<div dir="ltr">This doesn't look flexible for me. Glance and keystone could use different settings for SSL. I like current way to use session and config section for each separate client (like [1]).<div><br></div><div>[1] <a href="https://review.openstack.org/#/c/131098/">https://review.openstack.org/#/c/131098/</a><br><div><br></div><div>Thanks,</div><div>Andrew.<br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Feb 9, 2015 at 6:19 PM, Matt Riedemann <span dir="ltr"><<a href="mailto:mriedem@linux.vnet.ibm.com" target="_blank">mriedem@linux.vnet.ibm.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5"><br>
<br>
On 2/9/2015 5:40 PM, Andrew Lazarev wrote:<br>
</div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div class="h5">
Hi Nova experts,<br>
<br>
Some time ago I figured out that devstack fails to stack with<br>
USE_SSL=True option because it doesn't configure nova to work with<br>
secured glace [1]. Support of secured glance was added to nova in Juno<br>
cycle [2], but it looks strange for me.<br>
<br>
Glance client takes settings form '[ssl]' section. The same section is<br>
used to set up nova server SSL settings. Other clients have separate<br>
sections in the config file (and switching to session use now),  e.g.<br>
related code for cinder - [3].<br>
<br>
I've created quick fix for the devstack - [4], but it would be nice to<br>
shed a light on nova plans around glance config before merging a<br>
workaround for devstack.<br>
<br>
So, the questions are:<br>
1. Is it normal that glance client reads from '[ssl]' config section?<br>
2. Is there a plan to move glance client to sessions use and move<br>
corresponding config section to '[glance]'?<br>
3. Are any plans to run CI for USE_SSL=True use case?<br>
<br>
[1] - <a href="https://bugs.launchpad.net/devstack/+bug/1405484" target="_blank">https://bugs.launchpad.net/<u></u>devstack/+bug/1405484</a><br>
[2] - <a href="https://review.openstack.org/#/c/72974" target="_blank">https://review.openstack.org/#<u></u>/c/72974</a><br>
[3] -<br>
<a href="https://github.com/openstack/nova/blob/2015.1.0b2/nova/volume/cinder.py#L73" target="_blank">https://github.com/openstack/<u></u>nova/blob/2015.1.0b2/nova/<u></u>volume/cinder.py#L73</a><br>
[4] - <a href="https://review.openstack.org/#/c/153737" target="_blank">https://review.openstack.org/#<u></u>/c/153737</a><br>
<br>
Thanks,<br>
Andrew.<br>
<br>
<br></div></div>
______________________________<u></u>______________________________<u></u>______________<br>
OpenStack Development Mailing List (not for usage questions)<br>
Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" target="_blank">OpenStack-dev-request@lists.<u></u>openstack.org?subject:<u></u>unsubscribe</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" target="_blank">http://lists.openstack.org/<u></u>cgi-bin/mailman/listinfo/<u></u>openstack-dev</a><br>
<br>
</blockquote>
<br>
This came up in another -dev thread at one point which prompted a series from Matthew Gilliard [1] to use [ssl] globally or project-specific options since both glance and keystone are currently getting their ssl options from the global [ssl] group in nova right now.<br>
<br>
I've been a bad citizen and haven't gotten back to the series review yet.<br>
<br>
[1] <a href="https://review.openstack.org/#/q/status:open+project:openstack/nova+branch:master+topic:ssl-config-options,n,z" target="_blank">https://review.openstack.org/#<u></u>/q/status:open+project:<u></u>openstack/nova+branch:master+<u></u>topic:ssl-config-options,n,z</a><span class="HOEnZb"><font color="#888888"><br>
<br>
-- <br>
<br>
Thanks,<br>
<br>
Matt Riedemann<br>
<br>
<br>
______________________________<u></u>______________________________<u></u>______________<br>
OpenStack Development Mailing List (not for usage questions)<br>
Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" target="_blank">OpenStack-dev-request@lists.<u></u>openstack.org?subject:<u></u>unsubscribe</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" target="_blank">http://lists.openstack.org/<u></u>cgi-bin/mailman/listinfo/<u></u>openstack-dev</a><br>
</font></span></blockquote></div><br></div></div>