CloudLink-klusternodcertifikatet har upphört att gälla

CloudLink visar larmet:

Cluster node certificate is expired.

När klusternodcertifikaten har upphört att gälla kan det leda till att klustret inte synkroniseras. I CloudLink webUI > SYSTEM > Cluster kontrollerar du om synkroniseringsläget är Av. Det finns också ett potentiellt säkerhetsproblem som är relaterat till ett utgånget certifikat.

CloudLink 8.1 och senare:

Från och med CloudLink version 8.1 kan du förnya SVMCLUSTER CA och cluster node certifikat från CloudLink-webbgränssnittet. Ta snapshots och säkerhetskopior av alla CloudLink-noder innan du byter certifikat. 

Gå till SYSTEM > Backup > Generera ny säkerhetskopia och sedan Åtgärder > Ladda ner säkerhetskopia. Se också till att användaren kan hitta sin CloudLink-säkerhetskopieringsnyckel (cckey.pem)

Innan du startar om de virtuella CloudLink-datorerna ska du gå till SYSTEM > Vault och bekräfta att valvupplåsningsläget är inställt på Auto. Om upplåsningsläget är inställt på Manuellt måste du bekräfta att användaren känner till Vault-lösenorden eller tillfälligt ändra läget till Auto.

Ändra INTE SVMCLUSTER CA medan klustret inte är synkroniserat!
Detta skapar en inkonsekvens där varje CloudLink-nod har en annanSVMCLUSTER CA Och det är svårt att få klustret synkroniserat igen.

När klustret inte är synkroniserat måste du förnya klusternodcertifikaten på varje CloudLinknod. Gå till SYSTEM-klusteråtgärder >>> Ändra servercertifikat. Gör detta för alla CloudLink-noder och starta sedan om alla CloudLink-noder (inte samtidigt). Detta bör göra att klustret synkroniseras igen och synkroniseringstillståndet bör vara OK.

Om klustret har varit osynkroniserat under en längre tid kan det ta en stund innan omsynkroniseringen slutförs. Kontrollera noderna i SYSTEM-klustret >och bekräfta att du inte ser några väntade utgående batchar. Det kan ta flera timmar innan det är klart.

När klustret är synkroniserat igen kan du ändra SVMCLUSTER CA. Gå till SYSTEM-klusteråtgärder >>> Ändra CA-certifikat. Om du gör detta förnyas automatiskt cluster node certifikat som kräver att du startar om varje CloudLink-nod igen (inte samtidigt).

CloudLink 7.x:

I CloudLink 7.x kan du inte förnya SVMCLUSTER CA eller cluster node certifikaten. Du kan bara ladda upp en CA-signerad PEM.

Här är instruktioner om hur du använder OpenSSL för att generera ett självsignerat certifikat som är avsett att ersätta CloudLink 7.x SVMCLUSTER CA och cluster node certifikaten:

1. Använd valfri Linux-server (inte CloudLink) och bekräfta att OpenSSL har installerats genom att köra kommandot openssl version
2. Skapa en fil med namnet template.cfg genom att köra kommandot vi template.cfg och klistra in informationen i rutan nedan.
3. För poster i fetstil ändrar och ersätter du med relevant information.

[req]
default_bits           = 2048
distinguished_name     = req_distinguished_name
req_extensions         = v3_req

[req_distinguished_name]
C =Country(2 letter code)
ST =State
L =Locality(city)
O =Organization
OU =OrgUnit
CN =CommonName

C_default =US
ST_default =utah
L_default =salt lake city
O_default =dell
OU_default =dell
CN_default =SVMCLUSTER CA

[ v3_req ]
subjectAltName   = @alt_names
keyUsage         = critical, digitalSignature, keyCertSign, cRLSign
extendedKeyUsage = serverAuth, clientAuth
basicConstraints = critical, CA:true, pathlen:1
subjectKeyIdentifier=hash

[alt_names]
DNS.1   = SVMCLUSTER CA

4. Kör kommandot:

openssl req -newkey 2048 -keyout svmcluster.key -config template.cfg  -x509 -days 730 -out svmcluster.crt -extensions v3_req -nodes

5. Starta om CloudLink Web Services eller starta om alla CloudLink-noder (INTE samtidigt).