<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><br></div><div>At last, we still have one question:</div><div>For public cloud, it is very common that multi regions are deployed. And the distance is usually very far between the regions. So the transport delay is really a problem. Fernet token requires the data must be the same. Because of the slow connection and high time delay, in our opinion, it is <span style="color:rgb(51,51,51);font-family:arial;font-size:13px">unrealistic that let the keystones from different regions to use the same keystone datacenter. Any idea about this problem? Thanks.</span></div><div><br></div><div><p class="MsoNormal" style="font-size:14px"><span lang="EN-US" style="font-size:10.5pt;color:red"> </span></p></div></div></blockquote><div><br></div><div>There's nothing in Fernet tokens that would cause an issue with the transportation delay. You could mail the Fernet keys to each region and you're still fine, why? Because key rotation means that the "next key" is already in place on every box when you rotate keys. There is a widely held misconception that all keystone nodes must instantaneously sync keys in every region or it won't work, that is simply not true. In fact the main reason we switched to Fernet was to REDUCE the load on our cross-region replication. Without a database full of tokens to deal with, there's basically nothing to replicate as joe says below. User/group/role changes for us was more of a few times a day operation rather than getting a token which is thousands of times per second.</div><div><br></div><div><br></div><div> </div></div></div></div>