キーのローテーション

ファイル・ストレージ認証に使用されるKerberosキータブのローテーションは、可用性の停止を回避するために慎重に実行する必要があります。

認証に Kerberosを使用するNFSクライアントは、KDC管理者が指定した間隔に基づいてチケットをリフレッシュします。keytabエントリをローテーションする場合、すべてのクライアントがチケットをリフレッシュするまで、マウント・ターゲットは古い値と新しい値の両方を受け入れる必要があります。古いkeytabエントリが早期に削除された場合、チケットをリフレッシュしていないクライアントでは、可用性が低下する可能性があります。

ファイル・ストレージ認証で使用されるKerberosキータブを安全に更新するには:

1. 新しいキー・バージョンでKDCからキータブを生成し、Base64形式に変換します。
2. keytabを既存のkeytabシークレットの新しいシークレット・バージョンとしてOCI Vaultにアップロードします。新しいシークレット・バージョンの選択された形式がBase64であることを確認します。詳細は、ボールトの概要を参照してください。
3. マウント・ターゲットのキータブ情報を更新します:
   1. ナビゲーション・メニューを開き、「ストレージ」を選択します。「ファイル・ストレージ」で、「マウント・ターゲット」を選択します。
   2. 「リスト範囲」セクションの「コンパートメント」を選択します。
   3. Kerberosキータブ・バージョンを更新する必要があるマウント・ターゲットを検索し、「アクション」メニュー()をクリックして、「詳細の表示」をクリックします。
   4. 「NFS」タブをクリックして、マウント・ターゲットの既存のNFS設定を表示します。
   5. Kerberosの横にある「管理」をクリックします。
   6. 「キータブ情報」セクションで、キータブを更新します。
      • 新しいkeytabバージョンを現在のKeytabシークレットのバージョンとして選択します
      • 「バックアップKeytabシークレットのバージョン」として、古いkeytabバージョンを選択します。
4. すべてのNFSクライアントが Kerberosチケットをリフレッシュするまで待ちます。
5. マウント・ターゲット構成からバックアップ・キータブ・シークレット・バージョンを削除します。