Problemen met HyperFlex-licentieregistratie oplossen
Inhoud
Inleiding
In dit document wordt beschreven hoe u de meest voorkomende problemen met Hyperflex-registratielicentieproblemen kunt oplossen.
Voorwaarden
Vereisten
Cisco raadt u aan om basiskennis te hebben van deze onderwerpen:
- Hyperflex Connect
- Licentieregistratie
- HTTP/HTTPS
Gebruikte componenten
De informatie in dit document is gebaseerd op:
- Hyperflex Data Program (HXDP) 5.0.(2a) en hoger
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrondinformatie
Wat is een Smart License
Cisco Smart Licensing (Smart Licensing) is een intelligente oplossing voor softwarelicentiebeheer in de cloud die de drie belangrijkste licentiefuncties (Aankoop, Beheer en Rapport) in uw hele organisatie vereenvoudigt.
U kunt hier toegang krijgen tot uw Smart License-account.
Hoe werken licenties op Hyperflex
Cisco Hyperflex integreert met Smart Licensing en wordt standaard automatisch ingeschakeld wanneer u een Hyperflex-opslagcluster maakt. Als u uw Hyperflex-opslagcluster echter wilt gebruiken en licenties wilt melden, moet u deze registreren bij Cisco Smart Software Manager (SSM) via uw Cisco Smart-account.
Een Smart Account is een cloud-gebaseerde repository die volledige zichtbaarheid en toegangscontrole biedt voor alle aangeschafte Cisco-softwarelicenties en productinstanties in uw bedrijf.
strikt handhavingsbeleid
Vanaf versie HXDP 5.0(2a) worden sommige functies geblokkeerd in de Hyperflex Connect GUI als het cluster niet in overeenstemming is met de licentie.
Voorbeelden van licentiestatusscenario's:
In dit scenario voldoet het cluster aan de licentiestatus.
In het volgende scenario wordt het cluster geregistreerd, maar de licentiestatus is niet in overeenstemming en de aflossingsvrije periode ligt tussen één (1) en negentig (90) dagen.
In dit geval worden geen functies geblokkeerd, maar verschijnt er een banner bovenaan het menu waarin u wordt gevraagd de vereiste licentie te activeren voordat de respijtperiode verloopt.
In dit scenario wordt het cluster geregistreerd, is de licentiestatus niet in overeenstemming en is de aflossingsvrije periode nul (0).
Configureren
Raadpleeg deze video voor meer informatie over het registreren van Hyperflex met uw Smart License-account.
Verifiëren
Controleer of de configuratie goed werkt.
Controleer de licentiestatus via CLI. Bekijk de registratiestatus en de autorisatiestatus.
Problemen oplossen
Er zijn enkele veel voorkomende scenario's waarbij deze twee statussen kunnen falen, beide veroorzaakt door dezelfde oorzaak.
Scenario 1: HTTP/HTTP-connectiviteit
Licentieregistratie gaat over TCP, en meer specifiek over HTTP en HTTPS, daarom is het van cruciaal belang om deze communicatie mogelijk te maken.
De connectiviteit testen van elke Storage Controller VM (SCVM), maar voornamelijk van Cluster Management IP (CMIP) SCVM.
curl https://tools.cisco.com/its/service/oddce/services/DDCEService
U moet de uitvoer verkrijgen die in het voorbeeld wordt weergegeven, anders betekent dit dat het verkeer is geblokkeerd.
<h1>DDCEService</h1>
<p>Hi there, this is an AXIS service!</p>
<i>Perhaps there will be a form for invoking the service here...</i>
Als de ontvangen uitvoer anders is dan de vorige uitvoer, bevestigt u de connectiviteit en controleert u of de poorten zijn geopend met de volgende opdrachten:
ping tools.cisco.com -c 5
nc -zv tools.cisco.com 80
nc -zv tools.cisco.com 443
Scenario 2: Proxyproblemen
Soms wordt een proxy geconfigureerd tussen alle webclients en openbare webservers wanneer ze beveiligingsinspecties van het verkeer uitvoeren.
In dit geval moet u tussen de SCVM met de CMIP en cisco.com valideren dat de proxy al is geconfigureerd in het cluster (zoals in het voorbeeld wordt getoond).
hxshell:/var/log/springpath$ stcli services sch show
cloudEnvironment: production
enabled: True
emailAddress: johndoe@example.com
portalUrl:
enableProxy: True
proxyPassword:
encEnabled: True
proxyUser:
cloudAsupEndpoint: https://diag.hyperflex.io/
proxyUrl:
proxyPort: 0
als de proxy al geconfigureerd is, test dan de connectiviteit met de proxy-URL of het IP-adres samen met de geconfigureerde poort.
curl -v --proxy https://url:https://tools.cisco.com/its/service/oddce/services/DDCEService
curl -v --proxy <Proxy IP>:<Proxy Port> https://tools.cisco.com/its/service/oddce/services/DDCEService
Daarnaast moet de connectiviteit met de proxy worden getest.
nc -vzw2 x.x.x.x 8080
Scenario 3: Cloudomgeving
In bepaalde situaties is de cloudomgeving ingesteld op een deploratie waardoor de registratie mislukt. In dit voorbeeld is het ingesteld op productie.
hxshell:/var/log/springpath$ stcli services sch show
cloudEnvironment: production
cloudAsupEndpoint: https://diag.hyperflex.io/
portalUrl:
proxyPort: 0
enabled: True
encEnabled: True
proxyUser:
proxyPassword:
enableProxy: True
emailAddress: johndoe@example.com
proxyUrl:
In logs kunt u specifieke fouten zien wanneer de omgeving verkeerd is ingesteld als devtest.
cat hxLicenseSvc.log | grep -ia "Name or service not known"
2021-09-01-18:27:11.557 [] [Thread-40] ERROR event_msg_sender_log - sch-alpha.cisco.com: Name or service not known
U kunt het omgevingstype wijzigen in productie en de registratie opnieuw proberen.
diag# stcli services sch set --email johndoe@example.com --environment production --enable-proxy false
Scenario 4: Online Certificate Status Protocol (OCSP)
Hyperflex maakt gebruik van OCSP- en CRL-servers (Certificate Revocation Lists) om HTTPS-certificaten te valideren tijdens het licentieregistratieproces.
Deze protocollen zijn ontworpen om de intrekkingsstatus over HTTP te verdelen. CRL's en OCSP-berichten zijn openbare documenten die de intrekkingsstatus van X.509-certificaten aangeven wanneer de OCSP-validatie mislukt en de licentieregistratie mislukt.
Om te bevestigen of OCSP-validatie goed is, kunt u proberen het bestand naar uw CMIP SCVM / tmp-partitie te downloaden, zoals in het voorbeeld wordt getoond.
hxshell:~$cd /tmp
hxshell:/tmp$ wget http://www.cisco.com/security/pki/trs/ios_core.p7b
--2022-08-18 00:13:37-- http://www.cisco.com/security/pki/trs/ios_core.p7b
Resolving www.cisco.com (www.cisco.com)... x.x.x.x aaaa:aaaa:aaaa:aaaa::aaaa
Connecting to www.cisco.com (www.cisco.com)|x.x.x.x|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 25799 (25K)
Saving to: 'ios_core.p7b'
ios_core.p7b 100%[=======================================================================================================================================================>] 25.19K --.-KB/s in 0.04s
2022-08-18 00:13:37 (719 KB/s) - 'ios_core.p7b' saved [25799/25799]
hxshell:/tmp$ ls -lath ios*
-rw-rw-r-- 1 diag diag 26K Jun 30 18:00 ios_core.p7b
-rw-rw-r-- 1 diag diag 26K Jun 30 18:00 ios_core.p7b.1
-rw-rw-r-- 1 diag diag 26K Jun 30 18:00 ios_core.p7b.2
-rw-rw-r-- 1 diag diag 26K Jun 30 18:00 ios_core.p7b.3
-rw-r--r-- 1 admin springpath 26K Jun 30 18:00 ios_core.p7b.4
Scenario 5: Certificaat gewijzigd
In sommige netwerken voeren proxy- en firewallbeveiligingsapparaten Secure Sockets Layer (SSL)-inspectie uit en kunnen ze het certificaat beschadigen dat Hyperflex verwacht te ontvangen van tools.cisco.com:443.
Voer de volgende opdracht uit om te controleren of het certificaat niet is gewijzigd door een proxy of firewall:
diag# openssl s_client -connect tools.cisco.com:443 -showcerts < /dev/null
Het is belangrijk op te merken dat de naam van het onderwerp en de naam van de uitgever moeten overeenkomen met het certificaat dat in dit voorbeeld wordt weergegeven.
In dit voorbeeld kunt u zien hoe u dezelfde informatie kunt valideren die u van het certificaat hebt ontvangen in Hyperflex CMIP SCVM.
hxshell:~$ su diag
diag# openssl s_client -connect tools.cisco.com:443 -showcerts < /dev/null
CONNECTED(00000003)
depth=2 C = US, O = IdenTrust, CN = IdenTrust Commercial Root CA 1
verify return:1
depth=1 C = US, O = IdenTrust, OU = HydrantID Trusted Certificate Service, CN = HydrantID Server CA O1
verify return:1
depth=0 CN = tools.cisco.com, O = Cisco Systems Inc., L = San Jose, ST = California, C = US
verify return:1
---
Certificate chain
0 s:/CN=tools.cisco.com/O=Cisco Systems Inc./L=San Jose/ST=California/C=US
i:/C=US/O=IdenTrust/OU=HydrantID Trusted Certificate Service/CN=HydrantID Server CA O1
...
<TRUNCATED>
...
1 s:/C=US/O=IdenTrust/OU=HydrantID Trusted Certificate Service/CN=HydrantID Server CA O1
i:/C=US/O=IdenTrust/CN=IdenTrust Commercial Root CA 1
...
<TRUNCATED>
...
2 s:/C=US/O=IdenTrust/CN=IdenTrust Commercial Root CA 1
i:/C=US/O=IdenTrust/CN=IdenTrust Commercial Root CA 1
...
<TRUNCATED>
...
---
Server certificate
subject=/CN=tools.cisco.com/O=Cisco Systems Inc./L=San Jose/ST=California/C=US
issuer=/C=US/O=IdenTrust/OU=HydrantID Trusted Certificate Service/CN=HydrantID Server CA O1
---
...
<TRUNCATED>
...
---
DONE
aanvullende procedure
Deze procedure kan worden gebruikt als de gedekte scenario's succesvol zijn of worden opgelost, maar de licentieregistratie nog steeds mislukt.
De licentie uitschrijven.
hxshell:~$stcli license disable
hxshell:~$stcli license enable
hxshell:~$stcli license deregister
Verwerven van een nieuw token van Smart-licenties, herstart het licentieproces en probeer de licentieregistratie opnieuw.
hxshell:~$priv service hxLicenseSvc stop
hxshell:~$priv service hxLicenseSvc start
hxshell:~$stcli license register --idtoken IDTOKEN --forceGerelateerde informatie
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
3.0 |
10-Jan-2025
|
Bijgewerkte SEO. |
2.0 |
15-Nov-2023
|
Bijgewerkte stijlvereisten, koppen, Alt-tekst en opmaak. |
1.0 |
06-Sep-2022
|
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)