<div dir="ltr">Fernet key rotation is easy.<div><br></div><div>1) You don't need a maintenance window</div><div>2) You can do one node at a time even with a long delay between</div><div>3) You don't need to restart anything</div><div><br></div><div>We rotate approximately weekly.</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Mar 16, 2016 at 3:44 PM, Ajay Kalambur (akalambu) <span dir="ltr"><<a href="mailto:akalambu@cisco.com" target="_blank">akalambu@cisco.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi<br>
In a multi node HA deployment for production does key rotate need a keystone process reboot or should we just run the fernet rotate on one node and distribute it without restarting any process<br>
I presume keystone can handle the rotation without a restart?<br>
<br>
I also assume this key rotation can happen without a maintenance window<br>
<br>
What do folks typically do in production and how often do you rotate keys<br>
<br>
Ajay<br>
<br>
_______________________________________________<br>
OpenStack-operators mailing list<br>
<a href="mailto:OpenStack-operators@lists.openstack.org">OpenStack-operators@lists.openstack.org</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-operators" rel="noreferrer" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-operators</a><br>
</blockquote></div><br></div>