Problemen met registratie van HyperFlex-licenties oplossen

Downloadopties

  • PDF     (781.8 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (607.9 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (371.5 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:15 november 2023
Document-id:218147

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt beschreven hoe u problemen kunt oplossen met de meest voorkomende problemen met registratielicenties van HyperFlex.

    Voorwaarden

    Vereisten

    Cisco raadt u aan een basiskennis te hebben van deze onderwerpen:

    • HyperFlex Connect
    • Registratie van licenties
    • HTTP/HTTPS

    Gebruikte componenten

    De informatie in dit document is gebaseerd op:

    • HyperFlex Data Program (HXDP) 5.0.(2a) en hoger

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

    Wat is slimme licentie

    Cisco Smart Licensing (Smart Licensing) is een intelligente, op de cloud gebaseerde oplossing voor softwarelicentiebeheer die de drie belangrijkste licentiefuncties (Aankoop, Beheer en Rapport) in uw hele organisatie vereenvoudigt.

    Je kunt hier toegang krijgen tot je slimme licentie-account.

    Hoe werken licenties op HyperFlex?

    Cisco HyperFlex wordt geïntegreerd met Smart Licensing en automatisch ingeschakeld wanneer u een HyperFlex-opslagcluster maakt. Als u echter wilt dat uw Hyperflex-opslagcluster licenties gebruikt en rapporteert, moet u dit registreren met Cisco Smart Software Manager (SSM) via uw Cisco Smart Account.

    Een Smart Account is een cloudgebaseerde repository die volledige zichtbaarheid en toegangscontrole biedt voor alle aangeschafte Cisco-softwarelicenties en productinstanties in uw bedrijf.

    Opmerking: in Hyperflex-clusters is de registratie een jaar geldig. Daarna probeert Hyperflex automatisch opnieuw te registreren, zodat er geen menselijke interactie nodig is.


    Streng handhavingsbeleid

    Vanaf versie HXDP 5.0(2a) worden sommige functies geblokkeerd vanuit de HyperFlex Connect GUI als het cluster niet voldoet aan de licentie.

    Voorbeeldscenario’s voor de licentiestatus:

    In dit scenario is het cluster in overeenstemming met de licentiestatus.

    Hyperflex UI - License in Compliance

    In het volgende scenario wordt de Cluster geregistreerd, maar de licentiestaat is niet conform en de respijtperiode ligt tussen één (1) tot negentig (90) dagen.

    In dat geval worden er geen functies geblokkeerd, maar verschijnt er een banner boven in het menu die u vraagt om de vereiste licentie te activeren voordat de respijtperiode verloopt.

    Hyperflex UI -License Out of Compliance

    In dit scenario wordt het cluster geregistreerd, is de licentiestaat niet conform en is de respijtperiode nul (0).

    Hyperflex UI - License Out of Compliance and Grace Period is Zero

    Configureren

    Bekijk deze video voor richtlijnen hoe u Hyperflex kunt registreren met uw Smart License-account.

    Verifiëren

    Bevestig dat uw configuratie correct werkt.

    Controleer de licentiestatus via CLI. Bekijk de registratiestatus en de autorisatiestatus.

    Verify Configuration Works Properly for Smart Licensing


    Problemen oplossen

    Er zijn een aantal veelvoorkomende scenario's waarin deze twee statussen kunnen falen, beide veroorzaakt door dezelfde grondoorzaak.

    Scenario 1: HTTP/HTTP-connectiviteit

    Licentieregistratie verloopt via TCP en meer specifiek via HTTP en HTTPS, daarom is het cruciaal om deze communicatie toe te staan.

    Test de connectiviteit van elke Storage Controller-VM (SCVM), maar vooral van Cluster Management IP (CMIP) SCVM.

    curl https://tools.cisco.com/its/service/oddce/services/DDCEService

    U moet de output verkrijgen die in het voorbeeld wordt getoond, anders betekent het dat het verkeer wordt geblokkeerd.

     <h1>DDCEService</h1>
     <p>Hi there, this is an AXIS service!</p>
     <i>Perhaps there will be a form for invoking the service here...</i>

    Als de ontvangen uitvoer anders is dan de vorige uitvoer, bevestigt u de connectiviteit en controleert u of de poorten met deze opdrachten zijn geopend:

    ping tools.cisco.com -c 5
    nc -zv tools.cisco.com 80
    nc -zv tools.cisco.com 443


    Scenario 2: Proxy-problemen

    Soms, wordt een volmacht gevormd tussen alle webcliënten en openbare webservers wanneer zij veiligheidsinspecties van het verkeer uitvoeren.

    In dit geval moet u tussen de SCVM met de CMIP en cisco.com valideren dat de proxy al in het cluster is geconfigureerd (zoals in het voorbeeld).

    hxshell:/var/log/springpath$ stcli services sch show
    cloudEnvironment: production
    enabled: True
    emailAddress: johndoe@example.com
    portalUrl: 
    enableProxy: True 
    proxyPassword: 
    encEnabled: True
    proxyUser: 
    cloudAsupEndpoint: https://diag.hyperflex.io/
    proxyUrl: 
    proxyPort: 0

    als de proxy al geconfigureerd toont, test connectiviteit met proxy-URL of IP-adres samen met de geconfigureerde poort.

    curl -v --proxy https://url:
    
     
    https://tools.cisco.com/its/service/oddce/services/DDCEService
    curl -v --proxy <Proxy IP>:<Proxy Port> https://tools.cisco.com/its/service/oddce/services/DDCEService

    Bovendien, testconnectiviteit aan de volmacht.

    nc -vzw2 x.x.x.x 8080


    Scenario 3: cloudomgeving

    In bepaalde situaties is de cloudomgeving ingesteld om te ontwrichten wat ervoor zorgt dat registratie mislukt. In dit voorbeeld is het ingesteld op productie.

    hxshell:/var/log/springpath$ stcli services sch show
    cloudEnvironment: production   
    cloudAsupEndpoint: https://diag.hyperflex.io/
    portalUrl: 
    proxyPort: 0
    enabled: True
    encEnabled: True
    proxyUser: 
    proxyPassword: 
    enableProxy: True
    emailAddress: johndoe@example.com
    proxyUrl:

    In logbestanden kunt u specifieke fouten zien wanneer de omgeving onjuist is ingesteld als detest.

    cat hxLicenseSvc.log | grep -ia "Name or service not known"
    2021-09-01-18:27:11.557 [] [Thread-40] ERROR event_msg_sender_log - sch-alpha.cisco.com: Name or service not known

    Tip: vanaf versie 5.0(2a) is een diagramgebruiker beschikbaar zodat gebruikers meer rechten hebben om problemen op te lossen met toegang tot beperkte mappen en opdrachten die niet toegankelijk zijn via priv-opdrachtregel die in Hyperflex versie 4.5.x is geïntroduceerd.

    U kunt het omgevingstype in productie wijzigen en de registratie opnieuw proberen.

    diag# stcli services sch set --email johndoe@example.com --environment production --enable-proxy false


    Scenario 4: Online Certificate Status Protocol (OCSP)

    Hyperflex maakt gebruik van CRL-servers (OCSP- en certificaatintrekkingslijsten) om HTTPS-certificaten te valideren tijdens het registratieproces van de licentie.

    Deze protocollen zijn ontwikkeld om de herroepingsstatus via HTTP te distribueren. CRL's en OCSP-berichten zijn openbare documenten die de herroepingsstatus van X.509-certificaten aangeven wanneer OCSP-validatie mislukt en ook de licentieregistratie mislukt.

    Tip: Als OCSP mislukt, betekent dit dat een beveiligingsapparaat tussen de twee de HTTP-verbinding verbreekt.


    Om te bevestigen of OCSP validatie goed is, kunt u proberen om het bestand te downloaden naar uw CMIP SCVM / tmp partitie, zoals in het voorbeeld.

    hxshell:~$cd /tmp
    hxshell:/tmp$ wget http://www.cisco.com/security/pki/trs/ios_core.p7b
    --2022-08-18 00:13:37-- http://www.cisco.com/security/pki/trs/ios_core.p7b
    Resolving www.cisco.com (www.cisco.com)... x.x.x.x aaaa:aaaa:aaaa:aaaa::aaaa
    Connecting to www.cisco.com (www.cisco.com)|x.x.x.x|:80... connected.
    HTTP request sent, awaiting response... 200 OK
    Length: 25799 (25K)
    Saving to: 'ios_core.p7b'

    ios_core.p7b 100%[=======================================================================================================================================================>] 25.19K --.-KB/s in 0.04s

    2022-08-18 00:13:37 (719 KB/s) - 'ios_core.p7b' saved [25799/25799]

    hxshell:/tmp$ ls -lath ios*
    -rw-rw-r-- 1 diag diag 26K Jun 30 18:00 ios_core.p7b
    -rw-rw-r-- 1 diag diag 26K Jun 30 18:00 ios_core.p7b.1
    -rw-rw-r-- 1 diag diag 26K Jun 30 18:00 ios_core.p7b.2
    -rw-rw-r-- 1 diag diag 26K Jun 30 18:00 ios_core.p7b.3
    -rw-r--r-- 1 admin springpath 26K Jun 30 18:00 ios_core.p7b.4


    Scenario 5: Certificaat gewijzigd

    In sommige netwerken voeren proxy- en firewallbeveiligingsapparaten SSL-inspectie (Secure Sockets Layer) uit en kunnen ze het certificaat beschadigen dat Hyperflex verwacht from tools.cisco.com:443 te ontvangen.

    Om te controleren of het certificaat niet wordt gewijzigd door een proxy of firewall, voert de SCVM die de CMIP heeft de opdracht uit: 

    diag# openssl s_client -connect tools.cisco.com:443 -showcerts < /dev/null

    Het is belangrijk op te merken dat de informatie Onderwerpnaam en Uitgevende Naam moet overeenkomen met het certificaat in dit voorbeeld.

    Subject Name and Issuer Name must Match

    Waarschuwing: als ten minste één veld van het onderwerp of de emittent verschillend is, mislukt de registratie. Een omzeilregel in de security SSL Inspection for Hyperflex Cluster Management IP’s en tools.cisco.com:443 kan dit oplossen.


    In dit voorbeeld kunt u zien hoe u dezelfde informatie kunt valideren die u van het certificaat ontvangt in Hyperflex CMIP SCVM.

    hxshell:~$ su diag
    diag# openssl s_client -connect tools.cisco.com:443 -showcerts < /dev/null
    CONNECTED(00000003)
    depth=2 C = US, O = IdenTrust, CN = IdenTrust Commercial Root CA 1
    verify return:1
    depth=1 C = US, O = IdenTrust, OU = HydrantID Trusted Certificate Service, CN = HydrantID Server CA O1
    verify return:1
    depth=0 CN = tools.cisco.com, O = Cisco Systems Inc., L = San Jose, ST = California, C = US
    verify return:1
    ---
    Certificate chain
    0 s:/CN=tools.cisco.com/O=Cisco Systems Inc./L=San Jose/ST=California/C=US
    i:/C=US/O=IdenTrust/OU=HydrantID Trusted Certificate Service/CN=HydrantID Server CA O1
    ...
    <TRUNCATED>
    ...
    1 s:/C=US/O=IdenTrust/OU=HydrantID Trusted Certificate Service/CN=HydrantID Server CA O1
    i:/C=US/O=IdenTrust/CN=IdenTrust Commercial Root CA 1
    ...
    <TRUNCATED>
    ...
    2 s:/C=US/O=IdenTrust/CN=IdenTrust Commercial Root CA 1
    i:/C=US/O=IdenTrust/CN=IdenTrust Commercial Root CA 1
    ...
    <TRUNCATED>
    ...
    ---
    Server certificate
    subject=/CN=tools.cisco.com/O=Cisco Systems Inc./L=San Jose/ST=California/C=US
    issuer=/C=US/O=IdenTrust/OU=HydrantID Trusted Certificate Service/CN=HydrantID Server CA O1
    ---
    ...
    <TRUNCATED>
    ...
    ---
    DONE

    Aanvullende procedure

    Deze procedure kan worden gebruikt als de gedekte scenario's succesvol zijn of worden opgelost, maar de licentieregistratie mislukt nog steeds.

    Registreer de licentie. 

    hxshell:~$stcli license disable
    hxshell:~$stcli license enable
    hxshell:~$stcli license deregister


    Verkrijg een nieuw token van Smart-licentiëring, start het licentiëringsproces opnieuw en probeer de licentieregistratie opnieuw.

    hxshell:~$priv service hxLicenseSvc stop 
    hxshell:~$priv service hxLicenseSvc start
    hxshell:~$stcli license register --idtoken IDTOKEN --force

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    2.0
    15-Nov-2023
    Bijgewerkte stijlvereisten, koppen, Alt-tekst en opmaak.
    1.0
    06-Sep-2022
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • John Villamil Londono
      Technisch leider
    • Sergio Mora
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten