首页 » OpenStack系统架构设计实战 » OpenStack系统架构设计实战全文在线阅读

《OpenStack系统架构设计实战》12.4.4 本节小结

关灯直达底部

当前,Barbican对于一个租户能够存储的密钥数量没有上限限制。对于以下场景,会导致资源过度膨胀,影响Barbican服务的正常功能:

1)一个客户对于一个项目设定数以千计的密钥管理请求,会占用Barbican大量服务器存储空间,并极大地消耗Barbican服务器处理能力。

2)一个恶意客户脚本试图创建一个generic类型的密钥容器,而不与任何密钥关联,那么Barbican数据库会被迅速写满。

3)如果一个用户创建了大量项目,进而为每个项目都创建了大量Barbican资源,势必影响其他用户。

所以,Barbican需要像Nova、Cinder服务一样,增强限额机制,优化资源利用。

此外,Barbican在安全性方面也有待完善,包括:

1)允许管理员添加认证证书。

2)对于不信任Barbican的用户,提供从后端存储直接获取传输密钥的能力。

3)当前ACL列表仅允许添加用户ID对指定密文的访问权限,未来也应允许用户组ID可以对特定密文设定访问权限。