PowerScale: OneFS : SED externer Key Manager FEHLER nach Zertifikatsverlängerung
Summary: Wenn das bei einem externen Key Manager registrierte Zertifikat abläuft, wird das Zertifikat erneuert, die Nodes können keine Verbindung mehr herstellen und in der Statusspalte wird "ERROR" angezeigt. ...
Symptoms
Dies gilt nur für SED-Nodes, die mit einem externen Key-Manager verbunden sind über: https://infohub.delltechnologies.com/en-US/l/dell-powerscale-onefs-security-considerations/external-key-manager-10/
UND die Nodes zuvor verbunden waren und wie vorgesehen funktionierten, bis das Zertifikat ablaufen durfte und dann erneuert wurde (keine weiteren Änderungen an der Konfiguration).
Soüberprüfen Sie, welches SSL-Zertifikat der Key Manager verwendet:
isi keymanager kmip servers list
Abrufen der ID aus der Ausgabe
isi keymanager kmip servers view <ID>
Führen Sie über die CLI auf dem Node Folgendes aus:
/usr/bin/isi_km_diag status
Suchen Sie in der Ausgabe nach der Zeile keystore domain [SEDS] status = [9008, [ISI_KM_SERVER_UNREACHABLE]]
In Ihrem Key Manager-Fehlerprotokoll werden möglicherweise Fehler angezeigt, bei denen die PowerScale-Nodes versuchen, eine Verbindung mit dem abgelaufenen Zertifikat herzustellen.
Über die CLI auf den Nodes finden Sie Meldungen ähnlich der folgenden in /var/log/isi_km_d.log
2024-02-15T17:12:06.599757+00:00 <3.3> Isilon-5(ID5) isi_km_d[2395]: [0x801da2000]key_mgr: Verbindung zum KMIP-Server fehlgeschlagen!
2024-02-15T17:12:06.599812+00:00 <3.3> Isilon-5(ID5) isi_km_d[2395]: [0x801da2000]key_mgr: [SEDS] Anbieter konnte nicht initialisiert werden! [9007, ISI_KM_KMIP_SERVER_UNREACHABLE]
So überprüfen Sie, ob das Problem auf allen Nodes im Cluster auftritt:
isi keymanager sed status
Cause
Resolution
Starten Sie Nodes nicht neu und starten Sie den isi_km_d-Service nicht neu.