VxRail上のVCF：SDDC Managerワークロード ドメイン アップグレードの事前チェックがステップ「VxRail ManagerのSSH接続」で失敗しました

VCF on VxRailクラスターの場合

VxRail 7.0.410または7.0.411リリースにアップグレードした後、新しいアップグレードを実行すると、SDDC Managerアップグレードの事前チェックが 「VxRail Manager SSH接続」 のステップでエラーの説明により失敗します "Auth fail."

「mystic」ユーザーがSSH経由でVxRail Managerに接続できない。

root@sddc-manager-controller [ ~ ]# ssh mystic@<VxM-IP>
FIPS mode initialized
Password:
Account locked due to 7 failed logins

vCenterのVMコンソールを使用して、rootユーザーとしてVxRail Managerにログインします。 次のコマンドを実行します。

pam_tally2 --user mystic

複数回のログイン失敗により、ユーザーmysticがロックされていることを確認しました。

標準VxRailクラスターの場合

7.0.410または7.0.411にアップグレードした後、「mystic」ユーザーがロックされているためSSH経由でVxRail Managerに接続できない場合もあります。

SUSE Linuxの問題によりVxRailを7.0.410または7.0.411にアップグレードした後、構成ファイル /etc/pam.d/common-account が正常に更新されません。(VxRailが7.0.410または7.0.411で直接導入されている場合、この問題の影響を受けません。)

その結果、mysticユーザーを介して 他のVMからVxRail Manager VMへの SSH接続を確立すると、ログインは成功しても、ログイン失敗回数が増加します。最大許容ログイン失敗回数に達すると、mysticユーザーはロックされます

メモ: VxRail Managerへの直接SSHは、この問題の影響を受けません。たとえば、ノートパソコンからVxRail Manager VMへのSSHログインが成功しても、ログイン失敗回数は増加しません。VCF on VxRail環境でこの問題が発生する頻度は高くなります。これは、アップグレードの事前チェック中に、SDDC Manager VMからVxRail Manager VMへのSSH接続が確立されるためです。

この問題は、VxRail 7.0.450リリースで修正されています。つまり、VxRailがすでに7.0.450で実行されている場合に、上位バージョンへの新しいアップグレードを実行すると、SDDC Managerアップグレードの事前チェックでこの問題が発生しません

以下のリストを確認して、お使いのクラスターがこの問題の影響を受けるかどうかを判断してください。

• VxRailを7.0.410または7.0.411 にアップグレード した後、新しいバージョン(7.0.450を含む)へのアップグレードを実行すると、SDDC Managerのアップグレードの事前チェック でこの問題が発生します。
• VxRailが7.0.410または7.0.411(グリーンフィールド) で導入されている場合 、上位バージョンへの新しいアップグレードを実行しても、SDDC Managerアップグレードの事前チェックで この問題は発生しません。
• VxRailが7.0.410より前のバージョンで実行されており、上位バージョンへの新しいアップグレードを実行すると、SDDC Managerアップグレードの事前チェック でこの問題は発生しません。
• VxRailが7.0.450で実行されていて、上位バージョンへの新しいアップグレードを実行している場合、SDDC Managerアップグレードの事前チェック でこの問題が発生することはありません。

VCF on VxRailのお客様は、次の表に従って、SDDC Managerのアップグレードの事前チェックでこの問題が発生しないようにします。

* VCF 4.5とVxRail 7.0.410をグリーンフィールドにインストールしている場合は、KBを無視できます。他のVxRailバージョンからVxRail 7.0.410にアップグレードした場合にのみ、KBを参照してください。

SDDC Managerアップグレードの事前チェックですでにこの問題が発生している場合は、これらの回避策の手順も適用してください。

対処方法：

=================

1.次の行を /etc/pam.d/common-account ファイルをVxRail Managerにダウンロードします。(SSH接続が機能しないため、rootアカウントでvCenterの仮想マシン コンソールを使用)

account    required    pam_tally2.so

2.rootアカウントを使用し、VxRail Managerコマンド コンソールで次のコマンドを実行して、mysticユーザーのロックを解除します。

pam_tally2 --user mystic --reset

3.mysticアカウントがロック解除されたら、ユーザーはそれを検証し、mystic認証情報を使用してVxRail ManagerへのSSHセッションを確立する必要があります。
 

4.SDDC Managerでワークロード ドメインのアップグレード事前チェックを続行します。

ユーザーは、VxRail Managerの正しいパスワード を次に示すように、lookup_passwordsコマンドを実行してSDDC Managerを作成します。
 

root@sddc-manager-controller [ /home/vcf ]# lookup_passwords
Password lookup operation requires ADMIN user credentials. Please refer VMware Cloud Foundation Administration Guide for setting up ADMIN user.
Supported entity types: ESXI VCENTER PSC NSX_MANAGER NSX_CONTROLLER NSXT_MANAGER NSXT_EDGE VRSLCM VRLI VROPS VRA WSA BACKUP VXRAIL_MANAGER AD
Enter an entity type from above list: VXRAIL_MANAGER
Enter page number (optional):
Enter page size (optional, default=50):
Enter Username: administrator@vsphere.local
Enter Password:<password_of_administrator@vsphere.local>
        VXRAIL_MANAGER
        identifiers: 172.16.6.129,app01-vxrm.test.local
        workload: app01-md
                username: mystic
                password: <passord_of_mystic>
                type: SSH
                account type: SYSTEM
        VXRAIL_MANAGER
        identifiers: 172.16.6.129,app01-vxrm.test.local
        workload: app01-md
                username: root
                password: <passord_of_root>
                type: SSH
                account type: SYSTEM