13.3. 更新 OpenStack 环境中的 SSH 密钥

流程

1. 登录到 RHOSP director：

   $ ssh stack@director

2. 运行 ansible-playbook ssh_key_rotation.yaml ：

   $ ansible-playbook \
   -i /home/stack/overcloud-deploy/<stack_name>/tripleo-ansible-inventory.yaml \
   -e undercloud_backup_folder=<full_backup_path> \
   -e stack_name=<stack_name> \
   /usr/share/ansible/tripleo-playbooks/ssh_key_rotation.yaml

   • 将 <stack_name > 替换为 overcloud 堆栈的名称。默认名称为 overcloud。

   • 将 < full_backup_path > 替换为 堆栈 主目录中您选择的目录的完整路径。例如，/home/stack/overcloud_backup_keys。

     注意

     如果 playbook 无法找到 SSH 密钥，您必须指定 Ansible playbook 才能工作的密钥位置。如果您在路径中有多个密钥，您必须设置 密钥位置，以避免意外覆盖正确的键。

     您可以通过设置 keys_folder 和 keys_name 参数来指定 SSH 密钥位置，而不 设置 < stack_name> 参数。例如，如果 SSH 密钥位置是 /home/stack/.ssh/id_rsa，请设置以下值：* keys_folder=/home/stack/.ssh * keys_name=id_rsa

3. 可选：如果您的环境中有多个单元，请为您拥有的每个额外单元重新运行 playbook：

   $ ansible-playbook \
   -i /home/stack/overcloud-deploy/<stack_name>/tripleo-ansible-inventory.yaml \
   -e stack_name=<stack_name> \
   -e rotate_undercloud_key=false \
   -e ansible_ssh_private_key_file=/home/stack/overcloud_backup_keys/id_rsa
   tripleo-ansible/playbooks/ssh_key_rotation.yaml

   • 将 <stack_name > 替换为单元的堆栈名称。每个单元都有不同的名称。
   • 您必须通过将 rotate_undercloud_key 参数设置为 false 来确保 undercloud 密钥 不会被 轮转。
   • 使用 ansible_ssh_private_key_file 参数指向您的 SSH 备份密钥。这样可确保您可以在轮转旧的 SSH 密钥后，对其他单元中的 Compute 主机进行身份验证。

4. 可选： 您可以将 SSH 密钥复制到 ${HOME}/.ssh 目录中，以避免在每次连接到 overcloud 节点时使用 a -i 选项指定 SSH 密钥。此操作将覆盖此目录中的 id_rsa 和 id_rsa.pub 密钥。如果您使用这些密钥用于任何其他目的，请在执行此操作前移动或备份它们：

   $ cp /home/stack/overcloud-deploy/overcloud/<private_key> ~/.ssh/id_rsa
   $ cp /home/stack/overcloud-deploy/overcloud/<public_key> ~/.ssh/id_rsa.pub

   • 将 <private_key > 替换为私有 SSH 密钥的文件名。
   • 将 <public_key > 替换为公共 SSH 密钥的文件名。
5. 验证新 SSH 密钥是否正常工作，如果是，请手动删除您之前的 SSH 密钥。