相互TLS通信用のCA証明書の期限切れにより、Active IQ Unified Managerでクラスタの取得が失敗します
環境
- Active IQ Unified Manager(AIQUM)9.12以降
- ONTAP 9.5以降
- ONTAPクラスタに対してMutual Transport Layer Security(mTLS / Mutual TLS)を有効化
問題
- AIQUM DASHBOARDは
Cluster discovery failed. Rediscover the cluster after resolving the issue.を表示します - クラスタ検出は、新しく追加されたクラスタに対して
"Failed"を表示します。 - Operation State は、既存のクラスタの
Health Poll操作に対してFailedです。 STORAGE MANAGEMENT>Cluster Setupで確認できます - ONTAP/AIQUMでの変更後(例:ONTAPバージョンの更新によりAIQUMが証明書を再交換する場合など)に発生する可能性のある問題
- イベント
Cluster Monitoring FailedおよびMutual TLS Certificate Expireがトリガーされます Cluster Monitoring Failedイベントがトリガーされたかなり後に、ボリュームまたはアグリゲート容量の履歴ペインには、現在およびトレンド容量ラインの代わりにInsufficient Historical Dataが表示されます。- OSM GUIへのアクセスが時々できなくなります
- 最新のパフォーマンスグラフが表示されません
- 容量情報が更新されません。
- クォータ情報が更新されず、超過イベントも通知されません。
- 既存の関係の保護ポリシーに
PKIX path building failedが表示されます - 最近の構成変更(qtree作成など)が反映されません
ocumserver.logがエラーを表示します:
INFO [oncommand] [org.springframework.jms.listener.DefaultMessageListenerContainer#0-1] [com.netapp.ipc.jms.OCIE_Events] OCIE JMS notification message received: {WarningCount=0, DatasourceName=<cluster_name>, DatasourceID=1, Error0_ClusterManagementIP=<cluster_name>, PackageName=netappfoundation, TotalReportTime=-1, PollStartTime=1711675762833, ErrorCount=1, Success=false, DurationTime=554, Error0_Message=[Device name <cluster_name>]: Communication problem with the cluster: <cluster_name>, command: system-get-version, error: 'Received fatal alert: certificate_expired' on try 5 out of 5, TotalZAPITime=-1, NotificationType=PACKAGE_COMPLETED, Error0_Type=NETWORK_ACCESS_FAILURE, UpdateTime=1711675763398, Error0_Port=443, MessageType=PACKAGE_NOTIFICATION, Error0_Zapi=system-get-version}
au.logにエラーが表示される:ERROR [common-pool-XX] c.o.s.a.d.n.t.z.ZAPIConnection (ZAPIConnection.java:442) - [netappfoundation] <cluster_name> - Communication problem with the cluster: <cluster_name>, command: system-get-version, error: 'Received fatal alert: certificate_expired' on try 5 out of 5WARN [common-pool-131891] c.o.s.a.d.n.t.z.ZAPIConnection (ZAPIConnection.java:586) - [netappfoundation] <ONTAP_CLUSTER_IP> - <ONTAP_CLUSTER_IP><ONTAP_CLUSTER_IP> - SSL handshake error on system-get-version try 5 out of 5, Received fatal alert: certificate_expired javax.net.ssl.SSLHandshakeException: Received fatal alert: certificate_expiredWARN [common-pool-4132] c.o.s.a.d.n.t.z.ZAPIConnection (ZAPIConnection.java:619) - [netappfoundation] <ONTAP_CLUSTER_IP> - while executing ZAPIs on datasource: <ONTAP_CLUSTER_IP> IP: <ONTAP_CLUSTER_IP> for ZAPI: system-get-version, javax.net.ssl.SSLException: Connection has closed: javax.net.ssl.SSLException: Software caused connection abort: socket write error java.net.SocketException: Software caused connection abort: socket write error
at java.net.SocketOutputStream.socketWrite0(Native Method) ~[?:?]
at java.net.SocketOutputStream.socketWrite(SocketOutputStream.java:110) ~[?:?]
at java.net.SocketOutputStream.write(SocketOutputStream.java:150) ~[?:?]
at sun.security.ssl.SSLSocketOutputRecord.flush(SSLSocketOutputRecord.java:271) ~[?:?]
..
ERROR [common-pool-4132] c.o.s.a.f.d.BaseDataSource (DataSourceErrorException.java:246) - <ONTAP_CLUSTER_IP> [Error connecting] - Communication problem with the cluster: <ONTAP_CLUSTER_IP> ([Device name <ONTAP_CLUSTER_IP>]: Failed to connect to the cluster.)
- ONTAPが
mgmtgwd.certificate.expiredおよびmgmtgwd.certificate.expiringEMSイベントを報告する[Node_Name: mgwd: security.invalid.login:alert]: Failed to authenticate login attempt to Vserver: <vserver_name>, username: null, application: ontapi. audit-mlog shows: [kern_audit:info:3385] 8503e8000065373d :: <cluster_name>:ontapi :: <AIQUM_IP>:52346 :: <cluster_name>:null :: Login Attempt :: Error: Authentication failed[Nodename: mgwd: mgmtgwd.certificate.expired:error]: A digital certificate with Fully Qualified Domain Name (FQDN) admin, Serial Number xxxxxxxxxxx, Certificate Authority 'admin' and type client-ca for Vserver svm0 has expired.