<div dir="ltr">Do the keys all need to be changed at once in a cluster? If so that makes it difficult for puppet at least how we do puppet deployments.<div><br></div><div>Also, David can you share your ansible script for this?</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Mar 27, 2015 at 9:48 AM, David Stanek <span dir="ltr"><<a href="mailto:dstanek@dstanek.com" target="_blank">dstanek@dstanek.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><span class=""><br><div class="gmail_quote">On Fri, Mar 27, 2015 at 10:14 AM, Boris Bobrov <span dir="ltr"><<a href="mailto:bbobrov@mirantis.com" target="_blank">bbobrov@mirantis.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="overflow:hidden">As you know, keystone introduced non-persistent tokens in kilo -- Fernet<br>
tokens. These tokens use Fernet keys, that are rotated from time to time. A<br>
great description of key rotation and replication can be found on [0] and [1]<br>
(thanks, lbragstad). In HA setup there are multiple nodes with Keystone and<br>
that requires key replication. How do we do that with new Fernet tokens?<br>
<br>
Please keep in mind that the solution should be HA -- there should not be any<br>
"master" server, pushing keys to slave servers, because master server might go<br>
down.</div></blockquote></div><br></span>In my test environment I was using ansible to sync the keys across multiple nodes. Keystone should probably provide some guidance around this process, but I don't think it should deal with the actual syncing. I think that's better left to an installation's existing configuration management tools.<span class="HOEnZb"><font color="#888888"><br><br clear="all"><div><br></div>-- <br><div>David<br>blog: <a href="http://www.traceback.org" target="_blank">http://www.traceback.org</a><br>twitter: <a href="http://twitter.com/dstanek" target="_blank">http://twitter.com/dstanek</a><div>www: <a href="http://dstanek.com" target="_blank">http://dstanek.com</a></div></div>
</font></span></div></div>
<br>__________________________________________________________________________<br>
OpenStack Development Mailing List (not for usage questions)<br>
Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" target="_blank">OpenStack-dev-request@lists.openstack.org?subject:unsubscribe</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>
<br></blockquote></div><br></div>