PowerScale: OneFS : SED ekstern nøkkelbehandling FEIL etter sertifikatfornyelse
Summary: Når sertifikatet som er registrert hos en ekstern nøkkeladministrator, kan utløpe, sertifikatet fornyes, nodene kan ikke lenger koble til og viser "ERROR" i statuskolonnen.
Symptoms
Dette gjelder bare SED-noder som er koblet til en ekstern nøkkeladministrator pr: https://infohub.delltechnologies.com/en-US/l/dell-powerscale-onefs-security-considerations/external-key-manager-10/
OG nodene var tidligere tilkoblet og fungerte som tiltenkt til sertifikatet fikk lov til å utløpe og deretter ble fornyet (ingen andre endringer i konfigurasjonen).
Forå bekrefte hvilket SSL-sertifikat nøkkelbehandleren bruker:
isi keymanager kmip servers list
Ta tak i ID-en fra utdataene
isi keymanager kmip servers view <ID>
Kjør følgende fra CLI på noden:
/usr/bin/isi_km_diag status
I utdataene ser du etter linjen som angir keystore domain [SEDS] status = [9008, [ISI_KM_SERVER_UNREACHABLE]]
I feilloggen for Key Manager kan det hende du ser feil der PowerScale-nodene prøver å koble til det utløpte sertifikatet.
Fra CLI på nodene finner du meldinger som ligner på følgende i /var/log/isi_km_d.log
2024-02-15T17:12:06.599757+00:00 <3.3> isilon-5(id5) isi_km_d[2395]: [0x801da2000]key_mgr: Kunne ikke koble til KMIP server!
2024-02-15T17:12:06.599812+00:00 <3.3> ISILON-5(ID5) isi_km_d[2395]: [0x801da2000]key_mgr: [SEDS] Kunne ikke initialisere leverandøren! [9007, ISI_KM_KMIP_SERVER_UNREACHABLE]
Slik kontrollerer du at problemet finnes på alle noder i klyngen:
isi keymanager sed status
Cause
Resolution
Du må ikke starte noder på nytt eller starte isi_km_d tjenesten på nytt.