PowerScale : OneFS : SED-externe sleutelbeheerder FOUT na certificaatverlenging
Summary: Wanneer het certificaat dat is geregistreerd bij een externe sleutelbeheerder mag verlopen, wordt het certificaat vernieuwd, kunnen de knooppunten geen verbinding meer maken en wordt "ERROR" weergegeven in de statuskolom. ...
Symptoms
Dit is alleen van toepassing op SED-knooppunten die zijn verbonden met een externe sleutelbeheerder per: https://infohub.delltechnologies.com/en-US/l/dell-powerscale-onefs-security-considerations/external-key-manager-10/
EN de knooppunten waren eerder verbonden en werkten zoals bedoeld totdat het certificaat mocht verlopen en vervolgens werd vernieuwd (geen andere wijzigingen in de configuratie).
Controleerwelk SSL-certificaat de sleutelbeheerder gebruikt:
isi keymanager kmip servers list
Pak de ID uit de uitvoer
isi keymanager kmip servers view <ID>
Voer vanuit CLI op het knooppunt het volgende uit:
/usr/bin/isi_km_diag status
In de uitvoer zoekt u naar de regel met de status van keystore domain [SEDS] = [9008, [ISI_KM_SERVER_UNREACHABLE]]
In het foutenlogboek van uw sleutelbeheerder ziet u mogelijk fouten waarbij de PowerScale knooppunten proberen verbinding te maken met het verlopen certificaat.
In de CLI op de knooppunten vindt u berichten die vergelijkbaar zijn met de volgende in /var/log/isi_km_d.log
2024-02-15T17:12:06.599757+00:00 <3.3> isilon-5(id5) isi_km_d[2395]: [0x801da2000]key_mgr: Kan geen verbinding maken met KMIP-server.
2024-02-15T17:12:06.599812+00:00 <3.3> isilon-5(id5) isi_km_d[2395]: [0x801da2000]key_mgr: [SEDS] Kan provider niet initialiseren. [9007, ISI_KM_KMIP_SERVER_UNREACHABLE]
U kunt als volgt controleren of het probleem zich op alle knooppunten in het cluster voordoet:
isi keymanager sed status
Cause
Resolution
Start knooppunten niet opnieuw op en start de isi_km_d service niet opnieuw op.