VxRail: Protokół ESXi SSH pozostaje włączony w głównym węźle VxRail po wydaniu nocnego raportu doradczego w wersji 7.0.45x

Ten artykuł jest przeznaczony dla klientów, którzy mają obawy dotyczące bezpieczeństwa, jeśli usługa SSH jest włączona w oprogramowaniu ESXi. Istnieje możliwość, że nocne sprawdzanie raportu doradczego VxRail pozostawia SSH w stanie włączonym w głównym węźle VxRail.
Problem występuje, gdy moduły podrzędne kontroli poprawności działania tymczasowo włączają jednocześnie protokół TSM-SSH na węzłach ESXi.

Scenariusz 1:
Podkomponent kontroli poprawności działania "Radar" (część kontroli poprawności działania VxRail, kontroli wstępnych i ADC) ma wiele modułów, które są częścią jego automatyzacji.
Moduły, o których mowa, to "vsan_disk_utilization_check" i "VxVerify", które są ze sobą w konflikcie.

Przykładowy fragment kodu dziennika dotyczący włączania protokołu SSH dla modułu "vsan_disk_utilization_check":

Radar.log from VxRail Manager:
2023-06-22 00:20:52,403.403Z INFO [vsan_disk_utilization_check] Running cmd on: hst011.cwf.fr > esxcli vsan health cluster get --test=diskspace|grep % [remote_utils.py:114]

shell.log from primary VxRail node:
2023-06-21T00:20:53.214Z SSH[6061650]: SSH login enabled

Przykładowy fragment kodu dziennika dotyczący wykrywania stanu SSH we wszystkich węzłach dla VxVerify w celu przywrócenia stanu SSH po zakończeniu:

VxVerify vxv.log from the VxRail Manager:
2023-06-22 00:20:59-INFO     [host_ssh_check] SSH status for node01.domain.tld is initially enabled

Przykładowy fragment kodu dziennika dotyczący wyłączania protokołu SSH dla modułu "vsan_disk_utilization_check"

Radar.log from VxRail Manager:
2023-06-22 00:21:35,582.582Z INFO [vsan_disk_utilization_check] Host hst011.cwf.fr ran cmd. Response: b'59.53% (145196.93GB of 243916.11GB)     green      170741.28                  219524.50                \n',b'Could not create directory \'/home/tcserver/.ssh\'.\r\nload pubkey "/home/tcserver/.ssh/id_

shell.log from primary VxRail node:
2023-06-21T00:21:36.870Z SSH[6061853]: SSH login disabled

Scenariusz 2:

Run Quick boot script failed 

2025-01-29T10:02:32.563Z <586bc3767ee3ca82a80f6e3ecac4b0b6> lcm [INFO] <189> NodeSSHManagementService.java enableSSHServiceWithOriginalStatusReturn() (152): SSH state: true

2025-01-29T10:02:32.563Z <586bc3767ee3ca82a80f6e3ecac4b0b6> lcm [ERROR] <189> QuickBootCompatibilityService.java runQuickbootScript() (70): get script Error 

Scenariusz 1:

Istnieją dwa sposoby rozwiązania tego problemu: Jednym z nich jest zmiana konfiguracji w celu wyłączenia "vsan_disk_utilization_check", a drugim jest uaktualnienie ADC do wersji stałej.

Rozwiązanie 1:

su to root
vxrm0:/mystic/radar # cd /mystic/radar
vxrm0:/mystic/radar # grep -i vsan_disk_utilization_check /mystic/radar/conf/profile/advisory-report.yml
    - vsan_disk_utilization_check
vxrm0:/mystic/radar # cp /mystic/radar/conf/profile/advisory-report.yml /home/mystic/advisory-report.bckup
vxrm0:/mystic/radar # sed -i 's/^\( *\)- vsan_disk_utilization_check/#    - vsan_disk_utilization_check/' /mystic/radar/conf/profile/advisory-report.yml
vxrm0:/mystic/radar # grep -i vsan_disk_utilization_check /mystic/radar/conf/profile/advisory-report.yml
#   - vsan_disk_utilization_check

Wyłącz i zweryfikuj stan wyłączony dla ESXi TSM-SSH na wszystkich węzłach.

Poczekaj na uruchomienie nocnego "raportu doradczego" VxRail i sprawdź, czy SSH pozostaje w stanie wyłączonym SSH.

Może być konieczne ponowne zastosowanie tej rozdzielczości, ponieważ /mystic/radar/conf/profile/advisory-report.yml zostanie przywrócony podczas aktualizacji ADC. 

Rozwiązanie 2:

Aby rozwiązać ten problem, zapoznaj się z artykułem bazy wiedzy https://www.dell.com/support/kbdoc/000019890 , aby uaktualnić ADC do najnowszej wersji.

Scenariusz 2:

Uaktualnij VxRail do wersji 8.0.330 lub nowszej.