SuccessBot 说
- stevemar 1 : keystone 开放 bug 数量 < 100!
- morgan 2 : 良好的策略会议,提供了澄清了很多困惑的历史和背景
- 通过 OpenStack IRC 频道发送消息“#success <message>”告诉我们您的成功。
- 全部
FIPS 合规性
- 之前的线程 3 讨论了启用联邦信息处理标准 (FIPS)。
- 各种 OpenStack 项目会调用 md5。并非出于安全目的,只是哈希生成,但即使这样也会阻止启用 FIPS。
- 已经为最新版本的 Python 提出了一项补丁,允许用户设置这些是否用于安全目的 4 。
- 在下一个版本的 Python 中才可用,但对于当前的 RHEL 和 CentOS 版本来说已经就位。
- 我们将创建一个包装器来包装 md5,并使用一个 useforsecurity=False 参数来检查 hashlib.md5 的签名。
- 前进的步骤
- 创建包装器
- 用包装器替换 OpenStack 项目中的所有 md5 调用。
- 不幸的是,补丁 4 自 2013 年以来停止了进展。我们应该先将其合并。
- 即使这样做了,在采用它之前也需要一段时间,因为它将登陆在 Python 3.7 中。
- 完整线程
刷新和重新验证 API 兼容性指南
- 在上次 TC 会议上 5 ,一个标签正在审核中以支持 API 兼容性 6 。
- 该标签使用过时的 API 指南来评估项目 7。
- 已经发布了一篇评论来刷新这些指南 8 。
- API 兼容性是 OpenStack 互操作性的基本方面。我们不仅需要做到正确,还需要确保我们理解它。
- 完整线程
基础服务
- 在 open stack 中,所有组件都可以假定一些外部服务将不存在且不可用(例如,消息队列、数据库)。
- 架构工作组已经开始了这项工作 9 。
- 这个提案 10 是为了我们能够进行更具战略意义的基础服务讨论的先决条件。
- 审查该提案和/或加入架构工作组会议 11
- 一旦确定,技术委员会将进行最终讨论和批准。
- 完整线程
改进供应商可发现性
- 在之前的技术委员会会议上,一致认为需要改进供应商可发现性。
- 目前通过 OpenStack 基金会的市场实现这一点 12 。
- 它由社区驱动的项目调用驱动程序日志提供支持,这是一个大型 JSON 文件 13。
- 社区中的许多人不知道市场是如何运作的,并且对项目本身没有拥有权感到不满。
- 本次讨论的目标是使该过程比今天更加社区驱动。
- 建议:将驱动程序日志拆分为较小的 JSON 文件,这些文件位于每个项目内部以进行维护。
- 项目将设置如何验证此列表中的供应商。
- 目前,第三方 CI 是一种选择的验证方式 14。
- 完整线程
OpenStack PTL 提名现已开放!
- 将开放至 2017 年 1 月 29 日 23:45 UTC。
- 候选人必须提交一个文本文件 openstack/election 存储库 15
- 文件名约定为 $cyclename/$projectname/$ircname.txt。
- 要符合资格,您必须在相应的程序的项目中提交一个被接受的补丁 16 在 Neutron-Ocata 时间范围内(2016 年 4 月 11 日 00:00 UTC 至 2017 年 1 月 23 日 23:59 UTC)。
- 有关提名流程的更多信息 17
- 批准的候选人将被列出 18。
- 选民应在 Gerrit 中确认他们的电子邮件地址 19 在设置 ←联系信息 ←首选电子邮件之前,2017 年 1 月 25 日 23:59 UTC 之前。
- 完整线程
创建 stable/ocata 分支的过程
- 如前所述 20,团队可以在准备就绪时设置稳定分支。
- 发布团队将不会在此周期自动设置分支。
- 团队内的发布联络人需要告知何时准备就绪。
- PTL 或发布联络人可以通过向 openstack/releases 存储库提交补丁来请求新分支,指定要用作分支基础的标记版本。
- 项目应该分支的指南
- 使用周期里程碑发布模型的项目应在 RC1 标签请求(目标周是 R-3 周,因此使用 2 月 2 日作为截止日期)中包含对其稳定分支的请求。
- 库项目应在本周分支,或在其最终发布之后不久(使用 1 月 19 日作为截止日期)
- 我将在所有周期里程碑项目分支之后不久分支 requirements 存储库。在 requirements 存储库分支之后并且打开了 master requirements 列表之后,尚未分支的项目将使用 Pike requirements 作为 requirements master 分支前进和 stable/ocata 保持稳定进行测试。不要延迟创建 stable/ocata 分支,否则可能会导致 stable/ocata 或 master 中的 CI 作业中断。
- 使用周期跟踪发布模型的项目应在 R-0(2 月 23 日)之前分支。剩余的两个星期到跟踪截止日期应用于最后的修复,这些修复需要回移植到分支中以创建最终版本。
- 其他项目,包括使用周期中间发布和独立项目创建分支的项目,应在准备声明最终版本并开始处理与 Pike 相关的更改时请求其稳定分支。这必须在最终发布周之前完成,使用 2 月 16 日作为截止日期。
- 有关如何格式化分支规范的更多详细信息,请参阅 openstack/releases 存储库中的 README.rst 文件。
- 完整线程
为什么项目仍然试图避免 Barbican?
- 一些项目希望实现自己的密钥存储,以避免 Barbican 或避免对其产生依赖。
- Barbican 的优点
- Barbican 已经存在多年,并由几家公司部署,这些公司可能已经过安全审计。
- Barbican 中涉及的大多数技术已被证明是安全的。这已由 OpenStack 自己的安全团队分析过。
- 不需要硬件 TPM,因此没有硬件成本。
- 几个服务提供了使用 Barbican 的选项,但不是强制要求。
- Barbican 问题的反馈
- 依赖于无法保证在部署中存在的东西。
- OpenStack 特定解决方案。一些公司正在使用与 Kubernetes 和他们现有系统集成的解决方案
- Keywhiz 21 与 Kubernetes 和他们现有的系统一起工作。
- Devstack 插件只是设置 Barbican。它实际上并没有配置任何现有服务来使用它。
- 没有固定的密钥管理器用于测试。Barbican 团队拒绝维护此功能,因为它不安全。
- API 稳定性,版本 2 ←3 进行了更改,没有弃用路径或保证。
- 令牌对用户是开放式的。Keystone 和 Barbican 需要更紧密地联系。
- Castellan 提供了密钥管理的抽象,但目前只有 Barbican。
- Rackspace 最近发布了 Barbican。现在可能更容易执行 HA 部署。
- 完整线程
POST /api-wg/news
- 新指南
- 准确的状态码与向后兼容性 22
- 修复浏览器中缺少示例文件 23
- 冻结指南提案
- 添加关于状态与状态值使用的指南 24
- 澄清版本中的状态值 25
- 添加无效查询参数的指南 26
- 正在审核中
- 添加布尔名称的指南 27
- 定义分页指南 28
- 添加 API 功能发现指南 29
- 完整线程
R-4 周(1 月 23 日至 27 日)发布倒计时
- 重点
- 本周开始所有基于里程碑的项目的功能冻结。
- 在此之后不应着陆任何功能补丁。
- PTL 可以授予例外情况
- 软字符串冻结开始。
- 需求冻结开始。
- 发布任务
- 准备所有客户端库的最终发布和分支请求。
- 审查稳定分支是否有未发布的变化,并准备这些发布。
- 基于里程碑的项目应确保 $project-release gerri 组的成员资格与将完成项目发布的团队保持最新。
- 常规说明
- 重要日期
- Ocata 3 里程碑,功能和需求冻结:1 月 26 日
- Ocata RC1 目标:2 月 2 日
- Ocata 最终发布候选人截止日期:2 月 16 日
- Ocata 发布计划 30
- 完整线程
[1] – http://eavesdrop.openstack.org/irclogs/%23openstack-keystone/%23openstack-keystone.2017-01-18.log.html
[2] – http://eavesdrop.openstack.org/irclogs/%23openstack-keystone/%23openstack-keystone.2017-01-18.log.html
[3] – http://lists.openstack.org/pipermail/openstack-dev/2016-November/107035.html
[4] – http://bugs.python.org/issue9216
[5] – http://eavesdrop.openstack.org/meetings/tc/2017/tc.2017-01-17-20.00.log.html
[6] – https://review.openstack.org/#/c/418010/
[7] – https://specs.openstack.org/openstack/api-wg/guidelines/evaluating_api_changes.html
[8] – https://review.openstack.org/#/c/421846/
[9] – https://review.openstack.org/421956
[10] – https://review.openstack.org/421957
[11] – http://eavesdrop.openstack.org/#Architecture_Working_Group
[12] – https://openstack.org/marketplace/drivers/
[13] – http://git.openstack.org/cgit/openstack/driverlog/tree/etc/default_data.json
[14] – https://etherpad.openstack.org/p/driverlog-validation
[15] – http://governance.openstack.org/election/#how-to-submit-your-candidacy
[16] – http://git.openstack.org/cgit/openstack/governance/tree/reference/projects.yaml
[17] – https://governance.openstack.org/election/
[18] – https://governance.openstack.org/election/#pike-ptl-candidates
[19] – https://review.openstack.org
[20] – http://lists.openstack.org/pipermail/openstack-dev/2016-December/108923.html
[21] – https://github.com/square/keywhiz
[22] – https://review.openstack.org/#/c/422264/
[23] – https://review.openstack.org/#/c/421084/
[24] – https://review.openstack.org/#/c/411528/
[25] – https://review.openstack.org/#/c/411849/
[26] – https://review.openstack.org/417441
[27] – https://review.openstack.org/#/c/411529/
[28] – https://review.openstack.org/#/c/390973/
[29] – https://review.openstack.org/#/c/386555/
[30] – https://releases.openstack.org/ocata/schedule.html
