El certificado del nodo del clúster de CloudLink venció

CloudLink muestra la alarma:

Cluster node certificate is expired.

Cuando vencen los certificados de los nodos del clúster, es posible que el clúster deje de estar sincronizado. En el clúster SYSTEM > de la interfaz de usuario > web de CloudLink, compruebe si el estado de sincronización es Off. También existe un posible problema de seguridad relacionado con un certificado vencido.

CloudLink 8.1 y versiones posteriores:

A partir de la versión 8.1 de CloudLink, puede renovar el SVMCLUSTER CA y cluster node certificados desde dentro de la interfaz de usuario web de CloudLink. Tome instantáneas y respaldos de todos los nodos de CloudLink antes de cambiar los certificados. 

Vaya a SYSTEM > Backup > , Generate New Backup y, a continuación, a Actions > : Download Backup. Además, asegúrese de que el usuario pueda encontrar su clave de respaldo de CloudLink (cckey.pem)

Antes de reiniciar las VM de CloudLink, vaya a SYSTEM > Vault y confirme que Vault Unlock Mode esté configurado en Auto. Si el modo de desbloqueo está establecido en Manual, debe confirmar que el usuario conoce los códigos de acceso de vault o cambiar temporalmente el modo a automático.

NO cambie el SVMCLUSTER CA ¡Mientras el clúster no está sincronizado!
Esto crea una incoherencia en la que cada nodo de CloudLink tiene unSVMCLUSTER CA Y es difícil volver a sincronizar el clúster.

Cuando el clúster no está sincronizado, debe renovar los certificados de los nodos del clúster en cada CloudLinkNode. Vaya a SISTEMA > Acciones > del clúster > Cambiar certificado del servidor. Haga esto para todos los nodos de CloudLink y, a continuación, reinicie todos los nodos de CloudLink (no simultáneamente). Esto debería volver a sincronizar el clúster y el estado de sincronización debe indicar OK.

Si el clúster ha estado desincronizado durante mucho tiempo, es posible que la resincronización tarde un tiempo en finalizar. Compruebe los nodos en el clúster SYSTEM > y confirme que no ve ningún lote saliente esperado. Esto puede tardar varias horas en completarse.

Una vez que el clúster vuelva a estar sincronizado, puede cambiar el SVMCLUSTER CA. Vaya a SYSTEM > Cluster > Actions > Change CA Certificate. Al hacer esto, se renueva automáticamente el cluster node certificados que requieren nuevamente que reinicie cada nodo de CloudLink nuevamente (no simultáneamente).

CloudLink 7.x:

En CloudLink 7.x, no puede renovar el SVMCLUSTER CA o cluster node Certificados. Solo puede cargar un PEM firmado por una CA.

Estas son instrucciones sobre el uso de OpenSSL para generar un certificado autofirmado destinado a reemplazar CloudLink 7.x SVMCLUSTER CA y cluster node Certificados:

1. Utilice cualquier servidor Linux (no CloudLink) y confirme que OpenSSL esté instalado mediante la ejecución del comando openssl version
2. Cree un archivo llamado template.cfg mediante la ejecución del comando vi template.cfg y pegue la información en el cuadro que aparece a continuación.
3. En el caso de las entradas en negrita, modifíquelas y sustitúyalas por la información pertinente.

[req]
default_bits           = 2048
distinguished_name     = req_distinguished_name
req_extensions         = v3_req

[req_distinguished_name]
C =Country(2 letter code)
ST =State
L =Locality(city)
O =Organization
OU =OrgUnit
CN =CommonName

C_default =US
ST_default =utah
L_default =salt lake city
O_default =dell
OU_default =dell
CN_default =SVMCLUSTER CA

[ v3_req ]
subjectAltName   = @alt_names
keyUsage         = critical, digitalSignature, keyCertSign, cRLSign
extendedKeyUsage = serverAuth, clientAuth
basicConstraints = critical, CA:true, pathlen:1
subjectKeyIdentifier=hash

[alt_names]
DNS.1   = SVMCLUSTER CA

4. Ejecute el comando:

openssl req -newkey 2048 -keyout svmcluster.key -config template.cfg  -x509 -days 730 -out svmcluster.crt -extensions v3_req -nodes

5. Reinicie los servicios web de CloudLink o reinicie todos los nodos de CloudLink (NO simultáneamente).