启用 keystonemiddleware 附带的审计中间件¶
这是来自一位客户的要求,需要启用审计中间件。
问题描述¶
目前,需要手动更改配置才能启用审计中间件。此规范用于一个配置选项,该选项可用于在 charm 中启用审计中间件。可以根据需要将其应用于适用的 OpenStack charms。
提议的变更¶
更新现有 charms 以启用此功能。
相关客户目前正在运行 bionic queens。此规范是基于该请求的基础。
备选方案¶
手动操作。
实现¶
对于提供 API 的每个 OpenStack charm,我们需要执行以下操作
添加一个配置选项以启用或禁用审计中间件。
我们需要添加需要放入 3 个文件的特定部分。
/etc/<project>/<project>.conf/etc/<project>/api-paste.ini/etc/<project>/api_audit_map.conf
测试以查看相应的文件是否已正确更改。
编写单元测试和功能测试。
可以从 https://github.com/openstack/pycadf/tree/master/etc/pycadf 找到 /etc/<project>/api_audit_map.conf 文件的模板。
有关实现细节,请参阅 https://docs.openstack.org/keystonemiddleware/latest/audit.html。
负责人¶
- 主要负责人
无
Gerrit Topic¶
使用 Gerrit topic “audit-middleware” 用于与此规范相关的所有补丁。
git-review -t audit-middleware
工作项¶
了解每个项目所需的更改,可能通过手动更改。
通用更改将在 charmhelpers 库中实现。
为这些更改在 charmhelpers 中编写测试。
对于每个项目
同步新的 charmhelpers。
添加相关的更新模板。
/etc/<project>/<project>.conf/etc/<project>/api-paste.ini/etc/<project>/api_audit_map.conf
编写 amulet 或 zaza 测试,以确保更改是正确的。
仓库¶
不需要创建新的 git 仓库。但是,为了使此实现起作用,需要修改多个 git 仓库
这些是此规范范围内的初始 charms
还需要更新以下仓库,因此请确保将类似的信息存储在一个中心位置,而不是在上述仓库中重复内容。
初始工作尝试在以下提交中完成
文档¶
它将在每个 charm 的 config.yaml 中记录。
安全性¶
启用 API 审计以符合安全要求。
测试¶
将在 charm-helpers 中添加单元测试。
需要为新选项添加功能测试,并检查配置是否已正确更改,然后禁用。
依赖项¶
没有其他依赖项。
