<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Wed, May 25, 2016 at 3:28 AM, Dan Smith <span dir="ltr"><<a href="mailto:dms@danplanet.com" target="_blank">dms@danplanet.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">> It was my impression we were trying to prevent bitrot, not defend<br>
> against an attacker that has gained control over the compute node.<br>
<br>
</span>I think we've established that addressing bitrot at the nova layer is<br>
(far) out of scope and not something we want or need to do in nova.<br></blockquote><div><br></div><div>Hi, guy from awkward timezone here.</div><div><br></div><div>I wrote this code, in approximately the diablo timeline. So, its been around for a long time (before pluggable instance storage backends for example).</div><div><br></div><div>Originally I wanted to just write the cache cleaner, because that was the bit I really needed in my deployment. The image verification thing was added at the request of the PTL at the time, presumably for good reasons I can't recall any more.</div><div><br></div><div>That said, I think its time has passed. It cases a lot of disk IO, especially if you imagine that we're trying to do a checksum on a file that might be 100gb. If people really care about this sort of thing, I think an optional boot time verification per instance would be a reasonable path to explore.</div><div><br></div><div>So, I vote for removing image verification (but not image cache cleaning).</div><div><br></div><div>Michael</div><div> </div></div>-- <br><div class="gmail_signature">Rackspace Australia</div>
</div></div>