CloudLink-klyngenodecertifikatet er udløbet

CloudLink viser alarmen:

Cluster node certificate is expired.

Når klyngenodecertifikaterne er udløbet, kan det medføre, at klyngen ikke synkroniseres. I CloudLink webUI > SYSTEM-klyngen >skal du kontrollere, om synkroniseringstilstanden er slået Fra. Der er også et potentielt sikkerhedsproblem relateret til et udløbet certifikat.

CloudLink 8.1 og nyere:

Fra og med CloudLink version 8.1 kan du forny SVMCLUSTER CA og cluster node certifikater fra CloudLink-webbrugergrænsefladen. Tag snapshots og sikkerhedskopier af alle CloudLink-noder, før du skifter certifikat. 

Gå til SYSTEM > Backup > , Generer ny sikkerhedskopi og derefter Handlinger > Download Backup. Sørg også for, at brugeren kan finde sin CloudLink-sikkerhedskopieringsnøgle (cckey.pem)

Før du genstarter CloudLink VM'erne, skal du gå til SYSTEM > Vault og bekræfte, at Vault Unlock Mode er indstillet til Auto. Hvis Oplåsningstilstand er indstillet til Manuel, skal du bekræfte, at brugeren kender adgangskoderne til boksen, eller midlertidigt ændre tilstanden til Auto.

Du må IKKE ændre SVMCLUSTER CA mens klyngen ikke er synkroniseret!
Dette skaber en inkonsekvens, hvor hver CloudLink-node har en andenSVMCLUSTER CA Og det er svært at synkronisere klyngen igen.

Når klyngen ikke er synkroniseret, skal du forny klyngenodecertifikaterne på hver CloudLinknode. Gå til SYSTEM > Klyngehandlinger >> Skift servercertifikat. Gør dette for alle CloudLink-noder, og genstart derefter alle CloudLink-noder (ikke samtidigt). Dette bør bringe klyngen synkroniseret tilbage, og synkroniseringstilstanden bør sige OK.

Hvis klyngen ikke har været synkroniseret i lang tid, kan det tage et stykke tid, før gensynkroniseringen afsluttes. Kontroller noderne i SYSTEM-klyngen >, og bekræft, at du ikke kan se nogen afventede udgående batches. Det kan tage flere timer, før dette er fuldført.

Når klyngen er synkroniseret igen, kan du ændre SVMCLUSTER CA. Gå til SYSTEM > Klyngehandlinger >> Skift CA-certifikat. Hvis du gør dette, fornyes automatisk cluster node certifikater, der igen kræver, at du genstarter hver CloudLink-node igen (ikke samtidigt).

CloudLink 7.x:

I CloudLink 7.x kan du ikke forny SVMCLUSTER CA eller cluster node Certifikater. Du kan kun uploade en CA-signeret PEM.

Her er instruktioner til brug af OpenSSL til at generere et selvsigneret certifikat, der skal erstatte CloudLink 7.x SVMCLUSTER CA og cluster node Certifikater:

1. Brug en hvilken som helst Linux-server (ikke CloudLink), og bekræft, at OpenSSL er installeret ved at køre kommandoen openssl version
2. Opret en fil kaldet template.cfg ved at køre kommandoen vi template.cfg og indsæt oplysningerne i feltet nedenfor.
3. For posterne med fed skrift skal du ændre og erstatte dem med de relevante oplysninger.

[req]
default_bits           = 2048
distinguished_name     = req_distinguished_name
req_extensions         = v3_req

[req_distinguished_name]
C =Country(2 letter code)
ST =State
L =Locality(city)
O =Organization
OU =OrgUnit
CN =CommonName

C_default =US
ST_default =utah
L_default =salt lake city
O_default =dell
OU_default =dell
CN_default =SVMCLUSTER CA

[ v3_req ]
subjectAltName   = @alt_names
keyUsage         = critical, digitalSignature, keyCertSign, cRLSign
extendedKeyUsage = serverAuth, clientAuth
basicConstraints = critical, CA:true, pathlen:1
subjectKeyIdentifier=hash

[alt_names]
DNS.1   = SVMCLUSTER CA

4. Kør kommandoen:

openssl req -newkey 2048 -keyout svmcluster.key -config template.cfg  -x509 -days 730 -out svmcluster.crt -extensions v3_req -nodes

5. Genstart CloudLink Web Services , eller genstart alle CloudLink-noder (IKKE samtidigt).