Make the MongoDB docs better! We value your opinion. Share your feedback for a chance to win $100.
Click here >
Docs Menu
Docs Home
/ /
Interno
Docs Home
/ /
Autenticación
/
Interno
Docs Home
/
Gestión
/
Seguridad
/
Usuarios
/
Autenticación
/
Interno

Rotar claves para clústeres fragmentados autogestionados

Los nodos del clúster particionado pueden utilizar keyfiles para autenticarse unos a otros como miembros de la misma implementación.

Un archivo clave puede contener múltiples claves y la autenticación de membresía se establece si al menos una clave es común entre los nodos. Esto permite una actualización continua de las claves sin tiempo de inactividad.

El siguiente tutorial explica el proceso para actualizar la clave de un clúster fragmentado, sin ningún tiempo de inactividad. [1]

Advertencia

Las claves de ejemplo en este tutorial son solo con fines ilustrativos. Hacer NO se utiliza para tu implementación. En su lugar, genere un archivo de clave usando cualquier método que elija (por ejemplo, openssl rand -base64 756, etc.).

Considera un clúster fragmentado donde el archivo clave de cada nodo contiene la siguiente clave:

Imagen de la clave actual a reemplazar.

El siguiente procedimiento actualiza los nodos del clúster fragmentado para que utilicen una nueva clave:

Imagen de la nueva clave.
[1] Este tutorial no es aplicable al archivo de claves utilizado para la gestión local de claves del motor de almacenamiento cifrado de MongoDB. Ese archivo de claves solo puede contener una única clave.

Procedimiento

1. Modificar el archivo de claves para incluir claves antiguas y nuevas

Modifique el archivo clave de cada nodo para incluir tanto las claves antiguas como las nuevas.

Advertencia

Las claves de ejemplo de este tutorial son solo para fines ilustrativos. NO lo uses para su implementación. En lugar de esto, genera un archivo clave usando cualquier método que elijas (por ejemplo, openssl rand -base64 756, etc.).

Se pueden especificar varias cadenas clave como una secuencia de cadenas clave (opcionalmente entre comillas):

Imagen de una secuencia de varias key string.

1. Reiniciar cada nodo

Una vez que todos los archivos clave contengan tanto las claves antigua como nueva, reinicie cada nodo uno a la vez.

servidor de configuración

Para cada secundario del set de réplicas del servidor de configuración (CSRS), conecte mongosh al socio y:

  1. Utiliza el método db.shutdownServer() para apagar el nodo:

    use admin
    db.shutdownServer()

  2. Reinicia el nodo.

Para el primario, conecte mongosh al nodo y

  1. Usa rs.stepDown() para destituir al nodo:

    rs.stepDown()

  2. Utiliza el método db.shutdownServer() para apagar el nodo:

    use admin
    db.shutdownServer()

  3. Reinicia el nodo.

Partición Set de Réplicas

Para cada miembro secundario de los sets de réplica de la partición, conecta mongosh al nodo y:

  1. Utiliza el método db.shutdownServer() para apagar el nodo:

    use admin
    db.shutdownServer()

  2. Reinicia el nodo.

Para el primario de cada set de réplicas de partición, conecta mongosh al nodo y

  1. Usa rs.stepDown() para destituir al nodo:

    rs.stepDown()

  2. Utiliza el método db.shutdownServer() para apagar el nodo:

    use admin
    db.shutdownServer()

  3. Reinicia el nodo.

mongos Routers

Para cada instancia mongos/router, conecta mongosh a la instancia mongos y:

  1. Utiliza el método db.shutdownServer() para apagar el nodo:

    use admin
    db.shutdownServer()

  2. Reinicia el nodo.

Una vez que todos los miembros han sido reiniciados, los miembros ahora aceptan la clave antigua o nueva para la autenticación de membresía.

3. Actualiza el contenido del Keyfile para que contenga solo la nueva clave

Advertencia

Las claves de ejemplo de este tutorial son solo para fines ilustrativos. NO lo uses para su implementación. En lugar de esto, genera un archivo clave usando cualquier método que elijas (por ejemplo, openssl rand -base64 756, etc.).

Modifica el archivo clave de cada nodo para incluir solo la nueva contraseña.

Imagen de la nueva clave.

4. Reiniciar cada nodo

Una vez que todos los archivos de claves contengan solo la nueva clave, reinicie cada nodo uno a la vez.

servidor de configuración

Para cada secundario del set de réplicas del servidor de configuración (CSRS), conecta mongosh al nodo y:

  1. Utiliza el método db.shutdownServer() para apagar el nodo:

    use admin
    db.shutdownServer()

  2. Reinicia el nodo.

Para el primario, conecte mongosh al nodo y

  1. Usa rs.stepDown() para destituir al nodo:

    rs.stepDown()

  2. Utiliza el método db.shutdownServer() para apagar el nodo:

    use admin
    db.shutdownServer()

  3. Reinicia el nodo.

Partición Set de Réplicas

Para cada miembro secundario de los sets de réplica de la partición, conecta mongosh al nodo y:

  1. Utiliza el método db.shutdownServer() para apagar el nodo:

    use admin
    db.shutdownServer()

  2. Reinicia el nodo.

Para el primario de cada set de réplicas de partición, conecta mongosh al nodo y

  1. Usa rs.stepDown() para destituir al nodo:

    rs.stepDown()

  2. Utiliza el método db.shutdownServer() para apagar el nodo:

    use admin
    db.shutdownServer()

  3. Reinicia el nodo.

mongos Routers

Para cada instancia mongos/router, conecta mongosh a la instancia mongos y:

  1. Utiliza el método db.shutdownServer() para apagar el nodo:

    use admin
    db.shutdownServer()

  2. Reinicia el nodo.

Una vez que se haya reiniciado a todos los nodos, los nodos ahora solo aceptan la nueva clave para la autenticación de membresía.

Volver

Rotar claves del Set de réplicas

Next

Utilice X.509