Join us at MongoDB.local London on 7 May to unlock new possibilities for your data. Use WEB50 to save 50%.
Register now >
Docs Menu
Docs Home
/ /
Interno
Docs Home
/ /
Autenticación
/
Interno
Docs Home
/
Manual de base de datos
/
Implementaciones autogestionadas
/
Seguridad
/
Autenticación
/
Interno

Rotar claves para clústeres fragmentados autogestionados

Los miembros del clúster fragmentado pueden usar keyfiles para autenticarse unos a otros como miembros de la misma implementación.

Un archivo clave puede contener múltiples claves y la autenticación de membresía se establece si al menos una clave es común entre los nodos. Esto permite una actualización continua de las claves sin tiempo de inactividad.

El siguiente tutorial explica el proceso para actualizar la clave de un clúster fragmentado, sin ningún tiempo de inactividad. [1]

Advertencia

Las claves de ejemplo en este tutorial son solo con fines ilustrativos. Hacer NO se utiliza para tu implementación. En su lugar, genere un archivo de clave usando cualquier método que elija (por ejemplo, openssl rand -base64 756, etc.).

Considera un clúster fragmentado donde el archivo clave de cada nodo contiene la siguiente clave:

Imagen de la clave actual a reemplazar.

El siguiente procedimiento actualiza los miembros del clúster fragmentado para usar una nueva clave:

Imagen de la nueva clave.
[1] Este tutorial no aplica al archivo de claves utilizado para la gestión de claves locales del motor de almacenamiento cifrado de MongoDB. Dicho archivo de claves solo puede contener una clave.

Procedimiento

1. Modifique el archivo de claves para incluir claves antiguas y nuevas

Modifique el archivo clave de cada nodo para incluir tanto las claves antiguas como las nuevas.

Advertencia

Las claves de ejemplo de este tutorial son solo para fines ilustrativos. NO lo uses para su implementación. En lugar de esto, genera un archivo clave usando cualquier método que elijas (por ejemplo, openssl rand -base64 756, etc.).

Se pueden especificar varias cadenas clave como una secuencia de cadenas clave (opcionalmente entre comillas):

Imagen de una secuencia de cadenas de claves múltiples.

1. Reiniciar cada nodo

Una vez que todos los archivos de claves contengan las claves antiguas y nuevas, reinicie cada miembro uno a la vez.

servidor de configuración

Para cada secundario del conjunto de réplicas del servidor de configuración (CSRS), conecte al miembro mongosh y:

  1. Utilice el método para cerrar el db.shutdownServer() miembro:

    use admin
    db.shutdownServer()

  2. Reinicia el nodo.

Para el primario, conecte mongosh al nodo y

  1. Usa rs.stepDown() para destituir al nodo:

    rs.stepDown()

  2. Utilice el método para cerrar el db.shutdownServer() miembro:

    use admin
    db.shutdownServer()

  3. Reinicia el nodo.

Partición Set de Réplicas

Para cada miembro secundario de los conjuntos de réplicas de fragmentos, conecte al miembro mongosh y:

  1. Utilice el método para cerrar el db.shutdownServer() miembro:

    use admin
    db.shutdownServer()

  2. Reinicia el nodo.

Para el principal de cada conjunto de réplicas de fragmentos, conecte al miembro mongosh y

  1. Usa rs.stepDown() para destituir al nodo:

    rs.stepDown()

  2. Utilice el método para cerrar el db.shutdownServer() miembro:

    use admin
    db.shutdownServer()

  3. Reinicia el nodo.

mongos Enrutadores

Para cada instancia mongos/router, conecta mongosh a la instancia mongos y:

  1. Utilice el método para cerrar el db.shutdownServer() miembro:

    use admin
    db.shutdownServer()

  2. Reinicia el nodo.

Una vez que todos los miembros han sido reiniciados, los miembros ahora aceptan la clave antigua o nueva para la autenticación de membresía.

3. Actualiza el contenido del Keyfile para que contenga solo la nueva clave

Advertencia

Las claves de ejemplo de este tutorial son solo para fines ilustrativos. NO lo uses para su implementación. En lugar de esto, genera un archivo clave usando cualquier método que elijas (por ejemplo, openssl rand -base64 756, etc.).

Modifica el archivo clave de cada nodo para incluir solo la nueva contraseña.

Imagen de la nueva clave.

4. Reiniciar cada miembro

Una vez que todos los archivos de claves contengan solo la nueva clave, reinicie cada nodo uno a la vez.

servidor de configuración

Para cada secundario del conjunto de réplicas del servidor de configuración (CSRS), conecte al miembro mongosh y:

  1. Utilice el método para cerrar el db.shutdownServer() miembro:

    use admin
    db.shutdownServer()

  2. Reinicia el nodo.

Para el primario, conecte mongosh al nodo y

  1. Usa rs.stepDown() para destituir al nodo:

    rs.stepDown()

  2. Utilice el método para cerrar el db.shutdownServer() miembro:

    use admin
    db.shutdownServer()

  3. Reinicia el nodo.

Partición Set de Réplicas

Para cada miembro secundario de los conjuntos de réplicas de fragmentos, conecte al miembro mongosh y:

  1. Utilice el método para cerrar el db.shutdownServer() miembro:

    use admin
    db.shutdownServer()

  2. Reinicia el nodo.

Para el principal de cada conjunto de réplicas de fragmentos, conecte al miembro mongosh y

  1. Usa rs.stepDown() para destituir al nodo:

    rs.stepDown()

  2. Utilice el método para cerrar el db.shutdownServer() miembro:

    use admin
    db.shutdownServer()

  3. Reinicia el nodo.

mongos Enrutadores

Para cada instancia mongos/router, conecta mongosh a la instancia mongos y:

  1. Utilice el método para cerrar el db.shutdownServer() miembro:

    use admin
    db.shutdownServer()

  2. Reinicia el nodo.

Una vez que se hayan reiniciado todos los miembros, ahora solo aceptarán la nueva clave para la autenticación de membresía.

Volver

Rotar claves del Set de réplicas

Next

Utilice X.509