Barbican M 版本 ReleaseNotes和Blueprints

ReleaseNotes

新特性

新增’barbican-manage’工具，管理db和密钥的产生

已知/关键问题

不兼容老版本’PKCS#11 Cryptographic Plugin’使用的数据，升级会出错

升级提示

metadata API需要升级数据库，使用barbican-manage升级

如果使用PKCS#11 Cryptographic Plugin 驱动，升级使用python barbican/cmd/pkcs11_migrate_kek_signatures.py

弃用提示

弃用barbican-db-manage，使用barbican-manage代替

弃用pkcs11-kek-rewrap，使用barbican-manage代替

弃用pkcs11-key-generation，使用barbican-manage代替

Blueprints

主题	背景	链接	内容	级别	备注
add-barbican-manage-cmd	增加管理员命令barbican-manage，不使用RESTful API，参考keystone和nova，改善易用性和扩展性	https://blueprints.launchpad.net/barbican/+spec/add-barbican-manage-cmd	在barbican/cmd/下新建barbican_manage.py，调用db_manage.py和pkcs11_*.py里的函数；2. 增加相应的单元测试；3. setup.cfg增加barbican_manage命令脚本；4. 增加barbican_manage命令的用户手册；5. 弃用已有命令，并增加弃用警告。遵循OpenStack的弃用规则后续去掉。	Low	替换掉barbican-db-manage/pkcs11-key-generation/pkcs11-kek-rewrap/barbican-keystone-listener/barbican-retry/barbican-worker
add-user-metadata	用户需要给Barbican的Secret增加附加信息，比如物理位置、允许访问的时间等等，目前仅支持’名字’，方便后续据此采取某种动作。	https://blueprints.launchpad.net/barbican/+spec/add-user-metadata	数据库变化：secrets新增参数’metadata’,’barbican数据库增加表’secret_user_metadata’, 由’secret_id’、’key’和’value’组成，value为string，大小为255；2. 增加配额配置项’quota_secret_meta’，默认为-1；3. 新增metadata的API：Create/Update/Get/Delete;4. policy.json中增加访问控制策略。	Low	关联Client的bphttps://blueprints.launchpad.net/python-barbicanclient/+spec/add-user-metadata
clean-db-soft-deletes	Barbican数据库中所有的表都支持软删除，即记录不会从数据库中清除而只是将deleted标志位置为1，这样数据库会越来越臃肿。需要增加可配置的命令，Cron Job调用配置的参数执行清除与否的动作。	https://blueprints.launchpad.net/barbican/+spec/clean-db-soft-deletes	增加barbican-manage db clean命令的实现，包括model的clean脚本、命令的参数解析、单元测试和使用手册；2. 支持如下参数：minimum number of days to keep since soft deletion (default is 90 days)/delete zombie projects (no associated resources and default is true)/Soft delete expired secrets/Show full information about the cleanup/log levels for log (default is INFO)	Medium	项目不关联任何资源，则认为是僵尸项目
kmip-key-manager	Castellan需要直接和KMIP设备打交道，无需再通过Barbican转发。	https://blueprints.launchpad.net/castellan/+spec/kmip-key-manager	创建2种certificate类型，一个保存证书的位置，另一个保存KMIP连接相关的信息；2. 创建KMIP Key Manager类；3. castellan.conf 中增加相关配置项；4. 单元测试和功能测试；5. 使用文档。	Low	Castellan为key管理接口，可认为是Barbican的Client.代码未合入
remove-keystone-dependency	目前Castellan使用context访问Barbican，context使用auth_token，需要支持用户提供用户名和密码或者证书的方式。	https://blueprints.launchpad.net/castellan/+spec/remove-keystone-dependency	支持多种认证类型：password、token、certificate；2. 增加使用文档.	Medium