Temos dois servidores de produção em um VIP, apenas um está em uso por vez, por exemplo:
myservice.mycompany.uk normalmente aponta para server1, caso o server1 falhe, as alterações apontam para server2.
Existem outros servidores que precisam enviar arquivos para myservice.mycompany.uk via SFTP e devem ser totalmente transparentes para eles se fizermos o failover para o server2.
O problema é que, enquanto as chaves estão instaladas no servidor1 e no servidor2, os outros servidores terão problemas de verificação de chave do host, porque a chave do host do servidor2 é diferente da chave do host do servidor1. Isso causa um erro de segurança (uma vez que a verificação estrita está ativada) e uma linha deve ser removida de known_hosts para que funcione.
Nosso pessoal de TI sugeriu que possamos criar 2 entradas em known_hosts, uma com a chave para server1 e outra com server2, ambas com o host myservice.mycompany.uk.
É provável que funcione? Como isso pode ser feito com o putty / psftp no Windows? Como a chave do host está armazenada no registro e nomes duplicados não são permitidos. Existe uma maneira melhor, podemos, por exemplo, forçar os servidores a terem a mesma chave de host?
UserKnownHostsFile=/dev/nulloutra coisa, a primeira chave entrará nos hosts conhecidos e a segunda levará a um aviso de "homem no meio".StrictHostKeyChecking yesfará com que o arquivo UserKnownHosts seja ignorado em favor do arquivo de hosts conhecidos do sistema. Portanto, qualquer coisa que modifique os UserKnownHosts é inútil.StrictHostKeyChecking noe definir adicionalmente oUserKnownHostsFile/ dev / null. Nesse caso, todas as chaves do host serão aceitas (tornando esse nível de segurança inútil, é claro).Arquivei isso dessa maneira, a raiz do usuário executa um script às 23:00 que se conecta ao endereço IP lógico do cluster Linux, portanto, em caso de failover do endereço IP, minha impressão digital ssh muda
Dessa forma, a configuração é apenas para raiz
fonte