PowerScale : OneFS : ПОМИЛКА диспетчера зовнішніх ключів SED після поновлення сертифіката
Summary: Коли термін дії сертифіката, зареєстрованого за допомогою диспетчера зовнішніх ключів, закінчується, сертифікат поновлюється, вузли більше не можуть підключатися і в стовпці стану відображається «ERROR». ...
Symptoms
Це стосується лише вузлів SED, які підключено до зовнішнього диспетчера ключів за адресою: https://infohub.delltechnologies.com/en-US/l/dell-powerscale-onefs-security-considerations/external-key-manager-10/
І вузли раніше були підключені і працювали як задумано, поки не закінчився термін дії сертифіката, потім був продовжений (ніяких інших змін в конфігурації).
Щобперевірити, який сертифікат SSL використовує диспетчер ключів:
isi keymanager kmip servers list
Отримати ідентифікатор з виводу
isi keymanager kmip servers view <ID>
З командного рядка на вузлі запустіть наступне:
/usr/bin/isi_km_diag status
У виводі ви шукаєте рядок, в якому вказано домен сховища ключів [SEDS] status = [9008, [ISI_KM_SERVER_UNREACHABLE]]
У журналі помилок диспетчера ключів можуть відображатися помилки, коли вузли PowerScale намагаються підключитися до простроченого сертифіката.
У CLI на вузлах ви знайдете повідомлення, подібні до наведених нижче, у /var/log/isi_km_d.log
2024-02-15T17:12:06.599757+00:00 <3.3> isilon-5(id5) isi_km_d[2395]: [0x801da2000]key_mgr: Не вдалося підключитися до сервера KMIP!
2024-02-15T17:12:06.599812+00:00 <3.3> isilon-5(id5) isi_km_d[2395]: [0x801da2000]key_mgr: [ПОСІВИ] Не вдалося ініціалізувати провайдера! [9007, ISI_KM_KMIP_SERVER_UNREACHABLE]
Щоб перевірити, чи є проблема на всіх вузлах кластера:
isi keymanager sed status
Cause
Resolution
Не перезавантажуйте вузли та не перезапускайте службу isi_km_d.