
<div dir="ltr">Hello again,<div><br></div><div>I heard a questions from team how exactly we will implement SSL for master node. There is a way how I look it:</div><div>1. We implement ability to use SSL in fuel-nailgun-agent (I already created a patch, it is on review now) and merge it in 7.0 release cycle. Also we will need to implement SSL ability in other clients (for example, fuel-cli)</div><div>2. We save both HTTP and HTTPS on master node, because we need to have seamless master node upgrade. As long as we have 2 years of release support, we will need to have both protocols enabled for 2 years. After that period of time we will disable HTTP completely and continue to use HTTPS only.</div><div>3. For those people, who need to force HTTPS-only before 2 years expiration, I'll prepare a patch that will disable plain HTTP in nginx on master node if special key in hiera will be found. Also we will add a note about this to our documentation and release notes (cause if someone will decide to force HTTPS, he must to upgrade fuel-nailgun-client on all old nodes too).</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Aug 4, 2015 at 5:05 PM, Stanislaw Bogatkin <span dir="ltr"><<a href="mailto:sbogatkin@mirantis.com" target="_blank">sbogatkin@mirantis.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div>Seems that second solution is okay.</div><div><br></div>Sebastian, I'll try to fix it before SCF.</div><div class="HOEnZb"><div class="h5"><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Aug 4, 2015 at 4:25 PM, Sebastian Kalinowski <span dir="ltr"><<a href="mailto:skalinowski@mirantis.com" target="_blank">skalinowski@mirantis.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div>+1 for option 2)<br><br></div>But I have a question: how do we fit with this into the scope of Feature Freeze and Soft Code Freeze this week?<br>Any ETAs?<br></div><div><div><div class="gmail_extra"><br><div class="gmail_quote">2015-08-04 15:06 GMT+02:00 Vitaly Kramskikh <span dir="ltr"><<a href="mailto:vkramskikh@mirantis.com" target="_blank">vkramskikh@mirantis.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">FYI: There is <a href="https://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security" target="_blank">Strict-Transport-Security</a> header which can also be useful here (unless we want to make SSL for master node optional)<br></div><div class="gmail_extra"><div><div><br><div class="gmail_quote">2015-08-04 15:07 GMT+03:00 Vladimir Sharshov <span dir="ltr"><<a href="mailto:vsharshov@mirantis.com" target="_blank">vsharshov@mirantis.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hi,<div><br></div><div>+1 to 2nd solution too.</div></div><div class="gmail_extra"><br><div class="gmail_quote"><span>On Tue, Aug 4, 2015 at 1:45 PM, Evgeniy L <span dir="ltr"><<a href="mailto:eli@mirantis.com" target="_blank">eli@mirantis.com</a>></span> wrote:<br></span><div><div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div>Hi,</div><div><br></div>+1 to 2nd solution, in this case old environments will work without additional<div>actions. Agents for new environments, CLI and UI will use SSL.<br></div><div>But probably for UI we will have to perform redirect on JS level.</div><div><br></div><div>Thanks,</div></div><div class="gmail_extra"><br><div class="gmail_quote"><div><div>On Tue, Aug 4, 2015 at 1:32 PM, Stanislaw Bogatkin <span dir="ltr"><<a href="mailto:sbogatkin@mirantis.com" target="_blank">sbogatkin@mirantis.com</a>></span> wrote:<br></div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div><div dir="ltr">Hi guys,<div>in overall movement of Fuel to use secure sockets we think about wrapping master node UI and API calls to SSL. But there are next caveat:</div><div><br></div><div>a) fuel-nailgun-agent cannot work via SSL now and need to be rewritten a little. But if it will be rewritten in 7.0 and HTTPS on master node will be forced by default, it will break upgrade from previous releases to 7.0 due fact that after master node upgrade from 6.1 to 7.0 we will have HTTPS by default and fuel-nailgun-agent on all environments won't upgraded, so it won't be able to connect to master node after upgrade. It breaks seamless upgrade procedure.<br></div><div><br></div><div>What options I see there:</div><div>1. We can forcedly enable SSL for master node and rewrite clients in 7.0 to be able to work over it. In release notes for 7.0 we will write forewarning that clients which want to upgrade master node from previous releases to 7.0 must also install new fuel-nailgun-agent to all nodes in all deployed environments.</div><div><br></div><div>2. We can have both SSL and non-SSL versions enabled by default and rewrite fuel-nailgun-client in 7.0 such way that it will check SSL availability and be able to work in plain HTTP for legacy mode. So, for all new environments SSL will be used by default and for old ones plain HTTP will continue to work too. Master node upgrade will not be broken in this case.</div><div><br></div><div>3. We can do some mixed way by gradually rewrite fuel-nailgun-client, save both HTTP and HTTPS for master node in 7.0 and drop plain HTTP in next releases. It is just postponed version of first clause, so it doesn't seems valid for me, actually.</div><div><br></div><div>I would be really glad to hear what you think about this. Thank you in advance.</div></div>

<br></div></div>__________________________________________________________________________<br>

OpenStack Development Mailing List (not for usage questions)<br>

Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.openstack.org?subject:unsubscribe</a><br>

<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>

<br></blockquote></div><br></div>

<br>__________________________________________________________________________<br>

OpenStack Development Mailing List (not for usage questions)<br>

Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.openstack.org?subject:unsubscribe</a><br>

<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>

<br></blockquote></div></div></div><br></div>

<br>__________________________________________________________________________<br>

OpenStack Development Mailing List (not for usage questions)<br>

Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.openstack.org?subject:unsubscribe</a><br>

<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>

<br></blockquote></div><br><br clear="all"><br></div></div><span><font color="#888888">-- <br><div><div dir="ltr"><div><div dir="ltr">Vitaly Kramskikh,<br>Fuel UI Tech Lead,<br>Mirantis, Inc.</div></div></div></div>

</font></span></div>

<br>__________________________________________________________________________<br>

OpenStack Development Mailing List (not for usage questions)<br>

Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.openstack.org?subject:unsubscribe</a><br>

<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>

<br></blockquote></div><br></div>

</div></div><br>__________________________________________________________________________<br>

OpenStack Development Mailing List (not for usage questions)<br>

Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.openstack.org?subject:unsubscribe</a><br>

<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>

<br></blockquote></div><br></div>

</div></div></blockquote></div><br></div>