VCF on VxRail: Falha na pré-verificação do upgrade do domínio de carga de trabalho do SDDC Manager na etapa "VxRail Manager SSH Connection"

Para um VCF on VxRail Cluster

Após o upgrade para o VxRail versão 7.0.410 ou 7.0.411 e, em seguida, realize um novo upgrade, a pré-verificação de upgrade do SDDC Manager falhará na etapa "Conexão SSH do VxRail Manager" com a descrição do erro "Auth fail."

Localizar o usuário "mystic" não consegue se conectar ao VxRail Manager por SSH.

root@sddc-manager-controller [ ~ ]# ssh mystic@<VxM-IP>
FIPS mode initialized
Password:
Account locked due to 7 failed logins

Faça login no VxRail Manager como usuário root usando o console da VM no vCenter Execute o comando a seguir.

pam_tally2 --user mystic

Foi observado que o usuário mystic foi bloqueado devido a várias falhas de log-in.

Para VxRail Cluster padrão

Após o upgrade para a versão 7.0.410 ou 7.0.411, também pode ser possível descobrir que o usuário "mystic" não consegue se conectar ao VxRail Manager via SSH, pois ele está bloqueado.

Devido a um problema no SUSE Linux, após o upgrade do VxRail para a versão 7.0.410 ou 7.0.411, o arquivo de configuração /etc/pam.d/common-account não foi atualizado. (Se o VxRail for implementado diretamente na versão 7.0.410 ou 7.0.411, ele não será afetado por esse problema.)

Como resultado, ao estabelecer a conexão SSH de outras VMs com a VM do VxRail Manager por meio do usuário mystic, embora o login seja bem-sucedido, a contagem de log-ins com falha ainda é incrementada. Depois que ele atingir a contagem máxima permitida de log-ins com falha, o usuário mystic será bloqueado.

Observação: O SSH direto para o VxRail Manager não é afetado por esse problema. Por exemplo, o login SSH bem-sucedido do seu notebook na VM do VxRail Manager não faz com que o número de log-ins com falha aumente. Um ambiente VCF on VxRail atinge esse problema com mais frequência, pois durante a pré-verificação do upgrade, a conexão SSH é estabelecida da VM do SDDC Manager com a VM do VxRail Manager.

Esse problema foi corrigido na versão 7.0.450 do VxRail. Isso significa que quando o VxRail já estiver em execução na versão 7.0.450 e, em seguida, executar um novo upgrade para uma versão superior, a pré-verificação de upgrade do SDDC Manager não afetará esse problema.

Verifique a lista abaixo para determinar se os clusters são afetados por esse problema:

• O upgrade do VxRail é feito para a versão 7.0.410 ou 7.0.411 e, em seguida, realizar um novo upgrade para uma versão superior (incluindo a 7.0.450), a pré-verificação de upgrade do SDDC Manager afetará esse problema.
• O VxRail é implementado na versão 7.0.410 ou 7.0.411 (greenfield); então, realizar um novo upgrade para uma versão superior, a pré-verificação de upgrade do SDDC Manager não afetará esse problema.
• Se o VxRail estiver em execução em uma versão anterior à 7.0.410, realizando um novo upgrade para uma versão superior, a pré-verificação de upgrade do SDDC Manager não afetará esse problema.
• O VxRail está em execução na versão 7.0.450. Em seguida, realizando um novo upgrade para uma versão superior, a pré-verificação de upgrade do SDDC Manager não afetará esse problema.

Os clientes do VCF no VxRail seguem a tabela abaixo para evitar que a pré-verificação de upgrade do SDDC Manager ocorra nesse problema:

* Se você instalou o VCF 4.5 com o VxRail 7.0.410 em condições greenfield, poderá ignorar a KB. Consulte a base de conhecimento somente se você tiver feito upgrade para o VxRail 7.0.410 a partir de qualquer outra versão do VxRail.

Se a pré-verificação de upgrade do SDDC Manager já tiver afetado esse problema, aplique também estas etapas de solução temporária.

Etapas da solução temporária:

=================

1. Adicione a seguinte linha à /etc/pam.d/common-account no VxRail Manager. (Usando o console de máquina virtual no vCenter com conta root, já que a conexão SSH não funciona)

account    required    pam_tally2.so

2. Desbloqueie o usuário mystic executando o seguinte comando no console de comandos do VxRail Manager com a conta root.

pam_tally2 --user mystic --reset

3. Depois que a conta mystic for desbloqueada, o usuário deverá validá-la e tentar estabelecer uma sessão SSH para o VxRail Manager usando as credenciais mystic.
 

4. Prossiga com a pré-verificação do upgrade do domínio de carga de trabalho no SDDC Manager.

O usuário pode pesquisar as senhas corretas do VxRail Manager no SDDC Manager executando o comando lookup_passwords conforme mostrado abaixo.
 

root@sddc-manager-controller [ /home/vcf ]# lookup_passwords
Password lookup operation requires ADMIN user credentials. Please refer VMware Cloud Foundation Administration Guide for setting up ADMIN user.
Supported entity types: ESXI VCENTER PSC NSX_MANAGER NSX_CONTROLLER NSXT_MANAGER NSXT_EDGE VRSLCM VRLI VROPS VRA WSA BACKUP VXRAIL_MANAGER AD
Enter an entity type from above list: VXRAIL_MANAGER
Enter page number (optional):
Enter page size (optional, default=50):
Enter Username: administrator@vsphere.local
Enter Password:<password_of_administrator@vsphere.local>
        VXRAIL_MANAGER
        identifiers: 172.16.6.129,app01-vxrm.test.local
        workload: app01-md
                username: mystic
                password: <passord_of_mystic>
                type: SSH
                account type: SYSTEM
        VXRAIL_MANAGER
        identifiers: 172.16.6.129,app01-vxrm.test.local
        workload: app01-md
                username: root
                password: <passord_of_root>
                type: SSH
                account type: SYSTEM