복제본 세트의 키 회전
복제본 세트 멤버는 키파일 을 사용하여 동일한 배포의 멤버로 서로를 인증할 수 있습니다.
키 파일 에는 여러 개의 키가 포함될 수 있으며 멤버 간에 하나 이상의 키가 공통적으로 사용되는 경우 멤버십 인증이 설정됩니다. 이를 통해 다운타임 없이 키를 롤링 업그레이드할 수 있습니다.
다음 튜토리얼에서는 다운타임 없이 복제본 세트의 키를 업데이트하는 프로세스를 단계별로 설명합니다. [1]
경고
이 튜토리얼의 예제 키는 설명 목적으로만 사용됩니다. 배포에 사용하지 마세요 . 대신 선택한 메서드를 사용하여 키 파일을 생성합니다(예: openssl rand -base64
756 등).
각 멤버의 키 파일에 다음 키가 포함된 복제본 세트를 생각해 보세요.
다음 절차는 새 키를 사용하도록 복제본 세트 멤버를 업데이트합니다.
| [1] | 이 튜토리얼은 MongoDB의 암호화된 스토리지 엔진 로컬 키 관리에 사용되는 키 파일 에는 적용되지 않습니다. 해당 키파일 에는 하나의 키만 포함할 수 있습니다. |
절차
1. 이전 키와 새 키를 포함하도록 키 파일 수정
이전 키와 새 키를 모두 포함하도록 각 멤버의 키 파일을 수정합니다. 여러 키를 따옴표로 묶은 문자열이나 키 시퀀스로 지정할 수 있습니다.
경고
이 튜토리얼의 예제 키는 설명 목적으로만 사용됩니다. 배포서버에 사용하지 마세요 . 대신 원하는 방법을 사용하여 키 파일을 생성합니다(예: openssl rand -base64
756 등).
여러 키 문자열을 키 문자열의 시퀀스로 지정할 수 있습니다(선택적으로 작은따옴표 또는 큰따옴표로 묶음).
2. 각 멤버 다시 시작
모든 키 파일에 이전 키와 새 키가 모두 포함되면 각 멤버를 한 번에 하나씩 다시 시작합니다.
각 세컨더리 멤버 에 대해 mongosh 를 멤버에 연결하고 다음을 수행합니다.
db.shutdownServer()메서드를 사용하여 멤버를 종료합니다:use admin db.shutdownServer() 멤버를 다시 시작합니다.
프라이머리의 경우 mongosh 를 멤버에 연결하고
rs.stepDown()를 사용하여 멤버를 물러나게 합니다:rs.stepDown() db.shutdownServer()메서드를 사용하여 멤버를 종료합니다:use admin db.shutdownServer() 멤버를 다시 시작합니다.
키 파일에 이전 키와 새 키가 모두 포함되어 있으므로 모든 멤버는 이제 멤버십 인증을 위해 두 키 중 하나를 수락할 수 있습니다.
3. 키 파일 콘텐츠를 새 키로만 업데이트
경고
이 튜토리얼의 예제 키는 설명 목적으로만 사용됩니다. 배포서버에 사용하지 마세요 . 대신 원하는 방법을 사용하여 키 파일을 생성합니다(예: openssl rand -base64
756 등).
새 비밀번호만 포함하도록 각 멤버의 키 파일을 수정합니다.
4. 각 멤버 다시 시작
모든 키 파일에 새 키만 포함되면 각 멤버를 한 번에 하나씩 다시 시작합니다.
각 세컨더리 멤버 에 대해 mongosh 를 멤버에 연결하고 다음을 수행합니다.
db.shutdownServer()메서드를 사용하여 멤버를 종료합니다:use admin db.shutdownServer() 멤버를 다시 시작합니다.
프라이머리의 경우 mongosh 를 멤버에 연결하고
rs.stepDown()를 사용하여 멤버를 물러나게 합니다:rs.stepDown() db.shutdownServer()메서드를 사용하여 멤버를 종료합니다:use admin db.shutdownServer() 멤버를 다시 시작합니다.
이제 모든 멤버는 멤버십 인증을 위해 새 키만 허용합니다.