在不改变文章大意的情况下进行伪原创,并保持图片的位置和原始格式,原文的语言不变。以下是经过伪原创处理后的文章:
如何在虚拟机集群中配置免秘钥登录
环境准备:我使用的是一个由5台虚拟机组成的服务器集群,分别命名为repo、node001、node002、node003和node004。有关如何构建虚拟机集群的详细步骤,请参考:在Windows中安装一台Linux虚拟机,并通过现有的虚拟机克隆出四台新虚拟机。
-
方法一
(1) 在repo虚拟机的/root/.ssh目录下生成repo的公钥。如果/root/.ssh目录不存在,使用ssh命令登录自身即可自动创建该目录。
[root@repo ~]# ssh repo # 输入密码进行登录 [root@repo ~]# exit [root@repo ~]#
也可以手动创建该目录。然后生成repo的公钥:
[root@repo ~]# ssh-keygen -t dsa -P '' -f ~/.ssh/id_dsa [root@repo ~]# ll -a drwx------ 2 root root 4096 7月 4 12:53 .ssh [root@repo ~]# cd .ssh # repo 的 .ssh 目录下没有 known_hosts 文件 [root@repo .ssh]# ll -rw------- 1 root root 668 Sep 16 19:07 id_dsa # 私钥 -rw-r--r-- 1 root root 599 Sep 16 19:07 id_dsa.pub # 公钥
(2) 使用ssh命令登录node001到node004的自身虚拟机,以生成.ssh目录和其中的known_hosts文件。
[root@node001 ~]# ssh node001 [root@node001 ~]# exit [root@node001 ~]# cd .ssh [root@node001 .ssh]# ll # 没有公钥和私钥,只有known_hosts文件 -rw-r--r-- 1 root root 403 Sep 16 19:14 known_hosts [root@node002 ~]# ssh node002 [root@node002 ~]# exit [root@node003 ~]# ssh node003 [root@node003 ~]# exit [root@node004 ~]# ssh node004 [root@node004 ~]# exit
(3) 在node001到node004的/root目录下创建一个文件夹,用于存放repo的公钥。
[root@node001 ~]# mkdir pub [root@node002 ~]# mkdir pub [root@node003 ~]# mkdir pub [root@node004 ~]# mkdir pub
(4) 将repo的公钥复制到其他节点。
[root@repo .ssh]# scp ./id_dsa.pub node001:/root/pub/repo.pub [root@repo .ssh]# scp ./id_dsa.pub node002:/root/pub/repo.pub [root@repo .ssh]# scp ./id_dsa.pub node003:/root/pub/repo.pub [root@repo .ssh]# scp ./id_dsa.pub node004:/root/pub/repo.pub
(5) 将repo的公钥内容追加到node001到node004的authorized_keys文件中。
[root@node001 ~]# cat ~/pub/repo.pub >> ~/.ssh/authorized_keys [root@node002 ~]# cat ~/pub/repo.pub >> ~/.ssh/authorized_keys [root@node003 ~]# cat ~/pub/repo.pub >> ~/.ssh/authorized_keys [root@node004 ~]# cat ~/pub/repo.pub >> ~/.ssh/authorized_keys
(6) 配置repo自身的免秘钥登录。
[root@repo .ssh]# cat ./id_dsa.pub >> ./authorized_keys
完成上述配置后,repo可以使用ssh免秘钥登录自身和node001到node004。然而,node001到node004仍然无法免秘钥登录其他虚拟机。为了实现这一点,需要为每个节点生成公钥,并将其内容追加到其他虚拟机的authorized_keys文件中。
当虚拟机数量较多时,这种方法会变得繁琐且容易出错。
-
方法二
(1) 在repo的.ssh目录下生成公钥,参考方法一的步骤(1)。
(2) 使用ssh-copy-id命令配置repo到node001的免秘钥登录。
[root@repo .ssh]# ssh-copy-id node001
(3) 同样,配置repo到其他节点的免秘钥登录。
[root@repo .ssh]# ssh-copy-id node002 [root@repo .ssh]# ssh-copy-id node003 [root@repo .ssh]# ssh-copy-id node004
(4) 如果需要配置node001到其他节点的免秘钥登录,重复(1)(2)(3)步骤。
[root@node001 ~]# ssh-keygen -t dsa -P '' -f ~/.ssh/id_dsa [root@node001 .ssh]# ssh-copy-id repo [root@node001 .ssh]# ssh-copy-id node002 [root@node001 .ssh]# ssh-copy-id node003 [root@node001 .ssh]# ssh-copy-id node004
(5) 如果需要配置所有机器之间的免秘钥登录,给每个机器执行(1)(2)(3)步骤。这种方法比第一种方法简单,但当虚拟机数量较多时,仍然较为繁琐。
-
方法三
(1) 在repo的.ssh目录下生成公钥,参考方法一的步骤(1)。
(2) 将repo的公钥内容写入authorized_keys文件,使其可以免秘钥登录自身,参考方法一的步骤(6)。
(3) 在repo中,查看authorized_keys文件,复制文件中的内容,并在末尾粘贴4份,仅修改最后的节点名称为node001、node002、node003和node004。
[root@repo .ssh]# vi authorized_keys
(4) 将.ssh文件夹分发给node001到node004。
[root@repo .ssh]# scp ./* node001:`pwd` [root@repo .ssh]# scp ./* node002:`pwd` [root@repo .ssh]# scp ./* node003:`pwd` [root@repo .ssh]# scp ./* node004:`pwd`
完成上述配置后,所有的虚拟机都可以实现两两之间以及自身的ssh免秘钥登录。然而,这种方法简单但不安全,不建议在生产环境中使用。
-
方法四:使用shell脚本自动执行
(1) 编写一个脚本autoSSH.sh,该脚本可以在集群的任意节点上运行,实现当前服务器到任意其他节点的SSH免秘钥登录配置。
该脚本的主要功能包括:
- 自动为当前运行的节点生成公钥私钥对。
- 自动将自己的公钥文件内容追加到其他服务器的authorized_keys文件中。
脚本内容:
#!/bin/bash <h1>脚本接收的参数,也就是要互相配置 SSH 免密登录的服务器列表参数</h1><p>BASE_HOST_LIST=$*</p><h1>密码,默认用户是当前运行脚本的用户,比如 root 用户</h1><h1>这里改成你的用户对应的密码</h1><p>BASE_PASSWORD="root"</p><h1>shell 函数:模拟 SSH 公钥私钥文件生成的人机交互过程</h1><p>sshkeygen(){ expect -c " spawn ssh-keygen expect { "ssh/id_rsa):" {send "r";exp_continue} "passphrase):" {send "r";exp_continue} "again:" {send "r";exp_continue} } " }</p><h1>shell 函数:模拟配置 SSH 免密登录过程的人机交互过程</h1><p>sshcopyid(){ expect -c " spawn ssh-copy-id $1 expect { "(yes/no)?" {send "yesr";exp_continue} "password:" {send "$2r";exp_continue} } " }</p><h1>本机生成密钥对</h1><p>sshkeygen</p><h1>然后本机跟其他服务器建立 SSH 免密登录(包括自己)</h1><p>for SSH_HOST in ${BASE_HOST_LIST} do sshcopyid ${SSH_HOST} ${BASE_PASSWORD} done(2) 编写一个启动脚本startAutoSSH.sh,该脚本在基准服务器repo上运行,是整个自动批量配置SSH免秘钥登录程序的启动程序。
该脚本的主要功能包括:
- 发送autoSSH.sh到集群各节点。
- 发送命令让各节点自动执行该配置脚本:autoSSH.sh。
脚本内容:
#!/bin/bash</p><h1>配置 SSH 免密登录的服务器列表,可写死,也可通过传参或者读配置文件的方式读取</h1><h1>BASE_HOST_LIST="node001 node002 node003"</h1><p>BASE_HOST_LIST=$*</p><h1>脚本的放置目录(传送之前,和传送之后都是这个目录)</h1><p>SCRIPT_PATH="/root/autoSSH.sh"</p><h1>第一步:先让自己先跑 autoSSH.sh 脚本,为了能顺利发送脚本到集群各节点</h1><p>sh ${SCRIPT_PATH} ${BASE_HOST_LIST}</p><h1>第二步:把脚本发送给其他服务器,让其他服务器也执行该脚本</h1><p>for SSH_HOST in $BASE_HOST_LIST do</p><h2>first : send install script</h2><pre class="brush:php;toolbar:false">## 注意这行,用户名写死为root,如果是其他用户,记得在这里修改 scp -r $SCRIPT_PATH root@${SSH_HOST}:$SCRIPT_PATH ## send command and generate ssh and auto ssh ssh ${SSH_HOST} sh ${SCRIPT_PATH} ${BASE_HOST_LIST}done
(3) 在配置SSH免秘钥登录之前,进行远程拷贝scp时会有人机交互过程,我们使用expect来模拟这一过程。然而,不同的服务器版本可能尚未安装expect,最佳解决方案是自动安装。在此,我们假设各台服务器都已安装并能正常使用expect。
如果需要安装expect,请使用以下命令:
yum -y install expect
(4) 在基准服务器repo上执行以下命令:
[root@repo ~]# sh startAutoSSH.sh node001 node002 node003 node004
该命令表示:在repo服务器上,用户root执行脚本startAutoSSH.sh,让集群四个节点node001、node002、node003和node004进行互相SSH免秘钥登录配置。
脚本执行完成后,四台服务器的root用户主目录/root/.ssh目录下将生成一个authorized_keys文件,其内容如下:
选择node001进行验证:
[root@node001 ~]# ssh node001 Last login: Thu Dec 21 04:06:52 2017 from 192.168.21.1 [root@node001 ~]# exit logout Connection to node001 closed. [root@node001 ~]# ssh node002 Last login: Thu Dec 21 04:06:31 2017 from node001 [root@node002 ~]# exit logout Connection to node002 closed. [root@node001 ~]# ssh node003 Last login: Thu Dec 21 04:06:36 2017 from node001 [root@node003 ~]# exit logout Connection to node003 closed. [root@node001 ~]# ssh node004 Last login: Thu Dec 21 04:06:06 2017 from node003 [root@node004 ~]# exit logout Connection to node004 closed. [root@node001 ~]#
-
其他说明
注意:配置完成后,第一次从当前虚拟机远程连接其他虚拟机时,可能会出现确认是否连接的信息或要求输入密码。登录一次后,以后即可直接进行免秘钥登录。
以上介绍的4种方法,推荐使用第四种方式:使用Shell脚本自动实现ssh免秘钥登录。
-
补充记录
2018-03-14:如果配置的是非root用户的免秘钥登录,authorized_keys文件的权限需要修改为600,否则无法实现免秘钥登录。
2018-08-16:如果配置后无法实现免秘钥登录,请尝试重启ssh服务:
sudo service sshd restart
