المقدمة
يصف هذا المستند إجراء إسترداد تثبيت مركز بنية الشبكة الرقمية (DNA) من Cisco باستخدام شهادة منتهية الصلاحية. أدخل مركز بنية الشبكة الرقمية (DNA) من Cisco شهادات رقمية للقرص الإلكتروني في الإصدار 2.3.2.0 لضمان اتصال البيانات الآمن عبر Kubernetes، سواء داخل عقدة أو بين العقد في نظام مجموعة. تكون هذه الشهادات صالحة لسنة واحدة ويتم تجديدها تلقائيا قبل انتهاء صلاحيتها. تتم معالجة الشهادات المتجددة بواسطة حاوية مساعد ثم تتاح للحاوية الموجودة. في إصدارات مركز بنية الشبكة الرقمية (DNA) المتأثرة من Cisco، لا تتعرف حاوية التصميم الضوئي على هذه الشهادات المتجددة وتنشيطها بشكل ديناميكي وتستمر في الإشارة إلى الشهادات التي انتهت صلاحيتها حتى يتم إعادة تشغيل القرص المضغوط. بمجرد أن تنتهي صلاحية الشهادة، يصبح مركز بنية الشبكة الرقمية من Cisco غير قابل للتشغيل، ويقدم هذا المستند خطوات لاستعادة تثبيت مركز بنية الشبكة الرقمية (DNA) المتأثرة من Cisco.
المعايير
الإصدارات المتأثرة:
2.3.2.x
2.3.3.x
2.3.5.3
2.3.7.0
الإصدارات الثابتة:
2.3.3.7 HF4
2.3.5.3 hf5
2.3.5.4 بعد 12 أكتوبر 2023
2.3.5.4 هكتولتر 3
2.3.7.3
الأعراض
عندما تنتهي صلاحية الشهادة، سيتم ملاحظة واحد أو أكثر من هذه الأعراض.
1. تعطل واجهة المستخدم الرسومية (GUI) لمركز بنية الشبكة الرقمية من Cisco
2- معظم الخدمات معطلة
3. تشاهد هذه الأخطاء في واجهة سطر الأوامر
WARNING:urllib3.connectionpool:Retrying (Retry(total=0, connect=None, read=None, redirect=None, status=None)) after connection broken by 'SSLError(SSLError(1, u'[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:727)'),)': /v2/keys/maglev/config/node-x.x.x.x?sorted=true&recursive=true |
إسترداد
يحتاج الاسترداد إلى الوصول إلى shell الجذر. في 2.3.x.x، مكنت طبقة مقيد افتراضيا. في 2.3.5.x وأعلى، يلزم التحقق من صحة رمز الموافقة للوصول إلى shell الجذر. إذا كانت البيئة المتأثرة قيد الإصدار 2.3.5.3، فيرجى العمل مع مركز المساعدة الفنية لاستعادة التثبيت.
الخطوة 1: التحقق من المشكلة
من واجهة سطر الأوامر، قم بتشغيل الأمر
إذا كانت المشكلة بسبب انتهاء صلاحية الشهادة، فسيفشل الأمر ويعيد حدوث خطأ. إن يركض الأمر بنجاح، بعد ذلك cisco dna مركز لا يتأثر مع هذا إصدار. هذا مثال على المخرجات من تثبيت تم تنفيذه بشهادة منتهية الصلاحية.
قائمة أعضاء Etcdctl العميل: نظام مجموعة ETCD غير متوفر أو مكون بشكل غير صحيح؛ الخطأ #0: x509: انتهت صلاحية الشهادة أو لم تعد صالحة بعد: الوقت الحالي 2023-10-20T20:50:14Z هو بعد 2023-10-12T22:47:42Z |
الخطوة 2: التحقق من الشهادة
قم بتشغيل هذا الأمر للتحقق من تاريخ انتهاء صلاحية الشهادة.
للحصول على شهادة $(ls/etc/maglev/.pki/ | ETCD ل GREP | grep -v -e key -e .cnf)، do sudo openssl x509 -noout -subject-issuer -dates -in /etc/maglev/.pki/$certs؛تم |
الرجاء إدخال كلمة مرور sudo عند طلبها. في الإخراج تحقق من انتهاء صلاحية الشهادة
كلمة مرور [sudo] ل Maglev: الموضوع=CN = etcd-client المصدر=CN = d0be82b3-0b50-e7bd-6bcd-b817c249f1c6، o = أنظمة Cisco، ou = مركز بنية الشبكة الرقمية من Cisco ليس قبل=8 أكتوبر:00:59:37 2022 جرينتش بعد=7 أكتوبر الساعة 00:59:37 2023 بتوقيت جرينتش الموضوع=CN = etcd-peer المصدر=CN = d0be82b3-0b50-e7bd-6bcd-b817c249f1c6، o = أنظمة Cisco، ou = مركز بنية الشبكة الرقمية من Cisco ليس قبل=8 أكتوبر:00:59:37 2022 جرينتش بعد=7 أكتوبر الساعة 00:59:37 2023 بتوقيت جرينتش |
الخطوة 4: إعادة تشغيل Docker
أ - مسح الحاويات التي تم الخروج منها
DOCKER rm -v $(docker ps -q -f status=exed) |
قد يستغرق هذا الأمر بضع دقائق، وذلك وفقا لعدد الحاويات التي تم خروجها.
ب. إعادة تشغيل Docker
نظام سودو إعادة تشغيل جهاز الإرساء |
يقوم هذا الأمر بإعادة تشغيل كافة الحاويات وقد يستغرق من 30 إلى 45 دقيقة لإكمالها.
الخطوة 5: تأكد من تجديد الشهادة
قم بإصدار الأمر نفسه من الخطوة 2 للتحقق من تجديد الشهادة. كان من المفترض أن تجدد لمدة عام.
للحصول على شهادة $(ls/etc/maglev/.pki/ | ETCD ل GREP | grep -v -e key -e .cnf)، do sudo openssl x509 -noout -subject-issuer -dates -in /etc/maglev/.pki/$certs؛تم |
تحقق من إمكانية الوصول إلى واجهة المستخدم الرسومية ومن أن الوصول إلى واجهة سطر الأوامر لا يحتوي على أخطاء.
الحل
سيؤدي هذا الحل البديل إلى الحفاظ على تشغيل مركز بنية الشبكة الرقمية (DNA) من Cisco وتشغيله لمدة عام واحد كحد أقصى. للحصول على إصلاح دائم، يرجى ترقية تثبيت مركز بنية الشبكة الرقمية (DNA) من Cisco إلى إصدار ثابت كما هو مذكور في الإشعار الميداني FN74065.