PowerScale: OneFS: ERROR del administrador de claves externo SED después de la renovación del certificado
Summary: Cuando se permite que venza el certificado registrado con un administrador de claves externo, se renueva el certificado y los nodos ya no se pueden conectar y se muestra "ERROR" en la columna de estado. ...
Symptoms
Esto se aplica solo a los nodos SED que están conectados a un administrador de claves externo por lo siguiente: https://infohub.delltechnologies.com/en-US/l/dell-powerscale-onefs-security-considerations/external-key-manager-10/
Y los nodos estaban conectados anteriormente y funcionaban según lo previsto hasta que se permitió que el certificado venciera y, luego, se renovó (sin otros cambios en la configuración).
Paraverificar qué certificado SSL utiliza el administrador de claves:
isi keymanager kmip servers list
Tome el ID de la salida
isi keymanager kmip servers view <ID>
En la CLI del nodo, ejecute lo siguiente:
/usr/bin/isi_km_diag status
En el resultado, busca la línea que indica el estado del dominio del almacén de claves [SEDS] = [9008, [ISI_KM_SERVER_UNREACHABLE]]
En el registro de errores del administrador de claves, es posible que vea fallas en las que los nodos de PowerScale intentan conectarse con el certificado vencido.
En la CLI de los nodos, encontrará mensajes similares a los siguientes en /var/log/isi_km_d.log
2024-02-15T17:12:06.599757+00:00 <3.3> Isilon-5 (id5) isi_km_d[2395]: [0x801da2000]key_mgr: No se pudo establecer conexión al servidor KMIP.
2024-02-15T17:12:06.599812+00:00 <3.3> Isilon-5 (id5) isi_km_d[2395]: [0x801da2000]key_mgr: [SED] No se pudo inicializar el proveedor. [9007, ISI_KM_KMIP_SERVER_UNREACHABLE]
Para verificar que el problema se encuentre en todos los nodos del clúster:
isi keymanager sed status
Cause
Resolution
No reinicie los nodos ni el servicio isi_km_d.