Barbican M 版本 ReleaseNotes和Blueprints
Posted Eric_Xiett
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Barbican M 版本 ReleaseNotes和Blueprints相关的知识,希望对你有一定的参考价值。
ReleaseNotes
新特性
- 新增’barbican-manage’工具,管理db和密钥的产生
已知/关键问题
- 不兼容老版本’PKCS#11 Cryptographic Plugin’使用的数据,升级会出错
升级提示
- metadata API需要升级数据库,使用barbican-manage升级
- 如果使用PKCS#11 Cryptographic Plugin 驱动,升级使用python barbican/cmd/pkcs11_migrate_kek_signatures.py
弃用提示
- 弃用barbican-db-manage,使用barbican-manage代替
- 弃用pkcs11-kek-rewrap,使用barbican-manage代替
- 弃用pkcs11-key-generation,使用barbican-manage代替
Blueprints
主题 | 背景 | 链接 | 内容 | 级别 | 备注 |
---|---|---|---|---|---|
add-barbican-manage-cmd | 增加管理员命令barbican-manage,不使用RESTful API,参考keystone和nova,改善易用性和扩展性 | https://blueprints.launchpad.net/barbican/+spec/add-barbican-manage-cmd | 在barbican/cmd/下新建barbican_manage.py,调用db_manage.py和pkcs11_*.py里的函数;2. 增加相应的单元测试;3. setup.cfg增加barbican_manage命令脚本;4. 增加barbican_manage命令的用户手册;5. 弃用已有命令,并增加弃用警告。遵循OpenStack的弃用规则后续去掉。 | Low | 替换掉barbican-db-manage/pkcs11-key-generation/pkcs11-kek-rewrap/barbican-keystone-listener/barbican-retry/barbican-worker |
add-user-metadata | 用户需要给Barbican的Secret增加附加信息,比如物理位置、允许访问的时间等等,目前仅支持’名字’,方便后续据此采取某种动作。 | https://blueprints.launchpad.net/barbican/+spec/add-user-metadata | 数据库变化:secrets新增参数’metadata’,’barbican数据库增加表’secret_user_metadata’, 由’secret_id’、’key’和’value’组成,value为string,大小为255;2. 增加配额配置项’quota_secret_meta’,默认为-1;3. 新增metadata的API:Create/Update/Get/Delete;4. policy.json中增加访问控制策略。 | Low | 关联Client的bphttps://blueprints.launchpad.net/python-barbicanclient/+spec/add-user-metadata |
clean-db-soft-deletes | Barbican数据库中所有的表都支持软删除,即记录不会从数据库中清除而只是将deleted标志位置为1,这样数据库会越来越臃肿。需要增加可配置的命令,Cron Job调用配置的参数执行清除与否的动作。 | https://blueprints.launchpad.net/barbican/+spec/clean-db-soft-deletes | 增加barbican-manage db clean命令的实现,包括model的clean脚本、命令的参数解析、单元测试和使用手册;2. 支持如下参数:minimum number of days to keep since soft deletion (default is 90 days)/delete zombie projects (no associated resources and default is true)/Soft delete expired secrets/Show full information about the cleanup/log levels for log (default is INFO) | Medium | 项目不关联任何资源,则认为是僵尸项目 |
kmip-key-manager | Castellan需要直接和KMIP设备打交道,无需再通过Barbican转发。 | https://blueprints.launchpad.net/castellan/+spec/kmip-key-manager | 创建2种certificate类型,一个保存证书的位置,另一个保存KMIP连接相关的信息;2. 创建KMIP Key Manager类;3. castellan.conf 中增加相关配置项;4. 单元测试和功能测试;5. 使用文档。 | Low | Castellan为key管理接口,可认为是Barbican的Client.代码未合入 |
remove-keystone-dependency | 目前Castellan使用context访问Barbican,context使用auth_token,需要支持用户提供用户名和密码或者证书的方式。 | https://blueprints.launchpad.net/castellan/+spec/remove-keystone-dependency | 支持多种认证类型:password、token、certificate;2. 增加使用文档. | Medium |
以上是关于Barbican M 版本 ReleaseNotes和Blueprints的主要内容,如果未能解决你的问题,请参考以下文章