<div dir="ltr"><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Mar 27, 2015 at 10:14 AM, Boris Bobrov <span dir="ltr"><<a href="mailto:bbobrov@mirantis.com" target="_blank">bbobrov@mirantis.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div id=":17r" class="a3s" style="overflow:hidden">As you know, keystone introduced non-persistent tokens in kilo -- Fernet<br>
tokens. These tokens use Fernet keys, that are rotated from time to time. A<br>
great description of key rotation and replication can be found on [0] and [1]<br>
(thanks, lbragstad). In HA setup there are multiple nodes with Keystone and<br>
that requires key replication. How do we do that with new Fernet tokens?<br>
<br>
Please keep in mind that the solution should be HA -- there should not be any<br>
"master" server, pushing keys to slave servers, because master server might go<br>
down.</div></blockquote></div><br>In my test environment I was using ansible to sync the keys across multiple nodes. Keystone should probably provide some guidance around this process, but I don't think it should deal with the actual syncing. I think that's better left to an installation's existing configuration management tools.<br><br clear="all"><div><br></div>-- <br><div class="gmail_signature">David<br>blog: <a href="http://www.traceback.org" target="_blank">http://www.traceback.org</a><br>twitter: <a href="http://twitter.com/dstanek" target="_blank">http://twitter.com/dstanek</a><div>www: <a href="http://dstanek.com" target="_blank">http://dstanek.com</a></div></div>
</div></div>