<div dir="ltr">Hi Michael,<div>Thanks for that, it is right that it is supposed to be Neutron's responsibility. Moreover, I just found out that I can actually use Neutron CLI for the update too - I just have to specify "--default-tls-container_ref" option with the new container (it looks kind of weird but it didn't complaint), and it makes the magic.</div><div><br></div><div>I really appreciate your help, thank you!</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Apr 4, 2017 at 3:10 PM, Michael Johnson <span dir="ltr"><<a href="mailto:johnsomor@gmail.com" target="_blank">johnsomor@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-US" link="#0563C1" vlink="#954F72"><div class="m_-3669861533618669924WordSection1"><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">Hi Andrey,<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">As we discussed on IRC, the listeners in LBaaS v2 allow you to update the barbican container IDs.  This will start the certificate update process on the load balancers with the new content from barbican.<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">The neutron client, as you noted, does not appear to have this capability, but the API supports this as the primary means to update certificate content for LBaaS.  This will be included in the octavia OpenStack client.<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">Michael<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><u></u> <u></u></span></p><p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> Andrey Grebennikov [mailto:<a href="mailto:agrebennikov@mirantis.com" target="_blank">agrebennikov@mirantis.<wbr>com</a>] <br><b>Sent:</b> Monday, April 3, 2017 12:14 PM<br><b>To:</b> OpenStack Development Mailing List (not for usage questions) <<a href="mailto:openstack-dev@lists.openstack.org" target="_blank">openstack-dev@lists.<wbr>openstack.org</a>><br><b>Subject:</b> [openstack-dev] [barbican] How to update cert in the secret<u></u><u></u></span></p><div><div class="h5"><p class="MsoNormal"><u></u> <u></u></p><div><div><p class="MsoNormal">Hey Barbican folks, I have a question regarding the functionality of the secrets containers please.<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">If I got my secret created is there a way to update it down the road with another cert?<u></u><u></u></p></div><div><p class="MsoNormal">The usecase is pretty common - using barbican with neutron lbaas.<u></u><u></u></p></div><div><p class="MsoNormal">When the load balance from the lbaas backend gets the cert from barbican there is no way to update the neutron load balancer with the new secret seems so.<u></u><u></u></p></div><div><p class="MsoNormal">The only way to update the cert within the balancer is to update the barbican secret and trigger the balancer to re-request the cert (while adding the pool member for example).<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Any help is greatly appreciated!<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><p class="MsoNormal">-- <u></u><u></u></p><div><div><div><p class="MsoNormal">Andrey Grebennikov<u></u><u></u></p></div></div></div></div></div></div></div></div><br>______________________________<wbr>______________________________<wbr>______________<br>
OpenStack Development Mailing List (not for usage questions)<br>
Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.<wbr>openstack.org?subject:<wbr>unsubscribe</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/<wbr>cgi-bin/mailman/listinfo/<wbr>openstack-dev</a><br>
<br></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr">Andrey Grebennikov<div>Principal Deployment Engineer</div><div>Mirantis Inc, Austin TX</div></div></div></div></div>
</div>