第1章 barbican

admin_role = admin

文字列値

認証されたユーザーを管理者として識別するために使用されるロール。

allow_anonymous_access = False

ブール値

認証されていないユーザーが、読み取り専用の権限で API にアクセスできるようにします。これは、ContextMiddleware を使用する場合にのみ適用されます。

api_paste_config = api-paste.ini

文字列値

api サービスの paste.deploy 設定のファイル名

backdoor_port = None

文字列値

eventlet バックドアを有効にします。設定可能な値は 0、<port>、および <start>:<end> です。ここで、0 はランダムの tcp ポート番号でリッスンします。<port> は指定されたポート番号でリッスンします (そのポートが使用中の場合にはバックドアを有効にしません)。また、<start>:<end> は、指定されたポート番号の範囲で最も小さい未使用のポート番号でリッスンします。選択したポートは、サービスのログファイルに表示されます。

backdoor_socket = None

文字列値

指定されたパスを接続を受信できる unix ソケットとして使用して、eventlet バックドアを有効にします。このオプションは、backdoor_port と相互に排他的です。したがって、どちらか 1 つだけを指定する必要があります。両方を指定すると、このオプションの存在によってそのオプションの使用が上書きされます。パス {pid} の中は、現在のプロセスの PID で置き換えられます。

client_socket_timeout = 900

整数値

クライアント接続のソケット操作のタイムアウト。受信接続がこの秒数の間アイドル状態であると、閉じられます。0 の値は、永久に待機することを意味します。

conn_pool_min_size = 2

整数値

接続有効期限ポリシーのプールサイズ制限

conn_pool_ttl = 1200

整数値

プールのアイドル状態の接続の存続期間 (秒単位)

control_exchange = openstack

文字列値

トピックがスコープ設定されるデフォルトの変換。transport_url オプションで指定した変換名で上書きできます。

db_auto_create = False

ブール値

サービスの起動時に Barbican データベースを作成します。

debug = False

ブール値

true に設定すると、ログレベルはデフォルトの INFO レベルではなく DEBUG に設定されます。

default_limit_paging = 10

整数値

limit ページング URL パラメーターのデフォルトページサイズ。

default_log_levels = ['amqp=WARN'、'amqplib=WARN'、'boto=WARN'、'qpid=WARN'、'sqlalchemy=WARN'、'suds=INFO'、'oslo.messaging=INFO'、'oslo_messaging=INFO'、'iso8601=WARN'、'requests.packages.urllib3.connectionpool=WARN'、'urllib3.connectionpool=WARN'、'websocket=WARN'、'requests.packages.urllib3.util.retry=WARN'、'urllib3.util.retry=WARN'、'keystonemiddleware=WARN'、'routes.middleware=WARN'、'stevedore=WARN'、'taskflow=WARN'、'keystoneauth=WARN'、'oslo.cache=INFO'、'oslo_policy=INFO'、'dogpile.core.dogpile=INFO']

リスト値

logger=LEVEL ペアのパッケージロギングレベルのリスト。このオプションは、log_config_append が設定されている場合は無視されます。

executor_thread_pool_size = 64

整数値

エグゼキューターがスレッディングまたはイベントレットの場合のエグゼキュータースレッドプールのサイズ。

fatal_deprecations = False

ブール値

非推奨の致命的なステータスを有効または無効にします。

host_href = http://localhost:9311

文字列値

HATEOAS 形式の参照に使用するホスト名。注記: 通常これは、クライアントがこのサービスへの返信に使用する負荷分散エンドポイントになります。デプロイメントが wsgi 要求からホストを派生する場合は、これを空白のままにします。空白は、デフォルトの設定値 http://localhost:9311を上書きするために必要です。

instance_format = [instance: %(uuid)s]

文字列値

ログメッセージで渡されるインスタンスの形式。

instance_uuid_format = [instance: %(uuid)s]

文字列値

ログメッセージで渡されるインスタンス UUID の形式。

log-config-append = None

文字列値

ロギング設定ファイルの名前。このファイルは、既存のロギング設定ファイルに追加されます。ロギング設定ファイルの詳細は、Python のロギングモジュールのドキュメントを参照してください。ロギング設定ファイルを使用すると、すべてのロギング設定が設定ファイルで設定され、その他のロギング設定オプションは無視されます (例:log-date-format)。

log-date-format = %Y-%m-%d %H:%M:%S

文字列値

ログレコードの %%(asctime)s のフォーマット文字列を定義します。デフォルト:%(default)sこのオプションは、log_config_append が設定されている場合は無視されます。

log-dir = None

文字列値

(オプション)log_file の相対パスに使用されるベースディレクトリー。このオプションは、log_config_append が設定されている場合は無視されます。

log-file = None

文字列値

(オプション) ロギング出力を送信するログファイルの名前。デフォルトが設定されていない場合、ロギングは use_stderr で定義されているように stderr に送信されます。このオプションは、log_config_append が設定されている場合は無視されます。

log_rotate_interval = 1

整数値

ログファイルがローテーションされるまでの時間。このオプションは、log_rotation_type が "interval" に設定されていない限り無視されます。

log_rotate_interval_type = days

文字列値

ローテーション間隔の種別。次のローテーションをスケジューリングする際に、最後のファイル変更の時刻 (またはサービスの起動時刻) が使用されます。

log_rotation_type = none

文字列値

ログローテーションの種別。

logging_context_format_string = %(asctime)s.%(msecs)03d %(process)d %(levelname)s %(name)s [%(request_id)s %(user_identity)s] %(instance)s%(message)s

文字列値

コンテキスト付きログメッセージに使用するフォーマット文字列。oslo_log.formatters.ContextFormatter により使用されます。

logging_debug_format_suffix = %(funcName)s %(pathname)s:%(lineno)d

文字列値

メッセージのロギングレベルが DEBUG の場合にログメッセージに追加する追加のデータ。oslo_log.formatters.ContextFormatter により使用されます。

logging_default_format_string = %(asctime)s.%(msecs)03d %(process)d %(levelname)s %(name)s [-] %(instance)s%(message)s

文字列値

コンテキストが定義されていない場合に、ログメッセージに使用するフォーマット文字列。oslo_log.formatters.ContextFormatter により使用されます。

logging_exception_prefix = %(asctime)s.%(msecs)03d %(process)d ERROR %(name)s %(instance)s

文字列値

この形式で、例外出力の各行の前に接頭辞が付けられます。oslo_log.formatters.ContextFormatter により使用されます。

logging_user_identity_format = %(user)s %(tenant)s %(domain)s %(user_domain)s %(project_domain)s

文字列値

logging_context_format_string で使用される %(user_identity)s のフォーマット文字列を定義します。oslo_log.formatters.ContextFormatter により使用されます。

max_allowed_request_size_in_bytes = 25000

整数値

barbican-api に対する最大許容 http 要求サイズ。

max_allowed_secret_in_bytes = 20000

整数値

シークレットの最大許容サイズ (バイト単位)。

max_header_line = 16384

整数値

許可されるメッセージヘッダー行の最大サイズ。max_header_line は、大きなトークンを使用する際に増やす必要がある場合があります (特に、keystone が大きなサービスカタログの PKI トークンを使用するように設定された場合に生成されるトークン)。

max_limit_paging = 100

整数値

limit ページング URL パラメーターの最大ページサイズ。

max_logfile_count = 30

整数値

ローテーションされたログファイルの最大数。

max_logfile_size_mb = 200

整数値

ログファイルの最大サイズ (MB 単位)。"log_rotation_type" が "size" に設定されていない場合は、このオプションは無視されます。

publish_errors = False

ブール値

エラーイベントの公開を有効または無効にします。

rate_limit_burst = 0

整数値

rate_limit_interval ごとのログ記録されたメッセージの最大数。

rate_limit_except_level = CRITICAL

文字列値

レート制限で使用されるログレベル名:CRITICAL、ERROR、INFO、WARNING、DEBUG または空の文字列。rate_limit_except_level 以上のレベルのログはフィルターされません。空の文字列は、すべてのレベルがフィルターされることを意味します。

rate_limit_interval = 0

整数値

ログのレート制限の間隔 (秒数)。

rpc_conn_pool_size = 30

整数値

RPC 接続プールのサイズ。

rpc_ping_enabled = False

ブール値

ping 呼び出しに応答するエンドポイントを追加します。エンドポイントの名前は oslo_rpc_server_ping です。

rpc_response_timeout = 60

整数値

呼び出しからの応答を待つ秒数。

run_external_periodic_tasks = True

ブール値

一部の定期的なタスクは個別のプロセスで実行できます。ここで実行すべきですか ?

sql_connection = sqlite:///barbican.sqlite

文字列値

参照実装レジストリーサーバーの SQLAlchemy 接続文字列。いずれかの有効な SQLAlchemy 接続文字列であれば問題ありません。http://www.sqlalchemy.org/docs/05/reference/sqlalchemy/connections.html#sqlalchemy.create_engine を参照してください。注記: 絶対アドレスの場合は、sqlite: の後に //// スラッシュを使用します。

sql_idle_timeout = 3600

整数値

SQLAlchemy がデータベースへの接続を再確立するまでの時間 (秒単位)。MySQL は、デフォルトの 8 時間の wait_timeout を使用し、その後アイドル状態の接続を破棄します。これにより、MySQL Gone Away 例外が生じる可能性があります。その場合には、この値を下げて、MySQL が接続を切断する前に SQLAlchemy が再接続できるようにすることができます。

sql_max_retries = 60

整数値

起動時のデータベース接続の最大再試行数。再試行回数を無限に指定するには -1 に設定します。

sql_pool_class = QueuePool

文字列値

sqlalchemy.pool モジュールからインポートされたクラスを受け入れ、プール構築の詳細を処理します。コメントアウトされている場合、SQLAlchemy はデータベースダイアレクトに基づいて選択します。その他のオプションは QueuePool(SQLAlchemy が管理する接続の場合) および NullPool(接続の SQLAlchemy 管理が無効な場合) です。詳細は、http://docs.sqlalchemy.org/en/latest/core/pooling.html を参照してください。

sql_pool_logging = False

ブール値

指定した場合に SQLAlchemy プール関連のデバッグ出力をログ (DEBUG ログレベル出力を設定) に表示します。

sql_pool_max_overflow = 10

整数値

SQLAlchemy が使用するプールの最大オーバーフローサイズ。チェックアウトされた接続の数が sql_pool_size で設定されているサイズに達すると、この制限まで追加の接続が返されます。続いて、プールで許可される同時接続の合計数は sql_pool_size + sql_pool_max_overflow になります。オーバーフロー制限がないことを示すために -1 に設定すると、同時接続の合計数には制限が設けられません。SQLAlchemy がデフォルトを選択するのを許可するには、コメントアウトします。

sql_pool_size = 5

整数値

SQLAlchemy によって使用されるプールのサイズ。これは、プールに永続的に保存される接続の最大数です。0 に設定すると、サイズ制限なしを指定できます。プールを無効にするには、代わりに sql_pool_class を指定して NullPool を使用します。SQLAlchemy がデフォルトを選択するのを許可するには、コメントアウトします。

sql_retry_interval = 1

整数値

SQL 接続を開く再試行の間隔。

syslog-log-facility = LOG_USER

文字列値

ログ行を受け取る syslog ファシリティー。このオプションは、log_config_append が設定されている場合は無視されます。

tcp_keepidle = 600

整数値

各サーバーソケットの TCP_KEEPIDLE の値を設定します (秒単位)。OS X では対応していません。

transport_url = rabbit://

文字列値

メッセージングバックエンドに接続するためのネットワークアドレスおよびオプションのユーザー認証情報 (URL 形式)。想定される形式は次のとおりです。

driver://[user:pass@]host:port[,[userN:passN@]hostN:portN]/virtual_host?query

例:rabbit://rabbitmq:password@127.0.0.1:5672//

URL のフィールドの詳細は、https://docs.openstack.org/oslo.messaging/latest/reference/transport.html で oslo_messaging.TransportURL のドキュメントを参照してください。

use-journal = False

ブール値

ロギング用の journald を有効にします。systemd 環境で実行している場合は、ジャーナルサポートを有効にしたい場合があります。その場合、ログメッセージに加えて構造化されたメタデータが含まれる journal ネイティブプロトコルが使用されます。このオプションは、log_config_append が設定されている場合は無視されます。

use-json = False

ブール値

ロギングに JSON 形式を使用します。このオプションは、log_config_append が設定されている場合は無視されます。

use-syslog = False

ブール値

ロギングに syslog を使用します。既存の syslog 形式は非推奨であり、後に RFC5424 に従うように変更されます。このオプションは、log_config_append が設定されている場合は無視されます。

use_eventlog = False

ブール値

出力を Windows イベントログに記録します。

use_stderr = False

ブール値

出力を標準エラーに記録します。このオプションは、log_config_append が設定されている場合は無視されます。

watch-log-file = False

ブール値

ファイルシステムを監視するように設計されたログハンドラーを使用します。ログファイルが移動または削除されると、このハンドラーは、指定されたパスで新しいログファイルを即時に開きます。これは、log_file オプションを指定し、Linux プラットフォームが使用される場合にのみ有効です。このオプションは、log_config_append が設定されている場合は無視されます。

wsgi_default_pool_size = 100

整数値

wsgi で使用される greenthread のプールのサイズ

wsgi_keep_alive = True

ブール値

False の場合は、クライアントのソケット接続を明示的に閉じます。

wsgi_log_format = %(client_ip)s "%(request_line)s" status: %(status_code)s len: %(body_length)s time: %(wall_seconds).7f

文字列値

ログ行を生成するためにテンプレートとして使用される Python 形式の文字列。client_ip、date_time、request_line、status_code、body_length、wall_seconds をこの形式にフォーマットできます。

wsgi_server_debug = False

ブール値

サーバーが 500 エラーで例外トレースバックをクライアントに送信する必要がある場合は true。False の場合、サーバーは空の本文で応答します。

enabled_certificate_plugins = ['simple_certificate']

多値

読み込む証明書プラグインのリスト。

namespace = barbican.certificate.plugin

文字列値

プラグインを検索する拡張名前空間。

enabled_certificate_event_plugins = ['simple_certificate_event']

多値

読み込む証明書プラグインのリスト。

namespace = barbican.certificate.event.plugin

文字列値

イベントプラグインを検索する拡張名前空間。

allow_credentials = True

ブール値

実際の要求にユーザーの認証情報を含めることができることを示します。

allow_headers = ['X-Auth-Token'、'X-Openstack-Request-Id'、'X-Project-Id'、'X-Identity-Status'、'X-User-Id'、'X-Storage-Token'、'X-Domain-Id'、'X-User-Domain-Id'、'X-Project-Domain-Id'、'X-Roles']

リスト値

実際の要求時に使用されるヘッダーフィールド名を示します。

allow_methods = ['GET'、'PUT'、'POST'、'DELETE'、'PATCH']

リスト値

実際の要求時に使用できるメソッドを示します。

allowed_origin = None

リスト値

このリソースがリクエストの "origin" ヘッダーで受信したドメインと共有されるかどうかを示します。形式: "<protocol>://<host>[:<port>]" (行末のスラッシュなし)例: https://horizon.example.com

expose_headers = ['X-Auth-Token'、'X-Openstack-Request-Id'、'X-Project-Id'、'X-Identity-Status'、'X-User-Id'、'X-Storage-Token'、'X-Domain-Id'、'X-User-Domain-Id'、'X-Project-Domain-Id'、'X-Roles']

リスト値

API に安全に公開できるヘッダーを示します。デフォルトは HTTP Simple ヘッダーです。

max_age = 3600

整数値

CORS プリフライトリクエストの最大キャッシュ期間。

enabled_crypto_plugins = ['simple_crypto']

多値

読み込む crypto プラグインのリスト。

namespace = barbican.crypto.plugin

文字列値

プラグインを検索する拡張名前空間。

auto_approved_profiles = caServerCert

文字列値

自動承認された登録プロファイルのリスト

ca_expiration_time = 1

整数値

CA エントリーの有効期限が切れる日数

dogtag_host = localhost

文字列値

Dogtag インスタンスのホスト名

dogtag_port = 8443

ポート値

Dogtag インスタンスのポート

nss_db_path = /etc/barbican/alias

文字列値

NSS 証明書データベースへのパス

nss_password = None

文字列値

NSS 証明書データベースのパスワード

pem_path = /etc/barbican/kra_admin_cert.pem

文字列値

認証用 PEM ファイルへのパス

plugin_name = Dogtag KRA

文字列値

ユーザーフレンドリーなプラグイン名

plugin_working_dir = /etc/barbican/dogtag

文字列値

Dogtag プラグイン用の作業ディレクトリー

retries = 3

整数値

シークレットの保存または生成時の再試行回数

simple_cmc_profile = caOtherCert

文字列値

単純な CMC 要求のプロファイル

auth_section = None

文字列値

プラグイン固有のオプションを読み込む config セクション

auth_type = None

文字列値

読み込む認証タイプ

auth_uri = None

文字列値

"パブリック" の Identity API エンドポイントを完了します。このエンドポイントは、すべてのエンドユーザーがアクセスできる必要があるため、"admin" エンドポイントにすることはできません。認証されていないクライアントは、認証のためにこのエンドポイントにリダイレクトされます。このエンドポイントにはバージョンを指定しないことが理想的ですが、ワイルドカードでのクライアントのサポートは異なります。バージョン指定された v2 エンドポイントを使用している場合、通常エンドユーザーがそのエンドポイントに到達できない可能性があるため、これはサービスユーザーがトークンを検証するために使用するエンドポイントにすることはできません。このオプションは www_authenticate_uri が優先されるため非推奨となり、S リリースで削除される予定です。非推奨:Queens 以降

*理由:* auth_uri オプションは www_authenticate_uri が優先されるため非推奨となり、S リリースで削除される予定です。

auth_version = None

文字列値

Identity API エンドポイントの API バージョン。

cache = None

文字列値

Swift キャッシュオブジェクトが保存される環境キーを要求します。auth_token ミドルウェアを Swift キャッシュと共にデプロイする場合は、このオプションを使用して、ミドルウェアが Swift とキャッシングバックエンドを共有するようにします。それ以外の場合は、代わりに memcached_servers オプションを使用します。

cafile = None

文字列値

HTTPs 接続の検証時に使用する PEM でエンコードされた認証局。デフォルトはシステム CA です。

certfile = None

文字列値

ID サーバーでクライアント証明書が必要な場合に必要です。

delay_auth_decision = False

ブール値

ミドルウェア内の認可要求を処理せず、承認の決定をダウンストリームの WSGI コンポーネントに委譲します。

enforce_token_bind = permissive

文字列値

トークンバインディングの使用および種別を制御するために使用されます。トークンバインディングのチェックを無効するには、"disabled" に設定します。バインドタイプがサーバーの認識する形式の場合にはバインディング情報を検証し、そうでない場合には無視するには、"permissive" (デフォルト) に設定します。"strict" は "permissive" と類似していますが、バインドタイプが不明な場合にはトークンが拒否されます。"required" の場合は、いずれかの形式のトークンバインディングが必要です。最後に、トークンに指定する必要のあるバインディングメソッドの名前。

http_connect_timeout = None

整数値

Identity API サーバーと通信する際の要求タイムアウト値。

http_request_max_retries = 3

整数値

Identity API サーバーと通信する際に再接続を試行する回数。

include_service_catalog = True

ブール値

(オプション)X-Service-Catalog ヘッダーを設定するかどうかを示します。False の場合、ミドルウェアはトークンの検証時にサービスカタログを要求せず、X-Service-Catalog ヘッダーを設定しません。

insecure = False

ブール値

HTTPS 接続を確認します。

interface = internal

文字列値

Identity API エンドポイントに使用するインターフェイス。有効な値は、"public"、"internal" (デフォルト)、または "admin" です。

keyfile = None

文字列値

ID サーバーでクライアント証明書が必要な場合に必要です。

memcache_pool_conn_get_timeout = 10

整数値

(オプション) プールから memcached クライアント接続を取得するまで操作が待機する秒数。

memcache_pool_dead_retry = 300

整数値

(オプション)memcached サーバーが停止しているとみなされる秒数。この秒数が経過すると再試行されます。

memcache_pool_maxsize = 10

整数値

(オプション) すべての memcached サーバーへのオープン接続の最大合計数。

memcache_pool_socket_timeout = 3

整数値

(オプション)memcached サーバーと通信する際のソケットのタイムアウト (秒単位)。

memcache_pool_unused_timeout = 60

整数値

(オプション)memcached への接続がプール内で未使用の状態を維持する秒数。この秒数が経過すると終了されます。

memcache_secret_key = None

文字列値

(オプション、memcache_security_strategy が定義されている場合には必須) この文字列は鍵の導出に使用されます。

memcache_security_strategy = None

文字列値

(オプション) 定義されている場合は、トークンデータを認証、または認証して暗号化する必要があるかどうかを示します。MAC の場合、キャッシュでトークンデータが認証されます (HMAC を使用)。ENCRYPT の場合、キャッシュでトークンデータが暗号化され、認証されます。値がこれらのオプションのいずれでもない場合や空の場合には、auth_token は初期化時に例外を発生させます。

memcache_use_advanced_pool = False

ブール値

(オプション) 高度な (eventlet に対して安全な) memcached クライアントプールを使用します。高度なプールは python 2.x でのみ動作します。

memcached_servers = None

リスト値

オプションで、キャッシュに使用する memcached サーバーのリストを指定します。未定義のままの場合、トークンは代わりに処理中にキャッシュされます。

region_name = None

文字列値

アイデンティティーサーバーがあるリージョン。

service_token_roles = ['service']

リスト値

サービストークンに存在する必要があるロールの選択。サービストークンは、期限切れのトークンを使用できることを要求できるため、このチェックでは実際のサービスのみがこのトークンを送信するように厳密に制御する必要があります。ここでのロールは ANY チェックとして適用されるため、このリストのロールはすべて存在している必要があります。後方互換性の理由から、現在 allow_expired チェックにのみ影響します。

service_token_roles_required = False

ブール値

後方互換性の理由から、service_token_roles チェックを有効としてパスしない有効なサービストークンをパスさせる必要があります。これを true に設定することが今後のリリースでデフォルトとなり、可能な場合は有効にされる必要があります。

service_type = None

文字列値

サービスカタログに表示されるサービスの名前または種別。これは、制限されたアクセスルールがあるトークンを検証するために使用されます。

token_cache_time = 300

整数値

トークンの検証に過剰な時間を費やすのを防ぐために、ミドルウェアは、設定可能な期間 (秒単位) 中は以前に見たトークンをキャシュします。キャッシュを完全に無効にするには -1 に設定します。

www_authenticate_uri = None

文字列値

"パブリック" の Identity API エンドポイントを完了します。このエンドポイントは、すべてのエンドユーザーがアクセスできる必要があるため、"admin" エンドポイントにすることはできません。認証されていないクライアントは、認証のためにこのエンドポイントにリダイレクトされます。このエンドポイントにはバージョンを指定しないことが理想的ですが、ワイルドカードでのクライアントのサポートは異なります。バージョン指定された v2 エンドポイントを使用している場合、通常エンドユーザーがそのエンドポイントに到達できない可能性があるため、これはサービスユーザーがトークンを検証するために使用するエンドポイントにすることはできません。

allow_requeue = False

ブール値

true は、通知処理エラーが発生した場合に再度キューに入れる機能を有効にします。この機能は、基礎となるトランスポートがこの機能をサポートしている場合にのみ有効にします。

control_exchange = keystone

文字列値

トピックがスコープ設定されるデフォルトの変換。transport_url オプションで指定した変換名で上書きできます。

enable = False

ブール値

true は keystone 通知リスナー機能を有効にします。

pool_name = None

文字列値

通知リスナーのプール名。これを固有の値に設定すると、バービカン通知リスナーは、同じトピックをリッスンしている他のサービスに干渉することなく、トピックからすべてのメッセージの独自のコピーを受信できます。この機能は、一部の oslo.messaging バックエンド (特に rabbitmq) でのみサポートされており、これらのバックエンドでは、barbican の個別の通知トピックの代わりに使用することを推奨します。

thread_pool_size = 10

整数値

通知サーバー処理機能に使用する最大スレッド数を定義します。

topic = notifications

文字列値

Keystone 通知キューのトピック名。この名前は、Keystone デプロイメントの notification_topics 設定 (例:notification_topics =notifications) に記載されている値のいずれかに一致させる必要があります。barbican_notificationsMultiple サーバーはトピックをリッスンし、メッセージがラウンドロビン方式でいずれかのサーバーにディスパッチされます。すべての Keystone 通知を受け取るように Barbican サービスが専用の通知キューを持つ必要があるのはこのためです。あるいは、選択した oslo.messaging バックエンドがリスナーのプール (rabbitmq など) をサポートしている場合は、デフォルト以外の pool_name オプションを設定することを推奨します。

version = 1.0

文字列値

通知を介して呼び出されるタスクのバージョン

ca_certs = None

文字列値

連結された "認証局" 証明書へのファイルパス

certfile = None

文字列値

ローカルクライアント証明書へのファイルパス

host = localhost

文字列値

KMIP サーバーのアドレス

keyfile = None

文字列値

ローカルクライアント証明書のキーファイルへのファイルパス

password = None

文字列値

KMIP サーバーとの認証のためのパスワード

pkcs1_only = False

ブール値

非対称鍵の PKCS#1 エンコーディングのみに対応

plugin_name = KMIP HSM

文字列値

ユーザーフレンドリーなプラグイン名

port = 5696

ポート値

KMIP サーバーのポート

ssl_version = PROTOCOL_TLSv1_2

文字列値

SSL バージョン。モジュール ssl の定数にマッピングします。

username = None

文字列値

KMIP サーバーとの認証のためのユーザー名

addressing_mode = dynamic

文字列値

ドライバーが使用するアドレスモードを示します。許可される値:legacy - レガシーのルーティング不可能なアドレス指定を使用します。routable - ルーティング可能なアドレスを使用します。dynamic - メッセージバスがルーティングをサポートしていない場合はレガシーのアドレスを使用します。それ以外の場合は、ルーティング可能なアドレスを使用します。

anycast_address = anycast

文字列値

コンシューマーのグループに送信する際に、アドレス接頭辞に追加されます。コンシューマー間でラウンドロビン方式で配信される必要のあるメッセージを特定するために、メッセージバスで使用されます。

broadcast_prefix = broadcast

文字列値

すべてのサーバーにブロードキャストする場合に使用されるアドレス接頭辞

connection_retry_backoff = 2

整数値

フェイルオーバーの試みに失敗するたびに、connection_retry_interval をこの秒数だけ増やします。

connection_retry_interval = 1

整数値

再接続を試みる前に一時停止する秒数。

connection_retry_interval_max = 30

整数値

connection_retry_interval + connection_retry_backoff の上限

container_name = None

文字列値

AMQP コンテナーの名前。グローバルで一意でなければなりません。デフォルトは、生成された UUID です。

default_notification_exchange = None

文字列値

通知アドレスで使用される変換名。エクスチェンジ名の解決の優先順位:Target.exchange、他に設定されている場合は default_notification_exchange、他に設定されている場合は control_exchange、他に設定されている場合は notify

default_notify_timeout = 30

整数値

送信された通知メッセージ配信の期限。呼び出し元がタイムアウトを明示的に指定しない場合にのみ使用されます。

default_reply_retry = 0

整数値

リカバリー可能なエラーが原因で失敗した返信メッセージを再送信する最大試行回数。

default_reply_timeout = 30

整数値

rpc 返信メッセージ配信の期限。

default_rpc_exchange = None

文字列値

RPC アドレスで使用される変換名。エクスチェンジ名の解決の優先順位:Target.exchange、他に設定されている場合は default_rpc_exchange、他に設定されている場合は control_exchange、他に設定されている場合は rpc

default_send_timeout = 30

整数値

rpc キャストまたは呼び出しメッセージ配信の期限。呼び出し元がタイムアウトを明示的に指定しない場合にのみ使用されます。

default_sender_link_timeout = 600

整数値

アイドル状態の送信者リンクのパージをスケジュールする時間。期限切れ後にリンクの割り当てを解除します。

group_request_prefix = unicast

文字列値

グループの任意のサーバーに送信する際のアドレス接頭辞

idle_timeout = 0

整数値

非アクティブな接続のタイムアウト (秒単位)

link_retry_delay = 10

整数値

リカバリー可能なエラーが原因で失敗した AMQP 1.0 リンクの再接続間に一時停止する時間。

multicast_address = multicast

文字列値

ファンアウトメッセージを送信するときにアドレス接頭辞に追加されます。ファンアウトメッセージを識別するためにメッセージバスによって使用されます。

notify_address_prefix = openstack.org/om/notify

文字列値

すべての生成される通知アドレスのアドレス接頭辞

notify_server_credit = 100

整数値

受信通知メッセージのウィンドウサイズ

pre_settled = ['rpc-cast', 'rpc-reply']

多値

このタイプのメッセージを事前処置状態で送信します。事前処置されたメッセージは、ピアから確認応答を受信しません。注記: 事前処置されたメッセージは、配信に失敗した場合に警告なしに破棄される可能性があります。許可される値:rpc-call - RPC 呼び出しを事前処置状態で送信します。rpc-reply- RPC 返信を事前処置状態で送信します。rpc-cast - RPC キャストを事前処置状態で送信します。notify - 通知を事前処置状態で送信します。

pseudo_vhost = True

ブール値

仮想ホスト (qpidd など) をネイティブにサポートしていないメッセージバスの仮想ホストサポートを有効にします。true に設定すると、仮想ホスト名はすべてのメッセージバスアドレスに追加され、結果として仮想ホストごとにプライベート サブネット を作成します。メッセージバスが仮想ホストの名前として AMQP 1.0 オープン遂行動詞の hostname フィールドを使用して仮想ホストをサポートする場合は False に設定します。

reply_link_credit = 200

整数値

受信する RPC 返信メッセージのウィンドウサイズ。

rpc_address_prefix = openstack.org/om/rpc

文字列値

すべての生成される RPC アドレスのアドレス接頭辞

rpc_server_credit = 100

整数値

受信する RPC リクエストメッセージのウィンドウサイズ。

`sasl_config_dir = `

文字列値

SASL 設定が含まれるディレクトリーへのパス

`sasl_config_name = `

文字列値

設定ファイルの名前 (.conf 接尾辞なし)

`sasl_default_realm = `

文字列値

ユーザー名にレルムが存在しない場合に使用する SASL レルム

`sasl_mechanisms = `

文字列値

許可される SASL メカニズムのスペース区切りリスト

server_request_prefix = exclusive

文字列値

特定のサーバーに送信する時に使用するアドレス接頭辞

ssl = False

ブール値

SSL 経由で接続を試みます。その他の ssl 関連のパラメーターが指定されていない場合、システムの CA バンドルを使用してサーバーの証明書を検証します。

`ssl_ca_file = `

文字列値

サーバーの証明書の検証に使用する CA 証明書 PEM ファイル

`ssl_cert_file = `

文字列値

クライアント認証用の自己識別証明書 PEM ファイル

`ssl_key_file = `

文字列値

ssl_cert_file 証明書の署名に使用される秘密鍵 PEM ファイル (オプション)

ssl_key_password = None

文字列値

ssl_key_file を復号するためのパスワード (暗号化されている場合)

ssl_verify_vhost = False

ブール値

デフォルトでは、SSL は、サーバーの証明書の名前が transport_url のホスト名と一致することを確認します。設定によっては、代わりに仮想ホスト名を使用することが望ましい場合があります。たとえば、サーバーが Server Name Indication TLS 拡張 (rfc6066) を使用して、仮想ホストごとの証明書を提供する場合などです。サーバーの SSL 証明書が DNS 名ではなく仮想ホスト名を使用する場合は、ssl_verify_vhost を True に設定します。

trace = False

ブール値

デバッグ: AMQP フレームを標準出力 (stdout) にダンプします。

unicast_address = unicast

文字列値

特定の RPC/通知サーバーに送信する際に、アドレス接頭辞に追加されます。単一の送信先に送信されたメッセージを識別するためにメッセージバスによって使用されます。

compression_codec = none

文字列値

プロデューサーによって生成されたすべてのデータの圧縮コーデック。設定されていない場合、圧縮は使用されません。この設定に許可される値は、kafka バージョンに依存することに注意してください。

conn_pool_min_size = 2

整数値

接続有効期限ポリシーのプールサイズ制限

conn_pool_ttl = 1200

整数値

プールのアイドル状態の接続の存続期間 (秒単位)

consumer_group = oslo_messaging_consumer

文字列値

Kafka コンシューマーのグループ ID。あるグループのコンシューマーは、メッセージ消費を調整します。

enable_auto_commit = False

ブール値

非同期コンシューマーコミットを有効にします。

kafka_consumer_timeout = 1.0

浮動小数点の値

Kafka コンシューマーのデフォルトタイムアウト

kafka_max_fetch_bytes = 1048576

整数値

Kafka コンシューマーの最大フェッチバイト

max_poll_records = 500

整数値

ポーリング呼び出しで返されるレコードの最大数

pool_size = 10

整数値

Kafka コンシューマーのプールサイズ

producer_batch_size = 16384

整数値

プロデューサーの非同期送信のバッチサイズ

producer_batch_timeout = 0.0

浮動小数点の値

KafkaProducer バッチ処理の遅延の上限 (秒単位)

sasl_mechanism = PLAIN

文字列値

セキュリティープロトコルが SASL である際のメカニズム

security_protocol = PLAINTEXT

文字列値

ブローカーとの通信に使用されるプロトコル

`ssl_cafile = `

文字列値

サーバーの証明書の検証に使用する CA 証明書 PEM ファイル

`ssl_client_cert_file = `

文字列値

認証に使用されるクライアント証明書の PEM ファイル。

`ssl_client_key_file = `

文字列値

認証に使用されるクライアントキーの PEM ファイル。

`ssl_client_key_password = `

文字列値

認証に使用されるクライアントキーパスワードファイル。

driver = []

多値

通知の送信を処理するドライバー。使用できる値は messaging、messagingv2、routing、log、test、noop です。

retry = -1

整数値

リカバリー可能なエラーが原因で配信に失敗した通知メッセージを再送信する最大試行回数。0 - 再試行なし、-1 - 無限回

topics = ['notifications']

リスト値

OpenStack の通知に使用する AMQP トピック。

transport_url = None

文字列値

通知に使用するメッセージングドライバーを表す URL。設定されていない場合は、RPC に使用されるものと同じ設定にフォールバックします。

amqp_auto_delete = False

ブール値

AMQP の自動削除キュー。

amqp_durable_queues = False

ブール値

AMQP で永続キューを使用します。

direct_mandatory_flag = True

ブール値

(非推奨) ダイレクト送信のための RabbitMQ 必須フラグを有効/無効にします。直接送信は応答として使用されるため、クライアントキューが存在しない場合には MessageUndeliverable 例外が発生します。MessageUndeliverable 例外はタイムアウトをループして、送信者が回復する可能性が高くなります。このフラグは非推奨になり、この機能を非アクティブ化することはできません。

enable_cancel_on_failover = False

ブール値

x-cancel-on-ha-failover フラグを有効にして、rabbitmq サーバーがキューが停止しているときにコンシューマーをキャンセルし、通知できるようにします。

heartbeat_in_pthread = False

ブール値

デフォルトでは、ネイティブ Python スレッドを介してヘルスチェックハートビートスレッドを実行します。このオプションが False の場合、ヘルスチェックハートビートは親プロセスから実行モデルを継承します。たとえば、親プロセスが eventlet/greenlet を使用して stdlib にモンキーパッチを適用した場合、ハートビートはグリーンスレッドを介して実行されます。This option should be set to True only for the wsgi services.

heartbeat_rate = 2

整数値

heartbeat_timeout_threshold 中、ハートビートを確認する回数。

heartbeat_timeout_threshold = 60

整数値

ハートビートの keep-alive が失敗した場合に Rabbit ブローカーがダウンとみなされるまでの秒数 (0 はハートビートを無効にします)。

kombu_compression = None

文字列値

実験的用途: 許容値は gzip、bz2 です。設定されていない場合、圧縮は使用されません。このオプションは、今後のバージョンで利用できない可能性があります。

kombu_failover_strategy = round-robin

文字列値

現在接続しているノードが利用できなくなった場合に、次の RabbitMQ ノードを選択する方法を指定します。設定で複数の RabbitMQ ノードが指定される場合に限り有効になります。

kombu_missing_consumer_retry_timeout = 60

整数値

応答のないクライアントが応答を送信するのを待つ時間。この時間が経過すると無視します。この値は rpc_response_timeout より長くすることはできません。

kombu_reconnect_delay = 1.0

浮動小数点の値

AMQP コンシューマーの取り消し通知への応答で、再接続するまでの待機時間。

rabbit_ha_queues = False

ブール値

RabbitMQ (x-ha-policy: all) の HA キューの使用を試みます。このオプションを変更する場合は、RabbitMQ データベースを消去する必要があります。RabbitMQ 3.0 では、キューを宣言する際に x-ha-policy 引数によってキューのミラーリングが制御されなくなりました。すべてのキュー (自動生成された名前のキューを除く) がすべてのノードでミラーリングされるようにするには、"rabbitmqctl set_policy HA ^(?!amq\.).* {"ha-mode": "all"}" を実行します。

rabbit_interval_max = 30

整数値

RabbitMQ 接続を再試行する最大間隔。デフォルトは 30 秒です。

rabbit_login_method = AMQPLAIN

文字列値

RabbitMQ ログイン方法

rabbit_qos_prefetch_count = 0

整数値

事前フェッチするメッセージの数を指定します。ゼロに設定すると、無制限のメッセージのフェッチが許可されます。

rabbit_retry_backoff = 2

整数値

RabbitMQ に接続する際に再試行間でバックオフする長さ

rabbit_retry_interval = 1

整数値

RabbitMQ との接続を再試行する頻度。

rabbit_transient_queues_ttl = 1800

整数値

キューの TTL (x-expires) の期間 (秒単位) を表す正の整数。TTL の期間使用されないキューは自動的に削除されます。このパラメーターは応答キューとファンアウトキューにのみ影響します。

ssl = False

ブール値

SSL 経由で接続します。

`ssl_ca_file = `

文字列値

SSL 認証局ファイル (SSL が有効な場合にのみ有効)。

`ssl_cert_file = `

文字列値

SSL 証明書ファイル (SSL が有効な場合にのみ有効)。

`ssl_key_file = `

文字列値

SSL キーファイル (SSL が有効な場合にのみ有効)。

`ssl_version = `

文字列値

使用する SSL バージョン (SSL が有効な場合にのみ有効)。有効な値は TLSv1 および SSLv23 です。SSLv2、SSLv3、TLSv1_1、および TLSv1_2 は、一部のディストリビューションで利用できます。

enable_proxy_headers_parsing = False

ブール値

アプリケーションがプロキシーの背後であるかどうか。これにより、ミドルウェアがヘッダーを解析すべきかどうかを決定します。

enforce_new_defaults = False

ブール値

このオプションは、ポリシーを評価するときに古い非推奨のデフォルトを使用するかどうかを制御します。True の場合、古い非推奨のデフォルトは評価されません。これは、既存のトークンが古いデフォルトで許可されているが、新しいデフォルトで許可されていない場合、許可されないことを意味します。新しいデフォルトと scope_type の利点を一緒に得ることができるように、このフラグを enforce_scope フラグと一緒に有効にすることを推奨します

enforce_scope = False

ブール値

このオプションは、ポリシーを評価する際にスコープを適用するかどうかを制御します。True の場合、リクエストで使用されるトークンのスコープは、適用されるポリシーの scope_types と比較されます。スコープが一致しない場合、InvalidScope 例外が発生します。False の場合、ポリシーが一致しないスコープで呼び出されていることを運用者に通知するメッセージが記録されます。

policy_default_rule = default

文字列値

デフォルトルール。要求されたルールが見つからない場合に適用されます。

policy_dirs = ['policy.d']

多値

ポリシー設定ファイルが保存されるディレクトリー。これは、config_dir オプションで定義される検索パス内の任意のディレクトリーへの相対パスか、絶対パスにすることができます。このディレクトリーの検索には、policy_file で定義されたファイルが存在している必要があります。存在しないディレクトリーまたは空のディレクトリーは無視されます。

policy_file = policy.yaml

文字列値

ロールを指定のサービスのパーミッションにマッピングするファイルの相対パスまたは絶対パス。相対パスは、このオプションを設定する設定ファイルに対する相対パスとして指定する必要があります。

remote_content_type = application/x-www-form-urlencoded

文字列値

REST ベースのポリシーチェックのデータを送受信するコンテンツ種別

remote_ssl_ca_crt_file = None

文字列値

REST ベースのポリシーチェック用の認証局証明書ファイルの絶対パス

remote_ssl_client_crt_file = None

文字列値

REST ベースのポリシーチェック用のクライアント証明書の絶対パス

remote_ssl_client_key_file = None

文字列値

REST ベースのポリシーチェック用のクライアント鍵ファイルの絶対パス

remote_ssl_verify_server_crt = False

ブール値

REST ベースのポリシーチェックのサーバーアイデンティティー検証

aes_gcm_generate_iv = True

ブール値

CKM_AES_GCM メカニズムの IV を生成します。

always_set_cka_sensitive = True

ブール値

CKA_EXTRACTABLE=CK_TRUE キーを含め、CKA_SENSITIVE=CK_TRUE を常に設定します。

encryption_mechanism = CKM_AES_CBC

文字列値

シークレット暗号化メカニズム

hmac_key_type = CKK_AES

文字列値

HMAC 鍵の種別

hmac_keygen_mechanism = CKM_AES_KEY_GEN

文字列値

HMAC 鍵生成アルゴリズム

hmac_keywrap_mechanism = CKM_SHA256_HMAC

文字列値

HMAC 鍵ラッピングメカニズム

hmac_label = None

文字列値

マスター HMAC 鍵ラベル (HSM に保存されている)

library_path = None

文字列値

ベンダー PKCS11 ライブラリーへのパス

login = None

文字列値

PKCS11 セッションにログインするためのパスワード

mkek_label = None

文字列値

マスター KEK ラベル (HSM に保存される)

mkek_length = None

整数値

マスター KEK の長さ (バイト単位)。

os_locking_ok = False

ブール値

PKCS#11 クライアントライブラリーを初期化する際に、CKF_OS_LOCKING_OK フラグを有効にします。

pkek_cache_limit = 100

整数値

プロジェクト KEK キャッシュ項目の制限

pkek_cache_ttl = 900

整数値

Project KEK キャッシュの存続期間 (秒単位)

pkek_length = 32

整数値

プロジェクト KEK の長さ (バイト単位)。

plugin_name = PKCS11 HSM

文字列値

ユーザーフレンドリーなプラグイン名

rw_session = True

ブール値

読み取り/書き込み可能なセッションのフラグ

`seed_file = `

文字列値

RNG のシード用エントロピーをプルするためのファイル

seed_length = 32

整数値

シードのためにファイルから読み取るデータの量

slot_id = 1

整数値

(オプション) 使用するトークンデバイスが含まれる HSM スロット ID。

token_label = None

文字列値

非推奨: 代わりに token_labels を使用します。使用するトークンを識別するために使用されるトークンラベル。

token_labels = None

リスト値

使用する 1 つ以上のトークンのラベルのリスト。これは通常 1 つのラベルですが、一部の HSM デバイスには負荷分散または高可用性設定用に複数のラベルが必要な場合があります。

token_serial_number = None

文字列値

使用するトークンを識別するために使用されるトークンのシリアルナンバー。

asynchronous_workers = 1

整数値

非同期ワーカープロセスの数

enable = False

ブール値

true はキューを有効にし、false はワーカーを同期して呼び出します。

namespace = barbican

文字列値

キューの名前空間

server_name = barbican.queue

文字列値

RPC タスク処理サーバーのサーバー名

topic = barbican.workers

文字列値

キュートピック名

version = 1.1

文字列値

キューを介して呼び出されるタスクのバージョン

quota_cas = -1

整数値

プロジェクトごとに許可される CA の数

quota_consumers = -1

整数値

プロジェクトごとに許可されるコンシューマーの数

quota_containers = -1

整数値

プロジェクトごとに許可されるコンテナー数

quota_orders = -1

整数値

プロジェクトごとに許可されるオーダーの数

quota_secrets = -1

整数値

プロジェクトごとに許可されるシークレットの数

initial_delay_seconds = 10.0

浮動小数点の値

再試行スケジューラーを起動するまで待機する時間 (浮動小数点)

periodic_interval_max_seconds = 10.0

浮動小数点の値

定期的なスケジュールイベント間で待機する秒数 (浮動小数点)

enable_multiple_secret_stores = False

ブール値

複数のシークレットストアプラグインバックエンドのサポートを有効にするフラグ。デフォルトは False です。

enabled_secretstore_plugins = ['store_crypto']

多値

読み込むシークレットストアプラグインのリスト。

namespace = barbican.secretstore.plugin

文字列値

プラグインを検索する拡張名前空間。

stores_lookup_suffix = None

リスト値

複数のバックエンドサポートでサポートされるプラグインの検索に使用する接尾辞のリスト。

kek = dGhpcnR5X3R3b19ieXRlX2tleWJsYWhibGFoYmxhaGg=

文字列値

Simple Crypto プラグインによって使用されるキー暗号化キー

plugin_name = Software Only Crypto

文字列値

ユーザーフレンドリーなプラグイン名

ca_cert_chain_path = None

文字列値

CA 証明書チェーンファイルへのパス

ca_cert_key_path = None

文字列値

CA 証明書キーファイルへのパス

ca_cert_path = None

文字列値

CA 証明書ファイルへのパス

ca_cert_pkcs7_path = None

文字列値

CA チェーン pkcs7 ファイルへのパス

subca_cert_key_directory = /etc/barbican/snakeoil-cas

文字列値

サブキャスの証明書/キーを保存するディレクトリー

ca_file = None

文字列値

接続クライアントの検証に使用する CA 証明書ファイル。

cert_file = None

文字列値

サーバーをセキュアに起動する際に使用する証明書ファイル。

ciphers = None

文字列値

利用可能な暗号のリストを設定します。値は OpenSSL 暗号リスト形式の文字列である必要があります。

key_file = None

文字列値

サーバーをセキュアに起動する際に使用する秘密鍵ファイル。

version = None

文字列値

使用する SSL バージョン (SSL が有効な場合にのみ有効)。有効な値は TLSv1 および SSLv23 です。SSLv2、SSLv3、TLSv1_1、および TLSv1_2 は、一部のディストリビューションで利用できます。