VxRail. Протокол SSH ESXi остается включенным на основном узле VxRail после ночного отчета с рекомендациями 7.0.45x

Эта статья базы знаний предназначена для заказчиков, у которых возникают проблемы с безопасностью, если служба SSH находится в включенном состоянии на ESXi. Возможно, из-за ежевечерней проверки консультативного отчета VxRail протокол SSH на основном узле VxRail остается во включенном состоянии.
Это наблюдается, когда подмодули диагностики системы временно включают TSM-SSH на узлах ESXi одновременно.

Сценарий 1.
Подкомпонент диагностики системы «Radar» (входит в состав VxRail диагностики системы, предварительных проверок и ADC) имеет несколько модулей, которые являются частью автоматизации.
Речь идет о модулях «vsan_disk_utilization_check» и «VxVerify», которые конфликтуют друг с другом.

Пример фрагмента журнала при включении SSH для модуля «vsan_disk_utilization_check»:

Radar.log from VxRail Manager:
2023-06-22 00:20:52,403.403Z INFO [vsan_disk_utilization_check] Running cmd on: hst011.cwf.fr > esxcli vsan health cluster get --test=diskspace|grep % [remote_utils.py:114]

shell.log from primary VxRail node:
2023-06-21T00:20:53.214Z SSH[6061650]: SSH login enabled

Пример фрагмента журнала при обнаружении состояния SSH на всех узлах для VxVerify, чтобы вернуть состояние SSH после завершения:

VxVerify vxv.log from the VxRail Manager:
2023-06-22 00:20:59-INFO     [host_ssh_check] SSH status for node01.domain.tld is initially enabled

Пример фрагмента журнала по отключению SSH для модуля "vsan_disk_utilization_check"

Radar.log from VxRail Manager:
2023-06-22 00:21:35,582.582Z INFO [vsan_disk_utilization_check] Host hst011.cwf.fr ran cmd. Response: b'59.53% (145196.93GB of 243916.11GB)     green      170741.28                  219524.50                \n',b'Could not create directory \'/home/tcserver/.ssh\'.\r\nload pubkey "/home/tcserver/.ssh/id_

shell.log from primary VxRail node:
2023-06-21T00:21:36.870Z SSH[6061853]: SSH login disabled

Сценарий 2.

Run Quick boot script failed 

2025-01-29T10:02:32.563Z <586bc3767ee3ca82a80f6e3ecac4b0b6> lcm [INFO] <189> NodeSSHManagementService.java enableSSHServiceWithOriginalStatusReturn() (152): SSH state: true

2025-01-29T10:02:32.563Z <586bc3767ee3ca82a80f6e3ecac4b0b6> lcm [ERROR] <189> QuickBootCompatibilityService.java runQuickbootScript() (70): get script Error 

Сценарий 1.

Существует два способа решения этой проблемы: Один из них заключается в изменении конфигурации, чтобы отключить «vsan_disk_utilization_check», а другой — в модернизации АЦП до фиксированной версии.

Резолюция 1:

su to root
vxrm0:/mystic/radar # cd /mystic/radar
vxrm0:/mystic/radar # grep -i vsan_disk_utilization_check /mystic/radar/conf/profile/advisory-report.yml
    - vsan_disk_utilization_check
vxrm0:/mystic/radar # cp /mystic/radar/conf/profile/advisory-report.yml /home/mystic/advisory-report.bckup
vxrm0:/mystic/radar # sed -i 's/^\( *\)- vsan_disk_utilization_check/#    - vsan_disk_utilization_check/' /mystic/radar/conf/profile/advisory-report.yml
vxrm0:/mystic/radar # grep -i vsan_disk_utilization_check /mystic/radar/conf/profile/advisory-report.yml
#   - vsan_disk_utilization_check

Отключите и проверьте состояние «Отключено» для ESXi TSM-SSH на всех узлах.

Дождитесь ночного запуска «Advisory Report» VxRail и проверьте, остается ли SSH в отключенном состоянии SSH.

Возможно, вам придется снова применить это решение, так как /mystic/radar/conf/profile/advisory-report.yml будет отменен во время обновления ADC. 

Решение 2.

Для обновления ADC до последней версии, чтобы устранить эту проблему, см. https://www.dell.com/support/kbdoc/000019890 базы знаний.

Сценарий 2.

Модернизируйте VxRail до версии 8.0.330 или более поздней.