<div dir="ltr"><div class="gmail_quote"><div dir="ltr">On Tue, May 31, 2016 at 8:41 AM David Stanek <<a href="mailto:dstanek@dstanek.com">dstanek@dstanek.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Fri, May 27, 2016 at 12:08 PM, Ryan Hallisey <<a href="mailto:rhallise@redhat.com" target="_blank">rhallise@redhat.com</a>> wrote:<br>
<br>
Theses changes do not all happen at the same times for an OpenStack<br>
installation.<br>
<br>
>     - Create the service's users and add a password into the databse<br>
<br>
Should only happen once during installation.<br>
<br>
>     - Sync the service with the database<br>
<br>
Should happen during installation and for every upgrade.<br>
<br>
>     - Start the service<br>
><br>
> I was wondering if for some services they could be aware of whether or not they need<br>
> to sync with the database at startup.  Or maybe the service runs a db_sync every time<br>
> is starts?  I figured I would start a thread about this because Keystone has some<br>
> flexibility when running N+1 in a cluster of N. If Keystone could have that<br>
> that ability maybe Keystone could db_sync each time it starts without harming the<br>
> cluster?<br>
<br>
This isn't something I would want to see for a few reasons. The most<br>
important one is that I think the decision to run db_sync needs to be<br>
explicit. An operator should run it when they are ready (maybe they<br>
need to shut something down, ensure up-to-date backups, etc.).<br></blockquote><div><br></div><div>+1<br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
Another issue is database modification permissions. The user running<br>
the application, as well as the DB user the application uses,<br>
shouldn't have access to DML for security reasons. Little Bobby<br>
Tables' mom found this out the hard way[1].<br></blockquote><div><br></div><div>+2<br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
1. <a href="https://xkcd.com/327/" rel="noreferrer" target="_blank">https://xkcd.com/327/</a><br>
<br>
--<br>
David<br>
blog: <a href="http://www.traceback.org" rel="noreferrer" target="_blank">http://www.traceback.org</a><br>
twitter: <a href="http://twitter.com/dstanek" rel="noreferrer" target="_blank">http://twitter.com/dstanek</a><br>
www: <a href="http://dstanek.com" rel="noreferrer" target="_blank">http://dstanek.com</a><br>
<br>
__________________________________________________________________________<br>
OpenStack Development Mailing List (not for usage questions)<br>
Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.openstack.org?subject:unsubscribe</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>
</blockquote></div></div><div dir="ltr">-- <br></div><div data-smartmail="gmail_signature"><div dir="ltr">-Dolph</div></div>