Sertifikatet for CloudLink-klyngenode er utløpt

CloudLink viser alarmen:

Cluster node certificate is expired.

Når sertifikatene for klyngenoden er utløpt, kan det føre til at klyngen ikke synkroniseres. I CloudLink webUI > SYSTEM > Cluster kontrollerer du om synkroniseringstilstanden er av. Det er også et potensielt sikkerhetsproblem knyttet til et utløpt sertifikat.

CloudLink 8.1 og nyere:

Fra og med CloudLink versjon 8.1 kan du fornye SVMCLUSTER CA og cluster node sertifikater fra CloudLink-webgrensesnittet. Ta øyeblikksbilder og sikkerhetskopier av alle CloudLink-noder før du endrer sertifiseringer. 

Gå til SYSTEMSIKKERHETSKOPIERING >> , generer ny sikkerhetskopi og deretter handlinger > Last ned sikkerhetskopi. Sørg også for at brukeren kan finne CloudLink-sikkerhetskopinøkkelen (cckey.pem)

Før du starter CloudLink-VM-ene på nytt, går du til SYSTEM > Vault og bekrefter at Vault Unlock Mode er satt til Auto. Hvis opplåsingsmodus er satt til Manuell, må du bekrefte at brukeren kjenner hvelvpassordkodene eller midlertidig endre modus til Auto.

IKKE endre SVMCLUSTER CA mens klyngen ikke er synkronisert!
Dette skaper en inkonsekvens der hver CloudLink-node har forskjellige SVMCLUSTER CA Og det er vanskelig å synkronisere klyngen igjen.

Når klyngen ikke er synkronisert, må du fornye sertifikatene for klyngenoden på hver CloudLinknode. Gå til SYSTEMKLYNGEHANDLINGER >>> Endre serversertifikat. Gjør dette for alle CloudLink-noder, og start deretter alle CloudLink-noder på nytt (ikke samtidig). Dette skal bringe klyngen synkronisert igjen, og synkroniseringstilstand skal si OK.

Hvis klyngen har vært ute av synkronisering i lang tid, kan det ta litt tid før resynkroniseringen er ferdig. Kontroller nodene i SYSTEMKLYNGE >, og bekreft at du ikke ser noen ventede utgående grupper. Det kan ta flere timer før dette er fullført.

Når klyngen er synkronisert igjen, kan du endre SVMCLUSTER CA. Gå til SYSTEM > Cluster > Actions > Change CA Certificate. Hvis du gjør dette, fornyes automatisk cluster node sertifikater igjen krever at du starter hver CloudLink-node på nytt (ikke samtidig).

CloudLink 7.x:

I CloudLink 7.x kan du ikke fornye SVMCLUSTER CA eller cluster node Sertifikater. Du kan bare laste opp en CA-signert PEM.

Her er instruksjoner for hvordan du bruker OpenSSL til å generere et selvsignert sertifikat som skal erstatte CloudLink 7.x SVMCLUSTER CA og cluster node Sertifikater:

1. Bruk en hvilken som helst Linux-server (ikke CloudLink) og bekreft at OpenSSL er installert ved å kjøre kommandoen openssl version
2. Opprett en fil som heter template.cfg ved å kjøre kommandoen vi template.cfg og lim inn informasjonen i boksen nedenfor.
3. For de blå oppføringene, endre og erstatt med relevant informasjon.

[req]
default_bits           = 2048
distinguished_name     = req_distinguished_name
req_extensions         = v3_req

[req_distinguished_name]
C =Country(2 letter code)
ST =State
L =Locality(city)
O =Organization
OU =OrgUnit
CN =CommonName

C_default =US
ST_default =utah
L_default =salt lake city
O_default =dell
OU_default =dell
CN_default =SVMCLUSTER CA

[ v3_req ]
subjectAltName   = @alt_names
keyUsage         = critical, digitalSignature, keyCertSign, cRLSign
extendedKeyUsage = serverAuth, clientAuth
basicConstraints = critical, CA:true, pathlen:1
subjectKeyIdentifier=hash

[alt_names]
DNS.1   = SVMCLUSTER CA

4. Kjør kommandoen:

openssl req -newkey 2048 -keyout svmcluster.key -config template.cfg  -x509 -days 730 -out svmcluster.crt -extensions v3_req -nodes

5. Start CloudLink-webtjenestene på nytt, eller start alle CloudLink-noder på nytt (IKKE samtidig).