如何配置SSH等效性_RAC节点间无密码互信脚本自动打通
Oracle RAC配置中SSH互信的实战要点与避坑指南
在部署Oracle RAC时,SSH互信配置是前期准备工作中至关重要的一环,却也是许多工程师的“滑铁卢”。问题往往不在于步骤本身,而在于那些官方文档语焉不详、但实际部署中却一踩一个准的细节。下面,我们就来拆解几个关键环节,看看如何一次性打通所有节点,避免在后续的cluvfy校验中反复碰壁。
免费影视、动漫、音乐、游戏、小说资源长期稳定更新! 👉 点此立即查看 👈
为什么 ssh-keygen 生成的密钥必须用 -t rsa -b 2048(不能默认或选 ed25519)
第一个坑,从生成密钥那刻起就埋下了。如今,新版本的OpenSSH默认会生成更现代的ed25519密钥,但这在Oracle RAC(尤其是11g/12c甚至部分19c版本)的环境里行不通。官方文档白纸黑字要求使用RSA算法,一些老版本的Grid Infrastructure根本不识别ed25519。你猜怎么着?这时候即便你手动加上-o hostkeyalgorithms=+ssh-ed25519参数试图补救,也常常无济于事。
所以,最稳妥的做法是从源头锁定格式:
- 统一执行
ssh-keygen -t rsa -b 2048 -f ~/.ssh/id_rsa -N ""。这条命令强制生成2048位的RSA密钥,确保了最广泛的兼容性。 - 注意那个
-N "",它代表空密码。这是实现真正无交互登录的关键,否则ssh-copy-id时还是会卡住让你输入。 - 生成后别急着走,立刻用
ls -l ~/.ssh/id_rsa*检查权限。私钥id_rsa必须是600,公钥id_rsa.pub必须是644。权限不对,SSH守护进程会直接拒绝读取,之前的功夫全白费。
如何让 ssh-copy-id 一次跑通所有 RAC 节点(含 localhost)
密钥对了,分发环节又有新讲究。RAC要求每个节点不仅能免密登录其他节点,还必须能免密登录自己——这里的“自己”包括localhost和本机的hostname。缺了哪一个,cluvfy校验都会直接亮红灯。但ssh-copy-id默认并不支持拷贝到本地回环地址。
可以试试这个批量操作脚本:
- 先把所有目标节点列出来:
NODES="node1 node2 localhost $(hostname)"。务必把$(hostname)(你的机器主机名)也加进去。 - 然后循环执行:
for n in $NODES; do ssh-copy-id -i ~/.ssh/id_rsa.pub $n; done。 - 这里特别要强调
$(hostname)的重要性。因为Oracle内部很多脚本是通过解析主机名来通信的,它认的不是localhost或IP地址,就是你执行hostname命令返回的那个字符串。 - 如果某个节点报
Permission denied (publickey),先别慌。手动ssh $n date测试一下。如果不行,首要怀疑目标节点的/etc/hosts文件,看看是否把本机IP正确映射到了主机名上。
~/.ssh/config 里哪些配置会破坏 RAC 的 SSH 自动发现
这是高级用户最容易翻车的地方。你本地的~/.ssh/config配置文件用得很顺手,可能配置了全局袋里、别名或特定密钥。但Oracle的addNode.sh、root.sh等工具在运行时,有时会绕过用户级的这个配置文件,有时却又会读取它。行为不一致,导致问题隐蔽。
一旦你的config文件里存在Host *全局匹配、ProxyCommand跳转或者自定义的IdentityFilePRVF-7532 : Failed to connect to node这种令人困惑的错误。
给你的建议是:
- 在配置RAC期间,最安全的方法是临时将
~/.ssh/config重命名(例如config.bak),待配置完成后再恢复。 - 绝对不要在config文件中为RAC节点设置
StrictHostKeyChecking no。这会让cluvfy认为SSH连接不安全而直接中止检查。 - 如果因为开发环境等原因必须保留config文件,那么至少确保没有
Host *这种全局块,并且针对RAC节点,显式指定IdentitiesOnly yes和IdentityFile ~/.ssh/id_rsa,锁定密钥路径。
验证阶段最容易被忽略的三个检查点
很多人以为ssh-copy-id成功就万事大吉,结果跑cluvfy stage -pre crsinst时依然失败。原因在于,Oracle对“SSH连通”的定义比我们日常的理解要严苛得多。
在最终验证时,务必完成以下三个检查:
- 全路径测试:在每个节点上,手动执行
ssh node1 date; ssh node2 date; ssh $(hostname) date; ssh localhost date。这四个命令必须都能瞬间返回结果,不能有任何一次出现密码提示、交互询问或超时等待。 - 检查服务端配置:登录到每个目标节点,检查
/etc/ssh/sshd_config文件。必须确认PubkeyAuthentication yes是开启的,并且AuthorizedKeysFile的路径是.ssh/authorized_keys(注意,不是.ssh/authorized_keys2)。修改后记得重启sshd服务。 - 检查密钥文件格式:打开
~/.ssh/authorized_keys文件,确保文件末尾没有多余的空行或不可见的乱码。Oracle用于解析密钥的组件对格式异常敏感,有时多一个换行符都可能导致Authentication refused: bad ownership or modes这种看似权限问题的报错。
说到底,配置Oracle RAC的SSH互信,真正的挑战从来不是执行那几条命令,而是背后环环相扣的细节:主机名解析链条是否完整、sshd服务的权限控制是否严格、以及Oracle自身那套极为挑剔的校验逻辑。漏掉其中任何一环,都可能让你在深夜面对PRVF-4657或CRS-2672这类报错时一筹莫展。按照上述要点逐一排查,方能确保这条基础通道坚实可靠。
相关攻略
台铃电动车锁车,真的不耗电吗? 关于电动车锁车后是否还在“偷偷”用电,很多用户心里都有个问号。答案很明确:台铃电动车的锁车状态本身,几乎不产生额外电量消耗。其核心在于一套精心设计的电子防盗系统,在锁止后,整车的主供电电路会被立刻切断,只留下防盗模块、钥匙信号接收器等核心安防单元,以极低的功耗维持待命
老年助听器怎么安装后能用吗? 开门见山地说,给长辈选配助听器,可千万别把它当成“即插即用”的普通电子产品。这本质上是一套严谨的医疗康复流程,核心在于“专业验配”与“科学适应”。没有这两步,再好的设备也可能沦为抽屉里的闲置品。 真正的效能发挥,始于一份精准的听力“地图”——通过纯音测听、声导抗等医学检
高考前冲刺口号 话说回来,每年到了这个时节,教室里、走廊上、甚至学生的课桌一角,总能看到一些凝聚着决心与期盼的句子。它们不仅仅是口号,更像是一股无声的力量,在最后关头为学子们注入信念。下面这份汇集了多年备考智慧的清单,或许能为你带来一些启发。 信念与心态篇 1 Everything is poss
班风口号:胜不骄,败不馁,有志不在年高,但求力争上游 “胜不骄,败不馁”这六个字,分量可不轻。它源自《商君书·战法》,原话是“王者之兵,胜而不骄,败而不怨。”这提醒我们,成功时别让骄傲蒙了眼,失败时也别被沮丧拖垮了脚。保持清醒与韧性,才是长久之道。 紧接着的“有志不在年高”,出自《封神演义》。这话说
下学期中班孩子评语1 1、 这孩子聪明又活泼,课堂上总能看到他高高举起的小手,思维活跃得很,发言特别踊跃。做数学题又快又准,小脑袋转得飞快,语言表达能力也强,还经常主动上来给大家讲故事。要是以后能加强小手的锻炼,让它变得更灵巧,那就更棒了,咱们一起朝着心灵手巧的目标加油吧! 2、 小家伙的口才真不错
热门专题
热门推荐
微软调整XGP战略:降价与《使命召唤》延期入库的背后 最近游戏圈有个大消息:微软宣布下调Xbox Game Pass Ultimate和PC Game Pass的月度订阅价格。具体来看,Ultimate档位从每月29 99美元降到了22 99美元,PC Game Pass则从16 49美元降至13
2026年,Xbox新掌门的第一把火:Game Pass要变“自助餐”了 2026年2月,阿莎·夏尔马接棒菲尔·斯宾塞,成为Xbox的新任CEO。这位新官上任,动作可谓雷厉风行。就在昨天,她点燃了第一把火:Xbox Game Pass Ultimate的月费,从29 99美元直接降到了22 99美元
当明星演员想开游戏工作室:资深同行为何直言“别这么做”? 最近,游戏圈里发生了一场有趣的隔空对话。为《最后生还者》《死亡搁浅》等大作献声的知名演员特洛伊·贝克,在采访中透露了一个雄心勃勃的计划:他想创立自己的游戏工作室,去讲述“自己的故事”。他甚至提到,自己的灵感来源之一,正是曾为《刺客信条:起源》
Steam新款手柄评测视频意外流出,定价信息同步曝光 游戏硬件圈最近有个不大不小的“意外”。根据海外多个科技消息源的报道,Valve即将推出的新款Steam Controller手柄,其评测视频竟然提前在网上泄露了。更关键的是,视频里还直接公布了这款产品的售价:99美元。 事情是这样的:一个名为“T
此前,外网消息源透露,目前PlayStation在PS4和PS5的数字版游戏中加入了DRM验证(正版在线验证)机制。 前情提要>> 简单来说,这个新机制的效果是这样的:从今往后,如果你通过数字商店购买新游戏,那么主机就必须定期连接到PSN网络进行正版验证。具体规则是,如果主机连续超过30天处于离线状