
Oh, I should also add: I don't support standardizing on Apache, but I do support making sure that we run fine under Apache so that it is an option going forward. Mostly that just means ensuring that our WSGI interfaces conform to standards and that we don't do anything that would be incompatible with a mod_wsgi-like model.<br>

<br><div class="gmail_quote">On Thu, Mar 1, 2012 at 11:44 AM, Andy Smith <span dir="ltr"><<a href="mailto:andyster@gmail.com">andyster@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

I mentioned this to Adam prior to his posting, but since he posted here as well I suppose I have to respond here too:<div><br></div><div>-- SNIP --</div><div><br></div><div><span>Nice write-up Adam :)</span><div>

<br></div><div>As a veteran of standing up and scaling popular websites myself, I never intended for a single eventlet wsgi server to handle all the load and availability for a whole deployment, so I'm very much in line with what you've written, though I have a different take on it.</div>


<div><br></div><div>Much of the pushback I give to people about altering the database and other things under the name of scalability is because I've always intended for this keystone to be very horizontally scalable, aka we're going to run a lot of instances of them. I also always put everything that is providing a web interface behind nginx with heavy caching.</div>


<div><br></div><div>Either way, I think you should totally post your blog post, your opinion is your own and you should let people hear it :)</div></div><div><br>-- END SNIP --<br><br>More towards the specifics of the post unrelated to Apache, we're all on board with better authentication, not a single one of us likes the current design of Keystone's actual auth as it is only there for compatibility with the legacy version. As soon as we have legacy compat squared away solidly you can expect the rapid creation of:</div>


<div> - secure encrypted tokens (removes the need for backend validation)</div><div> - pki for authentication</div><div> - ssl transport</div><div> - support for signed requests</div><div> - 2-factor auth</div><div><br></div>


<div>Just so you guys don't think we're not already thinking about all these things.</div><div class="HOEnZb"><div class="h5"><div><br><div class="gmail_quote">On Thu, Mar 1, 2012 at 11:25 AM, Nathanael Burton <span dir="ltr"><<a href="mailto:nathanael.i.burton@gmail.com" target="_blank">nathanael.i.burton@gmail.com</a>></span> wrote:<br>


<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">I like the recommendation.  Particularly with regards to using PKI<br>

authentication.<br>

<div><div><br>

On Thu, Mar 1, 2012 at 2:05 PM, Adam Young <<a href="mailto:ayoung@redhat.com" target="_blank">ayoung@redhat.com</a>> wrote:<br>

> I wrote up why I think that, at least for Keystone, we should move the front<br>

> end over to Apache HTTPD.<br>

><br>

> <a href="http://adam.younglogic.com/2012/03/keystone-should-move-to-apache-httpd/" target="_blank">http://adam.younglogic.com/2012/03/keystone-should-move-to-apache-httpd/</a><br>

><br>

> I've reposted it below.<br>

><br>

><br>

><br>

> Keystone and the other Openstack components run in an <a<br>

> href="<a href="http://www.eventlet.net" target="_blank">http://www.eventlet.net</a>">Eventlet</a> based HTTP server. Eventlet and<br>

> <a href="http://<a href="http://pypi.python.org/pypi/greenlet" target="_blank">http://pypi.python.org/pypi/greenlet</a>"> Greenlet</a> (the<br>

> project Eventlet is built on) are designed to be highly performant in<br>

> networked environments due to their non-blocking nature. Everything is<br>

> handled in a single thread, and scheduling is performed in user space. The<br>

> one caveat is that not only must the code you write never block, the code<br>

> you call must not block, either. If you are going to make a call into a<br>

> third party library that performs I/O, you need to wrap that library in a<br>

> thread pool.<br>

><br>

> For Keystone, every call is going to be going through to a Database layer,<br>

> either SQL or LDAP. Which is in turn going to call into the native driver<br>

> for that Database, or the LDAP libraries. Either way, it is a native call,<br>

> and it has to be wrapped in a thread pool.<br>

><br>

> Keystone is an authentication hub. As such, it is literally the "Keystone"<br>

> of the security architecture around Openstack. In order to do anything on<br>

> any of the other services in Openstack, a use needs a token from Keystone.<br>

> But in order to authenticate against Keystone, the user needs to provide a<br>

> clear-text password. This approach may be sufficient to start development,<br>

> but it is not going to be acceptable when a company needs to prove<br>

> compliance with <a title="Sarbanes Oxley Act of 2002"<br>

> href="<a href="http://www.soxlaw.com/" target="_blank">http://www.soxlaw.com/</a>" target="_blank">Sarbanes-Oxley</a>. Or <a<br>

> title="Health Information Privacy"<br>

> href="<a href="http://www.hhs.gov/ocr/privacy/hipaa/understanding/index.html" target="_blank">http://www.hhs.gov/ocr/privacy/hipaa/understanding/index.html</a>"<br>

> target="_blank">HIPPAA</a>. For these cases, we want stronger encryption and<br>

> better authentication management. The Eventlet based web server does not<br>

> currently support forms of authentication other than Basic-Auth. Ideally,<br>

> organizations would be able to employ their Kerberos or Public Key<br>

> Infrastructure (PKI) assets to support their Openstack based authentication.<br>

><br>

> IPv6 is coming. The last block of IPv4 addresses has been allocated. For<br>

> Cloud based deployments, people are going to need large numbers of routable<br>

> IP Addresses. However, Eventlet does not currently support IPv6. Work is<br>

> happening upstream, but it has not yet been commited, and will not be<br>

> available for the Essex release of Openstack.<br>

><br>

> There is a simple solution. Keystone is a WSGI application, and has minimal<br>

> dependencies on Eventlet. Deploying Keystone in an Apache HTTPD server with<br>

> mod_wsgi running in prefork mode provides the same operating environment as<br>

> Eventlet does. As the de facto standard open source web server, it has<br>

> received a higher degree of scrutiny than most other software products.<br>

> HTTPD support for GSSAPI/Kerberos authentication, Client and Server based<br>

> certificates, and IPv6. It is well supported in all the major Linux<br>

> distributions.<br>

><br>

> What would the drawbacks be? Probably the first thing people would look to<br>

> from Eventlet is performance. I don't have the hard numbers to compare<br>

> Eventlet to Apache HTTPD, but I do know that Apache is used in enough high<br>

> volume sites that I would not be overly concerned. The traffic in an<br>

> Openstack deployment to a Keystone server is going to be about two orders of<br>

> magnitude less than any other traffic, and is highly unlikely to be the<br>

> bottleneck. Second is the fact that we would be pulling in dependencies to<br>

> Apache HTTPD, and that configuring it would be different and more difficult<br>

> than Eventlet. However, this is a fairly well trodden path. The benefits of<br>

> putting all HTTP traffic behind ports 80 and 443 overwhelm the drawbacks of<br>

> configuration.<br>

><br>

> Since Keystone has just gone through a major reworking,  I realize that<br>

> people might be reluctant to support a move like this.  However,  the effect<br>

> on other components should be minimal or none.  Apache HTTPD can be set up<br>

>  using the same ports that Keystone already uses, and thus replace an<br>

> existing Keystone install with no changes to the configuration or code to<br>

> the other services.  The changes should be limited to Keystone alone.<br>

><br>

> The problem that Eventlet solves does not map to Keystone. The amount of<br>

> work it would take to add the features Keystone really requires to Eventlet<br>

> is significant, is difficult, and is likely to be far buggier than using<br>

> well established and audited libraries. The simpler path forward is for<br>

> Keystone to move over to Apache HTTPD. It is also the path for greater<br>

> stability, security, and growth.<br>

><br>

><br>

><br>

><br>

><br>

> _______________________________________________<br>

> Mailing list: <a href="https://launchpad.net/~openstack" target="_blank">https://launchpad.net/~openstack</a><br>

> Post to     : <a href="mailto:openstack@lists.launchpad.net" target="_blank">openstack@lists.launchpad.net</a><br>

> Unsubscribe : <a href="https://launchpad.net/~openstack" target="_blank">https://launchpad.net/~openstack</a><br>

> More help   : <a href="https://help.launchpad.net/ListHelp" target="_blank">https://help.launchpad.net/ListHelp</a><br>

<br>

_______________________________________________<br>

Mailing list: <a href="https://launchpad.net/~openstack" target="_blank">https://launchpad.net/~openstack</a><br>

Post to     : <a href="mailto:openstack@lists.launchpad.net" target="_blank">openstack@lists.launchpad.net</a><br>

Unsubscribe : <a href="https://launchpad.net/~openstack" target="_blank">https://launchpad.net/~openstack</a><br>

More help   : <a href="https://help.launchpad.net/ListHelp" target="_blank">https://help.launchpad.net/ListHelp</a><br>

</div></div></blockquote></div><br></div>

</div></div></blockquote></div><br>