VxRail: Po nočním hlášení doporučení 7.0.45x je protokol ESXi SSH ponechán na primárním uzlu VxRail povolen

Tento článek znalostní databáze je určen zákazníkům, kteří mají problémy se zabezpečením v případě, že je služba SSH v systému ESXi povolena. Je možné, že noční kontrola poradenských zpráv VxRail ponechává protokol SSH na primárním uzlu VxRail ve stavu povoleno.
K tomu dochází, když dílčí moduly kontroly stavu dočasně povolují TSM-SSH na uzlech ESXi současně.

Scénář 1:
Dílčí komponenta kontroly stavu "Radar" (součást kontrol stavu, předběžných kontrol a ADC platformy VxRail) má několik modulů, které jsou součástí její automatizace.
Jedná se o moduly "vsan_disk_utilization_check" a "VxVerify", které jsou ve vzájemném konfliktu.

Příklad fragmentu protokolu při povolení protokolu SSH pro modul "vsan_disk_utilization_check":

Radar.log from VxRail Manager:
2023-06-22 00:20:52,403.403Z INFO [vsan_disk_utilization_check] Running cmd on: hst011.cwf.fr > esxcli vsan health cluster get --test=diskspace|grep % [remote_utils.py:114]

shell.log from primary VxRail node:
2023-06-21T00:20:53.214Z SSH[6061650]: SSH login enabled

Příklad fragmentu protokolu při zjišťování stavu SSH na všech uzlech, aby nástroj VxVerify po dokončení vrátil stav SSH:

VxVerify vxv.log from the VxRail Manager:
2023-06-22 00:20:59-INFO     [host_ssh_check] SSH status for node01.domain.tld is initially enabled

Příklad fragmentu protokolu při zakázání protokolu SSH pro modul "vsan_disk_utilization_check"

Radar.log from VxRail Manager:
2023-06-22 00:21:35,582.582Z INFO [vsan_disk_utilization_check] Host hst011.cwf.fr ran cmd. Response: b'59.53% (145196.93GB of 243916.11GB)     green      170741.28                  219524.50                \n',b'Could not create directory \'/home/tcserver/.ssh\'.\r\nload pubkey "/home/tcserver/.ssh/id_

shell.log from primary VxRail node:
2023-06-21T00:21:36.870Z SSH[6061853]: SSH login disabled

2. scénář:

Run Quick boot script failed 

2025-01-29T10:02:32.563Z <586bc3767ee3ca82a80f6e3ecac4b0b6> lcm [INFO] <189> NodeSSHManagementService.java enableSSHServiceWithOriginalStatusReturn() (152): SSH state: true

2025-01-29T10:02:32.563Z <586bc3767ee3ca82a80f6e3ecac4b0b6> lcm [ERROR] <189> QuickBootCompatibilityService.java runQuickbootScript() (70): get script Error 

Dva moduly "vsan_disk_utilization_check" a "VxVerify" běží paralelně.
Při povolení SSH spusťte příkaz a poté zakažte SSH pro vsan_disk_utilization_check. V nástroji VxVerify (před zakázáním protokolu SSH v vsan_disk_utilization_check) by již bylo zjištěno, že primární uzel VxRail má povolený protokol SSH.
Na konci nástroje VxVerify se pokusí obnovit nebo ponechat protokol SSH v povoleném stavu. Takový byl stav služby SSH na začátku nástroje VxVerify.

1. scénář:

Tento problém lze vyřešit dvěma způsoby: Jedním z nich je změna konfigurace tak, aby se zakázala "vsan_disk_utilization_check", a druhým je upgrade ADC na pevnou verzi.

Řešení 1:

su to root
vxrm0:/mystic/radar # cd /mystic/radar
vxrm0:/mystic/radar # grep -i vsan_disk_utilization_check /mystic/radar/conf/profile/advisory-report.yml
    - vsan_disk_utilization_check
vxrm0:/mystic/radar # cp /mystic/radar/conf/profile/advisory-report.yml /home/mystic/advisory-report.bckup
vxrm0:/mystic/radar # sed -i 's/^\( *\)- vsan_disk_utilization_check/#    - vsan_disk_utilization_check/' /mystic/radar/conf/profile/advisory-report.yml
vxrm0:/mystic/radar # grep -i vsan_disk_utilization_check /mystic/radar/conf/profile/advisory-report.yml
#   - vsan_disk_utilization_check

Zakázání a ověření zakázaného stavu pro ESXi TSM-SSH na všech uzlech.

Počkejte, až se přes noc spustí zpráva "Advisory Report" pro VxRail, a ověřte, zda je protokol SSH nadále ve stavu zakázání.

Možná budete muset toto rozlišení znovu použít, protože /mystic/radar/conf/profile/advisory-report.yml bude během aktualizace ADC vráceno. 

Řešení 2:

Chcete-li tento problém vyřešit, podívejte se na https://www.dell.com/support/kbdoc/000019890 upgradu ADC na nejnovější verzi v článku KB#.

2. scénář:

Upgradujte zařízení VxRail na verzi 8.0.330 nebo novější.