OpenStackBarbican密钥管理组件详解

### 简介
Barbican 是 OpenStack 社区的一个核心项目，主要负责为云服务及其他环境提供安全的密钥管理功能。它通过灵活的插件机制支持多种密钥管理和加密需求。
- GitHub 仓库: [https://github.com/openstack/barbican](https://github.com/openstack/barbican)
- 源码目录结构: [http://docs.openstack.org/developer/barbican/contribute/structure.html](http://docs.openstack.org/developer/barbican/contribute/structure.html)
- 官方 API 文档: [http://docs.openstack.org/developer/barbican/api/index.html](http://docs.openstack.org/developer/barbican/api/index.html)
- 安装与配置文档: [http://docs.openstack.org/developer/barbican/setup/index.html](http://docs.openstack.org/developer/barbican/setup/index.html)
- Wiki 页面: [https://wiki.openstack.org/wiki/Barbican](https://wiki.openstack.org/wiki/Barbican)

### 功能
Barbican 支持多种类型的安全信息存储，具体包括：
- **密钥**：支持对称和非对称密钥的存储，包括私钥（及其对应的公钥）和用于数字签名的密钥。通过插件设计，Barbican 可以与不同的软件或硬件安全模块（如 HSM）集成。
- **证书**：通过插件方式提供证书的签发和验证功能。需要注意的是，这一功能在 Pike 版本中已被弃用。
- **二进制数据**：支持任意形式的二进制数据存储。

### 架构
Barbican 的架构设计灵活，通过 Stevedore 实现了功能的插件化扩展。主要功能模块包括：
- **Crypto**：负责加密待存储的信息。后端支持 simple_crypto 和 HSM。其中 simple_crypto 的主密钥存储在 Barbican 配置文件中，存在较高的安全风险。
- **SecretStore**：负责生成和存储密钥。根据所使用的插件不同，可以生成不同类型（对称/非对称）的密钥。当前支持的插件包括 Dogtag 和 KMIP。
- **Certificate**：后端支持 Snakeoil、Symantec 和 Dogtag。

目前，国内企业对 Barbican 项目的贡献相对较少，但大唐高鸿自 Mitaka 版本起已开始参与该项目。随着 OpenStack 生态系统的不断成熟，Barbican 在社区内的关注度也在逐步提升。目前，已有多个 OpenStack 项目集成了 Barbican 的密钥管理功能，如 Cinder、Nova、Glance、Neutron、Octavia 和 Heat。

未来，社区计划进一步增强 Barbican 与其他 OpenStack 项目的集成，并拓展支持更多插件，如 HashiCorp Vault 和更高级别的加密插件。