Isilon: Lo stato della connettività gateway indica Disconnected, Internal Error 401 Unauthorized response codes
Summary: Lo stato della connettività del gateway mostra Disconnected e vengono visualizzati i codici di risposta di errore interno 401 Unauthorized (correggibile dall'utente).
Symptoms
Lo stato della connettività del gateway del cluster, che in precedenza funzionava e connesso, mostra Disconnected.401 Unauthorized Le risposte vengono visualizzate dal gateway con connessione sicura che NON sono correlate a nome utente e password non validi.
Sui cluster Isilon che utilizzano Gateway con connessione sicura, isi esrs view indica che lo stato di connettività gateway è disconnesso. In precedenza, la configurazione funzionava correttamente.
Tenta di disabilitare e abilitare nuovamente isi_esrs_d e isi_rsapi_d Non aiuta a ripristinare la connettività.
Tenta di modificare la configurazione utilizzando un username e tenta di disabilitare Gateway con connessione sicura (--enabled=false) nella speranza di ricreare la configurazione fallire.
Un errore analogo si riscontra anche quando si emette il isi esrs modify --enabled==false :
Internal error:
ESRSBadCodeError: ESRS Delete Device failed. Error response code from gateway: 401, Unauthorized. Response dictionary was: {{'http_response_code': 401, 'curl_trace': "* Trying 1.2.3.4:9443...\n* TCP_NODELAY set\n* Name '1.2.3.4' family 2 resolved to '1.2.3.4' family 2\n* Local port: 0\n* Connected to 1.2.3.4 (1.2.3.4) port 9443 (#0)\n* ALPN, offering http/1.1\n* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH\n* SSL connection using TLSv1.2 / ECDHE-RSA-AES256-GCM-SHA384\n* ALPN, server accepted to use http/1.1\n* Server certificate:\n* subject: C=US; ST=MA; L=SO; O=EMC; OU=ESRS; CN=myname\n* start date: Dec 4 12:20:29 2019 GMT\n* expire date: Dec 4 12:20:29 2039 GMT\n* issuer: C=US; ST=MA; L=SO; O=EMC; OU=ESRS; CN=myname\n* SSL certificate verify result: unable to get local issuer certificate (20), continuing anyway.\n> DELETE /esrs/v1/devices/ISILON-GW/ELMISLxxxxxxxx HTTP/1.1\r\nHost: 1.2.3.4:9443\r\nUser-Agent: PycURL/7.43.0 libcurl/7.66.0 OpenSSL/1.0.2r-fips zlib/1.2.11\r\nAccept: */*\r\nAuthorization: ISILON-GW:ELMISLxxxxxxxx:keykeykeyGYskKOwNZQg7SGOgC8=,domain=Device\r\nDate: Wed, 04 Nov 2020 19:15:47 GMT\r\n\r\n* Mark bundle as not supporting multiuse\n< HTTP/1.1 401 Unauthorized\r\n< Date: Wed, 04 Nov 2020 19:15:48 GMT\r\n< Server: Apache PivotalWebServer\r\n< Strict-Transport-Security: max-age=31536000; includeSubDomains;\r\n< Content-Security-Policy: frame-ancestors 'self'\r\n< Transfer-Encoding: chunked\r\n< \r\n* Connection #0 to host 1.2.3.4 left intact\n"}}
Se il messaggio 401 contiene la stringa di testo Invalid username and password, questo articolo NON è applicabile.
Cause
Nella risposta precedente, si noti che Isilon emette un
HTTP DELETE :
DELETE /esrs/v1/devices/ISILON-GW/ELMISLxxxxxxxx
La chiave del dispositivo viene utilizzata per autenticare questa comunicazione tra Isilon e Gateway con connessione sicura:
Authorization: ISILON-GW:ELMISLxxxxxxxx:keykeykeyGYskKOwNZQg7SGOgC8=
Se il gateway è stato reinstallato o ha perso la chiave del dispositivo per un altro motivo, le autenticazioni API REST che utilizzano la chiave hanno esito negativo con un errore
401 Unauthorized errore.
Talvolta, se non è possibile determinare lo stato di Gateway con connessione sicura, è possibile coinvolgere il supporto Dell per effettuare un'indagine. Le chiavi del dispositivo vengono perse se un gateway viene reinstallato, ma possono anche andare perse se viene eseguito il rollback del gateway a un'istantanea precedente (prima della creazione o dell'aggiornamento della chiave). Inoltre, se un Gateway con connessione sicura esaurisce lo spazio su disco e viene aggiunto un nuovo dispositivo durante questo periodo, il database delle chiavi dispositivo su Gateway con connessione sicura non può essere esteso.
Resolution
Il modo più semplice e la soluzione più probabile consiste nell'utilizzare i seguenti comandi per disabilitare la configurazione e quindi eseguire una nuova registrazione, per generare una nuova chiave per Isilon. La colonna --force flag indica a Isilon di disabilitare i servizi del gateway con connessione sicura senza prima provare a contattare il gateway per annullare la registrazione.
isi esrs modify --enabled=false --force isi esrs modify --enabled=true --username=DellSupportEmail --password=MYPASS
Se questi comandi non funzionano, è possibile contattare il Supporto Dell per cancellare manualmente la chiave e reimpostare la comunicazione tra Gateway con connessione sicura e il cluster Isilon. Aprire una Service Request citando questo articolo.
Un amministratore esperto deve eseguire i seguenti comandi per disabilitare i servizi pertinenti sul cluster, disabilitare manualmente Gateway con connessione sicura e cancellare la chiave di autenticazione esistente sul lato cluster.
- Disabilitare i servizi pertinenti se sono in esecuzione. Questi servizi rappresentano i daemon che eseguono il servizio Gateway con connessione sicura e il servizio API REST per la connettività di Gateway con connessione sicura. La disabilitazione di questi servizi non influisce sull'accesso client al cluster.
isi services -a isi_esrs_d disable isi services -a isi_rsapi_d disable
- Forzare manualmente la disabilitazione di Gateway con connessione sicura.
isi_gconfig -t esrs esrs.enabled=false
- Cancellare la chiave in uso per la comunicazione.
isi_gconfig -t esrs esrs.esrs_api_key=""
NOTE: if secondary Gateway is configured, clear the API key for secondary Gateway using command below:
isi_gconfig -t esrs esrs.secondary_esrs_api_key=""
- Abilitare SOLO l'opzione
rsapi.
isi services -a isi_rsapi_d enable
- Utilizzare i normali comandi per abilitare la configurazione di Gateway con connessione sicura.
isi esrs modify --enabled=true --username=DELL-Support-Account --password=MYPASS
- Se si verifica il timeout del comando in attesa di una risposta REST , immettere il seguente comando:
isi --timeout=600 esrs modify --enabled=true --username=DELL-Support-Account --password=MYPASS
- Se il comando continua a mostrare errori, avviare una nuova raccolta su Isilon e contattare il supporto Dell.
Questi passaggi vengono utilizzati per ricreare e ristabilire la comunicazione tra Isilon e Gateway con connessione sicura.
Additional Information
In caso di guasto del nodo primario, il cluster sceglie un nuovo nodo primario e l'IP di destinazione viene aggiornato su Gateway con connessione sicura utilizzando il protocollo REST . Entrambi i servizi "isi_esrs_d" e "isi_rsapi_d" devono essere in esecuzione su tutti i nodi del cluster. Il primario viene scelto in base ai nodi configurati nei pool di accesso al gateway.
Il primario viene individuato esaminando i registri o immettendo il comando riportato di seguito:
sqlite3 /ifs/.ifsvar/modules/tardis/namespaces/esrs.registered.state.sqlite 'select value from kv_table where key == "esrs_registered_lnn";' 5
Nell'esempio precedente, il nodo primario è il nodo 5. Dopo aver ispezionato l'indirizzo IP dal pool di accesso al gateway per questo nodo, questo è l'indirizzo IP in uso per la licenza del cluster ELM* su Gateway con connessione sicura. Il personale del supporto Dell vede questo indirizzo IP anche nei sistemi ServiceLink Secure Connect Gateway utilizzati per effettuare chiamate ai cluster.