OS10 的特定版本 (請參閱受影響的軟體版本) 包含用於 VLT 對等建立和 SFS 叢集建置的預設憑證。
此預設憑證將于 2021 年 7 月 27 日到期。到期後,當其中一個交換器有後續的交換器重新開機、連結翻蓋、操作員觸發的組態變更、vMotion 和其他網路事件時,會發生流量連線問題。憑證到期在 syslog、設陷或使用者介面上沒有任何對應的訊息。
依型號而定,受影響的軟體版本:
OS10 版本 |
型號 |
10.3.2ER3P1 |
僅限 S5148F |
10.4.0E。R3SP2 至 10.4.0E。R4SP2 |
僅限 MX9116 和 MX5108 |
10.4.1.4 至 10.4.3.6P5 |
所有 OS10 機型 (包括 MX9116、MX5108 和 S5148F) |
10.5.0.0 至 10.5.0.7P3 |
所有 OS10 機型 (包括 MX9116 和 MX5108) |
解決方案
注意:請參閱附加的技術表,瞭解此解決方案的 PDF 版本,您可以提供給將執行升級的工程師。
注意:Isilon 後端乙太網路使用者不應遵循本文概述的程式。如果是 Isilon,使用者請參閱知識庫文章185548:
用於 Isilon 後端乙太網路的 Dell Z9100-ON 交換器上的 Dell 交換器憑證到期 ,以取得問題的詳細資訊。本文需要客戶登入。
注意: ECS Gen 3 應用裝置使用者不應遵循本文概述的程式。若為 ECS,使用者請參閱知識庫文章185691:
DTA 185691:ECS:ECS 前端和後端交換器上的 Dell OS10 交換器 X.509v3 安全性憑證到期可能會導致資料無法使用,以取得問題的詳細資料。本文需要客戶登入。
注意:無法使用受影響版本從 10.3.2.x 至 10.4.2.x 的使用者。使用者必須升級至 10.4.3.0 或更新版本 (MX 為 10.5.0.x 或更新版本),且必須遵循下表。
注意: 若為 10.4.0E (R3SP2) - 10.4.0E (R4SP2) 上的 PowerEdge MX 使用者,如果在 2021 年 7 月 27 日之前升級至最新基準不可行,請聯絡 Dell 技術支援以取得協助,以更新預設憑證。
注意:下列 OS10 版本隨附新的預設憑證,可解決此憑證到期問題:
10.4.3.7
10.5.0.9
10.5.1.9
10.5.2.6
警示:對於選擇升級至最新韌體的使用者,您
必須遵循支援網站上的
Dell EMC SmartFabric OS10 安裝、升級和降級指南檔的升級路徑。
若為
10.4.3.0 至 10.5.0.7P3版本,使用者必須依照此表遵循解決方案,以防止因預設憑證到期而發生網路問題:
部署類別 |
建議的解決方案 |
或者,如果可以升級的話。 |
非 VLT 非 SFS 模式中的非 MX 交換器 |
無需採取任何行動。 |
無需採取任何行動。 |
Mx-SFS mode |
使用所有節點上的 Dell 提供的腳本,將預設憑證更新為新的預設憑證。 若要使新的預設憑證生效,必須執行以下操作: - 重新開機 SFS 主要 - 此外,在多叢集部署中,每個 VLT 配對中的其中一個 VLT 對等重新開機。 |
在 2021 年 7 月 27 日之前升級至 >=10.5.1.7
請遵循 PowerEdge MX7000 主機殼適用之 Dell EMC OpenManage Enterprise-Modular Edition的升級路徑 ,《MX7000 解決方案基準使用者指南》
- 第 15 至 17 頁顯示相容元件韌體基準。 OS10 韌體更新對照表 - 第 22 頁詳細說明 OS10 交換器的升級路徑。 |
MX-Full-switch 模式 |
VLT 非 SFS 模式中的交換器 |
使用所有節點上的 Dell 提供的腳本,將預設憑證更新為新的預設憑證。 若要使新的預設憑證生效,必須在 VLT 主要交換器的 VLTi 介面/連結上執行「shut」和「no shut」。 |
在 2021 年 7 月 27 日前升級至版本 >=10.5.1.0 |
VxRail-SFS-單一機架 |
使用所有節點上的 Dell 提供的腳本,將預設憑證更新為新的預設憑證。 若要使新的預設憑證生效,必須執行以下操作: - 重新開機 SFS 主要 - 此外,在多叢集部署中,每個 VLT 配對中的其中一個 VLT 對等重新開機。 |
在 2021 年 7 月 27 日前升級至版本 >=10.5.2.2 |
VxRail-SFS-多機架 |
S5148 |
升級至 10.4.3.x,然後使用所有節點上 Dell 提供的腳本,將預設憑證更新為新的預設憑證。 使用所有節點上的 Dell 提供的腳本,將預設憑證更新為新的預設憑證。 若要使新的預設憑證生效,必須在 VLT 主要交換器的 VLTi 介面/連結上執行「shut」和「no shut」。 |
與建議的解決方案相同。 |
注意:VLTi 連結翻蓋或交換器重新開機需要一個維護視窗,因為這可能會中斷網路流量。計算維護時段:
- 若為指令檔,請允許每個裝置 3 至 5 分鐘。在執行腳本時,流量不會受到影響。
- 若要升級 OS10,從一個版本到下一個版本,每個節點預估 30 分鐘。
「
Dell Networking Default X.509 Certificate Update」腳本套件可在具備 OS10 授權的
Dell Digital Locker 上取得。腳本套件檔案名稱為「cert_upgrade_script」,其中包含一個 README 檔案,其中提供如何執行腳本的詳細指示。按一下 DDL 帳戶中的交換器,然後前往可用的下載以查看腳本套件。
如需更多有關登入和下載腳本的詳細資料,請
參閱 Dell Networking 如何從 Dell Digital Locker
下載 OS10 Cert_Upgrade_Script 以下
文章提供如何完成憑證更新的詳細資料:
請從
Linux Dell Networking OS10 選擇一個
Dell Networking OS10 如何
從 Linux
Dell Networking OS10 如何直接從 OS10 交換
器執行憑證更新Dell Networking OS10 如何使用 Python
從 Windows 執行憑證更新此處的影片,顯示使用 python 腳本更新憑證的程式。
注意:根據您儲存的指令檔位置而定,您可能有不同的檔案路徑,以及本影片的使用內容。
謹慎:叢集或 VLT 中的所有交換器必須具有相同的已安裝憑證,以供叢集或 VLT 通訊使用。必須在同一維護期間,在叢集和 VLT 的所有節點上執行腳本。
更新交換器上的預設憑證後,請注意下列事項:
- 如果您將另一個具有舊預設憑證的軟體版本降級,您可能會再次遇到此問題。
- 如果您在另一個仍有舊預設憑證的分割區上開機,您可能會再次遇到此問題。
- 如果您使用舊的預設憑證將交換器更換為版本,您可能會再次遇到此問題。
如果發生下列任何情況,您應執行下列動作:
警示:當叢集中的所有系統都使用 10.5.1.0 或更新版本時,不會使用憑證。如果叢集以混合版本的 OS10 執行,有些節點執行的是 10.5.0.x 及更低版本。然後,執行 10.5.1.x 或以上版本的系統必須執行指令檔,以安裝新憑證,讓節點形成叢集。
有些 10.4.3 或 10.5.0 的新交換器已安裝新的預設憑證。此外,某些服務更換交換器也安裝了新的預設憑證。這些裝置是由裝置上的貼紙識別,標示為「
Cert Updated」。
若要在 VLT 或 SFS 叢集中使用此類交換器