OpenStack**管理组件 - Barbican介绍

简介

Barbican项目是OpenStack社区的一个官方项目，是为包含云服务在内的任何环境提供**管理功能。

• github仓库：https://github.com/openstack/barbican

• 源码目录结构：http://docs.openstack.org/developer/barbican/contribute/structure.html

• 官方API文档：http://docs.openstack.org/developer/barbican/api/index.html

• 安装、配置文档：http://docs.openstack.org/developer/barbican/setup/index.html

• wiki：https://wiki.openstack.org/wiki/Barbican

功能

Barbican能够存储的“秘密”包括：

• **。包括对称算法中的**、非对称算法中的私钥（包括公钥）、数字签名的**等。其底层通过plugin设计支持不同的软、硬件（HSM）。

• 证书。通过plugin的方式提供证书的颁发、验证等功能。此功能将在Pike版本废弃。

• 二进制数据。

架构

Barbican的架构：

Barbican通过stevedore实现功能的插件式扩展。按照功能划分，Barbican有三种：

• crypto。用来加密待存储的信息。后端支持simple_crypto和HSM。simple_crypto的主**保存在barbican的配置文件中，因此安全风险极大。

• secretstore。可以生成和保存**，根据支持的插件不同，可以生成不同类型的**，包括对称/非对称。当前支持的插件有dogtag和kmip。

• certificate。后端支持snakeoil、symantec和dogtag。

目前，国内公司对于Barbican项目的参与度很少，大唐高鸿自Mitaka版本开始参与该项目。在OpenStack里，Barbican的关注度正在不断增加。

当前，已经有一些项目使用到了**管理功能，例如：Cinder、Nova、、Glance、Neutron、Octavia、Heat。

近期社区的目标是将Barbican和更多的OpenStack项目集成，以及扩展支持更多的plugin，包括Hashicorp Vault和更加安全的crypto插件。