Red Hat Summit8.2. 워크플로우 서비스를 사용하여 keys(키) 교체
스택 업데이트 후 Cryostat 키가 유지되도록 하려면 워크플로우 서비스(mistral)로 키를 순환합니다. 기본적으로 director는 ManageKeystoneFernetKeys 매개변수를 사용하여 환경 파일에서 overcloud Cryostat 키를 관리합니다. Cryostat 키는 Workflow 서비스, KeystoneFernetKeys 섹션에 저장됩니다.
절차
기존 Cryostat 키를 검토합니다.
Cryostat 키 위치를 식별합니다. Controller 노드에 tripleo-admin 사용자로 로그인하고
crudini명령을 사용하여 Cryostat 키를 쿼리합니다.[stack@<undercloud_host> ~]$ ssh tripleo-admin@overcloud-controller-o [tripleo-admin@overcloud-controller-0 ~]$ sudo crudini --get /var/lib/config-data/puppet-generated/keystone/etc/keystone/keystone.conf fernet_tokens key_repository /etc/keystone/fernet-keys참고/etc/keystone/디렉터리는 컨테이너 파일 시스템 경로를 나타냅니다.현재 key 디렉토리를 검사합니다.
[tripleo-admin@overcloud-controller-0 ~]$ sudo ls /var/lib/config-data/puppet-generated/keystone/etc/keystone/fernet-keys 0 1 2-
0- 다음 기본 키가 되고 항상0이 되는 스테이징된 키를 포함합니다. -
1- 보조 키를 포함합니다. 2- 기본 키를 포함합니다. 이 수는 키가 회전할 때마다 증가합니다. 가장 높은 숫자는 항상 기본 키 역할을 합니다.참고-
최대 키 수는
max_active_keys속성으로 설정됩니다. 기본값은 5 키입니다. - 키는 모든 컨트롤러 노드에 전파됩니다.
-
최대 키 수는
-
workflow명령을 사용하여 Cryostat 키를 순환합니다.[stack@director ~]$ source ~/stackrc [stack@director ~]$ openstack workflow execution create tripleo.fernet_keys.v1.rotate_fernet_keys {"container": "overcloud"} --------------------------------------------------------------+ | Field | Value | --------------------------------------------------------------+ | ID | 58c9c664-b966-4f82-b368-af5ed8de5b47 | | Workflow ID | 78f0990a-3d34-4bf2-a127-10c149bb275c | | Workflow name | tripleo.fernet_keys.v1.rotate_fernet_keys | | Description | | | Task Execution ID | <none> | | State | RUNNING | | State info | None | | Created at | 2017-12-20 11:13:50 | | Updated at | 2017-12-20 11:13:50 | --------------------------------------------------------------+
검증
ID를 검색하고 워크플로우가 성공했는지 확인합니다.
[stack@director ~]$ openstack workflow execution show 58c9c664-b966-4f82-b368-af5ed8de5b47 --------------------------------------------------------------+ | Field | Value | --------------------------------------------------------------+ | ID | 58c9c664-b966-4f82-b368-af5ed8de5b47 | | Workflow ID | 78f0990a-3d34-4bf2-a127-10c149bb275c | | Workflow name | tripleo.fernet_keys.v1.rotate_fernet_keys | | Description | | | Task Execution ID | <none> | | State | SUCCESS | | State info | None | | Created at | 2017-12-20 11:13:50 | | Updated at | 2017-12-20 11:15:00 | --------------------------------------------------------------+컨트롤러 노드에서 Cryostat 키 수를 검토하고 이전 결과와 비교합니다.
[tripleo-admin@overcloud-controller-0 ~]$ sudo ls /var/lib/config-data/puppet-generated/keystone/etc/keystone/fernet-keys 0 1 2 3-
0- 스테이징된 키를 포함하며 항상0으로 번호가 매겨집니다. 이 키는 다음 교체 중에 기본 키가 됩니다. -
1 & 2- 보조 키를 포함합니다. 기본 키를 포함합니다.Contains the primary key.
이 수는 키가 회전할 때마다 증가합니다. 가장 높은 숫자는 항상 기본 키 역할을 합니다.참고-
최대 키 수는
max_active_keys속성으로 설정됩니다. 기본값은 5 키입니다. - 키는 모든 컨트롤러 노드에 전파됩니다.
-
최대 키 수는
-
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}