OpenStack密钥管理组件

..
声明：
本博客欢迎转发，但请保留原作者信息!
博客地址：http://blog.csdn.net/liujiong63
新浪微博：@Jeremy____Liu
内容系本人学习、研究和总结，如有雷同，实属荣幸！

---

简介

Barbican项目是OpenStack社区的一个官方项目，是为包含云服务在内的任何环境提供密钥管理功能。

• github仓库：https://github.com/openstack/barbican

• 源码目录结构：http://docs.openstack.org/developer/barbican/contribute/structure.html

• 官方API文档：http://docs.openstack.org/developer/barbican/api/index.html

• 安装、配置文档：http://docs.openstack.org/developer/barbican/setup/index.html

• wiki：https://wiki.openstack.org/wiki/Barbican

功能

Barbican能够存储的“秘密”包括：

• 密钥。包括对称算法中的密钥、非对称算法中的私钥（包括公钥）、数字签名的密钥等。其底层通过plugin设计支持不同的软、硬件（HSM）。

• 证书。通过plugin的方式提供证书的颁发、验证等功能。此功能将在Pike版本废弃。

• 二进制数据。

架构

Barbican的架构：

Barbican通过stevedore实现功能的插件式扩展。按照功能划分，Barbican有三种：

• crypto。用来加密待存储的信息。后端支持simple_crypto和HSM。simple_crypto的主密钥保存在barbican的配置文件中，因此安全风险极大。

• secretstore。可以生成和保存密钥，根据支持的插件不同，可以生成不同类型的密钥，包括对称/非对称。当前支持的插件有dogtag和kmip。

• certificate。后端支持snakeoil、symantec和dogtag。

目前，国内公司对于Barbican项目的参与度很少，大唐高鸿自Mitaka版本开始参与该项目。在OpenStack里，Barbican的关注度正在不断增加。

当前，已经有一些项目使用到了密钥管理功能，例如：Cinder、Nova、、Glance、Neutron、Octavia、Heat。

近期社区的目标是将Barbican和更多的OpenStack项目集成，以及扩展支持更多的plugin，包括Hashicorp Vault和更加安全的crypto插件。