← Back to branch summary

~1chb1n/charms/trusty/keystone/kilo-support

« back to all changes in this revision

Viewing changes to README.md

  • Committer: Edward Hope-Morley
  • Date: 2015-01-22 14:35:41 UTC
  • mfrom: (96.1.17 keystone.fix-cert-sync)
  • Revision ID: edward.hope-morley@canonical.com-20150122143541-yyhs3f39w7066wdv
[hopem,r=gnuoy]
 
Fixes ssl cert synchronisation across peers

Closes-Bug: 1317782

Show diffs side-by-side

added added

removed removed

Lines of Context:
README.md
1
 
This charm provides Keystone, the Openstack identity service.  It's target
2
 
platform is Ubuntu Precise + Openstack Essex.  This has not been tested
3
 
using Oneiric + Diablo.
4
 
 
5
 
It provides three interfaces.
6
 
 
7
 
    - identity-service:  Openstack API endpoints request an entry in the 
8
 
      Keystone service catalog + endpoint template catalog.  When a relation
 
1
Overview
 
2
========
 
3
 
 
4
This charm provides Keystone, the Openstack identity service. It's target
 
5
platform is (ideally) Ubuntu LTS + Openstack.
 
6
 
 
7
Usage
 
8
=====
 
9
 
 
10
The following interfaces are provided:
 
11
 
 
12
    - nrpe-external-master: Used to generate Nagios checks.
 
13
 
 
14
    - identity-service: Openstack API endpoints request an entry in the 
 
15
      Keystone service catalog + endpoint template catalog. When a relation
9
16
      is established, Keystone receives: service name, region, public_url,
10
 
      admin_url and internal_url.  It first checks that the requested service
11
 
      is listed as a supported service.  This list should stay updated to
12
 
      support current Openstack core services.  If the services is supported,
13
 
      a entry in the service catalog is created, an endpoint template is
14
 
      created and a admin token is generated.   The other end of the relation
15
 
      recieves the token as well as info on which ports Keystone is listening.
 
17
      admin_url and internal_url. It first checks that the requested service
 
18
      is listed as a supported service. This list should stay updated to
 
19
      support current Openstack core services. If the service is supported,
 
20
      an entry in the service catalog is created, an endpoint template is
 
21
      created and a admin token is generated. The other end of the relation
 
22
      receives the token as well as info on which ports Keystone is listening
 
23
      on.
16
24
 
17
 
    - keystone-service:  This is currently only used by Horizon/dashboard
 
25
    - keystone-service: This is currently only used by Horizon/dashboard
18
26
      as its interaction with Keystone is different from other Openstack API
19
 
      servicies.  That is, Horizon requests a Keystone role and token exists.
 
27
      services. That is, Horizon requests a Keystone role and token exists.
20
28
      During a relation, Horizon requests its configured default role and
21
29
      Keystone responds with a token and the auth + admin ports on which
22
30
      Keystone is listening.
23
31
 
24
 
    - identity-admin:  Charms use this relation to obtain the credentials
25
 
      for the admin user.  This is intended for charms that automatically
 
32
    - identity-admin: Charms use this relation to obtain the credentials
 
33
      for the admin user. This is intended for charms that automatically
26
34
      provision users, tenants, etc. or that otherwise automate using the
27
35
      Openstack cluster deployment.
28
36
 
29
 
Keystone requires a database.  By default, a local sqlite database is used.
30
 
The charm supports relations to a shared-db via mysql-shared interface.  When
 
37
    - identity-notifications: Used to broadcast messages to any services
 
38
      listening on the interface.
 
39
 
 
40
Database
 
41
--------
 
42
 
 
43
Keystone requires a database. By default, a local sqlite database is used.
 
44
The charm supports relations to a shared-db via mysql-shared interface. When
31
45
a new data store is configured, the charm ensures the minimum administrator
32
46
credentials exist (as configured via charm configuration)
33
47
 
34
 
VIP is only required if you plan on multi-unit clusterming. The VIP becomes a highly-available API endpoint.
 
48
HA/Clustering
 
49
-------------
 
50
 
 
51
VIP is only required if you plan on multi-unit clustering (requires relating
 
52
with hacluster charm). The VIP becomes a highly-available API endpoint.
 
53
 
 
54
SSL/HTTPS
 
55
---------
 
56
 
 
57
This charm also supports SSL and HTTPS endpoints. In order to ensure SSL
 
58
certificates are only created once and distributed to all units, one unit gets
 
59
elected as an ssl-cert-master. One side-effect of this is that as units are
 
60
scaled-out the currently elected leader needs to be running in order for nodes
 
61
to sync certificates. This 'feature' is to work around the lack of native
 
62
leadership election via Juju itself, a feature that is due for release some
 
63
time soon but until then we have to rely on this. Also, if a keystone unit does
 
64
go down, it must be removed from Juju i.e.
 
65
 
 
66
    juju destroy-unit keystone/<unit-num>
 
67
 
 
68
Otherwise it will be assumed that this unit may come back at some point and
 
69
therefore must be know to be in-sync with the rest before continuing.
 
70