06Orchestrator 간 인증Authentication between Maestro Orchestrators

이 인증은 SSH 키와 SSL 인증서 기반이며, SSL 인증서는 1년 유효하되 오케스트레이터가 자동 갱신합니다. 그리고 양방향 메시(two-way mesh) 라, 각 오케스트레이터가 나머지 모두를 서로 인증합니다(Dual Site 4대면 1_1·1_2·2_1·2_2가 서로서로).

순서와 단독 작업이 중요합니다. Security Group을 구성하기 전에 모든 오케스트레이터가 인증을 마쳤는지 먼저 확인 해야 동기화 문제가 안 생기고, 한 번에 한 관리자만 인증을 설정해야 서로 다른 오케스트레이터에서 동시에 건드리는 충돌을 막습니다. 또 오케스트레이터를 클린 설치·공장 초기화했거나, 교체했거나, Site ID/Orchestrator ID가 바뀌면 인증을 다시 설정해야 합니다.

상태는 Gaia Portal·CLI에서 네 가지로 표시됩니다 — Authenticated(상대를 인증함), Unknown(상태 판단 불가), Unreachable(Sync 포트로 연결 안 됨), Untrusted(상대를 신뢰 안 함). 아직 인증 안 된 오케스트레이터가 있으면 Gaia Portal 접속 시 "N개가 인증 대기 중, 지금 인증할까요?" 팝업이 뜹니다.

먼저 한 가지 — Gaia에 Two-Factor Authentication을 켰다면, 신뢰를 맺기 전에 각 오케스트레이터에서 2FA를 끄고, 다 맺은 뒤 다시 켜야 합니다.

절차는 이렇습니다. 먼저 각 오케스트레이터의 지문(fingerprint) 을 확인합니다(Gaia Portal의 Orchestrator Management > Security Groups > Authentication에서, 또는 Gaia Clish의 show ssh pubkey host localhost). 그다음 오케스트레이터 한 대(예: 1_1)의 Gaia Portal에서 Orchestrator Management > Security Groups > 우측 상단 Authentication 으로 들어가, 나머지 오케스트레이터(1_2, 2_1, 2_2) 각각의 섹션에서 Trust 를 누릅니다. 이때 Expert 모드 비밀번호를 입력하는데, 이 비밀번호는 최초 인증에만 쓰이고 이후 저장되지 않습니다. 한 대에서 나머지를 모두 Trust하면 메시 인증이 완성됩니다.

show ssh pubkey host localhost   # Gaia Clish에서 지문 확인
orchd restart                    # 기존 환경에 새로 추가한 오케스트레이터라면 Expert 모드에서

기존 Maestro 환경에 새 오케스트레이터를 추가해 신뢰를 맺었다면, 그 새 오케스트레이터에서 orchd restart 를 실행합니다. (Gaia Clish/Expert 모드 CLI로도 같은 인증을 할 수 있습니다.)