暗号化変更後のクラスタピアの障害
環境
- ONTAP 9.11.1P8
- 暗号化
- クラスタ ピアリング
問題
- クラスタピアの一方のクラスタで暗号化暗号スイートを更新すると、クラスタピアリングが失敗します。
cluster peer health show -bypass-cache trueを実行すると、ノードへの接続が次のように表示されます。
cluster1::> cluster peer health show -bypass-cache true Node Cluster-Name Node-Name Ping-Status RDB-Health Cluster-Health Availability ---------- --------------------------- --------- --------------- ------------ c1node-01 cluster2 c2node-01 Data: unreachable ICMP: interface_reachable true true false c2node-02 Data: unreachable ICMP: interface_reachable true true false c1node-02 cluster2 c2node-01 Data: unreachable ICMP: interface_reachable true true false c2node-02 Data: unreachable ICMP: interface_reachable true true false 4 entries were displayed.
- 必要な暗号スイートを両方のクラスタに追加しても問題が解決しない
- KTLSハンドシェイクアラートが 表示される
ktls.cnxnHandshakeLimit: ONTAP reached the maximum limit of 170 concurrent TLS connection handshakes
[cluster: ktlsd: ktls.failed:notice]: "The TLS connections have failed several times with remote host 'xx.xx.xx.xxx' in IPspace 'xxxxxxx', for which the latest reason given is: OpenSSL: error:0A000102:SSL routines::unsupported protocol."