Knooppuntcertificaat voor CloudLink cluster is verlopen

CloudLink geeft het alarm weer:

Cluster node certificate is expired.

Wanneer de certificaten voor clusterknooppunten verlopen zijn, kan dit ertoe leiden dat het cluster niet meer synchroon loopt. Controleer in het CloudLink webUI > SYSTEM-cluster >of de synchronisatiestatus is uitgeschakeld. Er is ook een mogelijk beveiligingsprobleem met betrekking tot een verlopen certificaat.

CloudLink 8.1 en hoger:

Vanaf CloudLink versie 8.1 kunt u de SVMCLUSTER CA als cluster node certificaten vanuit de CloudLink webUI. Maak snapshots en back-ups van alle CloudLink-knooppunten voordat u certificaten wijzigt. 

Ga naar SYSTEEMBACK-up >> Nieuwe back-up genereren en vervolgens naar Acties > Back-up downloaden. Zorg er ook voor dat de gebruiker de back-upsleutel van CloudLink kan vinden (cckey.pem)

Voordat u de CloudLink VM's opnieuw opstart, gaat u naar SYSTEEMKLUIS > en controleert u of de kluisontgrendelingsmodus is ingesteld op Automatisch. Als de ontgrendelingsmodus is ingesteld op Handmatig, moet u controleren of de gebruiker de kluistoegangscodes kent of de modus tijdelijk wijzigen in Automatisch.

Verander de SVMCLUSTER CA terwijl het cluster niet synchroon loopt!
Dit zorgt voor een inconsistentie waarbij elk CloudLink knooppunt een andere SVMCLUSTER CA En het is moeilijk om het cluster weer gesynchroniseerd te krijgen.

Wanneer het cluster niet gesynchroniseerd is, moet u de clusterknooppuntcertificaten op elk CloudLinknode vernieuwen. Ga naar SYSTEEM > Clusteracties >> Servercertificaat wijzigen. Doe dit voor alle CloudLink knooppunten en start vervolgens alle CloudLink knooppunten opnieuw op (niet tegelijkertijd). Dit zou het cluster weer gesynchroniseerd moeten brengen en Synchronisatiestatus zou OK moeten zeggen.

Als het cluster lange tijd niet is gesynchroniseerd, kan het enige tijd duren voordat de hersynchronisatie is voltooid. Controleer de knooppunten in het SYSTEEM-cluster >en bevestig dat u geen verwachte uitgaande batches ziet. Het kan enkele uren duren voordat dit is voltooid.

Zodra het cluster weer gesynchroniseerd is, kunt u de SVMCLUSTER CA. Ga naar SYSTEEMCLUSTERACTIES >>> CA-certificaat wijzigen. Als u dit doet, wordt automatisch de cluster node certificaten waarvoor u elk CloudLink-knooppunt opnieuw moet opstarten (niet tegelijkertijd).

CloudLink 7.x:

In CloudLink 7.x kunt u het SVMCLUSTER CA of cluster node Certificaten. U kunt alleen een CA Signed PEM uploaden.

Hier vindt u instructies voor het gebruik van OpenSSL om een zelfondertekend certificaat te genereren dat bedoeld is om CloudLink 7.x te vervangen SVMCLUSTER CA als cluster node Certificaten:

1. Gebruik een willekeurige Linux-server (niet CloudLink) en controleer met de opdracht dat OpenSSL is geïnstalleerd openssl version
2. Maak een bestand met de naam template.cfg door de opdracht uit te voeren vi template.cfg en plak de informatie in het onderstaande vak.
3. Wijzig en vervang de blauwe vermeldingen door de relevante informatie.

[req]
default_bits           = 2048
distinguished_name     = req_distinguished_name
req_extensions         = v3_req

[req_distinguished_name]
C =Country(2 letter code)
ST =State
L =Locality(city)
O =Organization
OU =OrgUnit
CN =CommonName

C_default =US
ST_default =utah
L_default =salt lake city
O_default =dell
OU_default =dell
CN_default =SVMCLUSTER CA

[ v3_req ]
subjectAltName   = @alt_names
keyUsage         = critical, digitalSignature, keyCertSign, cRLSign
extendedKeyUsage = serverAuth, clientAuth
basicConstraints = critical, CA:true, pathlen:1
subjectKeyIdentifier=hash

[alt_names]
DNS.1   = SVMCLUSTER CA

4. Voer de volgende opdracht uit :

openssl req -newkey 2048 -keyout svmcluster.key -config template.cfg  -x509 -days 730 -out svmcluster.crt -extensions v3_req -nodes

5. Start CloudLink Web Services opnieuw of start alle CloudLink knooppunten opnieuw op (NIET tegelijkertijd ).