PowerScale : OneFS : ERRORE del gestore delle chiavi esterne dell'unità autocrittografante dopo il rinnovo del certificato
Summary: Quando il certificato registrato con un key manager esterno può scadere, il certificato viene rinnovato, i nodi non sono più in grado di connettersi e mostra "ERROR" nella colonna di stato. ...
Symptoms
Ciò si applica solo ai nodi SED collegati a un gestore di chiavi esterno per: https://infohub.delltechnologies.com/en-US/l/dell-powerscale-onefs-security-considerations/external-key-manager-10/
E i nodi erano precedentemente connessi e funzionavano come previsto fino a quando il certificato non è stato lasciato scadere e quindi è stato rinnovato (nessun'altra modifica alla configurazione).
Perverificare il certificato SSL utilizzato dal key manager:
isi keymanager kmip servers list
Estrarre l'ID dall'output
isi keymanager kmip servers view <ID>
Dalla CLI sul nodo, eseguire quanto segue:
/usr/bin/isi_km_diag status
Nell'output, si cerca la riga che indica keystore domain [SEDS] status = [9008, [ISI_KM_SERVER_UNREACHABLE]]
Nel log degli errori del key manager, è possibile che vengano visualizzati errori in cui i nodi PowerScale tentano di connettersi con il certificato scaduto.
Dalla CLI sui nodi, sono presenti messaggi simili a quelli riportati di seguito in /var/log/isi_km_d.log
2024-02-15T17:12:06.599757+00:00 <3.3> isilon-5(id5) isi_km_d[2395]: [0x801da2000]key_mgr: Impossibile connettersi al server KMIP.
2024-02-15T17:12:06.599812+00:00 <3.3> isilon-5(id5) isi_km_d[2395]: [0x801da2000]key_mgr: [SEDS] Impossibile inizializzare il provider. [9007, ISI_KM_KMIP_SERVER_UNREACHABLE]
Per verificare che il problema si verifichi su tutti i nodi del cluster:
isi keymanager sed status
Cause
Resolution
Non riavviare i nodi o il servizio isi_km_d.