Сертифікат вузла кластера CloudLink прострочений
Summary: У цій статті пояснюється, як поновити сертифікат вузла кластера, коли CloudLink показує сигнал тривоги «Сертифікат вузла кластера закінчився».
Symptoms
CloudLink показує сигнал тривоги:
Cluster node certificate is expired.
Cause
Коли термін дії сертифікатів вузлів кластера закінчується, це може призвести до втрати синхронізації кластера. У кластері webUI >> CloudLink перевірте, чи вимкнено стан синхронізації. Існує також потенційна проблема безпеки, пов'язана з простроченим сертифікатом.
Resolution
CloudLink 8.1 і вище:
Починаючи з версії CloudLink 8.1, ви можете поновити SVMCLUSTER CA та cluster node сертифікати з вебінтерфейсу CloudLink. Зробіть знімки та резервні копії всіх вузлів CloudLink перед зміною сертифікатів.
Перейдіть у SYSTEM > Backup > Generate New Backup, а потім Actions > Download Backup. Також переконайтеся, що користувач може знайти свій резервний ключ CloudLink (cckey.pem)
Перед перезавантаженням віртуальних машин CloudLink перейдіть до SYSTEM > Vault і переконайтеся, що режим розблокування Vault встановлений на Авто. Якщо режим розблокування встановлений на Ручний, потрібно переконатися, що користувач знає коди Vault, або тимчасово змінити режим на Авто
.НЕ змінюйте SVMCLUSTER CA поки кластер не синхронізований!
Це створює невідповідність, коли кожен вузол CloudLink має свій SVMCLUSTER CA І важко повернути кластер у синхронізацію.
Коли кластер не синхронізований, потрібно оновити сертифікати вузла кластера на кожному CloudLinknode. Перейдіть у розділ SYSTEM > Cluster > Actions > Change Server Certificate. Зробіть це для всіх вузлів CloudLink, а потім перезавантажте всі вузли CloudLink (не одночасно). Це має повернути кластер у синхронізацію, і Sync State має показувати OK.
Якщо кластер довго не синхронізувався, повторна синхронізація може зайняти час. Перевірте вузли в кластері SYSTEM >і переконайтеся, що ви не бачите жодних очікуваних вихідних партій. Це може зайняти кілька годин.
Коли кластер знову синхронізується, можна змінити SVMCLUSTER CA. Перейдіть у розділ SYSTEM > Cluster > Actions > Change CA Certificate. Це автоматично оновлює cluster node знову ж таки, сертифікати вимагали перезавантажити кожен вузол CloudLink знову (не одночасно).
CloudLink 7.x:
У CloudLink 7.x ви не можете поновити SVMCLUSTER CA або cluster node сертифікати. Ви можете завантажити лише PEM, підписаний CA.
Ось інструкції щодо використання OpenSSL для створення самопідписаного сертифіката, призначеного для заміни CloudLink 7.x SVMCLUSTER CA та cluster node Сертифікати:
- Використовуйте будь-який сервер Linux (не CloudLink) і переконайтеся, що встановлений OpenSSL за допомогою команди
openssl version - Створіть файл, викликаний
template.cfgЗапускаючи командуvi template.cfgі вставте інформацію у поле нижче. - Для синіх записів змініть і замініть відповідною інформацією.
[req] default_bits = 2048 distinguished_name = req_distinguished_name req_extensions = v3_req [req_distinguished_name] C =Country(2 letter code) ST =State L =Locality(city) O =Organization OU =OrgUnit CN =CommonName C_default =US ST_default =utah L_default =salt lake city O_default =dell OU_default =dell CN_default =SVMCLUSTER CA [ v3_req ] subjectAltName = @alt_names keyUsage = critical, digitalSignature, keyCertSign, cRLSign extendedKeyUsage = serverAuth, clientAuth basicConstraints = critical, CA:true, pathlen:1 subjectKeyIdentifier=hash [alt_names] DNS.1 = SVMCLUSTER CA
- Виконайте команду:
openssl req -newkey 2048 -keyout svmcluster.key -config template.cfg -x509 -days 730 -out svmcluster.crt -extensions v3_req -nodes
svmcluster.crt та svmcluster.key . Ви завантажуєте ці файли в інтерфейс CloudLink у розділі System>Cluster>Actions>Upload CA Signed PEM>третя стороння PEM. Також збережіть ці файли і зберігайте їх у безпечному місці. Він встановлює -days to 730 Це 2 роки, але можна коригувати за потреби.
- Перезапустіть веб-сервіси CloudLink або перезавантажте всі вузли CloudLink (НЕ одночасно).