Docs Menu
Docs Home
/ /
Interno
Docs Home
/ /
Autenticación
/
Interno
Docs Home
/
Manual de base de datos
/
Implementaciones autogestionadas
/
Seguridad
/
Autenticación
/
Interno

Rotar claves para clústeres fragmentados autogestionados

Los miembros del clúster fragmentado pueden usar archivos clave para autenticarse entre sí como miembros de la misma implementación.

Un archivo de claves puede contener varias claves, y la autenticación de miembros se establece si al menos una clave es común a todos los miembros. Esto permite la actualización gradual de las claves sin tiempo de inactividad.

El siguiente tutorial describe el proceso para actualizar, sin tiempo de inactividad, la clave de un clúster fragmentado. []1

Advertencia

Las claves de ejemplo de este tutorial son solo para fines ilustrativos. NO lo use para su implementación. En su lugar, genere un archivo de claves utilizando cualquier método que elija (por ejemplo, openssl rand -base64 756, etc.).

Considere un clúster fragmentado donde el archivo de claves de cada miembro contiene la siguiente clave:

Imagen de la clave actual a reemplazar.

El siguiente procedimiento actualiza los miembros del clúster fragmentado para usar una nueva clave:

Imagen de nueva llave.
[1] Este tutorial no aplica al archivo de claves utilizado para la gestión de claves locales del motor de almacenamiento cifrado de MongoDB. Dicho archivo de claves solo puede contener una clave.

Procedimiento

1. Modificar el archivo de claves para incluir claves antiguas y nuevas

Modifique el archivo de claves de cada miembro para incluir las claves antiguas y nuevas.

Advertencia

Las claves de ejemplo de este tutorial son solo ilustrativas.NO las utilice para su implementación. En su lugar, genere un archivo de claves con el método que prefiera (p. ej.,, openssl rand -base64 756 etc.).

Puede especificar varias cadenas de claves como una secuencia de cadenas de claves (opcionalmente entre comillas):

Imagen de una secuencia de cadenas de claves múltiples.

1. Reiniciar cada miembro

Una vez que todos los archivos de claves contengan las claves antiguas y nuevas, reinicie cada miembro uno a la vez.

Servidores de configuración

Para cada secundario del conjunto de réplicas del servidor de configuración (CSRS), conecte al miembro mongosh y:

  1. Utilice el método para cerrar el db.shutdownServer() miembro:

    use admin
    db.shutdownServer()

  2. Reinicia el nodo.

Para el primario, conecte al miembro mongosh y

  1. Utilice para reducir el rs.stepDown() miembro:

    rs.stepDown()

  2. Utilice el método para cerrar el db.shutdownServer() miembro:

    use admin
    db.shutdownServer()

  3. Reinicia el nodo.

Conjuntos de réplicas de fragmentos

Para cada miembro secundario de los conjuntos de réplicas de fragmentos, conecte al miembro mongosh y:

  1. Utilice el método para cerrar el db.shutdownServer() miembro:

    use admin
    db.shutdownServer()

  2. Reinicia el nodo.

Para el principal de cada conjunto de réplicas de fragmentos, conecte al miembro mongosh y

  1. Utilice para reducir el rs.stepDown() miembro:

    rs.stepDown()

  2. Utilice el método para cerrar el db.shutdownServer() miembro:

    use admin
    db.shutdownServer()

  3. Reinicia el nodo.

mongos Enrutadores

Para cada instancia de mongos/enrutador, conecte mongosh a la instancia mongos y:

  1. Utilice el método para cerrar el db.shutdownServer() miembro:

    use admin
    db.shutdownServer()

  2. Reinicia el nodo.

Una vez que todos los miembros han sido reiniciados, los miembros ahora aceptan la clave antigua o nueva para la autenticación de membresía.

3. Actualizar el contenido del archivo de claves solo a la nueva clave

Advertencia

Las claves de ejemplo de este tutorial son solo ilustrativas.NO las utilice para su implementación. En su lugar, genere un archivo de claves con el método que prefiera (p. ej.,, openssl rand -base64 756 etc.).

Modifica el archivo clave de cada nodo para incluir solo la nueva contraseña.

Imagen de nueva llave.

4. Reiniciar cada miembro

Una vez que todos los archivos clave contengan solo la nueva clave, reinicie cada miembro uno a la vez.

Servidores de configuración

Para cada secundario del conjunto de réplicas del servidor de configuración (CSRS), conecte al miembro mongosh y:

  1. Utilice el método para cerrar el db.shutdownServer() miembro:

    use admin
    db.shutdownServer()

  2. Reinicia el nodo.

Para el primario, conecte al miembro mongosh y

  1. Utilice para reducir el rs.stepDown() miembro:

    rs.stepDown()

  2. Utilice el método para cerrar el db.shutdownServer() miembro:

    use admin
    db.shutdownServer()

  3. Reinicia el nodo.

Conjuntos de réplicas de fragmentos

Para cada miembro secundario de los conjuntos de réplicas de fragmentos, conecte al miembro mongosh y:

  1. Utilice el método para cerrar el db.shutdownServer() miembro:

    use admin
    db.shutdownServer()

  2. Reinicia el nodo.

Para el principal de cada conjunto de réplicas de fragmentos, conecte al miembro mongosh y

  1. Utilice para reducir el rs.stepDown() miembro:

    rs.stepDown()

  2. Utilice el método para cerrar el db.shutdownServer() miembro:

    use admin
    db.shutdownServer()

  3. Reinicia el nodo.

mongos Enrutadores

Para cada instancia de mongos/enrutador, conecte mongosh a la instancia mongos y:

  1. Utilice el método para cerrar el db.shutdownServer() miembro:

    use admin
    db.shutdownServer()

  2. Reinicia el nodo.

Una vez que se hayan reiniciado todos los miembros, ahora solo aceptarán la nueva clave para la autenticación de membresía.

Volver

Rotar claves del Set de réplicas

Next

Utilice X.509