<div dir="ltr">Hi all,<div><br></div><div>I am looking at how Nova is integrated with Barbican and am wondering how the user workflow when booting instance from snapshot should work (including unshelving a shelved instance) when Nova is set to strictly verify Glance images' signatures.</div><div><br></div><div>Currently Nova strips by default all signature-related image metadata of original image when creating snapshot and for good reason - as the hash of the snapshot is definitely not the same as that of the image it was booted from, the signature of the original image is no longer valid for snapshot. Effectively that means that when strict image signature validation is enabled in Nova, the user can no longer simply boot from that snapshot, and even less obvious, can not unshelve instances the same way as without signature validation enabled.</div><div><br></div><div>So is it expected that user manually signs her instance snapshots or is there some automagic way to do it?</div><div>Or is it a known issue / limitation? Unfortunately I couldn't find any existing bugs or mentions in docs on that.</div><div><br></div><div>Best regards,</div><div>-- <br><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr">Dr. Pavlo Shchelokovskyy<div>Principal Software Engineer</div><div>Mirantis Inc</div><div><a href="http://www.mirantis.com" target="_blank">www.mirantis.com</a></div></div></div></div></div></div></div></div></div>