
<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Apr 7, 2016 at 6:07 PM, Remo Mattei <span dir="ltr"><<a href="mailto:remo@italy1.com" target="_blank">remo@italy1.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">I did a project where we had all three of them in a sep VLAN, sep net.<br>

<br>

So to answer your question, this depends how much you want to secure, what is the requirements of your env, with access etc..<br>

here is one of the answer from OpenStack<br>

<br>

Keep in mind that public URL are just read only in most cases, where Admin URL are used to set password change roles, add roles etc..<br>

<br>

<br>

<a href="https://ask.openstack.org/en/question/9255/when-the-internal-endpoint-will-be-used/" rel="noreferrer" target="_blank">https://ask.openstack.org/en/question/9255/when-the-internal-endpoint-will-be-used/</a><br>

<br>

<br>

<br>

Remo<br>

<div><div class="h5">> On Apr 7, 2016, at 14:48, Kaustubh Kelkar <<a href="mailto:kaustubh.kelkar@casa-systems.com">kaustubh.kelkar@casa-systems.com</a>> wrote:<br>

><br>

><br>

> -----Original Message-----<br>

> From: D'ANDREA, JOE (JOE) [mailto:<a href="mailto:jdandrea@research.att.com">jdandrea@research.att.com</a>]<br>

> Sent: Thursday, April 7, 2016 4:28 PM<br>

> To: <a href="mailto:openstack@lists.openstack.org">openstack@lists.openstack.org</a><br>

> Subject: [Openstack] [keystone] publicurl vs adminurl reachability<br>

><br>

><br>

> More to the point: It's unclear to me whether adminurl endpoints are designed such that they may be restricted to private networks, or if they are expected to be as reachable as publicurl endpoints are.<br>

> [Kaustubh] I haven't tried this out, but this seems to be supported. (<a href="http://docs.openstack.org/mitaka/install-guide-ubuntu/keystone-services.html#id1" rel="noreferrer" target="_blank">http://docs.openstack.org/mitaka/install-guide-ubuntu/keystone-services.html#id1</a>), point 2:<br>

> "In a production environment, the variants might reside on separate networks that service different types of users for security reasons". It does makes sense to isolate at least the public API (read customer traffic )network from the admin and internal API endpoints.<br>

><br>

><br>

> -Kaustubh<br></div></div></blockquote><div><br></div><div>Also keep in mind there is no real differentiation between "admin" and "public" in keystone V3. The difference (public for auth only and a few other minor things) was an artifact of the V2 implementation.</div><div><br></div><div>--Morgan </div></div><br></div></div>