升級到 VxRail 7.0.410 或 7.0.411 版本後,然後執行新的升級,SDDC Manager 升級前置檢查會在步驟「VxRail Manager SSH Connection」中失敗,並顯示錯誤說明「Auth fail」。
尋找「Mystic」使用者無法透過 SSH 連線至 VxRail Manager。
root@sddc-manager-controller [ ~ ]# ssh mystic@ FIPS mode initialized Password: Account locked due to 7 failed logins
透過 vCenter 中的 VM 主控台,以 root 使用者身分登入 VxRail Manager。執行下列命令
pam_tally2 --user mystic
觀察到,由於多次登入失敗,使用者 Mystic 已鎖定。
升級至 7.0.410 或 7.0.411 後,也可能會發現「Mystic」使用者無法透過 SSH 連線至 VxRail Manager,因為其已鎖定。
由於 SUSE Linux 問題,在 VxRail 升級至 7.0.410 或 7.0.411 後,config 檔案 /etc/pam.d/common-account 未成功更新。(如果 VxRail 是直接部署在 7.0.410 或 7.0.411,則不受此問題影響。)
因此,透過Mystic 使用者建立 SSH 從其他 VM 連線至 VxRail Manager VM時,雖然登入成功,但失敗的登入計數仍會增加。達到允許的最大失敗登入計數後,會鎖定 Mystic 使用者。
注意:直接 SSH 至 VxRail Manager 不受此問題影響,例如,從筆記本電腦成功登入 SSH 至 VxRail Manager VM 並不會導致登入計數失敗增加。因此,VxRail 環境中的 VCF 會更頻繁地觸及此問題,因為在升級前置檢查期間,SSH 連線是從 SDDC Manager VM 建立到 VxRail Manager VM。
此問題在 VxRail 7.0.450 版本中已修正,也就是說,當 VxRail 已在 7.0.450 上執行,然後執行新升級至更高版本時,SDDC 管理員升級預先檢查將不會發生此問題。
請查看下列清單,以判斷您的叢集是否受到此問題的影響:
VxRail 上的 VCF 客戶請遵循下表,以避免 SDDC 管理員升級預先檢查發生此問題:
來源 VxRail 版本 | 目標 VxRail 版本 | 何時要套用此 KB 因應措施步驟 |
---|---|---|
7.0.400 | AP 修補程式至 7.0.410 | 完成 VxRail 管理員升級至 7.0.410 後 |
7.0.400 | AP 修補程式至 7.0.411 | 完成 VxRail 管理員升級至 7.0.411 後 |
7.0.410* | AP 修補程式至 7.0.411 | 啟用 7.0.411 升級之前 |
* 如果您已將 VCF 4.5 搭配 VxRail 7.0.410 安裝在格域,則可以忽略 KB。只有在您從任何其他 VxRail 版本升級至 VxRail 7.0.410 時,才可參閱 KB。
如果 SDDC Manager 升級預先檢查已發生此問題,請也套用此 KB 因應措施步驟。
=================
1.將下列行新增至 VxRail Manager 中的/etc/pam.d/common-account檔案。(使用具有 root 帳戶的 vCenter 中的虛擬機器主控台,因為 SSH 連線無法運作)
account required pam_tally2.so
2.在具有 root 帳戶的 VxRail Manager 命令主控台中執行下列命令,以解鎖 Mystic 使用者。
pam_tally2 --user mystic --reset
3.當 Mystic 帳戶解鎖後,使用者應對其進行驗證,並嘗試 使用 Mystic 認證建立 SSH 會話給 VxRail Manager。
4.繼續進行 SDDC Manager 上的工作負載網域升級預先檢查。
使用者可以從 VxRail Manager 查詢正確的密碼執行 SDDC 管理員lookup_passwords命令,如下所示。
root@sddc-manager-controller [ /home/vcf ]# lookup_passwords
密碼查詢作業需要 ADMIN 使用者認證。如需設定 ADMIN 使用者,請參閱《VMware Cloud Foundation 管理指南》。
支援的實體類型:ESXI VCENTER PSC NSX_MANAGER NSX_CONTROLLER NSXT_MANAGER NSXT_EDGE VRSLCM VRLI VROPS VRA WSA 備份VXRAIL_MANAGER AD
從上方清單輸入實體類型:
VXRAIL_MANAGER輸入頁面號碼 (選用):
輸入頁面大小 (選用,預設=50):
輸入使用者名稱:administrator@vsphere。本機
輸入密碼:。本機>
VXRAIL_MANAGER
識別碼:172.16.6.129,app01-vxrm.test.local
workload: app01-md
username: mystic
password:
類型:SSH
帳戶類型:系統
VXRAIL_MANAGER識別碼:172.16.6.129,app01-vxrm.test.local
workload: app01-md
username: root
password:
類型:SSH
帳戶類型:SYSTEM