<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5"><br>
>> SecurityAuditing/Accounting:<br>
>> Having a separate internal API (for the OpenStack services) from the<br>
>> Public API (for humans and remote automation), allows the operator to<br>
>> apply a strict firewall in front of the public API to restrict access<br>
>> from outside the cloud. Such a device may also help deflect/absorb a<br>
>> DOS attack against the API. This firewall can be an encryption<br>
>> endpoint, so the traffic can be unencrypted and examined or logged. I<br>
>> wouldn't want the extra latency of such a firewall in front of all my<br>
>> OpenStack internal service calls.<br>
>><br>
><br>
> This one is rough. One way to do it is to simply host the firewall in<br>
> a DMZ segment, setting up your routes for that IP to go through the<br>
> firewall. This means multi-homing the real load balancer/app servers to<br>
> have an IP that the firewall can proxy to directly.<br>
><br>
> But I also have to point out that not making your internal servers pass<br>
> through this is another example of a squishy center, trading security<br>
> for performance.<br>
></div></div></blockquote><div><br></div><div>It's not just the firewall issue though - the Keystone adminurl and publicurl is important to us because it allows us to open the publicurl to customers, and know that admin actions are protected by another layer.  We don't want admin to be available to the public for any service - but we do want our customers to have API access.  With fancy url redirects and proxies we can achieve this with two sets of API servers, each with their own policy.json, but that's larger and more complex than necessary and would be better if the individual services were to reject 'admin' calls from the publicurl.</div></div></div></div>