PowerFlex : La conversion du système d’exploitation SVM échoue lorsque l’authentification MDM est activée SDS_AUTHENTICATION_FAILED

• La conversion du système d’exploitation SVM se termine, mais le service SDS ne parvient pas à se reconnecter au cluster.
• La sortie de la commande SDS de requête affiche la SVM répertoriée, mais son état est Déconnecté.
• Les journaux d’événements MDM affichent SDS_RECONNECTED immédiatement suivi de SDS_AUTHENTICATION_FAILED avec erreur : « Échec du chargement de la paire de clés d’authentification » :

  2025-10-10 16:20:36.649 SDS_RECONNECTED INFO SDS: Sds-esxi249.chronex.lab (ID 39c9b4dc00000003) reconnected
  2025-10-10 16:20:36.651 SDS_AUTHENTICATION_FAILED ERROR SDS: Sds-esxi249.chronex.lab (ID 39c9b4dc00000003) failed authentication (Failed loading the authentication key-pair)

• L’authentification MDM a été explicitement activée (pas la configuration par défaut) : 

  scli --query_all | grep -i "MDM connection"
  MDM connection authentication: Enabled

• Les horloges du système MDM peuvent afficher une heure incorrecte (par exemple, 1970-01-01) indiquant une configuration NTP manquante.
• Le suivi Chronycsignale Offline ou n’affiche aucune source NTP valide.

Impact

• La conversion du système d’exploitation ne peut pas être effectuée tant que l’authentification MDM est activée.
• Les nœuds SDS convertis restent hors ligne et ne peuvent pas rejoindre le cluster.
• Les pools de stockage peuvent être dégradés en raison d’une capacité SDS manquante.

Important : L’authentification MDM est désactivée par défaut dans PowerFlex. Ce problème affecte uniquement les environnements où l’authentification a été explicitement activée pour une sécurité renforcée.

Lorsque l’authentification MDM est activée, le service SDS requiert des certificats valides pour communiquer avec le MDM. Lors de la conversion du système d’exploitation, le service SDS est réinstallé et perd ses informations d’identification de certificat. Lorsque le SDS tente de se reconnecter, la couche d’authentification du MDM bloque l’enregistrement, car le SDS ne peut pas présenter de certificats valides.

En outre, si le protocole NTP n’est pas correctement configuré sur les nœuds de cluster MDM, l’horloge système peut être incorrecte (ce qui indique généralement 1970-01-01). Les certificats générés avec des horodatages non valides sont rejetés par le MDM, ce qui entraîne des événements d’échec d’émission de certificat. Cela empêche la génération réussie de certificats, même après la réactivation de l’authentification.

Le processus de conversion du système d’exploitation ne gère pas automatiquement le workflow d’authentification MDM, ce qui nécessite une intervention manuelle pour désactiver l’authentification, autoriser la reconnexion et régénérer les certificats.

1. Avant de commencer la conversion du système d’exploitation, vérifiez que le protocole NTP est configuré sur tous les nœuds MDM PowerFlex :

chronyc tracking

Exemple :

svm-esxi246:~ # chronyc tracking
Reference ID    : 0AEA7154 (CGee-10-234-113-84.Chronex.lab)
Stratum         : 4
Ref time (UTC)  : Wed Oct 29 14:45:52 2025
System time     : 0.000019126 seconds slow of NTP time
Last offset     : -0.000027579 seconds
RMS offset      : 0.000036048 seconds
Frequency       : 10.327 ppm slow
Residual freq   : -0.062 ppm
Skew            : 0.298 ppm
Root delay      : 0.033223286 seconds
Root dispersion : 0.037000805 seconds
Update interval : 129.4 seconds
Leap status     : Normal

Si NTP n’est pas configuré, configurez un serveur NTP et validez :

chronyc add server 10.10.10.1 prefer
systemctl restart chronyd
chronyc tracking

2. Vérifiez l’état de l’authentification MDM :

scli --query_all | grep -i "MDM connection"

Exemple :

scli --query_all | grep -i "MDM connection"
MDM connection authentication: Enabled

3. Si l’authentification MDM est activée, désactivez temporairement l’authentification MDM avant de poursuivre la conversion du système d’exploitation :

scli --set_component_authentication_properties --dont_use_authentication

Exemple :

scli --query_all | grep -i "MDM connection" 
MDM connection authentication: Disabled

4. Effectuez la conversion du système d’exploitation à l’aide de PFMP.

5. Vérifiez que les SDS sont en ligne après la conversion. Prévu : Les SDS affichent un état Connected :

scli --query_all_sds

6. Si nécessaire, réactivez l’authentification MDM après une reconnexion réussie des SDS :

scli --set_component_authentication_properties --use_authentication

7. Vérifiez que les SDS restent en ligne avec l’authentification activée. Prévu : Les SDS affichent un état Connected : 

scli --query_all_sds

8. Pour régénérer les certificats d’un ou de tous les SDS :

For a Single SDS:
scli --generate_certificate --sds_id 39c9b4dc00000003--i_am_sure

For All SDS's:
for sds_id in $(scli --query_all_sds | grep "SDS ID:" | awk '{print $3}'); do scli --generate_certificate --sds_id $sds_id --i_am_sure; done
Successfully generated a new certificate
Successfully generated a new certificate
Successfully generated a new certificate
Successfully generated a new certificate

Versions affectées

PFMP 4.6.1