<div><div><p class="MsoNormal gmail_msg" style="color:rgb(49,49,49);word-spacing:1px"><span lang="EN-US" class="gmail_msg" style="font-size:10pt">Hi David:</span></p><p class="MsoNormal gmail_msg" style="color:rgb(49,49,49);word-spacing:1px"><span lang="EN-US" class="gmail_msg" style="font-size:10pt">We have not find the perfect solution to solve the fernet performance issue, we will try the different crypt strength setting with fernet in future.</span></p><p class="MsoNormal gmail_msg" style="color:rgb(49,49,49);word-spacing:1px"><span lang="EN-US" class="gmail_msg" style="font-size:10pt"> </span></p><p class="MsoNormal gmail_msg" style="color:rgb(49,49,49);word-spacing:1px"><span lang="EN-US" class="gmail_msg" style="font-size:10pt">There are multiple customers have more than 6-region cascade, how to synchronous keystone data between these region disturbed us a lot. It does not need to synchronize these data while using pki token, because the pki token including the roles information.</span></p><p class="MsoNormal gmail_msg" style="color:rgb(49,49,49);word-spacing:1px"><span lang="EN-US" class="gmail_msg" style="font-size:10pt"> </span></p><p class="MsoNormal gmail_msg" style="color:rgb(49,49,49);word-spacing:1px"><span lang="EN-US" class="gmail_msg" style="font-size:10pt">The pki token has been verified that can support such large-scale production environment, which even the uuid token has performance issue in too.</span></p><p class="MsoNormal gmail_msg" style="color:rgb(49,49,49);word-spacing:1px"><span lang="EN-US" class="gmail_msg" style="font-size:10pt"> </span></p><p class="MsoNormal gmail_msg" style="color:rgb(49,49,49);word-spacing:1px"><span lang="EN-US" class="gmail_msg" style="font-size:10pt">Through the pki token is large size, but the size also make it difficult for guessing or steal.</span></p><div class="gmail_quote"><div>David Stanek <<a href="mailto:dstanek@dstanek.com">dstanek@dstanek.com</a>>于2017年2月15日 周三下午10:45写道：<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 15-Feb 18:16, 王玺源 wrote:<br class="gmail_msg">
> Hello everyone,<br class="gmail_msg">
>   PKI/PKIZ token has been removed from keystone in Ocata. But recently our<br class="gmail_msg">
> production team did some test about PKI and Fernet token (With Keystone<br class="gmail_msg">
> Mitaka). They found that in large-scale production environment, Fernet<br class="gmail_msg">
> token's performance is not as good as PKI. Here is the test data:<br class="gmail_msg">
><br class="gmail_msg">
> <a href="https://docs.google.com/document/d/12cL9bq9EARjZw9IS3YxVmYsGfdauM25NzZcdzPE0fvY/edit?usp=sharing" rel="noreferrer" class="gmail_msg" target="_blank">https://docs.google.com/document/d/12cL9bq9EARjZw9IS3YxVmYsGfdauM25NzZcdzPE0fvY/edit?usp=sharing</a><br class="gmail_msg">
<br class="gmail_msg">
This is nice to see. Thanks.<br class="gmail_msg">
<br class="gmail_msg">
<br class="gmail_msg">
><br class="gmail_msg">
> From the data, we can see that:<br class="gmail_msg">
> 1. In large-scale concurrency test, PKI is much faster than Fernet.<br class="gmail_msg">
> 2. PKI token revoke can't immediately make the token invalid. So it has the<br class="gmail_msg">
> revoke issue.  <a href="https://wiki.openstack.org/wiki/OSSN/OSSN-0062" rel="noreferrer" class="gmail_msg" target="_blank">https://wiki.openstack.org/wiki/OSSN/OSSN-0062</a><br class="gmail_msg">
><br class="gmail_msg">
> But in our production team's opinion, the revoke issue is a small problem,<br class="gmail_msg">
> and can be avoided by some periphery ways. (More detail solution could be<br class="gmail_msg">
> explained by them in the follow email).<br class="gmail_msg">
> They think that the performance issue is the most important thing. Maybe<br class="gmail_msg">
> you can see that in some production environment, performance is the first<br class="gmail_msg">
> thing to be considered.<br class="gmail_msg">
<br class="gmail_msg">
I'd like to hear solutions to this if you have already come up with<br class="gmail_msg">
them. This issue, however, isn't the only one that led us to remove PKI<br class="gmail_msg">
tokens.<br class="gmail_msg">
<br class="gmail_msg">
><br class="gmail_msg">
> So here I'd like to ask you, especially the keystone experts:<br class="gmail_msg">
> 1. Is there any chance to bring PKI/PKIZ back to Keystone?<br class="gmail_msg">
<br class="gmail_msg">
I would guess that, at least in the immediate future, we would not want<br class="gmail_msg">
to put it back into keystone until someone can fix the issues. Also<br class="gmail_msg">
ideally running the token provider in production.<br class="gmail_msg">
<br class="gmail_msg">
<br class="gmail_msg">
> 2. Has Fernet token improved the performance during these releases? Or any<br class="gmail_msg">
> road map so that we can make sure Fernet is better than PKI in all side.<br class="gmail_msg">
> Otherwise, I don't think that remove PKI in Ocata is the right way. Or<br class="gmail_msg">
> even, we can keep the PKI token in Keystone for more one or two cycles,<br class="gmail_msg">
> then remove it once Fernet is stable enough.<br class="gmail_msg">
> 3. Since I'll be in Atalanta next week, if it is possible, I'd like to<br class="gmail_msg">
> bring this topic to Keystone PTG. can I?<br class="gmail_msg">
<br class="gmail_msg">
Sure. We have a pretty packed calendar, but I'm sure you could steal a<br class="gmail_msg">
few minutes somewhere.<br class="gmail_msg">
<br class="gmail_msg">
<br class="gmail_msg">
><br class="gmail_msg">
> It is a real production problem and I really need your feedback.<br class="gmail_msg">
><br class="gmail_msg">
<br class="gmail_msg">
Have you tried playing with the crypt_strength[1]? If the slowness is<br class="gmail_msg">
the crypto (which it was in the past) then you can tune it a little bit.<br class="gmail_msg">
Another option might be to keep the same token flow and find a faster<br class="gmail_msg">
method for hashing a token.<br class="gmail_msg">
<br class="gmail_msg">
1. <a href="http://git.openstack.org/cgit/openstack/keystone/tree/etc/keystone.conf.sample#n67" rel="noreferrer" class="gmail_msg" target="_blank">http://git.openstack.org/cgit/openstack/keystone/tree/etc/keystone.conf.sample#n67</a><br class="gmail_msg">
<br class="gmail_msg">
<br class="gmail_msg">
--<br class="gmail_msg">
david stanek<br class="gmail_msg">
web: <a href="https://dstanek.com" rel="noreferrer" class="gmail_msg" target="_blank">https://dstanek.com</a><br class="gmail_msg">
twitter: <a href="https://twitter.com/dstanek" rel="noreferrer" class="gmail_msg" target="_blank">https://twitter.com/dstanek</a><br class="gmail_msg">
<br class="gmail_msg">
__________________________________________________________________________<br class="gmail_msg">
OpenStack Development Mailing List (not for usage questions)<br class="gmail_msg">
Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" class="gmail_msg" target="_blank">OpenStack-dev-request@lists.openstack.org?subject:unsubscribe</a><br class="gmail_msg">
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" class="gmail_msg" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br class="gmail_msg">
</blockquote></div></div></div>