Inleiding
In dit document wordt beschreven hoe u problemen kunt oplossen met de meest voorkomende problemen met registratielicenties van HyperFlex.
Voorwaarden
Vereisten
Cisco raadt u aan een basiskennis te hebben van deze onderwerpen:
- HyperFlex Connect
- Registratie van licenties
- HTTP/HTTPS
Gebruikte componenten
De informatie in dit document is gebaseerd op:
- HyperFlex Data Program (HXDP) 5.0.(2a) en hoger
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrondinformatie
Wat is slimme licentie
Cisco Smart Licensing (Smart Licensing) is een intelligente, op de cloud gebaseerde oplossing voor softwarelicentiebeheer die de drie belangrijkste licentiefuncties (Aankoop, Beheer en Rapport) in uw hele organisatie vereenvoudigt.
Je kunt hier toegang krijgen tot je slimme licentie-account.
Hoe werken licenties op HyperFlex?
Cisco HyperFlex wordt geïntegreerd met Smart Licensing en automatisch ingeschakeld wanneer u een HyperFlex-opslagcluster maakt. Als u echter wilt dat uw Hyperflex-opslagcluster licenties gebruikt en rapporteert, moet u dit registreren met Cisco Smart Software Manager (SSM) via uw Cisco Smart Account.
Een Smart Account is een cloudgebaseerde repository die volledige zichtbaarheid en toegangscontrole biedt voor alle aangeschafte Cisco-softwarelicenties en productinstanties in uw bedrijf.
Opmerking: in Hyperflex-clusters is de registratie een jaar geldig. Daarna probeert Hyperflex automatisch opnieuw te registreren, zodat er geen menselijke interactie nodig is.
Streng handhavingsbeleid
Vanaf versie HXDP 5.0(2a) worden sommige functies geblokkeerd vanuit de HyperFlex Connect GUI als het cluster niet voldoet aan de licentie.
Voorbeeldscenario’s voor de licentiestatus:
In dit scenario is het cluster in overeenstemming met de licentiestatus.
In het volgende scenario wordt de Cluster geregistreerd, maar de licentiestaat is niet conform en de respijtperiode ligt tussen één (1) tot negentig (90) dagen.
In dat geval worden er geen functies geblokkeerd, maar verschijnt er een banner boven in het menu die u vraagt om de vereiste licentie te activeren voordat de respijtperiode verloopt.
In dit scenario wordt het cluster geregistreerd, is de licentiestaat niet conform en is de respijtperiode nul (0).
Configureren
Bekijk deze video voor richtlijnen hoe u Hyperflex kunt registreren met uw Smart License-account.
Verifiëren
Bevestig dat uw configuratie correct werkt.
Controleer de licentiestatus via CLI. Bekijk de registratiestatus en de autorisatiestatus.
Problemen oplossen
Er zijn een aantal veelvoorkomende scenario's waarin deze twee statussen kunnen falen, beide veroorzaakt door dezelfde grondoorzaak.
Scenario 1: HTTP/HTTP-connectiviteit
Licentieregistratie verloopt via TCP en meer specifiek via HTTP en HTTPS, daarom is het cruciaal om deze communicatie toe te staan.
Test de connectiviteit van elke Storage Controller-VM (SCVM), maar vooral van Cluster Management IP (CMIP) SCVM.
curl https://tools.cisco.com/its/service/oddce/services/DDCEService
U moet de output verkrijgen die in het voorbeeld wordt getoond, anders betekent het dat het verkeer wordt geblokkeerd.
<h1>DDCEService</h1>
<p>Hi there, this is an AXIS service!</p>
<i>Perhaps there will be a form for invoking the service here...</i>
Als de ontvangen uitvoer anders is dan de vorige uitvoer, bevestigt u de connectiviteit en controleert u of de poorten met deze opdrachten zijn geopend:
ping tools.cisco.com -c 5
nc -zv tools.cisco.com 80
nc -zv tools.cisco.com 443
Scenario 2: Proxy-problemen
Soms, wordt een volmacht gevormd tussen alle webcliënten en openbare webservers wanneer zij veiligheidsinspecties van het verkeer uitvoeren.
In dit geval moet u tussen de SCVM met de CMIP en cisco.com valideren dat de proxy al in het cluster is geconfigureerd (zoals in het voorbeeld).
hxshell:/var/log/springpath$ stcli services sch show
cloudEnvironment: production
enabled: True
emailAddress: johndoe@example.com
portalUrl:
enableProxy: True
proxyPassword:
encEnabled: True
proxyUser:
cloudAsupEndpoint: https://diag.hyperflex.io/
proxyUrl:
proxyPort: 0
als de proxy al geconfigureerd toont, test connectiviteit met proxy-URL of IP-adres samen met de geconfigureerde poort.
curl -v --proxy https://url:
https://tools.cisco.com/its/service/oddce/services/DDCEService
curl -v --proxy <Proxy IP>:<Proxy Port> https://tools.cisco.com/its/service/oddce/services/DDCEService
Bovendien, testconnectiviteit aan de volmacht.
nc -vzw2 x.x.x.x 8080
Scenario 3: cloudomgeving
In bepaalde situaties is de cloudomgeving ingesteld om te ontwrichten wat ervoor zorgt dat registratie mislukt. In dit voorbeeld is het ingesteld op productie.
hxshell:/var/log/springpath$ stcli services sch show
cloudEnvironment: production
cloudAsupEndpoint: https://diag.hyperflex.io/
portalUrl:
proxyPort: 0
enabled: True
encEnabled: True
proxyUser:
proxyPassword:
enableProxy: True
emailAddress: johndoe@example.com
proxyUrl:
In logbestanden kunt u specifieke fouten zien wanneer de omgeving onjuist is ingesteld als detest.
cat hxLicenseSvc.log | grep -ia "Name or service not known"
2021-09-01-18:27:11.557 [] [Thread-40] ERROR event_msg_sender_log - sch-alpha.cisco.com: Name or service not known
Tip: vanaf versie 5.0(2a) is een diagramgebruiker beschikbaar zodat gebruikers meer rechten hebben om problemen op te lossen met toegang tot beperkte mappen en opdrachten die niet toegankelijk zijn via priv-opdrachtregel die in Hyperflex versie 4.5.x is geïntroduceerd.
U kunt het omgevingstype in productie wijzigen en de registratie opnieuw proberen.
diag# stcli services sch set --email johndoe@example.com --environment production --enable-proxy false
Scenario 4: Online Certificate Status Protocol (OCSP)
Hyperflex maakt gebruik van CRL-servers (OCSP- en certificaatintrekkingslijsten) om HTTPS-certificaten te valideren tijdens het registratieproces van de licentie.
Deze protocollen zijn ontwikkeld om de herroepingsstatus via HTTP te distribueren. CRL's en OCSP-berichten zijn openbare documenten die de herroepingsstatus van X.509-certificaten aangeven wanneer OCSP-validatie mislukt en ook de licentieregistratie mislukt.
Tip: Als OCSP mislukt, betekent dit dat een beveiligingsapparaat tussen de twee de HTTP-verbinding verbreekt.
Om te bevestigen of OCSP validatie goed is, kunt u proberen om het bestand te downloaden naar uw CMIP SCVM / tmp partitie, zoals in het voorbeeld.
hxshell:~$cd /tmp
hxshell:/tmp$ wget http://www.cisco.com/security/pki/trs/ios_core.p7b
--2022-08-18 00:13:37-- http://www.cisco.com/security/pki/trs/ios_core.p7b
Resolving www.cisco.com (www.cisco.com)... x.x.x.x aaaa:aaaa:aaaa:aaaa::aaaa
Connecting to www.cisco.com (www.cisco.com)|x.x.x.x|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 25799 (25K)
Saving to: 'ios_core.p7b'
ios_core.p7b 100%[=======================================================================================================================================================>] 25.19K --.-KB/s in 0.04s
2022-08-18 00:13:37 (719 KB/s) - 'ios_core.p7b' saved [25799/25799]
hxshell:/tmp$ ls -lath ios*
-rw-rw-r-- 1 diag diag 26K Jun 30 18:00 ios_core.p7b
-rw-rw-r-- 1 diag diag 26K Jun 30 18:00 ios_core.p7b.1
-rw-rw-r-- 1 diag diag 26K Jun 30 18:00 ios_core.p7b.2
-rw-rw-r-- 1 diag diag 26K Jun 30 18:00 ios_core.p7b.3
-rw-r--r-- 1 admin springpath 26K Jun 30 18:00 ios_core.p7b.4
Scenario 5: Certificaat gewijzigd
In sommige netwerken voeren proxy- en firewallbeveiligingsapparaten SSL-inspectie (Secure Sockets Layer) uit en kunnen ze het certificaat beschadigen dat Hyperflex verwacht from tools.cisco.com:443 te ontvangen.
Om te controleren of het certificaat niet wordt gewijzigd door een proxy of firewall, voert de SCVM die de CMIP heeft de opdracht uit:
diag# openssl s_client -connect tools.cisco.com:443 -showcerts < /dev/null
Het is belangrijk op te merken dat de informatie Onderwerpnaam en Uitgevende Naam moet overeenkomen met het certificaat in dit voorbeeld.
Waarschuwing: als ten minste één veld van het onderwerp of de emittent verschillend is, mislukt de registratie. Een omzeilregel in de security SSL Inspection for Hyperflex Cluster Management IP’s en tools.cisco.com:443 kan dit oplossen.
In dit voorbeeld kunt u zien hoe u dezelfde informatie kunt valideren die u van het certificaat ontvangt in Hyperflex CMIP SCVM.
hxshell:~$ su diag
diag# openssl s_client -connect tools.cisco.com:443 -showcerts < /dev/null
CONNECTED(00000003)
depth=2 C = US, O = IdenTrust, CN = IdenTrust Commercial Root CA 1
verify return:1
depth=1 C = US, O = IdenTrust, OU = HydrantID Trusted Certificate Service, CN = HydrantID Server CA O1
verify return:1
depth=0 CN = tools.cisco.com, O = Cisco Systems Inc., L = San Jose, ST = California, C = US
verify return:1
---
Certificate chain
0 s:/CN=tools.cisco.com/O=Cisco Systems Inc./L=San Jose/ST=California/C=US
i:/C=US/O=IdenTrust/OU=HydrantID Trusted Certificate Service/CN=HydrantID Server CA O1
...
<TRUNCATED>
...
1 s:/C=US/O=IdenTrust/OU=HydrantID Trusted Certificate Service/CN=HydrantID Server CA O1
i:/C=US/O=IdenTrust/CN=IdenTrust Commercial Root CA 1
...
<TRUNCATED>
...
2 s:/C=US/O=IdenTrust/CN=IdenTrust Commercial Root CA 1
i:/C=US/O=IdenTrust/CN=IdenTrust Commercial Root CA 1
...
<TRUNCATED>
...
---
Server certificate
subject=/CN=tools.cisco.com/O=Cisco Systems Inc./L=San Jose/ST=California/C=US
issuer=/C=US/O=IdenTrust/OU=HydrantID Trusted Certificate Service/CN=HydrantID Server CA O1
---
...
<TRUNCATED>
...
---
DONE
Aanvullende procedure
Deze procedure kan worden gebruikt als de gedekte scenario's succesvol zijn of worden opgelost, maar de licentieregistratie mislukt nog steeds.
Registreer de licentie.
hxshell:~$stcli license disable
hxshell:~$stcli license enable
hxshell:~$stcli license deregister
Verkrijg een nieuw token van Smart-licentiëring, start het licentiëringsproces opnieuw en probeer de licentieregistratie opnieuw.
hxshell:~$priv service hxLicenseSvc stop
hxshell:~$priv service hxLicenseSvc start
hxshell:~$stcli license register --idtoken IDTOKEN --force
Gerelateerde informatie