Certyfikat węzła klastra CloudLink wygasł

CloudLink wyświetla alarm:

Cluster node certificate is expired.

Wygaśnięcie certyfikatów węzła klastra może spowodować brak synchronizacji klastra. W klastrze CloudLink webUI > SYSTEM > Cluster sprawdź, czy stan synchronizacji jest wyłączony. Istnieje również potencjalny problem z zabezpieczeniami związany z wygasłym certyfikatem.

CloudLink 8.1 i nowsze:

Począwszy od wersji 8.1 CloudLink, można odnowić SVMCLUSTER CA i cluster node certyfikaty z poziomu interfejsu CloudLink webUI. Przed zmianą certyfikatów należy wykonać migawki i kopie zapasowe wszystkich węzłów CloudLink. 

Przejdź do opcji SYSTEM > Backup > , Generate New Backup , a następnie Actions > Download Backup. Upewnij się również, że użytkownik może zlokalizować swój klucz kopii zapasowej CloudLink (cckey.pem)

Przed ponownym uruchomieniem maszyn wirtualnych CloudLink przejdź do magazynu SYSTEM > i sprawdź, czy tryb odblokowywania magazynu ma ustawienie Auto. Jeśli tryb odblokowywania jest ustawiony na Ręczny, musisz potwierdzić, że użytkownik zna kody dostępu do magazynu lub tymczasowo zmienić tryb na automatyczny.

NIE ZMIENIAJ SVMCLUSTER CA while klaster nie jest zsynchronizowany!
Powoduje to niespójność, w której każdy węzeł CloudLink ma innySVMCLUSTER CA I trudno jest przywrócić synchronizację klastra.

Jeśli klaster nie jest zsynchronizowany, należy odnowić certyfikaty węzłów klastra dla każdego węzła CloudLink. Przejdź do SYSTEM > Cluster > Actions > Change Server Certificate. Zrób to dla wszystkich węzłów CloudLink, a następnie uruchom ponownie wszystkie węzły CloudLink (nie jednocześnie). Powinno to przywrócić synchronizację klastra, a stan synchronizacji powinien zawierać komunikat OK.

Jeśli klaster nie był zsynchronizowany przez dłuższy czas, może upłynąć trochę czasu, zanim ponowna synchronizacja zostanie zakończona. Sprawdź węzły w klastrze SYSTEM > i upewnij się, że nie widzisz żadnych oczekujących partii wychodzących. Może to potrwać kilka godzin.

Po przywróceniu synchronizacji klastra można zmienić SVMCLUSTER CA. Przejdź do opcji SYSTEM > Cluster > Actions > Change CA Certificate. Spowoduje to automatyczne odnowienie cluster node certyfikaty ponownie wymagające ponownego uruchomienia każdego węzła CloudLink (nie jednocześnie).

CloudLink 7.x:

W CloudLink 7.x nie można odnowić SVMCLUSTER CA lub cluster node Certyfikaty. Przesłać można tylko PEM podpisany przez instytucję certyfikującą.

Poniżej znajdują się instrukcje dotyczące korzystania z OpenSSL w celu wygenerowania certyfikatu z podpisem własnym, który ma zastąpić CloudLink 7.x SVMCLUSTER CA i cluster node Certyfikaty:

1. Użyj dowolnego serwera Linux (nie CloudLink) i potwierdź, że OpenSSL jest zainstalowany, uruchamiając polecenie openssl version
2. Utwórz plik o nazwie template.cfg Uruchamiając polecenie vi template.cfg i wklej informacje w polu poniżej.
3. W przypadku pogrubionych wpisów zmodyfikuj i zastąp odpowiednimi informacjami.

[req]
default_bits           = 2048
distinguished_name     = req_distinguished_name
req_extensions         = v3_req

[req_distinguished_name]
C =Country(2 letter code)
ST =State
L =Locality(city)
O =Organization
OU =OrgUnit
CN =CommonName

C_default =US
ST_default =utah
L_default =salt lake city
O_default =dell
OU_default =dell
CN_default =SVMCLUSTER CA

[ v3_req ]
subjectAltName   = @alt_names
keyUsage         = critical, digitalSignature, keyCertSign, cRLSign
extendedKeyUsage = serverAuth, clientAuth
basicConstraints = critical, CA:true, pathlen:1
subjectKeyIdentifier=hash

[alt_names]
DNS.1   = SVMCLUSTER CA

4. Uruchom polecenie:

openssl req -newkey 2048 -keyout svmcluster.key -config template.cfg  -x509 -days 730 -out svmcluster.crt -extensions v3_req -nodes

5. Uruchom ponownie usługi CloudLink Web Services lub wszystkie węzły CloudLink (NIE jednocześnie).