<html><head></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; color: rgb(0, 0, 0); font-size: 14px; font-family: Calibri, sans-serif;"><div><div>At this point, we use Keystone and UUID’s for our setup, but we don’t store the UUID tokens in the Database.  We use Memcache to do that.  Actually we use McRouter and Memcache to make sure any node in our control plane can validate that token. </div><div><br></div><div>—Joe</div><div><div id="MAC_OUTLOOK_SIGNATURE"><div></div></div></div></div><div><br></div><span id="OLK_SRC_BODY_SECTION"><div style="font-family:Calibri; font-size:12pt; text-align:left; color:black; BORDER-BOTTOM: medium none; BORDER-LEFT: medium none; PADDING-BOTTOM: 0in; PADDING-LEFT: 0in; PADDING-RIGHT: 0in; BORDER-TOP: #b5c4df 1pt solid; BORDER-RIGHT: medium none; PADDING-TOP: 3pt"><span style="font-weight:bold">From: </span> Ajaya Agrawal <<a href="mailto:ajku.agr@gmail.com">ajku.agr@gmail.com</a>><br><span style="font-weight:bold">Date: </span> Friday, December 11, 2015 at 2:25 AM<br><span style="font-weight:bold">To: </span> Matt Fischer <<a href="mailto:matt@mattfischer.com">matt@mattfischer.com</a>><br><span style="font-weight:bold">Cc: </span> "<a href="mailto:openstack-operators@lists.openstack.org">openstack-operators@lists.openstack.org</a>" <<a href="mailto:openstack-operators@lists.openstack.org">openstack-operators@lists.openstack.org</a>><br><span style="font-weight:bold">Subject: </span> Re: [Openstack-operators] Galera setup testing<br></div><div><br></div><div><meta http-equiv="Content-Type" content="text/html; charset=utf-8"><div><div dir="ltr">Thanks Matt. That surely is helpful. If you could share some numbers or problems you faced when you were storing UUID tokens in database, it would be awesome. In my test setup with Keystone Kilo, Fernet token creation and validation were way
 slower than UUID tokens. But UUID tokens come with a huge cost to database which is the pain point. I have never run Keystone with UUID tokens in Prod setup. So I am looking for perspective on Keystone with UUID in prod setup.
<div><br></div><div>Thanks to other people who also chimed in with advice.</div></div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature"><div dir="ltr"><div>Cheers,<br></div>
Ajaya<br></div></div></div><br><div class="gmail_quote">On Mon, Dec 7, 2015 at 8:34 PM, Matt Fischer <span dir="ltr">
<<a href="mailto:matt@mattfischer.com" target="_blank">matt@mattfischer.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><span class="">On Mon, Dec 7, 2015 at 3:54 AM, Ajaya Agrawal
<span dir="ltr"><<a href="mailto:ajku.agr@gmail.com" target="_blank">ajku.agr@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div dir="ltr">Hi everyone,
<div><br></div><div>We are deploying Openstack and planning to run multi-master Galera setup in production. My team is responsible for running a highly available Keystone. I have two questions when it comes to Galera with Keystone.</div><div><br></div><div>1. How do you test if a Galera cluster is setup properly?</div><div>2. Is there any Galera test specific to Keystone which you have found useful?</div><div><br></div></div></blockquote><div><br></div></span><div>For 1 you could say that the clustercheck script which ships with puppet-galera and is forked from
<a href="https://github.com/olafz/percona-clustercheck" target="_blank">https://github.com/olafz/percona-clustercheck</a> is a really simple check that galera is up and the cluster is sync'd. It's main goal however is to provide status to haproxy. </div><div><br></div><div>One thing you want to check is the turnaround time on operations, for example, creating a user on a node and then immediately using them on another node. We found that this is likely to sometimes (but rarely) fail. The solution is two-fold, first, don't
 store tokens in mysql. Second, designate one node as the primary in haproxy.</div><div><br></div><div>Other than that we've gotten good at reading the wsrep_ cluster status info, but to be honest, once we removed tokens from the db, we've been in way better shape.</div></div><br></div></div></blockquote></div><br></div></div></div></span></body></html>