<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Oct 10, 2014 at 1:31 AM, Gavin Panella <span dir="ltr"><<a href="mailto:gavin.panella@canonical.com" target="_blank">gavin.panella@canonical.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 10 October 2014 00:18, Andres Rodriguez <...> wrote:<br>
...<br>
> On Fri, Oct 10, 2014 at 1:13 AM, Gavin Panella <...> wrote:<br>
...<br>
<span class="">>> There are some rough edges:<br>
>><br>
>> - When deleting a cluster, it is not disconnected from the region.<br>
>>   This is not a new bug, and it's not critical.<br>
><br>
><br>
> We need to fix this.<br>
<br>
</span>If you remove the secret on the cluster's machine, restart maas-cluster,<br>
then delete the cluster in the UI, it'll stay gone. Can we live with<br>
that for 1.7? Fixing it is a little tricky.<br></blockquote><div><br></div><div>if we remove the secret and restart maas-cluster, the connection between cluster / region should fail. If we remove the cluster from the WebUI, it is gone for sure. In order for us to re-add this cluster we need to reconfigure the shared secret, and will be added as a new cluster in the sense that it will need to re-download images and so on.</div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">
>><br>
>><br>
>> - Using `sudo maas-provision install-shared-secret` writes the file<br>
>>   root:root, 0640. We need it to be readable by MAAS, i.e. the "maas"<br>
>>   user. I'm reluctant to put that kind of behaviour into upstream<br>
>>   maas-provision because the user MAAS runs as is a system policy<br>
>>   decision. Perhaps we could flip the setgid bit on /var/lib/maas to<br>
>>   ensure that files therein are always in the maas group.<br>
><br>
><br>
> I have an idea to manage this from the packaging, so we request the<br>
> shared secret when we are reconfiguring the clsuter to point it to the<br>
> Region Controller.<br>
<br>
</span>That sounds good. If you obtain it as a hex-encoded string you can feed<br>
it to maas-provision:<br>
<br>
    maas-provision install-shared-secret <<<${secret_as_hex}<br>
<br>
and it'll do the right thing, though beware of user/group.<br></blockquote><div><br></div><div>Where does the user know what the shared secret is? Is the Cluster page on the WebUI showing the shared secret? I think an admin should be able to login to the Cluster Page and look at the shared secret.</div><div><br></div><div>When registering the Cluster, it should simply tell the Cluster what the shared secret is.</div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<span class=""><br>
>><br>
>><br>
>> - There's still no nice way to obtain the secret from the region so<br>
>>   that you can install it on the clusters:<br>
><br>
><br>
> I'm comfortable that every time we tell the clsuter to register to the<br>
> region, we also input the shared secret. Does this make sense? (So<br>
> when we are registering a cluster with the Region, we will tell where<br>
> the Region is and what the shared secret is so it can authenticate).<br>
<br>
</span>We do still need to capture that information, so it sounds fine. Right<br>
now the cluster won't start unless there's a secret installed (that's<br>
done in the Upstart script).<br>
<span class=""><br>
>><br>
>><br>
>>   `maas-provision install-shared-secret` expects the secret<br>
>>   hex-encoded. It's stored unencoded on the filesystem. Copy-n-paste<br>
>>   from the secret file on the region to the prompt shown by<br>
>>   `maas-provision ...` will not work.<br>
>><br>
>><br>
>> - /etc/init/maas-cluster-register.conf is not removed when installing<br>
>>   packages built from my branches. I have removed references to it in<br>
>>   the packaging, so I don't know what I've missed.<br>
><br>
><br>
> Awesome! Thanks. I'll take the review action on that one.<br>
<br>
</span>Thank you!<br>
</blockquote></div><br><br clear="all"><div><br></div>-- <br><div dir="ltr">Andres Rodriguez<div>Engineering Manager, HWE Team</div><div>Canonical USA, Inc.</div></div>
</div></div>