PowerScale : OneFS : ERREUR du gestionnaire de clés externe SED après le renouvellement du certificat
Summary: Lorsque le certificat enregistré auprès d’un gestionnaire de clés externe est autorisé à expirer, le certificat est renouvelé, les nœuds ne peuvent plus se connecter et affichent « ERREUR » dans la colonne d’état. ...
Symptoms
Cela s’applique uniquement aux nœuds SED qui sont connectés à un gestionnaire de clés externe par : https://infohub.delltechnologies.com/en-US/l/dell-powerscale-onefs-security-considerations/external-key-manager-10/
ET les nœuds étaient auparavant connectés et fonctionnaient comme prévu jusqu’à ce que le certificat expire, puis soit renouvelé (aucune autre modification apportée à la configuration).
Pourvérifier le certificat SSL utilisé par le gestionnaire de clés :
isi keymanager kmip servers list
Récupérez l’ID dans la sortie
isi keymanager kmip servers view <ID>
À partir de la CLI sur le nœud, exécutez les opérations suivantes :
/usr/bin/isi_km_diag status
Dans la sortie, vous recherchez la ligne qui indique le statut du domaine du magasin de clés [SEDS] = [9008, [ISI_KM_SERVER_UNREACHABLE]]
Dans votre journal d’erreurs du gestionnaire de clés, vous pouvez voir des échecs où les nœuds PowerScale tentent de se connecter avec le certificat expiré.
À partir de la CLI sur les nœuds, vous trouverez des messages similaires à ce qui suit dans /var/log/isi_km_d.log
2024-02-15T17 :12 :06.599757+00 :00 <3.3> isilon-5(id5) isi_km_d[2395] : [0x801da2000]key_mgr : Impossible de se connecter au serveur KMIP !
2024-02-15T17 :12 :06.599812+00 :00 <3.3> isilon-5(id5) isi_km_d[2395] : [0x801da2000]key_mgr : [SEDS] Échec de l’initialisation du fournisseur. [9007, ISI_KM_KMIP_SERVER_UNREACHABLE]
Pour vérifier que le problème concerne tous les nœuds du cluster :
isi keymanager sed status
Cause
Resolution
Ne redémarrez pas les nœuds ou ne redémarrez pas le service isi_km_d.