PowerScale : Onefs: ОШИБКА внешнего диспетчера ключей самошифруемого устройства после продления сертификата
Summary: Когда срок действия сертификата, зарегистрированного с помощью внешнего диспетчера ключей, истекает, сертификат продлевается, узлы больше не могут подключаться, а в столбце состояния отображается «ERROR». ...
Symptoms
Это относится только к узлам SED, которые подключены к внешнему диспетчеру ключей в соответствии со следующими условиями. https://infohub.delltechnologies.com/en-US/l/dell-powerscale-onefs-security-considerations/external-key-manager-10/
И узлы были ранее подключены и работали должным образом до истечения срока действия сертификата, а затем были продлены (никаких других изменений в конфигурации не было).
Чтобы проверить, какой SSL-сертификат использует диспетчер ключей, выполните следующие действия.
isi keymanager kmip servers list
Получите идентификатор из выходных данных
isi keymanager kmip servers view <ID>
В интерфейсе командной строки на узле выполните следующую команду:
/usr/bin/isi_km_diag status
В выходных данных найдите строку, в которой будет указано, что домен хранилища ключей [SEDS] status = [9008, [ISI_KM_SERVER_UNREACHABLE]]
В журнале ошибок диспетчера ключей могут отображаться сбои, когда узлы PowerScale пытаются подключиться с помощью сертификата с истекшим сроком действия.
В интерфейсе командной строки на узлах вы найдете сообщения, аналогичные следующим, в /var/log/isi_km_d.log
2024-02-15T17:12:06.599757+00:00 <3.3> isilon-5(id5) isi_km_d[2395]: [0x801da2000]key_mgr: Не удалось подключиться к серверу KMIP!
2024-02-15T17:12:06.599812+00:00 <3.3> isilon-5(id5) isi_km_d[2395]: [0x801da2000]key_mgr: [САМОШИФРУЕМЫЕ ДИСКИ] Не удалось инициализировать поставщика! [9007, ISI_KM_KMIP_SERVER_UNREACHABLE]
Чтобы убедиться, что проблема касается всех узлов в кластере, выполните следующие действия:
isi keymanager sed status
Cause
Resolution
Не перезагружайте узлы и не перезапускайте службу isi_km_d.