
<div dir="ltr"><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Aug 4, 2015 at 9:28 AM, Boris Bobrov <span dir="ltr"><<a href="mailto:bbobrov@mirantis.com" target="_blank">bbobrov@mirantis.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span>On Tuesday 04 August 2015 08:06:21 Lance Bragstad wrote:<br>

> On Tue, Aug 4, 2015 at 1:37 AM, Boris Bobrov <<a href="mailto:bbobrov@mirantis.com" target="_blank">bbobrov@mirantis.com</a>> wrote:<br>

> > On Monday 03 August 2015 21:05:00 David Stanek wrote:<br>

> > > On Sat, Aug 1, 2015 at 8:03 PM, Boris Bobrov <<a href="mailto:bbobrov@mirantis.com" target="_blank">bbobrov@mirantis.com</a>><br>

> ><br>

> > wrote:<br>

</span><div><div>> > > > Also, come on, does <a href="http://paste.openstack.org/show/406674/" rel="noreferrer" target="_blank">http://paste.openstack.org/show/406674/</a> look<br>

> > > > overly<br>

> > > > complex? (it should be launched from Fuel master node).<br>

> > ><br>

> > > I'm reading this on a small phone, so I may have it wrong, but the<br>

> > > script<br>

> > ><br>

> > > appears to be broken.<br>

> > ><br>

> > ><br>

> > ><br>

> > > It will ssh to node-1 and rotate. In the simplest case this takes key<br>

> > > 0<br>

> ><br>

> > and<br>

> ><br>

> > > moves it to the next highest key number. Then a new key 0 is<br>

> > > generated.<br>

> > ><br>

> > ><br>

> > ><br>

> > > Later there is a loop that will again ssh into node-1 and run the<br>

> ><br>

> > rotation<br>

> ><br>

> > > script. If there is a limit set on the number of keys and you are at<br>

> > > that<br>

> > ><br>

> > > limit a key will be deleted. This extra rotation on node-1 means that<br>

> ><br>

> > it's<br>

> ><br>

> > > possible that it has a different set of keys than are on node-2 and<br>

> ><br>

> > node-3.<br>

> ><br>

> ><br>

> ><br>

> > You are absolutely right. Node-1 should be excluded from the loop.<br>

> ><br>

> ><br>

> ><br>

> > pinc also lacks "-c 1".<br>

> ><br>

> ><br>

> ><br>

> > I am sure that other issues can be found.<br>

> ><br>

> ><br>

> ><br>

> > In my excuse I want to say that I never ran the script and wrote it just<br>

> > to show how simple it should be. Thank for review though!<br>

> ><br>

> ><br>

> ><br>

> > I also hope that no one is going to use a script from a mailing list.<br>

> ><br>

> > > What's the issue with just a simple rsync of the directory?<br>

> ><br>

> > None I think. I just want to reuse the interface provided by<br>

> > keystone-manage.<br>

><br>

> You wanted to use the interface from keystone-manage to handle the actual<br>

> promotion of the staged key, right? This is why there were two<br>

> fernet_rotate commands issued?<br>

<br>

</div></div>Right. Here is the fixed version (please don't use it anyway):<br>

<a href="http://paste.openstack.org/show/406862/" rel="noreferrer" target="_blank">http://paste.openstack.org/show/406862/</a></blockquote><div><br></div><div>Note, this doesn't take into account the initial key repository creation, does it? </div><div><br></div><div>Here is a similar version that relies on rsync for the distribution after the initial key rotation [0].</div><div><br></div><div>[0] <a href="http://cdn.pasteraw.com/d6odnvtt1u9zsw5mg4xetzgufy1mjua">http://cdn.pasteraw.com/d6odnvtt1u9zsw5mg4xetzgufy1mjua</a> </div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>

<span><font color="#888888"><br>

--<br>

Best regards,<br>

Boris Bobrov<br>

</font></span><div><div><br>

__________________________________________________________________________<br>

OpenStack Development Mailing List (not for usage questions)<br>

Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.openstack.org?subject:unsubscribe</a><br>

<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>

</div></div></blockquote></div><br></div></div>