Isilon: De status van gatewayconnectiviteit toont niet-verbonden, interne fout 401 ongeautoriseerde responscodes
Summary: De connectiviteitsstatus van de gateway geeft Verbinding verbroken aan en Interne fout 401 Ongeautoriseerde antwoordcodes worden weergegeven (op te lossen door gebruiker).
Symptoms
De connectiviteitsstatus van de clustergateway, die werkte en eerder was verbonden, geeft Verbinding verbroken.401 Unauthorized reacties worden gezien vanuit de Secure Connect Gateway die NIET gerelateerd zijn aan een ongeldige gebruikersnaam en wachtwoord.
Op Isilon clusters met behulp van Secure Connect Gateway, isi esrs view geeft aan dat de connectiviteitsstatus van de gateway is verbroken. De configuratie werkte eerder correct.
Pogingen om uit te schakelen en opnieuw in te schakelen isi_esrs_d als isi_rsapi_d Help niet bij het herstellen van de connectiviteit.
Pogingen om de configuratie te wijzigen met behulp van een username en pogingen om Secure Connect Gateway (--enabled=false) in de hoop dat het opnieuw maken van de configuratie mislukt.
Een soortgelijke fout doet zich ook voor bij het uitgeven van de isi esrs modify --enabled==false bevelen:
Internal error:
ESRSBadCodeError: ESRS Delete Device failed. Error response code from gateway: 401, Unauthorized. Response dictionary was: {{'http_response_code': 401, 'curl_trace': "* Trying 1.2.3.4:9443...\n* TCP_NODELAY set\n* Name '1.2.3.4' family 2 resolved to '1.2.3.4' family 2\n* Local port: 0\n* Connected to 1.2.3.4 (1.2.3.4) port 9443 (#0)\n* ALPN, offering http/1.1\n* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH\n* SSL connection using TLSv1.2 / ECDHE-RSA-AES256-GCM-SHA384\n* ALPN, server accepted to use http/1.1\n* Server certificate:\n* subject: C=US; ST=MA; L=SO; O=EMC; OU=ESRS; CN=myname\n* start date: Dec 4 12:20:29 2019 GMT\n* expire date: Dec 4 12:20:29 2039 GMT\n* issuer: C=US; ST=MA; L=SO; O=EMC; OU=ESRS; CN=myname\n* SSL certificate verify result: unable to get local issuer certificate (20), continuing anyway.\n> DELETE /esrs/v1/devices/ISILON-GW/ELMISLxxxxxxxx HTTP/1.1\r\nHost: 1.2.3.4:9443\r\nUser-Agent: PycURL/7.43.0 libcurl/7.66.0 OpenSSL/1.0.2r-fips zlib/1.2.11\r\nAccept: */*\r\nAuthorization: ISILON-GW:ELMISLxxxxxxxx:keykeykeyGYskKOwNZQg7SGOgC8=,domain=Device\r\nDate: Wed, 04 Nov 2020 19:15:47 GMT\r\n\r\n* Mark bundle as not supporting multiuse\n< HTTP/1.1 401 Unauthorized\r\n< Date: Wed, 04 Nov 2020 19:15:48 GMT\r\n< Server: Apache PivotalWebServer\r\n< Strict-Transport-Security: max-age=31536000; includeSubDomains;\r\n< Content-Security-Policy: frame-ancestors 'self'\r\n< Transfer-Encoding: chunked\r\n< \r\n* Connection #0 to host 1.2.3.4 left intact\n"}}
Als het 401-bericht de tekenreeks bevat Invalid username and password, is dit artikel NIET van toepassing.
Cause
Merk in het bovenstaande antwoord op dat de Isilon een
HTTP DELETE bevelen:
DELETE /esrs/v1/devices/ISILON-GW/ELMISLxxxxxxxx
De apparaatsleutel wordt gebruikt om deze communicatie tussen Isilon en de Secure Connect Gateway te verifiëren:
Authorization: ISILON-GW:ELMISLxxxxxxxx:keykeykeyGYskKOwNZQg7SGOgC8=
Als de gateway opnieuw is geïnstalleerd of de apparaatsleutel om een andere reden is kwijtgeraakt, mislukt REST-API-authenticatie met behulp van de sleutel met een
401 Unauthorized fout.
Als het niet mogelijk is om de status van de Secure Connect Gateway te bepalen, kan Dell Support soms worden ingeschakeld om dit te onderzoeken. Apparaatsleutels gaan verloren als een gateway opnieuw wordt geïnstalleerd, maar kunnen ook verloren gaan als de gateway wordt teruggezet naar een oude snapshot (voordat de sleutel werd gemaakt of bijgewerkt). Bovendien, als een Secure Connect Gateway geen schijfruimte meer heeft en er gedurende die tijd een nieuw apparaat wordt toegevoegd, kan de database met apparaatsleutels op de Secure Connect Gateway niet worden uitgebreid.
Resolution
De eenvoudigste en meest waarschijnlijke oplossing is om de volgende opdrachten uit te voeren om de configuratie uit te schakelen, gevolgd door een nieuwe registratie om een nieuwe apparaatsleutel voor de Isilon te genereren. De --force De markering instrueert Isilon om Secure Connect Gateway-services uit te schakelen zonder eerst contact op te nemen met de gateway om zich af te melden.
isi esrs modify --enabled=false --force isi esrs modify --enabled=true --username=DellSupportEmail --password=MYPASS
Als deze opdrachten niet werken, kan Dell Support worden ingeschakeld om de sleutel handmatig te wissen en de communicatie tussen de Secure Connect Gateway en het Isilon cluster opnieuw in te stellen. Open een serviceaanvraag waarin dit artikel wordt geciteerd.
Een ervaren beheerder moet de volgende opdrachten uitvoeren om de relevante services op het cluster uit te schakelen, Secure Connect Gateway handmatig uit te schakelen en de bestaande verificatiesleutel aan de clusterzijde te wissen.
- Schakel de relevante services uit, als deze actief zijn. Deze services vertegenwoordigen daemons die de Secure Connect Gateway-service en de REST-API-service voor Secure Connect Gateway-connectiviteit uitvoeren. Het uitschakelen van deze services heeft geen invloed op clienttoegang tot het cluster.
isi services -a isi_esrs_d disable isi services -a isi_rsapi_d disable
- Forceer het handmatig uitschakelen van Secure Connect Gateway.
isi_gconfig -t esrs esrs.enabled=false
- Wis de sleutel die wordt gebruikt voor communicatie.
isi_gconfig -t esrs esrs.esrs_api_key=""
NOTE: if secondary Gateway is configured, clear the API key for secondary Gateway using command below:
isi_gconfig -t esrs esrs.secondary_esrs_api_key=""
- Schakel ALLEEN de
rsapidienst.
isi services -a isi_rsapi_d enable
- Gebruik de normale opdrachten om de configuratie van Secure Connect Gateway in te schakelen.
isi esrs modify --enabled=true --username=DELL-Support-Account --password=MYPASS
- Als er een time-out optreedt bij het wachten op een REST-antwoord , voert u de volgende opdracht in:
isi --timeout=600 esrs modify --enabled=true --username=DELL-Support-Account --password=MYPASS
- Als de opdracht nog steeds fouten weergeeft, start u een nieuwe bijeenkomst op de Isilon en neemt u contact op met Dell Support.
Deze stappen worden gebruikt om de communicatie tussen de Isilon en de Secure Connect Gateway opnieuw te creëren en tot stand te brengen.
Additional Information
Als het primaire knooppunt mislukt, kiest het cluster een nieuw primair knooppunt en wordt het landings-IP-adres bijgewerkt naar de Secure Connect Gateway met behulp van het REST-protocol . Zowel de services "isi_esrs_d" als de "isi_rsapi_d" moeten op alle knooppunten in het cluster worden uitgevoerd. De primaire wordt gekozen op basis van de knooppunten die zijn geconfigureerd in de gatewaytoegangsgroepen.
De primaire wordt ontdekt door de logboeken te bekijken of de onderstaande opdracht te geven:
sqlite3 /ifs/.ifsvar/modules/tardis/namespaces/esrs.registered.state.sqlite 'select value from kv_table where key == "esrs_registered_lnn";' 5
In het bovenstaande voorbeeld is knooppunt 5 het primaire knooppunt. Bij inspectie van het IP-adres van de Gateway Access Pool voor dit knooppunt, zoekt u dit als het IP-adres dat wordt gebruikt voor de ELM*-clusterlicentie op de Secure Connect Gateway. Medewerkers van Dell Support zien dit IP-adres ook in de ServiceLink Secure Connect Gateway-systemen die worden gebruikt om in te bellen op clusters.