<div dir="ltr"><div><div>(1) is what we were working towards. To my mind, it is the right option.<br><br></div>(2) Means that you have an encryption key shared between volumes, same as backups currently. It also means you can't share images, which is very limiting.<br><br></div>(3) Makes BFV basically useless with encrypted volumes. Given there are plenty of people who'd like to use BFV and need encrypted volumes, we'd basically be pushing those people off to a backend that manages encryption itself, which none of the free/libre backends do currently AFAIK.<br></div><div class="gmail_extra"><br><div class="gmail_quote">On 23 November 2015 at 05:45, Li, Xiaoyan <span dir="ltr"><<a href="mailto:xiaoyan.li@intel.com" target="_blank">xiaoyan.li@intel.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi all,<br>
More help about volume encryption is needed.<br>
<br>
About uploading encrypted volumes to image, there are three options:<br>
1. Glance only keeps non-encrypted images. So when uploading encrypted volumes to image, cinder de-crypts the data and upload.<br>
2. Glance maintain encrypted images. Cinder just upload the encrypted data to image.<br>
3. Just prevent the function to upload encrypted volumes to images.<br>
<br>
Option 1 No changes needed in Glance. But it may be not safe. As we decrypt the data, and upload it to images.<br>
Option 2 This imports encryption to Glance which needs to manage the encryption metadata.<br>
<br>
Please add more if you have other suggestions. How do you think which one is preferred.<br>
Appreciate for your help.<br>
<br>
Best wishes<br>
Lisa<br>
<br>
<br>
<br>
__________________________________________________________________________<br>
OpenStack Development Mailing List (not for usage questions)<br>
Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.openstack.org?subject:unsubscribe</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>
</blockquote></div><br><br clear="all"><br>-- <br><div class="gmail_signature"><div dir="ltr"><div>-- <br>Duncan Thomas</div></div></div>
</div>