Термін дії сертифіката вузла кластера CloudLink закінчився

CloudLink показує сигнал тривоги:

Cluster node certificate is expired.

Коли термін дії сертифікатів вузла кластера закінчується, це може призвести до розсинхронізації кластера. У кластері webUI > SYSTEM Cluster > CloudLink перевірте, чи вимкнуто стан синхронізації. Існує також потенційна проблема безпеки, пов'язана з простроченим сертифікатом.

CloudLink 8.1 і вище:

Починаючи з версії CloudLink 8.1, ви можете поновити SVMCLUSTER CA і cluster node сертифікати з веб-інтерфейсу CloudLink. Робіть знімки та резервні копії всіх вузлів CloudLink, перш ніж змінювати сертифікати. 

Перейдіть до розділу РЕЗЕРВНА > КОПІЯ > Створення нової резервної копії , а потім Дії > Завантаження резервної копії. Крім того, переконайтеся, що користувач може знайти свій резервний ключ CloudLink (cckey.pem)

Перш ніж перезавантажити віртуальні машини CloudLink, перейдіть до SYSTEM > Vault і переконайтеся, що для режиму розблокування Vault встановлено значення Auto. Якщо для параметра «Режим розблокування » встановлено значення «Вручну», потрібно підтвердити, що користувач знає коди доступу до Сейфа, або тимчасово змінити режим на «Авто».

НЕ ЗМІНЮЙТЕ SVMCLUSTER CA поки кластер розсинхронізований!
Це створює невідповідність, коли кожен вузол CloudLink має різнийSVMCLUSTER CA І повернути кластер у синхронізацію складно.

Коли кластер не синхронізований, ви повинні поновити сертифікати вузла кластера на кожному вузлі CloudLinknode. Перейдіть до розділу ДІЇ СИСТЕМНОГО > кластера >> Змінити сертифікат сервера. Зробіть це для всіх вузлів CloudLink, а потім перезавантажте всі вузли CloudLink (не одночасно). Це має повернути кластер до синхронізації, а стан синхронізації має сказати OK.

Якщо кластер був розсинхронізований протягом тривалого часу, може знадобитися деякий час, перш ніж повторна синхронізація завершиться. Перевірте вузли в SYSTEM > Cluster і переконайтеся, що ви не бачите жодних очікуваних вихідних пакетів. Для цього може знадобитися кілька годин.

Як тільки кластер знову синхронізується, ви можете змінити SVMCLUSTER CA. Перейдіть до розділу СИСТЕМНІ > дії кластера >> Змінити сертифікат ЦС. Це автоматично поновлює cluster node сертифікати, які знову вимагають перезавантаження кожного вузла CloudLink (не одночасно).

CloudLink 7.x:

У CloudLink 7.x ви не можете поновити SVMCLUSTER CA або cluster node Сертифікати. Ви можете завантажити лише PEM,

підписаний ЦС.Нижче наведено інструкції з використання OpenSSL для створення самопідписаного сертифіката, призначеного для заміни CloudLink 7.x SVMCLUSTER CA і cluster node Сертифікати:

1. Використовуйте будь-який сервер Linux (не CloudLink) і переконайтеся, що OpenSSL встановлено, виконавши команду openssl version
2. Створіть файл під назвою template.cfg виконавши команду vi template.cfg і вставте інформацію в поле нижче.
3. Для записів, виділених жирним шрифтом, змініть і замініть відповідною інформацією.

[req]
default_bits           = 2048
distinguished_name     = req_distinguished_name
req_extensions         = v3_req

[req_distinguished_name]
C =Country(2 letter code)
ST =State
L =Locality(city)
O =Organization
OU =OrgUnit
CN =CommonName

C_default =US
ST_default =utah
L_default =salt lake city
O_default =dell
OU_default =dell
CN_default =SVMCLUSTER CA

[ v3_req ]
subjectAltName   = @alt_names
keyUsage         = critical, digitalSignature, keyCertSign, cRLSign
extendedKeyUsage = serverAuth, clientAuth
basicConstraints = critical, CA:true, pathlen:1
subjectKeyIdentifier=hash

[alt_names]
DNS.1   = SVMCLUSTER CA

4. Виконайте команду:

openssl req -newkey 2048 -keyout svmcluster.key -config template.cfg  -x509 -days 730 -out svmcluster.crt -extensions v3_req -nodes

5. Перезапустіть веб-служби CloudLink або перезавантажте всі вузли CloudLink (НЕ одночасно).