Barbican 魅力

提供一个魅力,用于部署 Barbican,并支持相关的 HSM 模块/设备。

问题描述

OpenStack 服务和用户通常需要一个存储敏感信息(如密码、加密密钥等)的仓库。Barbican 服务提供了一个在 HSM 之上的接口来实现这一点。

提议的变更

一个新魅力 - Barbican;该魅力需要考虑到潜在的后端硬件安全模块 (HSM) 的使用 - 可以很好地使用 cinder-backend 的方法作为从属魅力,以避免将每个可能的 HSM 的细节污染到主魅力中。

作为最低要求,新的魅力应包含以下功能

  • 可以部署为高可用性配置

  • 允许客户端和服务使用 SSL 加密进行交互

  • 通过工作负载状态显示 charm 进度

备选方案

通过 OpenStack 之外的其他方式存储的密钥。

实现

负责人

主要负责人

ajkavanagh gnuoy

Gerrit Topic

使用 Gerrit 主题“barbican”用于与此规范相关的所有补丁。

git-review -t barbican

工作项

提供 OpenStack 魅力所需的基底层和接口层

  • 提供 rabbitmq 接口层

  • 提供 mysql-shared 接口层

  • 提供 pgsql 接口层

  • 提供 keystone 接口层

  • 提供 hacluster 接口层

  • 提供 nrpe-external-master 接口层

  • 提供 OpenStack 基础层,其中包含所有未由接口层覆盖的通用 hook 代码。

  • 提供 OpenStack 基础层,支持 HA 部署

  • 提供 OpenStack 基础层,支持 SSL 通信

  • 提供 OpenStack 基础层,支持工作负载状态

提供 Barbican 魅力

  • 基于 OpenStack 基底层和可用的接口层创建骨架魅力层,以部署 Barbican。

  • 添加对升级 Barbican 的支持

  • 添加配置选项和配套支持,以启用 Barbican 使用可配置的存储后端:例如,HSM(硬件安全模块)。注意:不使用 HSM 的配置不安全,仅用于测试目的。

  • 添加配置选项和配套的通过 action-managed-upgrade 进行升级的支持。

  • 添加对以高可用性配置部署 Barbican 的支持

  • 添加对 Barbican 显示工作负载状态的支持

  • 添加对 SSL 端点的支持

  • Charm 应该具有单元测试和功能测试。

Mojo 规范部署和测试 Barbican

  • 编写 Mojo 规范,以高可用性配置部署 Mojo,并测试密钥的存储和检索。

仓库

Barbican 魅力需要一个新的 git 仓库

https://git.openstack.org/openstack/charm-barbican

文档

Barbican 魅力应包含一个 README,其中包含有关部署魅力的说明。一篇博文是可选的,但会是一个有用的补充。

安全性

鉴于 Barbican 的目的是存储和管理密钥,安全团队的审查可能合适。

测试

代码更改将由单元测试覆盖;功能测试将使用 Amulet、Bundle tester 和 Mojo 规范的组合进行。

依赖项