<div dir="ltr">Sorry for the slow reply, I've spent the last month camping in a tent and it was wonderful.<div><br></div><div>The privsep transition isn't complete in Nova, but it was never intended to be in Queens. We did get further than we envisaged and its doable to finish off in Rocky.</div><div><br></div><div>That said, I feel like we have a nice established pattern for what we think works now, and the changes are largely mechanical -- the holdups tend to be when you encounter some weird history in the codebase that needs to be unravelled along the way.</div><div><br></div><div>That said, I don't think we're proposing to remove rootwrap entirely, it would still be a supported mechanism for launching the privsep helpers.</div><div><br></div><div>Michael</div><div><br></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Jan 12, 2018 at 1:20 AM, Thierry Carrez <span dir="ltr"><<a href="mailto:thierry@openstack.org" target="_blank">thierry@openstack.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Emilien Macchi wrote:<br>
> [...]<br>
> Thierry mentioned privsep migration (done in Nova and Zun). (action,<br>
> ping mikal about it).<br>
<br>
It's not "done" in Nova: Mikal planned to migrate all of nova-compute<br>
(arguably the largest service using rootwrap) to privsep during Queens,<br>
but AFAICT it's still work in progress.<br>
<br>
Other projects like cinder and neutron are using it.<br>
<br>
If support in Nova is almost there, it would make a great Queens goal to<br>
get rid of the last rootwrap leftovers and deprecate it.<br>
<br>
Mikal: could you give us a quick update of where you are ?<br>
Anyone interested in championing that as a goal?<br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
Thierry Carrez (ttx)<br>
</font></span></blockquote></div><br></div>