PowerScale: OneFS : ERRO do gerenciador de chaves externo SED após a renovação do certificado
Resumo: Quando o certificado registrado com um gerenciador de chaves externo tem permissão para expirar, o certificado é renovado, os nós não conseguem mais se conectar e mostra "ERROR" na coluna de status. ...
Sintomas
Isso se aplica somente aos nós SED conectados a um gerenciador de chaves externo por: https://infohub.delltechnologies.com/en-US/l/dell-powerscale-onefs-security-considerations/external-key-manager-10/
E os nós estavam conectados anteriormente e funcionando como pretendido até que o certificado tivesse permissão para expirar e, em seguida, fosse renovado (sem outras alterações na configuração).
Verificar qual certificado SSL o gerenciador de chaves está usando:
isi keymanager kmip servers list
Pegue o ID da saída
isi keymanager kmip servers view <ID>
Na CLI do nó, execute o seguinte:
/usr/bin/isi_km_diag status
No resultado, você procura a linha que indica keystore domain [SEDS] status = [9008, [ISI_KM_SERVER_UNREACHABLE]]
No registro de erros do gerenciador de chaves, você pode ver falhas em que os nós do PowerScale estão tentando se conectar com o certificado expirado.
Na CLI dos nós, você encontra mensagens semelhantes às seguintes em /var/log/isi_km_d.log
2024-02-15T17:12:06.599757+00:00 <3.3> Isilon-5(ID5) isi_km_d[2395]: [0x801da2000]key_mgr: Falha ao conectar ao servidor KMIP!
2024-02-15T17:12:06.599812+00:00 <3.3> Isilon-5(ID5) isi_km_d[2395]: [0x801da2000]key_mgr: [SEDS] Falha ao inicializar o provedor! [9007, ISI_KM_KMIP_SERVER_UNREACHABLE]
Para verificar se o problema está em todos os nós do cluster:
isi keymanager sed status
Causa
Resolução
Não reinicialize os nós nem reinicie o serviço isi_km_d.