キーのローテーション

ファイル・ストレージ認証に使用されるKerberosキータブのローテーションは、可用性の停止を回避するために慎重に実行する必要があります。

認証に Kerberosを使用するNFSクライアントは、KDC管理者が指定した間隔に基づいてチケットをリフレッシュします。keytabエントリをローテーションする場合、すべてのクライアントがチケットをリフレッシュするまで、マウント・ターゲットは古い値と新しい値の両方を受け入れる必要があります。古いkeytabエントリが早期に削除された場合、チケットをリフレッシュしていないクライアントでは、可用性が低下する可能性があります。

ファイル・ストレージ認証で使用されるKerberosキータブを安全に更新するには:

1. 新しいキー・バージョンでKDCからキータブを生成し、Base64形式に変換します。
2. keytabを既存のkeytabシークレットの新しいシークレット・バージョンとしてOCI Vaultにアップロードします。新しいシークレット・バージョンの選択された形式がBase64であることを確認します。詳細は、ボールトの概要を参照してください。
3. マウント・ターゲットのキータブ情報を更新します:
   1. ナビゲーション・メニューを開き、「ストレージ」を選択します。「ファイル・ストレージ」で、「マウント・ターゲット」を選択します。
   2. 「コンパートメント」を選択します。
   3. 更新するマウント・ターゲットを選択します。
   4. 「アクション」メニューを選択し、「kerberosの管理」を選択します。
   5. 「Kerberosの管理」パネルの「キータブ情報」セクションで:
      • 現在のキータブ秘密バージョンとして新しいキータブ・バージョンを選択します
      • バックアップ・キータブ・シークレット・バージョンとして古いキータブ・バージョンを選択します。
   6. すべてのNFSクライアントが Kerberosチケットをリフレッシュするまで待ちます。
   7. マウント・ターゲット構成からバックアップ・キータブ・シークレット・バージョンを削除します。
   8. 「更新」を選択します。