<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta name="Generator" content="Microsoft Word 12 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:SimSun;
        panose-1:2 1 6 0 3 1 1 1 1 1;}
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
@font-face
        {font-family:"\@SimSun";
        panose-1:2 1 6 0 3 1 1 1 1 1;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p.MsoAcetate, li.MsoAcetate, div.MsoAcetate
        {mso-style-priority:99;
        mso-style-link:"Balloon Text Char";
        margin:0cm;
        margin-bottom:.0001pt;
        font-size:8.0pt;
        font-family:"Tahoma","sans-serif";}
span.BalloonTextChar
        {mso-style-name:"Balloon Text Char";
        mso-style-priority:99;
        mso-style-link:"Balloon Text";
        font-family:"Tahoma","sans-serif";}
span.EmailStyle19
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:72.0pt 72.0pt 72.0pt 72.0pt;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-CA" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Thanks Adrian,<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">I think the Keystone approach will work. For others, please speak up if it doesn’t work for you.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Best regards,<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Hongbin<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<div>
<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm">
<p class="MsoNormal"><b><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Adrian Otto [mailto:adrian.otto@rackspace.com]
<br>
<b>Sent:</b> March-17-16 9:28 PM<br>
<b>To:</b> OpenStack Development Mailing List (not for usage questions)<br>
<b>Subject:</b> Re: [openstack-dev] [magnum] High Availability<o:p></o:p></span></p>
</div>
</div>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Hongbin, <o:p></o:p></p>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">I tweaked the blueprint in accordance with this approach, and approved it for Newton:
<o:p></o:p></p>
<div>
<p class="MsoNormal"><a href="https://blueprints.launchpad.net/magnum/+spec/barbican-alternative-store">https://blueprints.launchpad.net/magnum/+spec/barbican-alternative-store</a><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">I think this is something we can all agree on as a middle ground, If not, I’m open to revisiting the discussion.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">Thanks,<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">Adrian<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
<div>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<div>
<p class="MsoNormal">On Mar 17, 2016, at 6:13 PM, Adrian Otto <<a href="mailto:adrian.otto@rackspace.com">adrian.otto@rackspace.com</a>> wrote:<o:p></o:p></p>
</div>
<p class="MsoNormal"><o:p> </o:p></p>
<div>
<p class="MsoNormal">Hongbin,<br>
<br>
One alternative we could discuss as an option for operators that have a good reason not to use Barbican, is to use Keystone.<br>
<br>
Keystone credentials store: <a href="http://specs.openstack.org/openstack/keystone-specs/api/v3/identity-api-v3.html#credentials-v3-credentials">
http://specs.openstack.org/openstack/keystone-specs/api/v3/identity-api-v3.html#credentials-v3-credentials</a><br>
<br>
The contents are stored in plain text in the Keystone DB, so we would want to generate an encryption key per bay, encrypt the certificate and store it in keystone. We would then use the same key to decrypt it upon reading the key back. This might be an acceptable
 middle ground for clouds that will not or can not run Barbican. This should work for any OpenStack cloud since Grizzly. The total amount of code in Magnum would be small, as the API already exists. We would need a library function to encrypt and decrypt the
 data, and ideally a way to select different encryption algorithms in case one is judged weak at some point in the future, justifying the use of an alternate.<br>
<br>
Adrian<br>
<br>
<br>
<o:p></o:p></p>
<p class="MsoNormal">On Mar 17, 2016, at 4:55 PM, Adrian Otto <<a href="mailto:adrian.otto@rackspace.com">adrian.otto@rackspace.com</a>> wrote:<br>
<br>
Hongbin,<br>
<br>
<br>
<o:p></o:p></p>
<p class="MsoNormal">On Mar 17, 2016, at 2:25 PM, Hongbin Lu <<a href="mailto:hongbin.lu@huawei.com">hongbin.lu@huawei.com</a>> wrote:<br>
<br>
Adrian,<br>
<br>
I think we need a boarder set of inputs in this matter, so I moved the discussion from whiteboard back to here. Please check my replies inline.<br>
<br>
<br>
<o:p></o:p></p>
<p class="MsoNormal">I would like to get a clear problem statement written for this.<br>
As I see it, the problem is that there is no safe place to put certificates in clouds that do not run Barbican.<br>
It seems the solution is to make it easy to add Barbican such that it's included in the setup for Magnum.<o:p></o:p></p>
<p class="MsoNormal">No, the solution is to explore an non-Barbican solution to store certificates securely.<o:p></o:p></p>
<p class="MsoNormal"><br>
I am seeking more clarity about why a non-Barbican solution is desired. Why is there resistance to adopting both Magnum and Barbican together? I think the answer is that people think they can make Magnum work with really old clouds that were set up before Barbican
 was introduced. That expectation is simply not reasonable. If there were a way to easily add Barbican to older clouds, perhaps this reluctance would melt away.<br>
<br>
<br>
<o:p></o:p></p>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<p class="MsoNormal">Magnum should not be in the business of credential storage when there is an existing service focused on that need.<br>
<br>
Is there an issue with running Barbican on older clouds?<br>
Anyone can choose to use the builtin option with Magnum if hey don't have Barbican.<br>
A known limitation of that approach is that certificates are not replicated.<o:p></o:p></p>
</blockquote>
<p class="MsoNormal">I guess the *builtin* option you referred is simply placing the certificates to local file system. A few of us had concerns on this approach (In particular, Tom Cammann has gave -2 on the review [1]) because it cannot scale beyond a single
 conductor. Finally, we made a compromise to land this option and use it for testing/debugging only. In other words, this option is not for production. As a result, Barbican becomes the only option for production which is the root of the problem. It basically
 forces everyone to install Barbican in order to use Magnum.<br>
<br>
[1] <a href="https://review.openstack.org/#/c/212395/">https://review.openstack.org/#/c/212395/</a>
<br>
<br>
<br>
<o:p></o:p></p>
<p class="MsoNormal">It's probably a bad idea to replicate them.<br>
That's what Barbican is for. --adrian_otto<o:p></o:p></p>
<p class="MsoNormal">Frankly, I am surprised that you disagreed here. Back to July 2015, we all agreed to have two phases of implementation and the statement was made by you [2].<br>
<br>
================================================================<br>
#agreed Magnum will use Barbican for an initial implementation for certificate generation and secure storage/retrieval.  We will commit to a second phase of development to eliminating the hard requirement on Barbican with an alternate implementation that implements
 the functional equivalent implemented in Magnum, which may depend on libraries, but not Barbican.<br>
================================================================<br>
<br>
[2] <a href="http://lists.openstack.org/pipermail/openstack-dev/2015-July/069130.html">
http://lists.openstack.org/pipermail/openstack-dev/2015-July/069130.html</a><o:p></o:p></p>
<p class="MsoNormal"><br>
The context there is important. Barbican was considered for two purposes: (1) CA signing capability, and (2) certificate storage. My willingness to implement an alternative was based on our need to get a certificate generation and signing solution that actually
 worked, as Barbican did not work for that at the time. I have always viewed Barbican as a suitable solution for certificate storage, as that was what it was first designed for. Since then, we have implemented certificate generation and signing logic within
 a library that does not depend on Barbican, and we can use that safely in production use cases. What we don’t have built in is what Barbican is best at, secure storage for our certificates that will allow multi-conductor operation.<br>
<br>
I am opposed to the idea that Magnum should re-implement Barbican for certificate storage just because operators are reluctant to adopt it. If we need to ship a Barbican instance along with each Magnum control plane, so be it, but I don’t see the value in re-inventing
 the wheel. I promised the OpenStack community that we were out to integrate with and enhance OpenStack not to replace it.<br>
<br>
Now, with all that said, I do recognize that not all clouds are motivated to use all available security best practices. They may be operating in environments that they believe are already secure (because of a secure perimeter), and that it’s okay to run fundamentally
 insecure software within those environments. As misguided as this viewpoint may be, it’s common. My belief is that it’s best to offer the best practice by default, and only allow insecure operation when someone deliberately turns of fundamental security features.<br>
<br>
With all this said, I also care about Magnum adoption as much as all of us, so I’d like us to think creatively about how to strike the right balance between re-implementing existing technology, and making that technology easily accessible.<br>
<br>
Thanks,<br>
<br>
Adrian<br>
<br>
<br>
<o:p></o:p></p>
<p class="MsoNormal"><br>
Best regards,<br>
Hongbin<br>
<br>
-----Original Message-----<br>
From: Adrian Otto [<a href="mailto:adrian.otto@rackspace.com">mailto:adrian.otto@rackspace.com</a>]
<br>
Sent: March-17-16 4:32 PM<br>
To: OpenStack Development Mailing List (not for usage questions)<br>
Subject: Re: [openstack-dev] [magnum] High Availability<br>
<br>
I have trouble understanding that blueprint. I will put some remarks on the whiteboard. Duplicating Barbican sounds like a mistake to me.<br>
<br>
--<br>
Adrian<br>
<br>
<br>
<o:p></o:p></p>
<p class="MsoNormal">On Mar 17, 2016, at 12:01 PM, Hongbin Lu <<a href="mailto:hongbin.lu@huawei.com">hongbin.lu@huawei.com</a>> wrote:<br>
<br>
The problem of missing Barbican alternative implementation has been raised several times by different people. IMO, this is a very serious issue that will hurt Magnum adoption. I created a blueprint for that [1] and set the PTL as approver. It will be picked
 up by a contributor once it is approved.<br>
<br>
[1] <br>
<a href="https://blueprints.launchpad.net/magnum/+spec/barbican-alternative-sto">https://blueprints.launchpad.net/magnum/+spec/barbican-alternative-sto</a><br>
re<br>
<br>
Best regards,<br>
Hongbin<br>
<br>
-----Original Message-----<br>
From: Ricardo Rocha [<a href="mailto:rocha.porto@gmail.com">mailto:rocha.porto@gmail.com</a>]<br>
Sent: March-17-16 2:39 PM<br>
To: OpenStack Development Mailing List (not for usage questions)<br>
Subject: Re: [openstack-dev] [magnum] High Availability<br>
<br>
Hi.<br>
<br>
We're on the way, the API is using haproxy load balancing in the same way all openstack services do here - this part seems to work fine.<br>
<br>
For the conductor we're stopped due to bay certificates - we don't currently have barbican so local was the only option. To get them accessible on all nodes we're considering two options:<br>
- store bay certs in a shared filesystem, meaning a new set of <br>
credentials in the boxes (and a process to renew fs tokens)<br>
- deploy barbican (some bits of puppet missing we're sorting out)<br>
<br>
More news next week.<br>
<br>
Cheers,<br>
Ricardo<br>
<br>
<br>
<o:p></o:p></p>
<p class="MsoNormal">On Thu, Mar 17, 2016 at 6:46 PM, Daneyon Hansen (danehans) <<a href="mailto:danehans@cisco.com">danehans@cisco.com</a>> wrote:<br>
All,<br>
<br>
Does anyone have experience deploying Magnum in a highly-available fashion?<br>
If so, I'm interested in learning from your experience. My biggest <br>
unknown is the Conductor service. Any insight you can provide is <br>
greatly appreciated.<br>
<br>
Regards,<br>
Daneyon Hansen<br>
<br>
_____________________________________________________________________<br>
_ ____ OpenStack Development Mailing List (not for usage questions)<br>
Unsubscribe: <br>
<a href="mailto:OpenStack-dev-request@lists.openstack.org?subject:unsubscribe">OpenStack-dev-request@lists.openstack.org?subject:unsubscribe</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><o:p></o:p></p>
<p class="MsoNormal"><br>
______________________________________________________________________<br>
____ OpenStack Development Mailing List (not for usage questions)<br>
Unsubscribe: <br>
<a href="mailto:OpenStack-dev-request@lists.openstack.org?subject:unsubscribe">OpenStack-dev-request@lists.openstack.org?subject:unsubscribe</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>
______________________________________________________________________<br>
____ OpenStack Development Mailing List (not for usage questions)<br>
Unsubscribe: <br>
<a href="mailto:OpenStack-dev-request@lists.openstack.org?subject:unsubscribe">OpenStack-dev-request@lists.openstack.org?subject:unsubscribe</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><o:p></o:p></p>
<p class="MsoNormal"><br>
__________________________________________________________________________<br>
OpenStack Development Mailing List (not for usage questions)<br>
Unsubscribe: <a href="mailto:OpenStack-dev-request@lists.openstack.org">OpenStack-dev-request@lists.openstack.org</a>?subject:unsubscribe<br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>
<br>
__________________________________________________________________________<br>
OpenStack Development Mailing List (not for usage questions)<br>
Unsubscribe: <a href="mailto:OpenStack-dev-request@lists.openstack.org?subject:unsubscribe">
OpenStack-dev-request@lists.openstack.org?subject:unsubscribe</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><o:p></o:p></p>
<p class="MsoNormal"><br>
__________________________________________________________________________<br>
OpenStack Development Mailing List (not for usage questions)<br>
Unsubscribe: <a href="mailto:OpenStack-dev-request@lists.openstack.org">OpenStack-dev-request@lists.openstack.org</a>?subject:unsubscribe<br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><o:p></o:p></p>
<p class="MsoNormal"><br>
__________________________________________________________________________<br>
OpenStack Development Mailing List (not for usage questions)<br>
Unsubscribe: <a href="mailto:OpenStack-dev-request@lists.openstack.org">OpenStack-dev-request@lists.openstack.org</a>?subject:unsubscribe<br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><o:p></o:p></p>
</div>
</blockquote>
</div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
</div>
</div>
</body>
</html>