5500 V3存储双活添加仲裁服务器失败

发布时间:  2016-11-27 浏览次数:  241 下载次数:  0
问题描述

某局点部署HyperMetro双活容灾后,因前期未提供仲裁服务器,双活采用静态优先模式,后期客户想要使用仲裁服务器以提升容灾的可靠性。由客户提供Vmware的虚拟机安装RedHat 6.4系统。部署仲裁服务器后在双活添加仲裁服务器路径失败,添加的仲裁服务器离线无法激活。

告警信息
处理过程

在存储端开始添加仲裁服务器,添加链路后失败,服务器离线,链路显示未响应。检查环境重新配置防火墙端口,修改仲裁服务器端口与存储端端口对应为30002,故障依旧。检查网络,从仲裁ping存储正常,从存储minisystem ping仲裁服务器正常,测试端口连通性正常。收集仲裁服务器日志给研发分析。

检查仲裁服务器白名单,添加存储SN后依然无响应。检查仲裁服务器证书,发现证书状态为invalid,询问400怎么导入证书,告知正常状态无需导入证书。研发分析日志也发现证书问题,在检查证书导入权限的过程中,逐步定位出为openssl无权限执行,检查系统openssl后发现由于客户定制系统,openssl为定制安装,除Root用户外,其他用户无访问openssl所在目录和目录下文件的权限,修改openssl所在目录及子目录权限为755后,重启仲裁服务器进程,检查证书状态为valid

在存储端重新添加仲裁服务器及链路,添加成功,服务器状态在线,链路状态已连接。在远端添加仲裁服务器成功,在双活域添加仲裁服务器成功,至此双活已由静态优先切换到仲裁服务器模式

根因

客户定制系统,openssl为定制安装,除Root用户外,其他用户无访问openssl所在目录和目录下文件的权限。而仲裁证书需要此命令在仲裁用户下执行证书导入,造成无法导入证书。

建议与总结
    总结此次问题的处理过程,一直在网络和防火墙上检查分析原因,实际在网络和防火墙上出问题的概率很小,而本次出问题的根源仲裁证书在指导书中只讲了更新证书操作(而此操作实际部署中更新几率几乎没有),而未提示对证书状态进行检查,从而在处理过程中走了一大段弯路,建议在仲裁服务器软件部署完毕后,检查完服务器状态后,就检查证书状态,都正常后再添加仲裁服务器,减少走弯路的可能性。

END