PowerScale : OneFS : SED ekstern nøglehåndteringsfejl efter certifikatfornyelse
Summary: Når certifikatet, der er registreret hos en ekstern nøglehåndtering, får lov til at udløbe, fornyes certifikatet, noderne kan ikke længere oprette forbindelse og viser "ERROR" i statuskolonnen. ...
Symptoms
Dette gælder kun for SED-noder, der er tilsluttet en ekstern nøglehåndtering pr.: https://infohub.delltechnologies.com/en-US/l/dell-powerscale-onefs-security-considerations/external-key-manager-10/
OG noderne var tidligere forbundet og fungerede efter hensigten, indtil certifikatet fik lov til at udløbe og derefter blev fornyet (ingen andre ændringer i konfigurationen).
To kontrollere, hvilket SSL-certifikat nøgleadministratoren bruger:
isi keymanager kmip servers list
Grib ID'et fra outputtet
isi keymanager kmip servers view <ID>
Fra CLI på noden skal du køre følgende:
/usr/bin/isi_km_diag status
I outputtet leder du efter linjen, der angiver keystore-domæne [SEDS] status = [9008, [ISI_KM_SERVER_UNREACHABLE]]
I din Key Manager-fejllog kan du muligvis se fejl, hvor PowerScale-noderne forsøger at oprette forbindelse til det udløbne certifikat.
Fra CLI på noderne finder du meddelelser, der ligner følgende, i /var/log/isi_km_d.log
2024-02-15T17:12:06.599757+00:00 <3.3> Isilon-5(ID5) isi_km_d[2395]: [0x801da2000]key_mgr: Kunne ikke oprette forbindelse til KMIP-server!
2024-02-15T17:12:06.599812+00:00 <3.3> Isilon-5(ID5) isi_km_d[2395]: [0x801da2000]key_mgr: [SEDS] Kunne ikke initialisere udbyder! [9007, ISI_KM_KMIP_SERVER_UNREACHABLE]
Sådan kontrollerer du, at problemet findes på alle noder i klyngen:
isi keymanager sed status
Cause
Resolution
Genstart ikke noder, og genstart ikke isi_km_d tjenesten.