Operational Defect Database
BugZero updated this defect 57 days ago.
Data sources
All data on this page is proprietary to BugZero® or gathered from public sources
VMware | 97133
ESXiのホスト証明書の有効期限が切れた場合vSANデータストアへのアクセスが失われる
Last update date:
3/24/2024
Affected products:
vSAN
Affected releases:
6.5
Fixed releases:
No fixed releases provided.
Description:
Symptoms
vSANを有効にしているESXiホストでホスト証明書の有効期限が切れた場合、メモリリークによってhostdのクラッシュが発生し、ユニキャストエージェントリストが予期せず削除され、vSANデータストアへのアクセスが失われます。この事象が発生するとESXiの/var/run/log/hostd.logに以下のようなログが出力されます。<YYYY-MM-DD>T<TIME>Z error hostd[B182B70] [Originator@6876 sub=Default opID=378619de-c4-3001 user=vpxuser:com.vmware.vsan.health] AdapterServer caught exception: SSL Exception: error:14094415:SSL routines:ssl3_read_bytes:sslv3 alert certificate expired<YYYY-MM-DD>T<TIME>Z info hostd[31240B70] [Originator@6876 sub=VsanSimsStubImpl opID=88a25ce2-edc4-11eb-70-af-7033 user=vpxuser:com.vmware.vsan.health] Need to retry fetchVsanSharedSecret. Count 3, Period 10, loginSeq 11303...<YYYY-MM-DD>T<TIME>Z info hostd[31281B70] [Originator@6876 sub=VsanSimsStubImpl opID=88a25ce2-edc4-11eb-70-af-7033 user=vpxuser:com.vmware.vsan.health] Need to retry fetchVsanSharedSecret. Count 2, Period 10, loginSeq 11304...<YYYY-MM-DD>T<TIME>Z info hostd[312C2B70] [Originator@6876 sub=VsanSimsStubImpl opID=88a25ce2-edc4-11eb-70-af-7033 user=vpxuser:com.vmware.vsan.health] Need to retry fetchVsanSharedSecret. Count 1, Period 10, loginSeq 11305...<YYYY-MM-DD>T<TIME>Z info hostd[31281B70] [Originator@6876 sub=VsanSimsStubImpl opID=88a25ce2-edc4-11eb-70-af-7033 user=vpxuser:com.vmware.vsan.health] Need to retry fetchVsanSharedSecret. Count 0, Period 10, loginSeq 11306<YYYY-MM-DD>T<TIME>Z info hostd[31281B70] [Originator@6876 sub=VsanSimsStubImpl opID=88a25ce2-edc4-11eb-70-af-7033 user=vpxuser:com.vmware.vsan.health] Invoke fetchVsanSharedSecret failed for last time<YYYY-MM-DD>T<TIME>Z error hostd[31A44B70] [Originator@6876 sub=Default opID=88a25ce2-edc4-11eb-70-af-7033 user=vpxuser:com.vmware.vsan.health] AdapterServer caught exception: SSL Exception: error:14094415:SSL routines:ssl3_read_bytes:sslv3 alert certificate expired<YYYY-MM-DD>T<TIME>Z error hostd[31A44B70] [Originator@6876 sub=Default opID=88a25ce2-edc4-11eb-70-af-7033 user=vpxuser:com.vmware.vsan.health] Backtrace:また、ESXiホストの/var/log/vsanvpd.logに以下のようなログが出力されます。<YYYY-MM-DD>T<TIME>Z vsanSoapServer: run:182:Failed to accept client <IP Address> [30]: SSL_ERROR_SSL error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown<YYYY-MM-DD>T<TIME>Z vsanSoapServer: run:186:SOAP process done<YYYY-MM-DD>T<TIME>Z vsanSoapServer: run:139:To accept SOAP socketvCenterServerの/var/log/vmware/vsan-health/vmware-vsan-health-service.logに以下のようなログが出力されます。<YYYY-MM-DD>T<TIME>Z INFO vsan-health[sq1368:t2] [VsanMgmtAdapters::_HandleOneHost] Member info for host host-10(<ESXi hostname>) is (vim.cluster.VsanPerfMemberInfo) { dynamicType = <unset>, dynamicProperty = (vmodl.DynamicProperty) [], thumbprint = '65374cbd9fe51889014158b834b6ef7be56e0fa7', memberUuid = u'host-10;62e7855e-a9e9-d339-3642-0050569b1ce8', isSupportUnicast = true, unicastAddressInfos = (vim.cluster.VsanUnicastAddressInfo) []}注: ログの抜粋は一例です。日時、環境変数はお使いの環境によって変わる場合があります。
Cause
ESXiのホスト証明書の有効期限が切れると、hostdがvsanmgmtdからvSANの構成情報を取得することができなくなり、誤って空のユニキャストアドレスがvCenterServerに報告されます。また、hostdでメモリリークが発生します。メモリリークが発生した状態が継続し最終的にhostdがクラッシュすると、hostdの再起動が行われます。この際にvCenterServerから空のユニキャストアドレスが伝播され、vSANデータストアへのアクセスが失われます。
Impact / Risks
ESXiホストのユニキャストエージェントリストが削除された場合、vSANデータストアへのアクセスが失われます。
Resolution
ESXiのホスト証明書の有効期限が切れる前に更新します。vCenterServer/ESXi 6.7以上のバージョンへアップグレードします。
Workaround
本事象によりユニキャストエージェントリストの設定が失われた場合には、Configuring vSAN Unicast networking from the command line を参考に再設定しvSANデータストアへのアクセスを復旧させます。
