PowerScale: OneFS : BŁĄD zewnętrznego menedżera kluczy SED po odnowieniu certyfikatu
Summary: Gdy certyfikat zarejestrowany w zewnętrznym menedżerze kluczy może wygasnąć, certyfikat zostanie odnowiony, węzły nie będą już mogły się połączyć, a w kolumnie stanu pojawi się komunikat "ERROR". ...
Symptoms
Dotyczy to tylko węzłów SED, które są podłączone do zewnętrznego menedżera kluczy na przez: https://infohub.delltechnologies.com/en-US/l/dell-powerscale-onefs-security-considerations/external-key-manager-10/
Węzły były wcześniej połączone i działały zgodnie z przeznaczeniem do momentu wygaśnięcia certyfikatu, a następnie został odnowiony (bez innych zmian w konfiguracji).
Abysprawdzić, jakiego certyfikatu SSL używa menedżer kluczy:
isi keymanager kmip servers list
Pobierz identyfikator z danych wyjściowych
isi keymanager kmip servers view <ID>
W interfejsie wiersza poleceń w węźle uruchom następujące polecenie:
/usr/bin/isi_km_diag status
W danych wyjściowych szukasz wiersza określającego domenę magazynu kluczy [SEDS] status = [9008, [ISI_KM_SERVER_UNREACHABLE]]
W dzienniku błędów menedżera kluczy mogą pojawić się błędy polegające na tym, że węzły PowerScale próbują połączyć się z wygasłym certyfikatem.
W interfejsie wiersza poleceń w węzłach można znaleźć komunikaty podobne do następujących w katalogu /var/log/isi_km_d.log
2024-02-15T17:12:06.599757+00:00 <3.3> isilon-5(id5) isi_km_d[2395]: [0x801da2000]key_mgr: Nie udało się połączyć z serwerem KMIP!
2024-02-15T17:12:06.599812+00:00 <3.3> Isilon-5(id5) isi_km_d[2395]: [0x801da2000]key_mgr: [Materiały samoszyfrujące] Nie udało się zainicjować dostawcy! [9007, ISI_KM_KMIP_SERVER_UNREACHABLE]
Aby sprawdzić, czy problem dotyczy wszystkich węzłów w klastrze:
isi keymanager sed status
Cause
Resolution
Nie uruchamiaj ponownie węzłów ani usługi isi_km_d.