Temos dois servidores de produção em um VIP, apenas um em uso por vez, por exemplo:
myservice.mycompany.uk normalmente aponta para server1, no caso em que server1 falha, é alterado para apontar para server2.
Existem alguns outros servidores que precisam enviar arquivos para myservice.mycompany.uk via SFTP e devem ser totalmente transparentes para eles se fizermos failover para server2.
O problema é que, enquanto as chaves são instaladas no servidor1 e no servidor2, os outros servidores terão problemas de verificação da chave do host, porque a chave do host do servidor2 é diferente da chave do host do servidor1. Isso causa um erro de segurança (desde que a verificação estrita esteja ativada) e uma linha deve ser removida de known_hosts para que funcione.
Nosso analista de TI sugeriu que podemos criar 2 entradas em known_hosts, uma com a chave para server1 e outra com server2, ambas com o host myservice.mycompany.uk.
É provável que isso funcione? Como isso pode ser feito com putty / psftp no windows? Como a chave do host é armazenada no registro e nomes duplicados não são permitidos. Existe uma maneira melhor, podemos, por exemplo, forçar os servidores a ter a mesma chave de host?
Para tornar mais fácil para os clientes, eu usaria apenas a mesma chave de host em ambas as máquinas. Basta copiar uma das chaves (a do servidor atualmente em uso) para a segunda máquina. As chaves estão em /etc/ssh/ssh_host_* .
Outra opção é desativar a verificação da chave do host nos clientes. Isso pode ser feito ajustando seu ssh_config para usar:
Host myservice.mycompany.uk
StrictHostKeyChecking
Eu arquivei isto desta maneira, o usuário root roda um script às 23:00 que se conecta ao endereço IP lógico do cluster linux, então no caso de failover do endereço IP minha mudança de impressão digital ssh
echo "StrictHostKeyChecking no" >> /root/.ssh/config
echo "UserKnownHostsFile /dev/null" >> /root/.ssh/config
Desta forma, a configuração é apenas para raiz