Isilon: O status de conectividade do gateway mostra Desconectado, Erro interno 401 Códigos de resposta não autorizados

摘要: O status de conectividade do gateway é exibido como Desconectado e o Erro interno 401 Códigos de resposta não autorizada são exibidos (corrigíveis pelo usuário).

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。
查看其他资源

症状

O status de conectividade do gateway do cluster, que estava funcionando e conectado anteriormente, mostra Disconnected.

401 Unauthorized as respostas são vistas no gateway de conexão segura que NÃO está relacionada a nome de usuário e senha inválidos.

Em clusters Isilon usando o Gateway de conexão segura, isi esrs view mostra que o Status de conectividade do gateway está desconectado. Anteriormente, a configuração estava funcionando corretamente.

Tentativas de desativar e reativar isi_esrs_d e isi_rsapi_d Não ajudam a restaurar a conectividade.

Tenta modificar a configuração usando um username e tenta desativar o Secure Connect Gateway (--enabled=false) na esperança de recriar a falha de configuração.

Um erro semelhante também é visto ao emitir o isi esrs modify --enabled==false comando:

Internal error:
ESRSBadCodeError: ESRS Delete Device failed. Error response code from gateway: 401, Unauthorized. Response dictionary was: {{'http_response_code': 401, 'curl_trace': "*   Trying 1.2.3.4:9443...\n* TCP_NODELAY set\n* Name '1.2.3.4' family 2 resolved to '1.2.3.4' family 2\n* Local port: 0\n* Connected to 1.2.3.4 (1.2.3.4) port 9443 (#0)\n* ALPN, offering http/1.1\n* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH\n* SSL connection using TLSv1.2 / ECDHE-RSA-AES256-GCM-SHA384\n* ALPN, server accepted to use http/1.1\n* Server certificate:\n*  subject: C=US; ST=MA; L=SO; O=EMC; OU=ESRS; CN=myname\n*  start date: Dec  4 12:20:29 2019 GMT\n*  expire date: Dec  4 12:20:29 2039 GMT\n*  issuer: C=US; ST=MA; L=SO; O=EMC; OU=ESRS; CN=myname\n*  SSL certificate verify result: unable to get local issuer certificate (20), continuing anyway.\n> DELETE /esrs/v1/devices/ISILON-GW/ELMISLxxxxxxxx HTTP/1.1\r\nHost: 1.2.3.4:9443\r\nUser-Agent: PycURL/7.43.0 libcurl/7.66.0 OpenSSL/1.0.2r-fips zlib/1.2.11\r\nAccept: */*\r\nAuthorization: ISILON-GW:ELMISLxxxxxxxx:keykeykeyGYskKOwNZQg7SGOgC8=,domain=Device\r\nDate: Wed, 04 Nov 2020 19:15:47 GMT\r\n\r\n* Mark bundle as not supporting multiuse\n< HTTP/1.1 401 Unauthorized\r\n< Date: Wed, 04 Nov 2020 19:15:48 GMT\r\n< Server: Apache PivotalWebServer\r\n< Strict-Transport-Security: max-age=31536000; includeSubDomains;\r\n< Content-Security-Policy: frame-ancestors 'self'\r\n< Transfer-Encoding: chunked\r\n< \r\n* Connection #0 to host 1.2.3.4 left intact\n"}}


Se a mensagem 401 contiver a string de texto Invalid username and password, este artigo NÃO se aplica. 

原因

O problema ocorre devido a uma disparidade da chave de dispositivo dos serviços do gateway de conexão segura emitida originalmente para o Isilon.

Na resposta acima, observe que o Isilon emite um HTTP DELETE comando: 
DELETE /esrs/v1/devices/ISILON-GW/ELMISLxxxxxxxx

A chave do dispositivo é usada para autenticar essa comunicação entre o Isilon e o Gateway de conexão segura: 
Authorization: ISILON-GW:ELMISLxxxxxxxx:keykeykeyGYskKOwNZQg7SGOgC8=

Se o gateway foi reinstalado ou perdeu a chave do dispositivo por outro motivo, as autenticações REST-API usando a chave falham com um 401 Unauthorized erro.

Às vezes, se não for possível determinar o estado do Gateway de conexão segura, o Suporte Dell pode ser acionado para investigar. As chaves de dispositivo são perdidas se um gateway for reinstalado, mas também podem ser perdidas se o gateway for revertido para um snapshot antigo (antes da chave ser criada ou atualizada). Além disso, se um gateway de conexão segura ficar sem espaço em disco e um novo dispositivo for adicionado durante esse tempo, o banco de dados de chaves de dispositivo no gateway de conexão segura não poderá ser estendido.

解决方案

A maneira mais simples e a solução mais provável seriam executar os comandos a seguir para desabilitar a configuração e realizar um novo registro, para gerar uma nova chave de dispositivo para o Isilon. A coluna --force flag instrui o Isilon a desativar os serviços do Gateway de conexão segura sem tentar entrar em contato com o gateway para cancelar o registro primeiro.

isi esrs modify --enabled=false --force
isi esrs modify --enabled=true --username=DellSupportEmail --password=MYPASS


Se esses comandos não funcionarem, o Suporte Dell poderá ser acionado para limpar manualmente a chave e redefinir a comunicação entre o Gateway de conexão segura e o cluster do Isilon. Abra um chamado citando este artigo.

Um administrador experiente deve executar os seguintes comandos para desativar os serviços relevantes no cluster, desativar manualmente o Secure Connect Gateway e limpar a chave de autenticação existente no cluster.
 

Aviso: tome cuidado e não continue se os comandos parecerem muito complicados para você executar! Entre em contato com o Suporte Dell para obter assistência.
  1. Desative os serviços relevantes, se estiverem em execução. Esses serviços representam daemons que executam o serviço Gateway de conexão segura e o serviço REST-API para conectividade do Gateway de conexão segura. A desativação desses serviços não afeta o acesso do client ao cluster.
isi services -a isi_esrs_d disable
isi services -a isi_rsapi_d disable
  1. Force manualmente a desativação do Gateway de conexão segura.
isi_gconfig -t esrs esrs.enabled=false
  1. Limpe a chave em uso para comunicação.
isi_gconfig -t esrs esrs.esrs_api_key=""

NOTE: if secondary Gateway is configured, clear the API key for secondary Gateway using command below:
isi_gconfig -t esrs esrs.secondary_esrs_api_key=""
  1. Ative SOMENTE o rsapi .
isi services -a isi_rsapi_d enable
  1. Use os comandos normais para ativar a configuração do Gateway de conexão segura.
isi esrs modify --enabled=true --username=DELL-Support-Account --password=MYPASS
  1. Se o comando atingir o tempo limite aguardando uma resposta REST , digite o seguinte comando:
isi --timeout=600 esrs modify --enabled=true --username=DELL-Support-Account --password=MYPASS
  1. Se o comando ainda estiver mostrando erros, inicie uma nova coleta no Isilon e entre em contato com o Suporte Dell.

Essas etapas são usadas para recriar e restabelecer a comunicação entre o Isilon e o gateway de conexão segura.

其他信息

Nota: O Secure Remove Services é EOL. Consulte o artigo O Secure Remote Services (SRS) chegou ao fim da vida útil do serviço para obter a atualização necessária.

 

Nota: Em resumo, o gateway de conexão segura no Isilon se conecta usando REST ao gateway de conexão segura. Um único nó primário é responsável pela comunicação com o gateway. Esse nó informa o endereço IP de destino a ser usado pelo Gateway de conexão segura para acessar o cluster.

Se o nó principal falhar, o cluster elege um novo principal e o IP inicial é atualizado para o Gateway de conexão segura usando o protocolo REST . Os serviços "isi_esrs_d" e "isi_rsapi_d" devem estar em execução em todos os nós do cluster. O principal é eleito com base nos nós configurados nos pools de acesso do gateway.

O principal é detectado analisando os logs ou emitindo o comando abaixo: 
sqlite3 /ifs/.ifsvar/modules/tardis/namespaces/esrs.registered.state.sqlite 'select value from kv_table where key == "esrs_registered_lnn";'
5

No exemplo acima, o nó primário é o nó 5. Após a inspeção do endereço IP do pool de acesso do gateway para este nó, encontre-o como o endereço IP em uso para a licença de cluster ELM* no gateway de conexão segura. A equipe do Suporte Dell também vê esse endereço IP nos sistemas ServiceLink Secure Connect Gateway em uso para discar para clusters.

受影响的产品

PowerScale OneFS

产品

Isilon, PowerScale OneFS
文章属性
文章编号: 000180903
文章类型: Solution
上次修改时间: 26 11月 2025
版本:  7
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。