13.3. OpenStack 환경에서 SSH 키 업데이트
또한 다음 시나리오에서 SSH 키가 2048비트 미만인 경우 업데이트해야 합니다.
- RHOSP 16.2에서 17.1로 업그레이드하는 동안 RHOSP(Red Hat OpenStack Platform) 클러스터를 RHEL 9.2로 업그레이드하고 있습니다.
- RHOSP 17.0 또는 17.1 마이너 릴리스에서 최신 RHOSP 17.1 마이너 릴리스로 업데이트 중입니다.
ssh_key_rotation.yaml
Ansible 플레이북을 실행하여 SSH 키를 순환하는 프로세스를 안전하게 자동화합니다. 오버클라우드에서 백업 키는 다음 디렉터리에 저장됩니다.
/home/{{ ansible_user_id }}/backup_keys/{{ ansible_date_time.epoch }}/authorized_keys"
사전 요구 사항
- 완전히 설치된 RHOSP 환경이 있습니다.
프로세스
RHOSP director에 로그인합니다.
ssh stack@director
ansible-playbook
ssh_key_rotation.yaml
:을 실행합니다.$ ansible-playbook \ -i /home/stack/overcloud-deploy/<stack_name>/tripleo-ansible-inventory.yaml \ 1 -e undercloud_backup_folder=/home/stack/overcloud_backup_keys \ 2 -e stack_name=<stack_name> \ 3 /usr/share/ansible/tripleo-playbooks/ssh_key_rotation.yaml
- 1
- &
lt;stack_name&
gt;을 오버클라우드 스택의 이름으로 바꿉니다. - 2
stack
홈 디렉터리에서 선택한 백업 디렉터리를 지정합니다.- 3
- SSH 키의 경로가 포함된 파일을 찾습니다. 플레이북에서 SSH 키를 찾을 수 없는 경우 <
stack
_name> 매개변수를 설정하지 않고keys_folder
및keys_name
매개변수를 설정하여 SSH 키 위치를 지정할 수 있습니다. 예를 들어 SSH 키 위치가/home/stack/.ssh/id_rsa
인 경우 다음 값을 설정합니다.-
keys_folder=/home/stack/.ssh
keys_name=id_rsa
참고단일 셀링 배포가 있는 경우 이 절차를 완료하십시오. 둘 이상의 셀이 있는 경우 계속해야 합니다.
-
다음을 포함하는 각 추가 셀에 대해 플레이북을 재실행합니다.
ansible-playbook \ -i /home/stack/overcloud-deploy/<stack_name>/tripleo-ansible-inventory.yaml \ 1 -e stack_name=<stack_name> \ 2 -e rotate_undercloud_key=false \ 3 -e ansible_ssh_private_key_file=/home/stack/overcloud_backup_keys/id_rsa 4 tripleo-ansible/playbooks/ssh_key_rotation.yaml
- 1
- &
lt;stack_name&
gt;을 셀의 스택 이름으로 바꿉니다. 각 셀마다 다른 이름이 있습니다. - 2
- SSH 키의 경로가 포함된 파일을 찾습니다. 플레이북에서 SSH 키를 찾을 수 없는 경우 <
stack
_name> 매개변수를 설정하지 않고keys_folder
및keys_name
매개변수를 설정하여 SSH 키 위치를 지정할 수 있습니다. 예를 들어 SSH 키 위치가/home/stack/.ssh/id_rsa
인 경우 다음 값을 설정합니다.-
keys_folder=/home/stack/.ssh
-
keys_name=id_rsa
-
- 3
rotate_undercloud_key
매개변수를false
로 설정하여 언더클라우드 키가 교체 되지 않았는지 확인해야 합니다.- 4
- 이전 SSH 키가 순환된 후 다른 셀의 Compute 호스트에 인증할 수 있도록 SSH 백업 키를 가리킵니다.