VCF на VxRail: Сбой предварительной проверки предварительной проверки домена рабочей нагрузки SDDC Manager на шаге «SSH Connection VxRail Manager»

Для кластера VCF на базе VxRail

После модернизации до VxRail 7.0.410 или 7.0.411 с последующим выполнением новой модернизации предварительная проверка модернизации SDDC Manager завершается сбоем на шаге «SSH-подключение VxRail Manager» с описанием ошибки "Auth fail."

Пользователь «mystic» не может подключиться к VxRail Manager по протоколу SSH.

root@sddc-manager-controller [ ~ ]# ssh mystic@<VxM-IP>
FIPS mode initialized
Password:
Account locked due to 7 failed logins

Войдите в VxRail Manager в качестве пользователя root с помощью консоли виртуальной машины в vCenter. Выполните следующую команду.

pam_tally2 --user mystic

Замечено, что пользователь mystic заблокирован из-за нескольких неудачных попыток входа.

Для стандартного кластера VxRail

После модернизации до версии 7.0.410 или 7.0.411 пользователь может также обнаружить, что пользователь «mystic» не может подключиться к VxRail Manager по SSH, так как он заблокирован.

Из-за проблемы SUSE Linux после модернизации VxRail до версии 7.0.410 или 7.0.411 файл конфигурации /etc/pam.d/common-account не удалось обновить. (Если VxRail развернут непосредственно в версии 7.0.410 или 7.0.411, эта проблема не влияет на него.)

В результате, когда устанавливается SSH-подключение с других виртуальных машин к виртуальной машине VxRail Manager через пользователя mystic, хотя вход выполнен успешно, количество неудачных попыток входа все равно увеличивается. После того, как будет достигнуто максимально допустимое количество неудачных попыток входа, пользователь mystic будет заблокирован.

Примечание. Эта проблема не влияет на прямое подключение через SSH к VxRail Manager, например, успешный вход по SSH с ноутбука в виртуальную машину VxRail Manager не приводит к увеличению количества неудачных попыток входа. В среде VCF на VxRail эта проблема возникает чаще, так как во время предварительной проверки модернизации устанавливается SSH-подключение между виртуальной машиной диспетчера SDDC и виртуальной машиной VxRail Manager.

Эта проблема устранена в выпуске VxRail 7.0.450, а значит, если VxRail уже работает на версии 7.0.450, а затем выполняется новая модернизация до более новой версии, предварительная проверка модернизации SDDC Manager не вызовет этой проблемы.

Проверьте приведенный ниже список, чтобы определить, подвержены ли кластеры этой проблеме.

• VxRail модернизирован до версии 7.0.410 или 7.0.411, а затем выполняет новую модернизацию до более новой версии (включая 7.0.450), и предварительная проверка модернизации SDDC Manager столкнется с этой проблемой.
• VxRail развернут в версии 7.0.410 или 7.0.411 (с нуля), а затем выполняет новую модернизацию до более новой версии, и предварительная проверка модернизации SDDC Manager не затрагивает эту проблему.
• VxRail работает под управлением версии до 7.0.410, а затем выполняет обновление до более новой версии, предварительная проверка модернизации SDDC Manager не вызывает этой проблемы.
• VxRail работает на версии 7.0.450, а затем выполняется новая модернизация до более новой версии, и предварительная проверка модернизации SDDC Manager не вызовет этой проблемы.

Заказчики VCF на VxRail должны следовать приведенной ниже таблице, чтобы избежать этой проблемы при предварительной проверке модернизации SDDC Manager:

* Если вы установили VCF 4.5 с VxRail 7.0.410 с нуля, то вы можете игнорировать статью базы знаний. См. статью базы знаний только в том случае, если вы выполнили обновление до VxRail 7.0.410 с любой другой версии VxRail.

Если предварительная проверка модернизации SDDC Manager уже столкнулась с этой проблемой, также выполните эти шаги для временного решения.

Порядок действий для временного решения проблемы:

=================

1. Добавьте следующую строку в файл /etc/pam.d/common-account в VxRail Manager. (При использовании консоли виртуальной машины в vCenter с учетной записью root, так как SSH-подключение не работает)

account    required    pam_tally2.so

2. Разблокируйте пользователя mystic, выполнив следующую команду в консоли команд VxRail Manager с учетной записью root.

pam_tally2 --user mystic --reset

3. После разблокировки учетной записи mystic пользователь должен подтвердить ее и попытаться установить сеанс SSH для VxRail Manager, используя учетные данные mystic.
 

4. Выполните предварительную проверку обновления домена рабочих нагрузок в диспетчере SDDC.

Пользователь мог найти правильные пароли VxRail Manager на странице SDDC, выполнив команду lookup_passwords, как показано ниже.
 

root@sddc-manager-controller [ /home/vcf ]# lookup_passwords
Password lookup operation requires ADMIN user credentials. Please refer VMware Cloud Foundation Administration Guide for setting up ADMIN user.
Supported entity types: ESXI VCENTER PSC NSX_MANAGER NSX_CONTROLLER NSXT_MANAGER NSXT_EDGE VRSLCM VRLI VROPS VRA WSA BACKUP VXRAIL_MANAGER AD
Enter an entity type from above list: VXRAIL_MANAGER
Enter page number (optional):
Enter page size (optional, default=50):
Enter Username: administrator@vsphere.local
Enter Password:<password_of_administrator@vsphere.local>
        VXRAIL_MANAGER
        identifiers: 172.16.6.129,app01-vxrm.test.local
        workload: app01-md
                username: mystic
                password: <passord_of_mystic>
                type: SSH
                account type: SYSTEM
        VXRAIL_MANAGER
        identifiers: 172.16.6.129,app01-vxrm.test.local
        workload: app01-md
                username: root
                password: <passord_of_root>
                type: SSH
                account type: SYSTEM