Oracle Cloud Infrastructure - Dokumentation

Schlüssel rotieren

Das Rotieren einer Kerberos-Schlüsseltabelle, die für die File Storage-Authentifizierung verwendet wird, muss sorgfältig erfolgen, um einen Verfügbarkeitsausfall zu vermeiden.

NFS-Clients, die Kerberos zur Authentifizierungsaktualisierung von Tickets verwenden, basieren auf einem vom KDC-Administrator angegebenen Intervall. Beim Drehen von Schlüsseltabelleneinträgen muss das Mountziel sowohl die alten als auch die neuen Werte akzeptieren, bis alle Clients ihre Tickets aktualisiert haben. Wenn der alte Keytab-Eintrag zu früh entfernt wird, kann es bei Clients, die ihre Tickets nicht aktualisiert haben, zu einem Ausfall der Verfügbarkeit kommen.

So aktualisieren Sie eine in der File Storage-Authentifizierung verwendete Kerberos-Schlüsseltabelle sicher:

  1. Generieren Sie eine Schlüsseltabelle aus dem KDC mit neuen Schlüsselversionen, und konvertieren Sie sie in das Base64-Format.
  2. Laden Sie die Keytab als neue Secret-Version des vorhandenen Keytab Secrets in OCI Vault hoch. Stellen Sie sicher, dass das ausgewählte Format der neuen Secret-Version Base64 lautet. Weitere Informationen finden Sie unter Überblick über Vault.
  3. Aktualisieren Sie die Keytab-Informationen des Mountziels:
    1. Öffnen Sie das Navigationsmenü , und wählen Sie Speicher aus. Wählen Sie unter File Storage die Option Mountziele aus.
    2. Wählen Sie im Abschnitt Listenbereich unter Compartment ein Compartment aus.
    3. Suchen Sie das Mountziel, für das Sie Kerberos-Keytab-Versionen aktualisieren müssen, klicken Sie auf das Menü Aktionen (drei Punkte) und dann auf Details anzeigen.
    4. Klicken Sie auf die Registerkarte NFS, um die vorhandenen NFS-Einstellungen für das Mountziel anzuzeigen.
    5. Klicken Sie neben Kerberos auf Verwalten.
    6. Aktualisieren Sie im Abschnitt Schlüsseltabelleninformationen die Schlüsseltabellen:
      • Wählen Sie die neue Keytab-Version als Aktuelle Keytab-Secret-Version aus
      • Wählen Sie die alte Keytab-Version als Backup Keytab Secret-Version aus.
  4. Warten Sie, bis alle NFS-Clients ihre Kerberos-Tickets aktualisiert haben.
  5. Entfernen Sie die Backup-Keytab-Secret-Version aus der Mountzielkonfiguration.