Le certificat du nœud de cluster CloudLink a expiré

CloudLink affiche l’alarme :

Cluster node certificate is expired.

L’expiration des certificats des nœuds de cluster peut entraîner une désynchronisation du cluster. Dans le cluster SYSTEM > de l’interface utilisateur > Web CloudLink, vérifiez si l’État de synchronisation est Off. Il existe également un problème de sécurité potentiel lié à l’expiration du certificat.

CloudLink 8.1 et versions ultérieures :

À partir de la version 8.1 de CloudLink, vous pouvez renouveler le SVMCLUSTER CA et cluster node à partir de l’interface utilisateur Web de CloudLink. Prenez des snapshots et des sauvegardes de tous les nœuds CloudLink avant de modifier les certificats. 

Accédez à SYSTEM > Backup > Generate New Backup , puis à Actions > Download Backup. En outre, assurez-vous que l’utilisateur peut localiser sa clé de sauvegarde CloudLink (cckey.pem)

Avant de redémarrer les machines virtuelles CloudLink, accédez à SYSTEM > Vault et vérifiez que Vault Unlock Mode est défini sur Auto. Si le mode de déverrouillage est défini sur Manuel, vous devez confirmer que l’utilisateur connaît les codes secrets du coffre-fort ou définir temporairement le modesur Auto.

NE PAS modifier le SVMCLUSTER CA alors que le cluster n’est pas synchronisé.
Cela crée une incohérence où chaque nœud CloudLink possède uneSVMCLUSTER CA De plus, il est difficile de resynchroniser le cluster.

Lorsque le cluster n’est pas synchronisé, vous devez renouveler les certificats des nœuds de cluster sur chaque CloudLinknode. Accédez à SYSTEM > Cluster > Actions Change Server Certificate > . Procédez ainsi pour tous les nœuds CloudLink, puis redémarrez tous les nœuds CloudLink (pas simultanément). Cela devrait ramener le cluster en phase et l’état de synchronisation doit indiquer OK.

Si le cluster est désynchronisé depuis une longue période, l’exécution de la resynchronisation peut prendre un certain temps. Vérifiez les nœuds dans le cluster SYSTEM >et confirmez que vous ne voyez aucun lot sortant attendu. Cette opération peut prendre plusieurs heures.

Une fois que le cluster est de nouveau synchronisé, vous pouvez modifier le SVMCLUSTER CA. Accédez à SYSTEM > Cluster > Actions > Change CA Certificate. Cela renouvelle automatiquement le cluster node certificats nécessitant à nouveau le redémarrage de chaque nœud CloudLink (et non simultanément).

CloudLink 7.x :

Dans CloudLink 7.x, vous ne pouvez pas renouveler le SVMCLUSTER CA ou cluster node Certificats. Vous pouvez uniquement télécharger un PEM signé par une autorité de certification.

Voici des instructions sur l’utilisation d’OpenSSL pour générer un certificat auto-signé destiné à remplacer CloudLink 7.x SVMCLUSTER CA et cluster node Certificats:

1. Utilisez n’importe quel serveur Linux (et non CloudLink) et confirmez l’installation d’OpenSSL en exécutant la commande openssl version
2. Créez un fichier appelé template.cfg En exécutant la commande vi template.cfg et collez les informations dans la case ci-dessous.
3. Pour les entrées en gras, modifiez-les et remplacez-les par les informations pertinentes.

[req]
default_bits           = 2048
distinguished_name     = req_distinguished_name
req_extensions         = v3_req

[req_distinguished_name]
C =Country(2 letter code)
ST =State
L =Locality(city)
O =Organization
OU =OrgUnit
CN =CommonName

C_default =US
ST_default =utah
L_default =salt lake city
O_default =dell
OU_default =dell
CN_default =SVMCLUSTER CA

[ v3_req ]
subjectAltName   = @alt_names
keyUsage         = critical, digitalSignature, keyCertSign, cRLSign
extendedKeyUsage = serverAuth, clientAuth
basicConstraints = critical, CA:true, pathlen:1
subjectKeyIdentifier=hash

[alt_names]
DNS.1   = SVMCLUSTER CA

4. Exécutez la commande :

openssl req -newkey 2048 -keyout svmcluster.key -config template.cfg  -x509 -days 730 -out svmcluster.crt -extensions v3_req -nodes

5. Redémarrez les services Web CloudLink ou redémarrez tous les nœuds CloudLink (PAS simultanément).