
<div dir="ltr">This doesn't look flexible for me. Glance and keystone could use different settings for SSL. I like current way to use session and config section for each separate client (like [1]).<div><br></div><div>[1] <a href="https://review.openstack.org/#/c/131098/">https://review.openstack.org/#/c/131098/</a><br><div><br></div><div>Thanks,</div><div>Andrew.<br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Feb 9, 2015 at 6:19 PM, Matt Riedemann <span dir="ltr"><<a href="mailto:mriedem@linux.vnet.ibm.com" target="_blank">mriedem@linux.vnet.ibm.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5"><br>

<br>

On 2/9/2015 5:40 PM, Andrew Lazarev wrote:<br>

</div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div class="h5">

Hi Nova experts,<br>

<br>

Some time ago I figured out that devstack fails to stack with<br>

USE_SSL=True option because it doesn't configure nova to work with<br>

secured glace [1]. Support of secured glance was added to nova in Juno<br>

cycle [2], but it looks strange for me.<br>

<br>

Glance client takes settings form '[ssl]' section. The same section is<br>

used to set up nova server SSL settings. Other clients have separate<br>

sections in the config file (and switching to session use now),  e.g.<br>

related code for cinder - [3].<br>

<br>

I've created quick fix for the devstack - [4], but it would be nice to<br>

shed a light on nova plans around glance config before merging a<br>

workaround for devstack.<br>

<br>

So, the questions are:<br>

1. Is it normal that glance client reads from '[ssl]' config section?<br>

2. Is there a plan to move glance client to sessions use and move<br>

corresponding config section to '[glance]'?<br>

3. Are any plans to run CI for USE_SSL=True use case?<br>

<br>

[1] - <a href="https://bugs.launchpad.net/devstack/+bug/1405484" target="_blank">https://bugs.launchpad.net/<u></u>devstack/+bug/1405484</a><br>

[2] - <a href="https://review.openstack.org/#/c/72974" target="_blank">https://review.openstack.org/#<u></u>/c/72974</a><br>

[3] -<br>

<a href="https://github.com/openstack/nova/blob/2015.1.0b2/nova/volume/cinder.py#L73" target="_blank">https://github.com/openstack/<u></u>nova/blob/2015.1.0b2/nova/<u></u>volume/cinder.py#L73</a><br>

[4] - <a href="https://review.openstack.org/#/c/153737" target="_blank">https://review.openstack.org/#<u></u>/c/153737</a><br>

<br>

Thanks,<br>

Andrew.<br>

<br>

<br></div></div>

______________________________<u></u>______________________________<u></u>______________<br>

OpenStack Development Mailing List (not for usage questions)<br>

Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" target="_blank">OpenStack-dev-request@lists.<u></u>openstack.org?subject:<u></u>unsubscribe</a><br>

<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" target="_blank">http://lists.openstack.org/<u></u>cgi-bin/mailman/listinfo/<u></u>openstack-dev</a><br>

<br>

</blockquote>

<br>

This came up in another -dev thread at one point which prompted a series from Matthew Gilliard [1] to use [ssl] globally or project-specific options since both glance and keystone are currently getting their ssl options from the global [ssl] group in nova right now.<br>

<br>

I've been a bad citizen and haven't gotten back to the series review yet.<br>

<br>

[1] <a href="https://review.openstack.org/#/q/status:open+project:openstack/nova+branch:master+topic:ssl-config-options,n,z" target="_blank">https://review.openstack.org/#<u></u>/q/status:open+project:<u></u>openstack/nova+branch:master+<u></u>topic:ssl-config-options,n,z</a><span class="HOEnZb"><font color="#888888"><br>

<br>

-- <br>

<br>

Thanks,<br>

<br>

Matt Riedemann<br>

<br>

<br>

______________________________<u></u>______________________________<u></u>______________<br>

OpenStack Development Mailing List (not for usage questions)<br>

Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" target="_blank">OpenStack-dev-request@lists.<u></u>openstack.org?subject:<u></u>unsubscribe</a><br>

<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" target="_blank">http://lists.openstack.org/<u></u>cgi-bin/mailman/listinfo/<u></u>openstack-dev</a><br>

</font></span></blockquote></div><br></div></div>