<div dir="ltr"><div dir="ltr"><div dir="ltr"><div class="gmail_default" style="font-family:verdana,sans-serif">Thanks for these suggestions Florian, there are some interesting ideas in here. I'm a little concerned about the maintenance overhead of adding support for all of these things, and wonder if some of them could be done without explicit support in kolla and kolla-ansible. The kolla projects have been able to move quickly by providing a flexible configuration mechanism that avoids the need to maintain support for every OpenStack feature. Other thoughts inline.</div><div class="gmail_default" style="font-family:verdana,sans-serif"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">Regards,</div><div class="gmail_default" style="font-family:verdana,sans-serif">Mark</div><br><div class="gmail_quote"><div dir="ltr">On Mon, 8 Oct 2018 at 11:15, Florian Engelmann <<a href="mailto:florian.engelmann@everyware.ch">florian.engelmann@everyware.ch</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi,<br>
<br>
I would like to start a discussion about some changes and additions I <br>
would like to see in in kolla and kolla-ansible.<br>
<br>
1. Keepalived is a problem in layer3 spine leaf networks as any floating <br>
IP can only exist in one leaf (and VRRP is a problem in layer3). I would <br>
like to use consul and registrar to get rid of the "internal" floating <br>
IP and use consuls DNS service discovery to connect all services with <br>
each other.<br></blockquote><div><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">Without reading up, I'm not sure exactly how this fits together. If kolla-ansible made the API host configurable for each service rather than globally, would that be a step in the right direction?</div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
2. Using "ports" for external API (endpoint) access is a major headache <br>
if a firewall is involved. I would like to configure the HAProxy (or <br>
fabio) for the external access to use "Host:" like, eg. "Host: <br>
keystone.somedomain.tld", "Host: nova.somedomain.tld", ... with HTTPS. <br>
Any customer would just need HTTPS access and not have to open all those <br>
ports in his firewall. For some enterprise customers it is not possible <br>
to request FW changes like that.<br>
<br>
3. HAProxy is not capable to handle "read/write" split with Galera. I <br>
would like to introduce ProxySQL to be able to scale Galera.<br></blockquote><div><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">It's now possible to use an external database server with kolla-ansible, instead of deploying a mariadb/galera cluster. This could be implemented how you like, see <a href="https://docs.openstack.org/kolla-ansible/latest/reference/external-mariadb-guide.html">https://docs.openstack.org/kolla-ansible/latest/reference/external-mariadb-guide.html</a>.</div><div class="gmail_default" style="font-family:verdana,sans-serif"><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
4. HAProxy is fine but fabio integrates well with consul, statsd and <br>
could be connected to a vault cluster to manage secure certificate access.<br>
<br></blockquote><div><span class="gmail_default" style="font-family:verdana,sans-serif">As above.</span></div><div><span class="gmail_default" style="font-family:verdana,sans-serif"></span> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
5. I would like to add vault as Barbican backend.<br>
<br></blockquote><div><span class="gmail_default" style="font-family:verdana,sans-serif">Does this need explicit support in kolla and kolla-ansible, or</span> <span class="gmail_default" style="font-family:verdana,sans-serif">could it be done through configuration of barbican.conf? Are there additional packages required in the barbican container? If so, see <a href="https://docs.openstack.org/kolla/latest/admin/image-building.html#package-customisation">https://docs.openstack.org/kolla/latest/admin/image-building.html#package-customisation</a>.</span></div><div><span class="gmail_default" style="font-family:verdana,sans-serif"></span></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
6. I would like to add an option to enable tokenless authentication for <br>
all services with each other to get rid of all the openstack service <br>
passwords (security issue).<br>
<br></blockquote><div><span class="gmail_default" style="font-family:verdana,sans-serif">Again, could this be done without explicit support?</span></div><div><span class="gmail_default" style="font-family:verdana,sans-serif"></span> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
What do you think about it?<br>
<br>
All the best,<br>
Florian<br>
__________________________________________________________________________<br>
OpenStack Development Mailing List (not for usage questions)<br>
Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.openstack.org?subject:unsubscribe</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>
</blockquote></div></div></div></div>