案例说明:
在生产环境,数据库服务被重启后,监控发现数据库物理备份的脚本无法执行,故障现象如下所示,从备份日志和sys_log中都出现了远程主机连接认证错误。
1)备份日志:(连接数据库服务器认证错误)
2)sys_log日志:(归档错误)
适用版本:
KingbaseES V8R6
一、问题分析
1、备份架构
如下图所示,数据库服务器(137.7.*.9),外部备份服务器为(137.17.*.8)。
2、查看sys_rman.conf配置
3、查看备份脚本
4、手工执行备份脚本
如上图所示,在建立和备份服务器之间的ssh连接时,需要输入‘yes’确认信息。一般客户端通过ssh第一次连接服务端,会出现以上状况。
1)公钥检查
如果你是第一次登录对方主机,系统会出现下面的提示:
$ ssh user@host
The authenticity of host 'host (12.18.429.21)' can't be established.
RSA key fingerprint is 98:2e:d7:e0:de:9f:ac:67:28:c2:42:2d:37:16:58:4d.
Are you sure you want to continue connecting (yes/no)?
这段话的意思是,无法确认host主机的真实性,只知道它的公钥指纹,问你还想继续连接吗?
所谓"公钥指纹",是指公钥长度较长(这里采用RSA算法,长达1024位),很难比对,所以对其进行MD5计算,将它变成一个128位的指纹。上例中是98:2e:d7:e0??9f:ac:67:28:c2:42:2d:37:16:58:4d,再进行比较,就容易多了。
假定经过风险衡量以后,用户决定接受这个远程主机的公钥。
Are you sure you want to continue connecting (yes/no)? yes
系统会出现一句提示,表示host主机已经得到认可。
Warning: Permanently added 'host,12.18.429.21' (RSA) to the list of known hosts.
2)然后,会要求输入密码
Password: (enter password)
如果密码正确,就可以登录了。
3)将公钥存储在know_hosts文件中
如下图所示,第一次连接完成后,会将服务端公钥保存在know_hosts文件中,再次连接时就不需要确认公钥了。
二、问题解决
在手工执行了到备份服务器的ssh连接后,脚本备份正常,归档正常。此次故障原因应该是,在.ssh的目录下缺失know_hosts文件导致,执行备份脚本时,需要数据库服务器和备份仓库节点之间通过ssh连接,但是脚本无法执行ssh连接公钥的确认,导致脚本备份失败。
三、总结
如何让连接新主机时,不进行公钥确认?
在首次连接服务器时,会弹出公钥确认的提示。这会导致某些自动化任务,由于初次连接服务器而导致自动化任务中断。或者由于 ~/.ssh/known_hosts 文件内容清空,导致自动化任务中断。 SSH 客户端的 StrictHostKeyChecking 配置指令,可以实现当第一次连接服务器时,自动接受新的公钥。只需要修改 /etc/ssh/ssh_config 文件,包含下列语句:
Host *
StrictHostKeyChecking no
如下图所示:
或者在 ssh 命令行中用 -o 参数
$ ssh -o StrictHostKeyChecking=no 192.168.0.110
如下图所示:
