CloudLink 叢集節點憑證已到期

CloudLink 顯示警示：

Cluster node certificate is expired.

當叢集節點憑證過期時，可能會導致叢集無法同步。在 CloudLink webUI > 系統 > 叢集中，檢查同步狀態是否為關閉。此外，還存在與過期證書相關的潛在安全問題。

CloudLink 8.1 及更新版本：

從 CloudLink 8.1 版開始，您可以更新 SVMCLUSTER CA 和 cluster node 來自 CloudLink WebUI 內的憑證。變更憑證之前，請先製作所有 CloudLink 節點的快照和備份。

前往系統>備份>產生新備份，然後前往下載備份。>此外，請確定使用者可以找到其 CloudLink 備份金鑰 （cckey.pem）將 CloudLink VM 重新開機之前，請前往系統>存放庫，並確認存放庫解除鎖定模式已設為自動。

如果 解鎖模式 設置為 手動，則必須確認使用者知道保險庫密碼或暫時將 模式 更改為 自動。

請勿變更 SVMCLUSTER CA 而叢集未同步！
這會造成不一致，其中每個 CloudLink 節點都有不同的SVMCLUSTER CA 而且很難讓集群恢復同步。

當叢集未同步時，您必須續約每個 CloudLinkNode 上的 叢集節點 憑證。前往 系統 > 叢集 > 動作 > 變更伺服器憑證。請針對所有 CloudLink 節點執行此操作，然後將所有 CloudLink 節點重新開機 （不是同時）。這應該會使叢集重新同步，「 同步狀態 」應會顯示 「確定」。

如果叢集長時間不同步，可能需要一段時間才能完成重新同步。檢查 系統 > 叢集中 的節點，並確認您沒有看到任何 等待的傳出批次處理。可能需要數小時才能完成此作業。

叢集重新同步後，您可以變更 SVMCLUSTER CA。前往 系統 > 叢集 > 動作變更 > CA 憑證。這樣做會自動續訂 cluster node 再次憑證要求您再次 （非同時） 重新啟動每個 CloudLink 節點。

CloudLink 7.x：

在 CloudLink 7.x 中，您無法更新 SVMCLUSTER CA 或 cluster node 證書。您只能 上傳 CA 簽署的 PEM。

以下是使用 OpenSSL 產生自我簽署憑證的說明，以取代 CloudLink 7.x SVMCLUSTER CA 和 cluster node 憑證：

1. 使用任何 Linux 伺服器 （非 CloudLink），並執行命令確認已安裝 OpenSSL openssl version
2. 建立名為 template.cfg 執行命令 vi template.cfg ，然後將資訊粘貼到下面的框中。
3. 對於粗體條目，請修改並替換為相關信息。

[req]
default_bits           = 2048
distinguished_name     = req_distinguished_name
req_extensions         = v3_req

[req_distinguished_name]
C =Country(2 letter code)
ST =State
L =Locality(city)
O =Organization
OU =OrgUnit
CN =CommonName

C_default =US
ST_default =utah
L_default =salt lake city
O_default =dell
OU_default =dell
CN_default =SVMCLUSTER CA

[ v3_req ]
subjectAltName   = @alt_names
keyUsage         = critical, digitalSignature, keyCertSign, cRLSign
extendedKeyUsage = serverAuth, clientAuth
basicConstraints = critical, CA:true, pathlen:1
subjectKeyIdentifier=hash

[alt_names]
DNS.1   = SVMCLUSTER CA

4. 執行 命令：

openssl req -newkey 2048 -keyout svmcluster.key -config template.cfg  -x509 -days 730 -out svmcluster.crt -extensions v3_req -nodes

5. 重新啟動 CloudLink Web 服務 或重新啟動所有 CloudLink 節點 （不是 同時）。