Clustering¶
Pastaba
Šiuo metu ši funkcija yra techninė peržiūra su šiais laikinais apribojimais:
Jei klasteris prarandamas (prarandamas kvorumas), vienintelė atkūrimo priemonė yra gamyklinis atstatymas + atkūrimas. Būtinai dažnai darykite atsargines kopijas. Ateityje bus įtrauktos priemonės, skirtos atkurti duomenis diske.
Aktyvioji / pasyvioji sąranka, skirta dviejų mazgų klasteriams palaikyti, naudojant „etcd Learner“ arba „Mirror“, dar nepasiekiama.
Sistemos laiką tarp mazgų kol kas reikia sinchronizuoti rankiniu būdu. Ateityje bus išleista automatinė laikrodžio sinchronizacija.
NetHSM 4.0 ir vėlesnėse versijose palaikomas klasterizavimas, kad būtų galima tiesiogiai sinchronizuoti duomenis tarp kelių NetHSM. Taip palaikomas didelis raktų generavimo dažnumas, įgyvendinamas didelis prieinamumas ir apkrovos balansavimas. NetHSM klasteris yra pagrįstas etcd, kuriame naudojamas Raft konsensuso algoritmas, užtikrinantis stiprų nuoseklumą. Taip užtikrinama, kad duomenys (pvz., raktai) visuomet būtų teisingi visuose NetHSM.
Prieš kurdami NetHSM klasterį susipažinkite su šia technologija ir jos apribojimais, kad išvengtumėte atsitiktinio gedimo ir duomenų praradimo. Be šio dokumento, taip pat galite susipažinti su etcd dokumentacija.
Operational Redundancy¶
„Mazgu“ vadinsime NetHSM, kuris turėtų būti klasterio dalis. **** ` N` mazgų klasteris veiks tol, kol bent (N/2)+1 mazgai bus sveiki ir pasiekiami. Šis minimalus sveikų ir pasiekiamų mazgų kiekis vadinamas kvorumu.
Tai reiškia, kad galimi tokie scenarijai.
Vienas mazgas neveikia, o kvorumas vis tiek pasiekiamas¶
Jei 3 mazgų klasteryje vienas mazgas neveikia (sugenda arba tampa nepasiekiamas dėl tinklo sąlygų), kiti du mazgai toliau veikia ir aptarnauja užklausas.
Jei sugedęs mazgas vis dar sveikas (pvz., tai buvo tik tinklo problema), jis bus neveikiantis, kol bus izoliuotas (net tik skaitymui).
Tačiau jei mazgas atsigauna, jis vėl sinchronizuojasi su kitais klasterio mazgais ir vėl gali veikti neprarasdamas duomenų.
Jei jis neatsigauna, jį reikia pašalinti iš klasterio (žr. kitą skyrių), atstatyti gamyklinius parametrus ir vėl iš naujo atlikti prisijungimo procesą.
Įvyksta tinklo padalijimas, o kvorumas vis tiek pasiekiamas¶
Tai tik ankstesnio scenarijaus apibendrinimas. 5 mazgų klasteryje, kuriame, pvz., 3 mazgai yra vienoje fizinėje vietoje A, o 2 mazgai - kitoje vietoje B, A ir B izoliuojanti tinklo problema reikštų, kad:
3 mazgai, esantys A vietoje, atitinka kvorumą (šiuo atveju 3), todėl jie toliau veikia.
2 mazgai, esantys B vietoje, neatitinka kvorumo (vis dar 3), todėl jie nustos veikti (net ir skaitymo režimu).
Jei tinklo problema bus išspręsta, 2 mazgai galės prisijungti prie kitų 3 mazgų.
Kvorumas prarastas ilgam¶
Jei dėl gedimo visi klasterio poaibiai netenka kvorumo, klasteris ir jo duomenys bus visiškai prarasti, nebent gedimas būtų pašalintas. Tokiu atveju mazgai turi būti gamykliškai atstatyti ir atkurta atsarginė kopija.
Taip gali nutikti, pavyzdžiui, jei 2 mazgų klasteryje (kur kvorumas yra 2) sugenda vienas mazgas. Tokiu atveju nepavykusio mazgo negalima pašalinti iš klasterio, nes likęs sveikas mazgas jau neveikia, nes prarado kvorumą.
Todėl patariama klasteryje visada turėti nelyginį mazgų skaičių ir dažnai daryti atsargines kopijas.
Kad būtų aišku, laikinai prarasti kvorumą (pavyzdžiui, jei iš naujo paleidžiate visus klasterio mazgus kartu arba dėl laikino tinklo gedimo izoliuojami mazgai) nėra problema: kai tik vėl bus sujungta pakankamai mazgų (nereikės rankiniu būdu vėl prisijungti), kad būtų pasiektas kvorumas, klasteris vėl pradės veikti įprastai. Tik dėl nuolatinių gedimų, tokių kaip tinklo pertvaros, netinkama tinklo konfigūracija, autentifikavimo problemos ar aparatinės įrangos gedimai, reikės imtis veiksmų rankiniu būdu.
Daugiau informacijos rasite etcd DUK.
2 mazgų klasteris¶
Dviejų mazgų aktyvus ir pasyvus klasteris dar nepalaikomas ir bus pridėtas būsimoje versijoje. Rekomenduojame įdiegti trečiąjį mazgą - trečiąjį NetHSM arba etcd „liudininką“, kuris galėtų veikti bet kuriame kompiuteryje. Žr. kitą skyrių „Liudininkas“.
Liudytojas¶
Dėl klasterizavimo su etcd pobūdžio jis tuo patikimesnis, kuo daugiau mazgų yra klasteryje. Kaip paaiškinta `Skyriuje „Operacinis atleidimas“, idealiu atveju klasteriuose turėtų būti bent 3 mazgai, kad būtų vietos gedimams, nes 2 mazgų klasteris visiškai sugenda, jei sugenda tik vienas.
Tačiau funkcija sukurta taip, kad norint pasiekti stabilų mazgų skaičių nebūtina į klasterį įtraukti viso tikro „NetHSM“ įrenginio. Vietoj to galite patys įdiegti ir pridėti „liudininko“ mazgą. Toks mazgas yra tiesiog etcd egzempliorius, veikiantis jūsų pasirinktame kompiuteryje (arba konteineryje) ir prijungtas prie klasterio. Tikrieji klasterio įrenginiai jį atpažins kaip įprastą mazgą, jis gaus visus duomenis ir atnaujinimus iš įrenginių (tačiau, žinoma, su juo negalėsite atlikti jokių HSM operacijų - jis tik saugo duomenis).
Security Considerations¶
Liudytojo mazgas (arba bet kuris kitas asmuo, turintis prieigą prie jo) turi tiesioginę prieigą prie visų klasterio mazgų saugyklų (pvz., galite išmesti visus įrašus ir atitinkamas reikšmes naudodami etcdctl get "/" "0").
Tačiau, išskyrus konfigūracijos versiją (/config/version, kuri visada turėtų būti „1“), griežtai visos reikšmės yra užšifruotos (naudojant įrenginio raktą konkrečiam mazgui būdingoms reikšmėms arba domeno raktus kitoms reikšmėms), taip užtikrinant slaptų duomenų konfidencialumą.
Tačiau atkreipkite dėmesį, kad kenkėjiškas mazgas gali:
įrašyti šiukšles kaip bet kurio saugyklos įrašo reikšmę, todėl mazgai nesugebės jo iššifruoti (dėl to gali sutrikti kai kurių sistemos įrašų veikimas).
naudotojų, vardų erdvių ir raktų, kuriuos galite laikyti slaptais, sąrašo įrašų pavadinimus.
Creating a Cluster¶
Bet kuris klasteris iš pradžių pradedamas nuo vieno mazgo. Nauji mazgai prie klasterio prisijungs vienas po kito.
Preparing Nodes¶
Tinklo duomenų srautas tarp mazgų šifruojamas ir autentiškumas patvirtinamas naudojant jų TLS sertifikatą.
Visi mazgai, kurie turėtų būti to paties klasterio dalis, pirmiausia turi įdiegti bendrą sertifikatų tarnybą (CA), kad galėtų patikrinti, ar kiti mazgai yra teisėti.
Toliau darysime prielaidą, kad visi mazgai yra šviežiai įrengti ir veikia.
Networking¶
Nodes must first be reconfigured with their expected final network configuration using the /config/network endpoint (refer to the API documentation).
CA kūrimas ir diegimas¶
Vartotojai turėtų sukurti CA savo priemonėmis ir pagal savo veiklos apribojimus, įsitikinę, kad ji leidžia naudoti bent keyCertSign raktą.
Pavyzdžiui, minimalią CA galima sukurti naudojant openssl:
$ openssl genrsa -out CA.key 2048 # create a key
$ openssl req -x509 -new -nodes -key CA.key -sha256 -days 1825 -out CA.pem -addext keyUsage=critical,keyCertSign
Dabar ši CA turi būti įdiegta kiekviename mazge.
To do this, first generate a Certificate Signing Request (CSR) from the node with the /config/tls/csr.pem endpoint (refer to the API documentation).
Pastaba
Kad būtų tinkamai patvirtintas mazgų autentiškumas, klasterio duomenų bazėje (etcd) tikimasi, kad kiekvienas mazgas turi sertifikatą su tinkamai užpildytu laukeliu Subject Alt Names (SAN). Ypač mazgai, kuriuos tikimasi pasiekti tik per jų IP, savo sertifikate turi turėti tinkamą IP SAN. IP SAN galima prašyti CSR, prie vardų pridedant priešdėlį „IP:“, kaip openssl:
"subjectAltNames": [ "normalname.org", "IP:192.168.1.1" ]
Turėdami gautą CSR (pavadinkime jį nethsm.csr), galime jam sugeneruoti sertifikatą, kurį galima įdiegti. Pavyzdžiui, naudodami openssl:
$ openssl x509 -req -days 1825 -in nethsm.csr -CA CA.pem -copy_extensions copy \
-CAkey CA.key -out new_cert.pem -set_serial 01 -sha256
Then install the obtained new_cert.pem with the /config/tls/cert.pem endpoint (refer to the API documentation).
Galiausiai CA (CA.pem) dabar galima įdiegti naudojant /config/tls/cluster-ca.pem galinį tašką (žr. API dokumentaciją). Tai įmanoma tik tada, kai įdiegtas TLS sertifikatas yra pasirašytas. Priešingu atveju operacija bus atmesta.
Pastaba
Šį procesą reikia pakartoti kiekvienam mazgui.
Laikrodžio sinchronizavimas¶
Įsitikinkite, kad kiekviename mazge nustatytas tikslus sistemos laikas. Jei ne, sureguliuokite jų laikrodžius naudodami /config/time galinį tašką.
Adding a New Node¶
Mazgas į klasterį įtraukiamas dviem etapais:
užregistruoti papildymą klasteryje (per bet kurį iš jo narių).
nurodyti naujam mazgui prisijungti
Configure a Backup Passphrase¶
Pirmiausia įsitikinkite, kad mazge, kuris bus naudojamas registruojant naują jungiklį, sukonfigūruota atsarginė slaptažodžių frazė (žr. /config/backup-passphrase galinio taško API dokumentaciją).
Naujo mazgo registravimas¶
Įspėjimas
Užregistravus mazgą, į klasterį iš karto įtraukiamas naujas mazgas ir pakeičiama kvorumo riba, net jei mazgas iš tikrųjų dar nėra prisijungęs. Dėl to esami mazgai gali būti neveikiantys, kol naujas mazgas iš tikrųjų prisijungs. Žr. šio dokumento API dokumentaciją ir skyrių Operational Redundancy.
Turėkite prisijungiančio mazgo IP adresą. To mazgo pilnas URL (dar vadinamas lygiaverčiu URL ` etcd` terminologijoje) bus https://<IP_of_node>:2380 (pvz., https://192.168.1.1:2380). Prievadas turi būti 2380, todėl įsitikinkite, kad tarp mazgų esanti ugniasienė leidžia TCP srautą šiuo prievadu.
Galite dar kartą patikrinti, ar URL yra teisingas, iškvietę GET /cluster/members mazge, prie kurio tikimasi prisijungti. Tai turėtų išvardyti tik vieną narį - jį patį.
Tada užregistruokite tą laukiamą URL bet kuriame esančiame klasterio mazge (jei dar neturite klasterio, atlikite tai „NetHSM“, kuris bus pradinis klasterio mazgas). Tai atliekama naudojant POST /cluster/members galinį tašką (žr. API dokumentaciją), perduodant jam JSON kūną, kuriame yra URL.
Jei pavyksta, grąžinamas JSON formos kūnas:
{
"members": [
{
"name": "",
"urls": [
"https://172.22.1.3:2380"
]
},
{
"name": "9ZVNM2MNWP",
"urls": [
"https://172.22.1.2:2380"
]
}
],
"joinerKit": "eyJiYWNrdXBfc2FsdCI6IkVlUzNPOEhHSEc5NnlNRktrdG1NZmc9PSIsInVubG9ja19zYWx0IjoiU3phMkEvYW13NlhxVWsrdHZMMmFubm5SZFlWd2ZQUjdpZ3IxK1RSdTdVaU14dmh3d0x2NWIvYVNkY2c9IiwibG9ja2VkX2RvbWFpbl9rZXkiOiIyMnNGVlkyelhQUVZ6S1pQenI3MmkwTk1WM3lmQ2k5dGwzeDhUbGtuOXM0WjFOd3JoZkRQTFZIVHp1WVl0YkQxaVZCMlovV3JHUHJlMXlwN0t4U0w4WkxjY2ZUTmUzcFg0WXE4YXNlY0wwREhXNGlIaXlPMlZnPT0ifQ=="
}
kuriame pateikiama informacija, reikalinga naujam mazgui prisijungti prie klasterio. Visų pirma, jame išvardijami visi klasterio nariai (kai narys su tuščiu pavadinimu yra naujasis prisijungiantysis). Jame taip pat yra domeno raktas, užšifruotas atrakinimo ir atsargine slaptažodžių frazėmis - taigi prieš tai turi būti sukonfigūruota atsarginė slaptažodžių frazė.
Šį atsakymą pasilikite kitam žingsniui.
Faktinis prisijungimas prie klasterio¶
Paimkite paskutinio žingsnio atsakymą, pridėkite prie jo backupPassphrase lauką, kuriame yra atsarginė mazgo, kuriame buvo užregistruotas naujas prisijungiantysis, slaptažodžių frazė, ir perduokite šiuos duomenis į POST /cluster/join (žr. API dokumentaciją), esantį mazge, prie kurio tikimasi prisijungti.
Darant prielaidą, kad ir klasteris, ir mazgas gali pasiekti vienas kitą, bus atliktas tikrasis prisijungimas, ištrinti naujojo prisijungiančiojo mazgo duomenys, kad jo būsena būtų sinchronizuota su klasterio būkle.
Priklausomai nuo tinklo ir klasterio sąlygų, ši operacija gali užtrukti keliasdešimt sekundžių. Jei ši operacija nepavyksta iš karto (pvz., klasteris buvo nepasiekiamas arba nepavyko nustatyti autentiškumo), šio mazgo būsena nebus ištrinta ir prisijungimas bus atšauktas. Tačiau kai tik pirmasis prisijungimas yra sėkmingas, ši operacija yra galutinė ir gali būti atšaukta tik atliekant gamyklinį atstatymą.
Jei šis prisijungimas sėkmingas, mazgas atsidurs Locked būsenoje ir turės būti atrakintas naudojant registracijai naudoto mazgo atrakinimo slaptažodį. Vėliau atrakinimo slaptažodį galima pakeisti (atrakinimo slaptažodžiai lieka priklausomi nuo konkretaus mazgo ir nėra bendrinami tarp mazgų).
Pastaba
Net ir po sėkmingo prisijungimo, jei klasterio duomenų bazė yra didelė arba klasteris yra užimtas, gali prireikti šiek tiek laiko, kol naujasis prisijungiantysis visiškai sinchronizuos savo būseną. Per tą laiką visi mazgai (ypač naujasis prisijungęs mazgas) gali būti mažiau jautrūs arba visai nereaguoti. Ypač naujasis prisijungimo mazgas iš pradžių gali grąžinti klaidas, pavyzdžiui, bandant jį atrakinti. Tokiu atveju skirkite tam šiek tiek laiko ir bandykite dar kartą.
Adding a Witness Node¶
Prepare a Witness¶
Jums reikės aplinkos su etcd v3.6 versija, kurios IPv4 adresą (bent jau) gali pasiekti kiti klasterio nariai. Reikia leisti TCP srautą į 2380 prievadą ir iš jo.
Sukurkite tuščią katalogą, kuriame bus saugomi etcd duomenys, ir įrašykite jo kelią (mes naudosime /var/etcd/data). Užtikrinkite, kad naudotojas, kuris paleis procesą, turėtų teisę skaityti ir rašyti į katalogą.
Perkelkite į kompiuterį CA sertifikatą, kuris naudojamas klasterio mazgams autentifikuoti. Jį turėjote sukurti CA sukūrimas ir įdiegimas skyriuje. Jį laikysime /var/etcd/CA.pem.
Tada reikės sukurti liudytojo sertifikatą ir pasirašyti jį CA, kad jis galėtų bendrauti su savo kolegomis. Tai galima padaryti, pavyzdžiui, naudojant openssl:
# Create a key
$ openssl genrsa -out witness.key 2048
# Create a CSR with a SAN that corresponds to the witness's IP or hostname
$ openssl req -new -sha256 -key own.key -subj "/C=US/ST=CA/O=MyOrg, Inc./CN=witness" \
-addext "subjectAltName=IP:172.22.1.3" --out witness.csr
# Sign it
$ openssl x509 -req -days 1825 -in witness.csr -CA CA.pem -copy_extensions copy \
-CAkey CA.key -out witness.pem -set_serial 01 -sha256
Gautus witness.key ir witness.pem taip pat saugokite /var/etcd.
Register Witness to Cluster¶
Vadovaukitės įprastomis instrukcijomis, pateiktomis skyriuje Registring a New Node (Naujo mazgo registravimas), kad praneštumėte esamam klasteriui apie naujo nario, turinčio nurodytą (-us) URL adresą (-us), įtraukimą.
Užrašykite klasterio atsakymą: jame turėtų būti klasterio narių sąrašas ir prisijungimo rinkinys (šios dalies jums neprireiks).
Configure etcd¶
Skirtingai nei „NetHSM“, kurie automatiškai pasirenka mazgo pavadinimą (naudodami įrenginio ID), jūs turite pasirinkti kiekvieno pridėto liudytojo pavadinimą, įsitikinkite, kad pavadinimai yra unikalūs. Toliau pateiktuose pavyzdžiuose naudosime „witness1“.
Kartu su NetHSM atsakymu dėl liudytojo registravimo parengkite formos kintamuosius:
export ETCD_NAME="witness1"
export ETCD_DATA_DIR="/var/etcd/data"
export ETCD_INITIAL_CLUSTER="peer1=url1,peer1=url2,peer2=url1,peer2=url2,..."
export ETCD_INITIAL_ADVERTISE_PEER_URLS="my_url1,my_url2,..."
Darant prielaidą, kad NetHSM atsakymas saugomas response.json faile, šiuos du paskutinius kintamuosius galite sukurti automatiškai naudodami šias jq išraiškas:
export ETCD_INITIAL_CLUSTER=$(jq --raw-output '[.members[] | ["\(if .name == "" then "witness1" else .name end)=\(.urls[])"]] | flatten | join(",")' < response.json)
export ETCD_INITIAL_ADVERTISE_PEER_URLS=$(jq --raw-output '.members[] | select(.name=="") | .urls | join(",")' < response.json)
Pavyzdžiui, pagal atsakymo pavyzdį, pateiktą Naujo mazgo registravimas skyriuje, gausite:
ETCD_NAME="witness1"
ETCD_DATA_DIR="/var/etcd/data"
ETCD_INITIAL_CLUSTER="witness1=https://172.22.1.3:2380,9ZVNM2MNWP=https://172.22.1.2:2380"
ETCD_INITIAL_ADVERTISE_PEER_URLS="https://172.22.1.3:2380"
Galiausiai sukurkite etcd.conf.yml failą, naudodami docs/etcd_witness.conf.template pateiktą šablono failą:
$ envsubst < NETHSM_ROOT/docs/etcd_witness.conf.template > /var/etcd/witness.conf.yml
$ cat witness.conf.yml
Taip gausite formos failą:
name: witness1
data-dir: /var/etcd/data
log-level: warn
log-format: console
listen-peer-urls: https://0.0.0.0:2380
listen-client-urls: http://localhost:2379
initial-advertise-peer-urls: https://172.22.1.3:2380
advertise-client-urls: http://localhost:2379
initial-cluster: witness1=https://172.22.1.3:2380,9ZVNM2MNWP=https://172.22.1.2:2380
initial-cluster-state: 'existing'
peer-transport-security:
cert-file: witness.pem
key-file: witness.key
client-cert-auth: true
trusted-ca-file: CA.pem
skip-client-san-verification: true
Start etcd¶
Paleiskite etcd pageidaujamu būdu (rankiniu būdu, systemd paslauga, konteineriu ir t. t.), nurodydami į ankstesniame žingsnyje sukurtą konfigūracijos failą:
$ cd /var/etcd
$ etcd --config-file witness.conf.yml
Turėtumėte pamatyti, kaip jis įsijungia, prisijungia prie klasterio ir pasiveja duomenis. Po kurio laiko, naudodami etcdctl klientą, turėtumėte patikrinti, ar jis yra sveikas:
etcdctl get /config/version
Šis raktas turi egzistuoti ir jame turi būti „1“.
Įsitikinkite, kad šis procesas toliau veikia, nes dabar jis yra tinkamas klasterio narys. Jei norite nutraukti jo veiklą, pirmiausia tinkamai pašalinkite jį iš klasterio (žr. tam skirtą skyrių). Jei pasikeičia jo pasiekiamas IP, atnaujinkite jo URL iš klasterio.
Operating a Cluster¶
Atsarginė kopija ir atkūrimas¶
Atsarginės kopijos kūrimo operacija veikia taip pat, kaip ir be klasterio, ir ją galima užsakyti iš bet kurio klasterio mazgo. Ji sukuria viso klasterio duomenų atsarginę kopiją, įskaitant konkrečiam mazgui būdingus laukus (tačiau jie bus ignoruojami, nebent atsarginė kopija būtų atkuriama neperduotame mazge).
Klasteryje padarytą atsarginę kopiją galima atkurti tame pačiame klasteryje, net jei nuo to laiko kai kurie mazgai buvo pridėti arba pašalinti. Toks atstatymas, atliktas veikiančiuose klasteriuose, neturės įtakos konfigūracijos reikšmėms (tik raktams, naudotojams, vardų sritims), kaip ir bet kuris kitas dalinis atstatymas.
Atkuriant atsarginę kopiją neprovizuotame mazge bus atkurti mazgui būdingi laukai (pvz., tinklo konfigūracija, sertifikatai ir kt.), kurie buvo naudojami kuriant atsarginę kopiją.
Atkuriant didelės apimties atsarginę kopiją, kurį laiką gali būti perkrautas klasteris, kol atstatymą taikantis mazgas perduoda pakeitimus kitiems mazgams.
Ši operacija išlieka suderinama su atsarginėmis kopijomis, padarytomis naudojant ankstesnes NetHSM versijas.
Pastaba
Atkuriant mazge A atsarginę kopiją, padarytą kitame mazge Z su kitu domeno raktu, bus teisingai perrašytas A domeno raktas, kaip ir anksčiau. Tačiau jei A buvo klasteryje su mazgu B, B taps neveikiantis, nes Z domeno raktas nebus atkurtas B mazge.
Kitaip tariant, atkurkite tik klasterį, kurio atsarginės kopijos padarytos tame pačiame klasteryje (nors po to mazgai galėjo būti pašalinti arba pridėti). Jei norite atkurti svetimą mazgo atsarginę kopiją, pirmiausia saugiai pašalinkite jį iš klasterio, tada iš naujo nustatykite jo gamyklinę padėtį ir atkurkite atsarginę kopiją.
Švarus mazgo pašalinimas¶
Kol tam tikra klasterio dalis vis dar atitinka kvorumą, bet kuris iš jos narių gali būti naudojamas kitam mazgui pašalinti iš klasterio, nesvarbu, ar šis mazgas jau nepasiekiamas, ar tikimasi, kad bus nepasiekiamas.
Pirmiausia turite sužinoti norimo pašalinti mazgo ID, išvardydami visus mazgus per GET /cluster/members ir ieškodami tinkamo mazgo.
Tada jį galima pašalinti skambinant į DELETE /cluster/members/<id>. Jei atitinkamas mazgas vis dar buvo sveikas, jis bus atskirtas nuo likusios klasterio dalies ir taps neveikiantis.
Software Updates in Clusters¶
Būsimi atnaujinimai bus pažymėti kaip „saugūs klasteriui“ (tokių turėtų būti dauguma) arba „nesaugūs klasteriui“.
Klasterio saugūs atnaujinimai gali būti taikomi mazgams, kurie yra klasterio dalis, prieš tai jų nepašalinus iš klasterio. Tačiau, kaip ir atlikdami visas operacijas, turėtumėte užtikrinti, kad tai būtų atliekama po vieną mazgą ir klasteryje, iš kurio pašalinus mazgą nesumažėtų kvorumas (pvz., jei atnaujinimas nepavyksta).
Klasterio nesaugūs atnaujinimai turi būti taikomi izoliuotiems mazgams. Turėtumėte išardyti klasterį (po vieną pašalinti mazgus), atstatyti visų mazgų, išskyrus vieną, gamyklinius parametrus, taikyti atnaujinimą kiekvienam mazgui, tada visus atstatytus mazgus prijungti prie likusio mazgo.
Prieš atlikdami tokias operacijas būtinai sukurkite atsarginę kopiją.
Esamo klasterio konfigūracijos keitimas¶
Changing the Cluster CA¶
Esamas klasteris (su dviem ar daugiau mazgų) negali pakeisti savo klasterio CA, kol jis veikia. Jei reikia pakeisti šį sertifikatą: pasirinkite mazgą, pašalinkite visus kitus mazgus, atnaujinkite CA, tada liepkite kitiems nariams vėl prisijungti.
Changing the Network Configuration of Nodes¶
Pakeitus mazgo tinklo konfigūraciją (pvz., pakeitus jo IP adresą), kiti mazgai bus automatiškai informuoti apie atnaujinimą. Tačiau turėtumėte užtikrinti, kad tokius atnaujinimus vienu metu atliktumėte tik viename mazge ir tik tokiame klasteryje, kurio praradimas nesumažintų kvorumo.