Solucionar problemas de registro de licença do Hyperflex

Opções de download

  • PDF     (782.3 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (607.5 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (371.1 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:15 de novembro de 2023
ID do documento:218147

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve como solucionar os problemas mais comuns da licença de registro Hyperflex.

    Pré-requisitos

    Requisitos

    A Cisco recomenda que você tenha conhecimento básico destes tópicos:

    • Conexão Hyperflex
    • Registro de licença
    • HTTP/HTTPS

    Componentes Utilizados

    As informações neste documento são baseadas em:

    • Hyperflex Data Program (HXDP) 5.0.(2a) e posterior

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Informações de Apoio

    O que é Smart License

    O Cisco Smart Licensing (Smart Licensing) é uma solução inteligente de gerenciamento de licenças de software baseada em nuvem que simplifica as três principais funções de licença (compra, gerenciamento e relatório) em toda a sua organização.

    Você pode acessar sua conta da Smart License aqui.

    Como funcionam as licenças no Hyperflex

    O Cisco Hyperflex integra-se ao Smart Licensing e é ativado automaticamente por padrão quando você cria um cluster de armazenamento Hyperflex. No entanto, para que seu cluster de armazenamento Hyperflex consuma e relate licenças, você deve registrá-lo no Cisco Smart Software Manager (SSM) por meio de sua Conta inteligente da Cisco.

    Uma Smart Account é um repositório baseado em nuvem que fornece visibilidade total e controle de acesso a todas as licenças de software da Cisco adquiridas e instâncias de produtos em sua empresa.

    Observação: nos clusters Hyperflex, o registro é válido por um ano. Depois disso, o Hyperflex tenta registrar-se novamente automaticamente, de modo que não é necessária interação humana.


    Política de aplicação rígida

    Da versão HXDP 5.0(2a) em diante, alguns recursos são bloqueados da GUI do Hyperflex Connect se o cluster não estiver em conformidade com a licença.

    Cenários de exemplo de status de licença:

    Neste cenário, o cluster está em conformidade com o status da licença.

    Hyperflex UI - License in Compliance

    No próximo cenário, o cluster é registrado, mas o estado da licença é Fora de conformidade e o período de carência é de um (1) a noventa (90) dias.

    Nesse caso, nenhum recurso é bloqueado, mas um banner é exibido na parte superior do menu solicitando que você ative a licença necessária antes que o período de cortesia expire.

    Hyperflex UI -License Out of Compliance

    Neste cenário, o cluster é registrado, o Estado da licença é Fora de conformidade e o período de cortesia é zero (0).

    Hyperflex UI - License Out of Compliance and Grace Period is Zero

    Configurar

    Para obter orientação sobre como registrar o Hyperflex em sua conta de Licença inteligente, consulte este vídeo.

    Verificar

    Confirme se a configuração está funcionando corretamente.

    Verifique o status da licença via CLI. Exibir o status do registro e o status da autorização.

    Verify Configuration Works Properly for Smart Licensing


    Troubleshooting

    Há alguns cenários comuns em que esses dois status podem falhar, ambos causados pela mesma causa raiz.

    Cenário 1: Conectividade HTTP/HTTPs

    O registro de licença passa por TCP e, mais especificamente, por HTTP e HTTPS, portanto, é essencial permitir essa comunicação.

    Teste a conectividade de cada SCVM (Storage Controller VM, VM de controlador de armazenamento), mas principalmente do SCVM CMIP (Cluster Management IP, IP de gerenciamento de cluster).

    curl https://tools.cisco.com/its/service/oddce/services/DDCEService

    Você deve obter a saída mostrada no exemplo, caso contrário, isso significa que o tráfego está bloqueado.

     <h1>DDCEService</h1>
     <p>Hi there, this is an AXIS service!</p>
     <i>Perhaps there will be a form for invoking the service here...</i>

    Se a saída recebida for diferente da saída anterior, confirme a conectividade e verifique se as portas estão abertas com estes comandos:

    ping tools.cisco.com -c 5
    nc -zv tools.cisco.com 80
    nc -zv tools.cisco.com 443


    Cenário 2: Problemas de proxy

    Às vezes, um proxy é configurado entre todos os clientes Web e servidores Web públicos quando eles realizam inspeções de segurança do tráfego.

    Nesse caso, entre o SCVM com o CMIP e cisco.com, confirme se o proxy já está configurado no cluster (como mostrado no exemplo).

    hxshell:/var/log/springpath$ stcli services sch show
    cloudEnvironment: production
    enabled: True
    emailAddress: johndoe@example.com
    portalUrl: 
    enableProxy: True 
    proxyPassword: 
    encEnabled: True
    proxyUser: 
    cloudAsupEndpoint: https://diag.hyperflex.io/
    proxyUrl: 
    proxyPort: 0

    se o proxy mostrar já configurado, teste a conectividade com o URL do proxy ou o endereço IP junto com a porta configurada.

    curl -v --proxy https://url:
    
     
    https://tools.cisco.com/its/service/oddce/services/DDCEService
    curl -v --proxy <Proxy IP>:<Proxy Port> https://tools.cisco.com/its/service/oddce/services/DDCEService

    Além disso, teste a conectividade com o proxy.

    nc -vzw2 x.x.x.x 8080


    Cenário 3: ambiente de nuvem

    Em determinadas situações, o ambiente de nuvem é definido como devtest, o que faz com que o registro falhe. Neste exemplo, ele está definido como produção.

    hxshell:/var/log/springpath$ stcli services sch show
    cloudEnvironment: production   
    cloudAsupEndpoint: https://diag.hyperflex.io/
    portalUrl: 
    proxyPort: 0
    enabled: True
    encEnabled: True
    proxyUser: 
    proxyPassword: 
    enableProxy: True
    emailAddress: johndoe@example.com
    proxyUrl:

    A partir dos registros, você pode ver erros específicos quando o ambiente está definido incorretamente como devtest.

    cat hxLicenseSvc.log | grep -ia "Name or service not known"
    2021-09-01-18:27:11.557 [] [Thread-40] ERROR event_msg_sender_log - sch-alpha.cisco.com: Name or service not known

    Dica: na versão 5.0(2a), o usuário de diagnóstico está disponível para permitir que os usuários tenham mais privilégios para solucionar problemas com acesso a pastas restritas e comandos que não são acessíveis através da linha de comando priv que foi introduzida no Hyperflex versão 4.5.x.

    Você pode alterar o tipo de ambiente para produção e repetir o registro.

    diag# stcli services sch set --email johndoe@example.com --environment production --enable-proxy false


    Cenário 4: protocolo de status de certificados online (OCSP)

    O Hyperflex aproveita servidores OCSP e CRL (Certificate Revocation Lists, listas de revogação de certificados) para validar certificados HTTPS durante o processo de registro de licença.

    Esses protocolos são projetados para distribuir o status de revogação por HTTP. As mensagens CRLs e OCSP são documentos públicos que indicam o status de revogação de certificados X.509 quando a validação OCSP falha e o registro de licença também falha.

    Dica: se o OCSP falhar, significa que um dispositivo de segurança no meio interrompe a conexão HTTP.


    Para confirmar se a validação do OCSP é boa, você pode tentar baixar o arquivo para sua partição CMIP SCVM / tmp, como mostrado no exemplo.

    hxshell:~$cd /tmp
    hxshell:/tmp$ wget http://www.cisco.com/security/pki/trs/ios_core.p7b
    --2022-08-18 00:13:37-- http://www.cisco.com/security/pki/trs/ios_core.p7b
    Resolving www.cisco.com (www.cisco.com)... x.x.x.x aaaa:aaaa:aaaa:aaaa::aaaa
    Connecting to www.cisco.com (www.cisco.com)|x.x.x.x|:80... connected.
    HTTP request sent, awaiting response... 200 OK
    Length: 25799 (25K)
    Saving to: 'ios_core.p7b'

    ios_core.p7b 100%[=======================================================================================================================================================>] 25.19K --.-KB/s in 0.04s

    2022-08-18 00:13:37 (719 KB/s) - 'ios_core.p7b' saved [25799/25799]

    hxshell:/tmp$ ls -lath ios*
    -rw-rw-r-- 1 diag diag 26K Jun 30 18:00 ios_core.p7b
    -rw-rw-r-- 1 diag diag 26K Jun 30 18:00 ios_core.p7b.1
    -rw-rw-r-- 1 diag diag 26K Jun 30 18:00 ios_core.p7b.2
    -rw-rw-r-- 1 diag diag 26K Jun 30 18:00 ios_core.p7b.3
    -rw-r--r-- 1 admin springpath 26K Jun 30 18:00 ios_core.p7b.4


    Cenário 5: Certificado Alterado

    Em algumas redes, os dispositivos de segurança de proxy e firewall executam a inspeção SSL (Secure Sockets Layer) e podem corromper o certificado que a Hyperflex espera receber from tools.cisco.com:443.

    Para verificar se o certificado não foi alterado por um proxy ou firewall, no SCVM que contém o CMIP, execute o comando: 

    diag# openssl s_client -connect tools.cisco.com:443 -showcerts < /dev/null

    É importante observar que as informações de Nome do assunto e Nome do emissor devem corresponder ao certificado mostrado neste exemplo.

    Subject Name and Issuer Name must Match

    Aviso: se pelo menos um campo no assunto ou no emissor for diferente, o registro falhará. Uma regra de desvio na Inspeção SSL de segurança para IPs de gerenciamento de Cluster Hyperflex e tools.cisco.com:443 pode corrigir isso.


    Neste exemplo, você pode ver como validar as mesmas informações recebidas do certificado no Hyperflex CMIP SCVM.

    hxshell:~$ su diag
    diag# openssl s_client -connect tools.cisco.com:443 -showcerts < /dev/null
    CONNECTED(00000003)
    depth=2 C = US, O = IdenTrust, CN = IdenTrust Commercial Root CA 1
    verify return:1
    depth=1 C = US, O = IdenTrust, OU = HydrantID Trusted Certificate Service, CN = HydrantID Server CA O1
    verify return:1
    depth=0 CN = tools.cisco.com, O = Cisco Systems Inc., L = San Jose, ST = California, C = US
    verify return:1
    ---
    Certificate chain
    0 s:/CN=tools.cisco.com/O=Cisco Systems Inc./L=San Jose/ST=California/C=US
    i:/C=US/O=IdenTrust/OU=HydrantID Trusted Certificate Service/CN=HydrantID Server CA O1
    ...
    <TRUNCATED>
    ...
    1 s:/C=US/O=IdenTrust/OU=HydrantID Trusted Certificate Service/CN=HydrantID Server CA O1
    i:/C=US/O=IdenTrust/CN=IdenTrust Commercial Root CA 1
    ...
    <TRUNCATED>
    ...
    2 s:/C=US/O=IdenTrust/CN=IdenTrust Commercial Root CA 1
    i:/C=US/O=IdenTrust/CN=IdenTrust Commercial Root CA 1
    ...
    <TRUNCATED>
    ...
    ---
    Server certificate
    subject=/CN=tools.cisco.com/O=Cisco Systems Inc./L=San Jose/ST=California/C=US
    issuer=/C=US/O=IdenTrust/OU=HydrantID Trusted Certificate Service/CN=HydrantID Server CA O1
    ---
    ...
    <TRUNCATED>
    ...
    ---
    DONE

    Procedimento adicional

    Esse procedimento pode ser aproveitado se os cenários cobertos forem bem-sucedidos ou resolvidos, mas o registro de licença ainda falhar.

    Cancele o registro da licença. 

    hxshell:~$stcli license disable
    hxshell:~$stcli license enable
    hxshell:~$stcli license deregister


    Adquira um novo token do licenciamento inteligente, reinicie o processo de licenciamento e repita o registro da licença.

    hxshell:~$priv service hxLicenseSvc stop 
    hxshell:~$priv service hxLicenseSvc start
    hxshell:~$stcli license register --idtoken IDTOKEN --force

    Informações Relacionadas

    Histórico de revisões

    Revisão Data de publicação Comentários
    2.0
    15-Nov-2023
    Requisitos de estilo, títulos, texto alternativo e formatação atualizados.
    1.0
    06-Sep-2022
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • John Villamil Londono
      Líder técnico
    • Sergio Mora
      Engenheiro do Cisco TAC

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos