支持控制台(Console)开发人员开始试用联系人

34.7. 轮转解密密钥

在不发生停机的情况下更改机密需要执行多步骤操作,特别是在有多个 API 服务器运行的高可用性部署中。

  1. 生成新密钥并将其添加到所有服务器中当前提供程序的第二个密钥条目。

  2. 重启所有 API 服务器,以确保每个服务器都可以使用新密钥进行解密。

    注意

    如果使用单一 API 服务器,您可以跳过这一步。 

    # master-restart api
# master-restart controllers
  3. 将新的密钥放置到 keys 数组中的第一个条目,以便它用于配置中进行加密。

  4. 重启所有 API 服务器,以确保每个服务器现在都使用新密钥加密。 

    # master-restart api
# master-restart controllers

  5. 运行以下命令使用新密钥加密所有现有 secret: 

    $ oc adm migrate storage --include=secrets --confirm
  6. 在使用新密钥备份 etcd 并更新所有 secret 后,从配置中删除旧的解密密钥。
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.