Barbican M 版本 ReleaseNotes和Blueprints

Posted Eric_Xiett

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Barbican M 版本 ReleaseNotes和Blueprints相关的知识,希望对你有一定的参考价值。

ReleaseNotes

新特性

  • 新增’barbican-manage’工具,管理db和密钥的产生

已知/关键问题

  • 不兼容老版本’PKCS#11 Cryptographic Plugin’使用的数据,升级会出错

升级提示

  • metadata API需要升级数据库,使用barbican-manage升级
  • 如果使用PKCS#11 Cryptographic Plugin 驱动,升级使用python barbican/cmd/pkcs11_migrate_kek_signatures.py

弃用提示

  • 弃用barbican-db-manage,使用barbican-manage代替
  • 弃用pkcs11-kek-rewrap,使用barbican-manage代替
  • 弃用pkcs11-key-generation,使用barbican-manage代替

Blueprints

主题背景链接内容级别备注
add-barbican-manage-cmd增加管理员命令barbican-manage,不使用RESTful API,参考keystone和nova,改善易用性和扩展性https://blueprints.launchpad.net/barbican/+spec/add-barbican-manage-cmd 在barbican/cmd/下新建barbican_manage.py,调用db_manage.py和pkcs11_*.py里的函数;2. 增加相应的单元测试;3. setup.cfg增加barbican_manage命令脚本;4. 增加barbican_manage命令的用户手册;5. 弃用已有命令,并增加弃用警告。遵循OpenStack的弃用规则后续去掉。 Low替换掉barbican-db-manage/pkcs11-key-generation/pkcs11-kek-rewrap/barbican-keystone-listener/barbican-retry/barbican-worker
add-user-metadata用户需要给Barbican的Secret增加附加信息,比如物理位置、允许访问的时间等等,目前仅支持’名字’,方便后续据此采取某种动作。https://blueprints.launchpad.net/barbican/+spec/add-user-metadata 数据库变化:secrets新增参数’metadata’,’barbican数据库增加表’secret_user_metadata’, 由’secret_id’、’key’和’value’组成,value为string,大小为255;2. 增加配额配置项’quota_secret_meta’,默认为-1;3. 新增metadata的API:Create/Update/Get/Delete;4. policy.json中增加访问控制策略。 Low关联Client的bphttps://blueprints.launchpad.net/python-barbicanclient/+spec/add-user-metadata
clean-db-soft-deletesBarbican数据库中所有的表都支持软删除,即记录不会从数据库中清除而只是将deleted标志位置为1,这样数据库会越来越臃肿。需要增加可配置的命令,Cron Job调用配置的参数执行清除与否的动作。https://blueprints.launchpad.net/barbican/+spec/clean-db-soft-deletes 增加barbican-manage db clean命令的实现,包括model的clean脚本、命令的参数解析、单元测试和使用手册;2. 支持如下参数:minimum number of days to keep since soft deletion (default is 90 days)/delete zombie projects (no associated resources and default is true)/Soft delete expired secrets/Show full information about the cleanup/log levels for log (default is INFO) Medium项目不关联任何资源,则认为是僵尸项目
kmip-key-managerCastellan需要直接和KMIP设备打交道,无需再通过Barbican转发。https://blueprints.launchpad.net/castellan/+spec/kmip-key-manager 创建2种certificate类型,一个保存证书的位置,另一个保存KMIP连接相关的信息;2. 创建KMIP Key Manager类;3. castellan.conf 中增加相关配置项;4. 单元测试和功能测试;5. 使用文档。 LowCastellan为key管理接口,可认为是Barbican的Client.代码未合入
remove-keystone-dependency目前Castellan使用context访问Barbican,context使用auth_token,需要支持用户提供用户名和密码或者证书的方式。https://blueprints.launchpad.net/castellan/+spec/remove-keystone-dependency 支持多种认证类型:password、token、certificate;2. 增加使用文档. Medium

以上是关于Barbican M 版本 ReleaseNotes和Blueprints的主要内容,如果未能解决你的问题,请参考以下文章

Barbican 简介

Barbican 访问控制

barbican的核心——密钥插件系统

Barbican dev 环境安装及工作原理

openstack barbican重要概念

pyspark 的重大进步:pyspark 3.2 版本核心细节解读