helvetica; font-size: medium; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: -webkit-auto; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; ">

<div class="WordSection1" style="page: WordSection1; ">

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125); ">I like the Unix philosophy of little programs doing one task very well and can be chained. So in our case we might want to chain a firewall to a load balancer to a VPN

 to get the functionality we want.</span></div>

</div>

</div>

</blockquote>

<div><br>

</div>

<div>   I like that philosophy as well but must admit that the chains do break when versions or interactions  of these components change. GNU's Autotools for example is a nightmare compared to Maven for Java. Even simpler tools like  sort, tail,  broke some

 tools I used to use. Monolithic tools like emacs likewise seem to be doing daily well. </div>

<div><br>

</div>

<div>    I get the impression that a the simple chained tool philosophy came from the era where individual programs had to be small enough to fit in memory and data would be spooled to tape as the intermediary pipe. Still a nice idea though for admins.</div>

<br>

<blockquote type="cite">

<div lang="EN-US" link="blue" vlink="purple" style="font-family: Helvetica; font-size: medium; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: -webkit-auto; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; ">

<div class="WordSection1" style="page: WordSection1; ">

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125); ">Thoughts?<o:p></o:p></span></div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125); "> </span></div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125); ">German<o:p></o:p></span></div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125); "> </span></div>

<div style="border-style: solid none none; border-top-width: 1pt; border-top-color: rgb(181, 196, 223); padding: 3pt 0in 0in; ">

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<b><span style="font-size: 10pt; font-family: Tahoma, sans-serif; ">From:</span></b><span style="font-size: 10pt; font-family: Tahoma, sans-serif; "><span class="Apple-converted-space"> </span>Stephen Balukoff [mailto:sbalukoff@<a href="http://bluebox.net">bluebox.net</a>]<span class="Apple-converted-space"> </span><br>

<b>Sent:</b><span class="Apple-converted-space"> </span>Friday, April 18, 2014 9:07 PM<br>

<b>To:</b><span class="Apple-converted-space"> </span>OpenStack Development Mailing List (not for usage questions)<br>

<b>Subject:</b><span class="Apple-converted-space"> </span>Re: [openstack-dev] [Neutron][LBaaS] SSL re-encryption scenario question<o:p></o:p></span></div>

</div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<o:p> </o:p></div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

Hi y'all!<o:p></o:p></div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<o:p> </o:p></div>

</div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

Carlos: When I say 'client cert' I'm talking about the certificate / key combination the load balancer will be using to initiate the SSL connection to the back-end server. The implication here is that if the back-end server doesn't like the client cert, it

 will reject the connection (as being not from a trusted source). By 'CA cert' I'm talking about the certificate (sans key) that the load balancer will be using the authenticate the back-end server. If the back-end server's "server certificate" isn't signed

 by the CA, then the load balancer should reject the connection.<o:p></o:p></div>

</div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<o:p> </o:p></div>

</div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

Of course, the use of a client cert or CA cert on the load balancer should be optional: As Clint pointed out, for some users, just using SSL without doing any particular authentication (on either the part of the load balancer or back-end) is going to be good

 enough.<o:p></o:p></div>

</div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<o:p> </o:p></div>

</div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

Anyway, the case for supporting re-encryption on the load-balancers has been solidly made, and the API proposal we're making will reflect this capability. Next question:<o:p></o:p></div>

</div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<o:p> </o:p></div>

</div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

When specific client certs / CAs are used for re-encryption, should these be associated with the pool or member?<o:p></o:p></div>

</div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<o:p> </o:p></div>

</div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

I could see an argument for either case:<o:p></o:p></div>

</div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<o:p> </o:p></div>

</div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<b>Pool</b><span class="Apple-converted-space"> </span>(ie. one client cert / CA cert will be used for all members in a pool):<o:p></o:p></div>

</div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

* Consistency of back-end nodes within a pool is probably both extremely common, and a best practice. It's likely all will be accessed the same way.<o:p></o:p></div>

</div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

* Less flexible than certs associated with members, but also less complicated config.<o:p></o:p></div>

</div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

* For CA certs, assumes user knows how to manage their own PKI using a CA.<o:p></o:p></div>

</div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<o:p> </o:p></div>

</div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<b>Member</b><span class="Apple-converted-space"> </span>(ie. load balancer will potentially use a different client cert / CA cert for each member individually):<o:p></o:p></div>

</div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

* Customers will sometimes run with inconsistent back-end nodes (eg. "local" nodes in a pool treated differently than "remote" nodes in a pool).<o:p></o:p></div>

</div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

* More flexible than certs associated with members, more complicated configuration.<o:p></o:p></div>

</div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

* If back-end certs are all individually self-signed (ie. no single CA used for all nodes), then certs must be associated with members.<o:p></o:p></div>

</div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<o:p> </o:p></div>

</div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

What are people seeing "in the wild"? Are your users using inconsistently-signed or per-node self-signed certs in a single pool?<o:p></o:p></div>

</div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<o:p> </o:p></div>

</div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

Thanks,<o:p></o:p></div>

</div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

Stephen<o:p></o:p></div>

</div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<o:p> </o:p></div>

</div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<o:p> </o:p></div>

</div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<o:p> </o:p></div>

</div>

</div>

<div>

<p class="MsoNormal" style="margin: 0in 0in 12pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<o:p> </o:p></p>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

On Fri, Apr 18, 2014 at 5:56 PM, Carlos Garza <<a href="mailto:carlos.garza@rackspace.com" target="_blank" style="color: purple; text-decoration: underline; ">carlos.garza@rackspace.com</a>> wrote:<o:p></o:p></div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<o:p> </o:p></div>

<div>

<div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

On Apr 18, 2014, at 12:36 PM, Stephen Balukoff <<a href="mailto:sbalukoff@bluebox.net" target="_blank" style="color: purple; text-decoration: underline; ">sbalukoff@bluebox.net</a>> wrote:<o:p></o:p></div>

</div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<br>

<br>

<o:p></o:p></div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

Dang.  I was hoping this wasn't the case.  (I personally think it's a little silly not to trust your service provider to secure a network when they have root access to all the machines powering your cloud... but I digress.)<o:p></o:p></div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<o:p> </o:p></div>

</div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

Part of the reason I was hoping this wasn't the case, isn't just because it consumes a lot more CPU on the load balancers, but because now we potentially have to manage client certificates and CA certificates (for authenticating from the proxy to back-end app

 servers). And we also have to decide whether we allow the proxy to use a different client cert / CA per pool, or per member.<o:p></o:p></div>

</div>

</div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<o:p> </o:p></div>

</div>

</div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

   If you choose to support re-encryption on your service then you are free to charge for the extra CPU cycles. I'm convinced re-encryption and SslTermination is general needs to be mandatory but I think the API should allow them to be specified. <o:p></o:p></div>

</div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<br>

<br>

<o:p></o:p></div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

Yes, I realize one could potentially use no client cert or CA (ie. encryption but no auth)...  but that actually provides almost no extra security over the unencrypted case:  If you can sniff the traffic between proxy and back-end server, it's not much more

 of a stretch to assume you can figure out how to be a man-in-the-middle.<o:p></o:p></div>

</div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<o:p> </o:p></div>

</div>

</div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

    Yes but considering you have no problem advocating pure ssl termination for your customers(Decryption on the front end and plain text) on the back end I'm actually surprised this disturbs you. I would recommend users use Straight SSL passthrough or re-enecryption

 but I wouldn't force this on them should they choose naked encryption with no checking.<o:p></o:p></div>

<div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<o:p> </o:p></div>

</div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<br>

<br>

<o:p></o:p></div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

Do any of you have a use case where some back-end members require SSL authentication from the proxy and some don't? (Again, deciding whether client cert / CA usage should attach to a "pool" or to a "member.")<o:p></o:p></div>

</div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<o:p> </o:p></div>

</div>

</div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

When you say client Cert are you referring to the end users X509 Certificate (To be rejected by the backend server)or are you referring to the back end servers X509Certificate which the loadbalancer would reject if it discovered the back end server had a bad

 signature or mismatched key? I am speaking of the case where the user wants re-encryption but wants to be able to install CA certificates that sign backend servers Keys via PKIX path building. I would even like to offer the customer the ability to skip hostname

 validation since not every one wants to expose DNS entries for IPs that are not publicly routable anyways. Unless your suggesting that we should force this on the user which likewise forces us to host a name server that maps hosts to the X509s subject CN fields.

  Users should be free to validate back end hostnames, just the subject name and key or no validation at all. It should be up to them.<o:p></o:p></div>

</div>

<div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<o:p> </o:p></div>

</div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<o:p> </o:p></div>

</div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<br>

<br>

<o:p></o:p></div>

<div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<o:p> </o:p></div>

</div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

It's a bit of a rabbit hole, eh.<o:p></o:p></div>

</div>

</div>

<blockquote style="margin-top: 5pt; margin-bottom: 5pt; ">

<div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

Stephen<o:p></o:p></div>

</div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<o:p> </o:p></div>

</div>

</div>

<div>

<p class="MsoNormal" style="margin: 0in 0in 12pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<o:p> </o:p></p>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

On Fri, Apr 18, 2014 at 10:21 AM, Eichberger, German <<a href="mailto:german.eichberger@hp.com" target="_blank" style="color: purple; text-decoration: underline; ">german.eichberger@hp.com</a>> wrote:<o:p></o:p></div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125); ">Hi Stephen,</span><o:p></o:p></div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125); "> </span><o:p></o:p></div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125); ">The use case is that the Load Balancer needs to look at the HTTP requests be it to add an X-Forward field or change the timeout – but the network between the load balancer

 and the nodes is not completely private and the sensitive information needs to be again transmitted encrypted. This is admittedly an edge case but we had to implement a similar scheme for HP Cloud’s swift storage.</span><o:p></o:p></div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125); "> </span><o:p></o:p></div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125); ">German</span><o:p></o:p></div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125); "> </span><o:p></o:p></div>

<div style="border-style: solid none none; border-top-width: 1pt; border-top-color: rgb(181, 196, 223); padding: 3pt 0in 0in; ">

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<b><span style="font-size: 10pt; font-family: Tahoma, sans-serif; ">From:</span></b><span style="font-size: 10pt; font-family: Tahoma, sans-serif; "><span class="Apple-converted-space"> </span>Stephen Balukoff [mailto:<a href="mailto:sbalukoff@bluebox.net" target="_blank" style="color: purple; text-decoration: underline; ">sbalukoff@bluebox.net</a>]<span class="Apple-converted-space"> </span><br>

<b>Sent:</b><span class="Apple-converted-space"> </span>Friday, April 18, 2014 8:22 AM</span><o:p></o:p></div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<br>

<b>To:</b><span class="Apple-converted-space"> </span>OpenStack Development Mailing List (not for usage questions)<o:p></o:p></div>

</div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<b>Subject:</b><span class="Apple-converted-space"> </span>[openstack-dev] [Neutron][LBaaS] SSL re-encryption scenario question<o:p></o:p></div>

</div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<o:p> </o:p></div>

</div>

</div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

 <o:p></o:p></div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

Howdy, folks!<o:p></o:p></div>

<div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

 <o:p></o:p></div>

</div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

Could someone explain to me the SSL usage scenario where it makes sense to re-encrypt traffic traffic destined for members of a back-end pool?  SSL termination on the load balancer makes sense to me, but I'm having trouble understanding why one would be concerned

 about then re-encrypting the traffic headed toward a back-end app server. (Why not just use straight TCP load balancing in this case, and save the CPU cycles on the load balancer?)<o:p></o:p></div>

</div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

 <o:p></o:p></div>

</div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

We terminate a lot of SSL connections on our load balancers, but have yet to have a customer use this kind of functionality.  (We've had a few ask about it, usually because they didn't understand what a load balancer is supposed to do-- and with a bit of explanation

 they went either with SSL termination on the load balancer + clear text on the back-end, or just straight TCP load balancing.)<o:p></o:p></div>

</div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

 <o:p></o:p></div>

</div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

Thanks,<o:p></o:p></div>

</div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

Stephen<o:p></o:p></div>

</div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<br clear="all">

<o:p></o:p></div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

 <o:p></o:p></div>

</div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

--<span class="Apple-converted-space"> </span><br>

Stephen Balukoff<span class="Apple-converted-space"> </span><br>

Blue Box Group, LLC<span class="Apple-converted-space"> </span><br>

<a href="tel:%28800%29613-4305%20x807" target="_blank" style="color: purple; text-decoration: underline; ">(800)613-4305 x807</a><o:p></o:p></div>

</div>

</div>

</div>

</div>

<p class="MsoNormal" style="margin: 0in 0in 12pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<br>

_______________________________________________<br>

OpenStack-dev mailing list<br>

<a href="mailto:OpenStack-dev@lists.openstack.org" target="_blank" style="color: purple; text-decoration: underline; ">OpenStack-dev@lists.openstack.org</a><br>

<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" target="_blank" style="color: purple; text-decoration: underline; ">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><o:p></o:p></p>

</div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<br>

<br clear="all">

<o:p></o:p></div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<o:p> </o:p></div>

</div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

--<span class="Apple-converted-space"> </span><br>

Stephen Balukoff<span class="Apple-converted-space"> </span><br>

Blue Box Group, LLC<span class="Apple-converted-space"> </span><br>

<a href="tel:%28800%29613-4305%20x807" target="_blank" style="color: purple; text-decoration: underline; ">(800)613-4305 x807</a><o:p></o:p></div>

</div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

_______________________________________________<br>

OpenStack-dev mailing list<br>

<a href="mailto:OpenStack-dev@lists.openstack.org" target="_blank" style="color: purple; text-decoration: underline; ">OpenStack-dev@lists.openstack.org</a><br>

<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" target="_blank" style="color: purple; text-decoration: underline; ">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><o:p></o:p></div>

</blockquote>

</div>

</div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<o:p> </o:p></div>

</div>

<p class="MsoNormal" style="margin: 0in 0in 12pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<br>

_______________________________________________<br>

OpenStack-dev mailing list<br>

<a href="mailto:OpenStack-dev@lists.openstack.org" style="color: purple; text-decoration: underline; ">OpenStack-dev@lists.openstack.org</a><br>

<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" target="_blank" style="color: purple; text-decoration: underline; ">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><o:p></o:p></p>

</div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<br>

<br clear="all">

<o:p></o:p></div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<o:p> </o:p></div>

</div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

--<span class="Apple-converted-space"> </span><br>

Stephen Balukoff<span class="Apple-converted-space"> </span><br>

Blue Box Group, LLC<span class="Apple-converted-space"> </span><br>

(800)613-4305 x807<o:p></o:p></div>

</div>

</div>

_______________________________________________<br>

OpenStack-dev mailing list<br>

<a href="mailto:OpenStack-dev@lists.openstack.org">OpenStack-dev@lists.openstack.org</a><br>

http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</div>

</blockquote>

</div>

<br>

</body>

</html>