<!DOCTYPE html>
<html>
<head>
<title></title>
</head>
<body><div> </div>
<div>On Mon, Jun 6, 2016, at 05:31 PM, Michael Still wrote:<br></div>
<blockquote type="cite"><div dir="ltr"><div><div defang_data-gmailquote="yes"><div>On Tue, Jun 7, 2016 at 7:41 AM, Clif Houck <span dir="ltr"><<a href="mailto:me@clifhouck.com">me@clifhouck.com</a>></span> wrote:<br></div>
<blockquote style="margin-top:0px;margin-right:0px;margin-bottom:0px;margin-left:0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204, 204, 204);padding-left:1ex;" defang_data-gmailquote="yes"><div>Hello all,<br></div>
<div> </div>
<div> At Rackspace we're running into an interesting problem: Consider a user<br></div>
<div> who boots an instance in Nova with an image which only supports SSH<br></div>
<div> public-key authentication, but the user doesn't provide a public key in<br></div>
<div> the boot request. As far as I understand it, today Nova will happily<br></div>
<div> boot that image and it may take the user some time to realize their<br></div>
<div> mistake when they can't login to the instance.<br></div>
</blockquote><div> </div>
<div>What about images where the authentication information is inside the image? For example, there's just a standard account baked in that everyone knows about? In that case Nova doesn't need to inject anything into the instance, and therefore the metadata doesn't need to supply anything.<br></div>
</div>
</div>
</div>
</blockquote><div> </div>
<div>We have an element in diskimage-builder[1] which allows a user to pass a kernel boot param to inject an ssh key if needed due to a reason like this. Obviously, this wouldn't 'just work' in any normal cloud deploy since the kernel boot params are baked in to the image itself (this is currently useful to ironic users who boot ramdisks) but maybe the pattern is helpful: Check something once at boot time via init script and that's it. The downside being that a user has to reboot the image to inject the key, but IMO its a huge decrease in complexity (over something like file injection) for something a user who just booted a new image should be OK with.<br></div>
<div> </div>
<div>Cheers,<br></div>
<div>Greg</div>
</body>
</html>