Proyek Openstack Terkait¶
Castellan adalah sebuah perpustakaan yang menyediakan antarmuka umum sederhana untuk menyimpan, menghasilkan dan mengambil rahasia. Ini digunakan oleh sebagian besar layanan Openstack untuk manajemen rahasia. Sebagai perpustakaan, Castellan tidak menyediakan penyimpanan rahasia itu sendiri. Sebaliknya, implementasi back-end harus dilakukan.
Perhatikan bahwa Castellan tidak memberikan otentikasi apapun. Ini hanya melewati kredensial otentikasi (token Keystone, misalnya) ke back-end.
Barbican adalah layanan OpenStack yang menyediakan back-end untuk Castellan. Barbican mengharapkan dan mengotentikasi token otentikasi keystone untuk mengidentifikasi pengguna dan proyek yang mengakses atau menyimpan sebuah rahasia. Kemudian menerapkan kebijakan untuk menentukan apakah akses diizinkan. Ini juga menyediakan sejumlah fitur bermanfaat tambahan untuk memperbaiki manajemen rahasia termasuk kuota, ACL per rahasia, pelacakan konsumen rahasia dan pengelompokan rahasia dalam wadah rahasia. Octavia, misalnya, terintegrasi langsung dengan Barbican (bukan Castellan) untuk memanfaatkan beberapa fitur ini.
Barbican memiliki sejumlah plugin back-end yang dapat digunakan untuk menyimpan rahasia dengan aman di database lokal atau di HSM.
Saat ini, Barbican adalah satu-satunya back-end yang tersedia untuk Castellan. Namun ada beberapa back-end yang sedang dikembangkan, termasuk KMIP, Dogtag, Hashicorp Vault and Custodia. Bagi para pelaksana yang tidak ingin menerapkan Barbican dan memiliki kebutuhan pengelolaan kunci yang relatif sederhana, gunakan salah satu dari back-end ini bisa menjadi alternatif yang tepat. Bagaimanapun ada yang kurang seperti penegakan tenant-policy dan multi-tenancy ketika mengambil rahasia, serta fitur tambahan yang disebutkan di atas.