总体架构图
各个抽象概念的关系图
抽象概念解释
Secrets:
Secrets是需要存储的密钥,可能的形式如:私钥、证书、密码等。
ACL:
除了基于角色的权限控制外,ACL可以提供基于用户访问列表的权限控制。即可以指定哪些用户对该密钥有访问权限。
Containers:
Containers是一个容器,用于存储多个secret引用。当不得不跟踪、访问上百个secret时,container非常有用。
barbican支持3种类型的container:
- Generic
- Certificate
- RSA
每种类型的container应该保存什么类型的secret,有明确的限制。
Generic Containers:
用于存储任意类型的secret。对于secret的类型和存储数量没有任何限制。
Certificate Containers:
用于存储如下类型的secret:
- certificate (如PEM格式的x509证书)
- private_key (可选)
- private_key_passphrase (optional)
- intermediates (optional) (如PEM格式的PKCS7证书链)
RSA Container:
用于存储如下类型的secret:
- RSA public key
- RSA private key
- RSA private key pass phrase
即非对称密钥的公钥、私钥、以及私钥密码。目前只支持RSA算法。用order创建非对称密钥的时候,自动会创建一个该类型的container,并把公钥和私钥放到该container
Orders:
order允许用户请求barbican自己产生secret。并且支持异步生成secret。当希望请求生成多个公私钥对时,非常有用。
order支持如下两种类型:
- symmetric keys 对称密钥
- asymmetric keys 非对称密钥
一个order生成一个对应的secret。
order可以异步生成。
Consumer:
consumer可以把一组用户或服务注册给container,表明这组用户或服务对该container感兴趣。
该设计的初衷是,当一个container被删除时,所有的consumer应该被通知该事件。
其它:
barbican除了启动api web 服务之外,还会默认启动两个消息队列的server:
service barbican-keystone-listener start/stop
service barbican-worker start/stop
启动流程:
/etc/init.d/barbican-keystone-listener -> /usr/bin/barbican-keystone-listener -> barbican.cmd.keystone_listener -> main
/etc/init.d/barbican-worker -> /usr/bin/barbican-worker -> barbican.cmd.worker -> main
作用:
barbican-keystone-listener:
监听keystone发出的事件,执行相应的操作。目前只有一个功能,即捕获keystone删除project的事件,然后删除对应project下的资源(container、secret等)
barbican-worker:
监听order操作的异步事件,执行相应的操作。如创建密钥等。事件源来自order api
最重要的放最后:
barbican的加解密插件系统