Configurer le certificat SSL CVIM Openstack pour le connecteur VIM dans Elastic Services Controller

Options de téléchargement

  • PDF     (258.2 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (88.4 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (76.5 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:23 avril 2024
ID du document:221928

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit la procédure à suivre pour ajouter un certificat SSL RESTAPI OpenStack renouvelé pour une connexion VIM (Virtualized Infrastructure Manager) dans Cisco Elastic Services Controller.

    Conditions préalables

    Exigences

    Cisco vous recommande de prendre connaissance des rubriques suivantes :

    • Contrôleur de services élastiques Cisco
    • Cisco VIM/Openstack

    Composants utilisés

    Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

    • Contrôleur de services élastiques Cisco 5.10.0.95
    • Cisco VIM 4.2.2
    note-icon

    Remarque : cette procédure s'applique également à l'ajout d'un certificat lors de l'ajout d'un nouveau connecteur VIM.

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Configurer

    Après le renouvellement du certificat SSL RESTAPI Openstack (certificat haproxy pour l'environnement Cisco VIM), Elastic Services Controller signale que la connexion VIM a échoué.

    [admin@lab-esc-1 ~]$ tail -100f /var/log/esc/yangesc.log
    2024-04-09 10:35:36.148 WARN ===== SEND NOTIFICATION STARTS =====
    2024-04-09 10:35:36.148 WARN Type: VIM_CONNECTION_STATE
    2024-04-09 10:35:36.148 WARN Status: FAILURE
    2024-04-09 10:35:36.148 WARN Status Code: 500
    2024-04-09 10:35:36.148 WARN Status Msg: VIM Connection State Down
    2024-04-09 10:35:36.148 WARN Vim connector id: cvim-openstack-lab
    2024-04-09 10:35:36.148 WARN ===== SEND NOTIFICATION ENDS =====
    [admin@lab-esc-1 ~]$ sudo escadm vim show
    {
      "id":"cvim-openstack-lab",
      "type":"OPENSTACK",
      "last_checked":"2024-04-09T10:35:36.099",
      "status":"CONNECTION_FAILED",
      "status_message":"Unable to establish VIM connection",
    }

    Configurations

    Répertoriez les certificats actuels présents dans le TrustStore du contrôleur de services élastiques :

    [admin@lab-esc-1 ~]$ escadm truststore show --verbose
    esc, Mar 30, 2024, trustedCertEntry, 
    cvim-openstack-lab, Apr 4, 2024, trustedCertEntry,

    Copier/transférer le fichier de certificat CA vers la machine virtuelle Elastic Services Controller.

    1. Pour la configuration du contrôleur de services élastiques en veille active, copiez le certificat sur la machine virtuelle active.

    2. Pour la configuration de l'ESC actif-actif, copiez le certificat sur la VM Geo-Primary Leader.

    [admin@lab-esc-1 ~]$ ls -l /home/admin
    -rw-r--r--. 1 admin admin 1911 Apr 9 06:20 cvim-openstack-lab-renewed_haproxy.crt

    Ajoutez un certificat à Elastic Services Controller truststore en exécutant la commandeescadm truststore add.

    1. L'argument File fait référence au fichier de certificat de l'autorité de certification de types X.509 v1, v2 et v3, et PKCS#7.

    2. L'argument Alias est unique et fait référence au nom donné à ce certificat d'autorité de certification spécifique.

    [admin@lab-esc-1 ~]$ sudo escadm truststore add --alias cvim-openstack-lab-renewed --file cvim-openstack-lab-renewed_haproxy.crt --verbose
    CA certificate "cvim-openstack-lab-renewed" added successfully. 
    On ESC setup running ETSI, restart ETSI by running "sudo escadm etsi restart". All other components will reload the certificate automatically.

    Vérifier

    Utilisez cette section pour confirmer que votre configuration fonctionne correctement.

    Vérifiez si le certificat a été ajouté au magasin de confiance du contrôleur de services élastiques.

    [admin@lab-esc-1 ~]$ sudo escadm truststore show --verbose
    esc, Mar 30, 2024, trustedCertEntry, 
    cvim-openstack-lab, Apr 4, 2024, trustedCertEntry, 
    cvim-openstack-lab-renewed, Apr 9, 2024, trustedCertEntry,

    Vérifiez si la connexion VIM est active.

    [admin@lab-esc-1 esc]$ sudo escadm vim show
    {
      "id":"cvim-openstack-lab",
      "type":"OPENSTACK",
      "last_checked":"2024-04-09T11:15:57.157",
      "status":"CONNECTION_SUCCESSFUL",
      "status_message":"Successfully connected to VIM"
    }

    [admin@lab-esc-1 ~]$ tail -100f /var/log/esc/yangesc.log
    2024-04-09 11:15:57.188 INFO ===== SEND NOTIFICATION STARTS =====
    2024-04-09 11:15:57.188 INFO Type: VIM_CONNECTION_STATE
    2024-04-09 11:15:57.188 INFO Status: SUCCESS
    2024-04-09 11:15:57.188 INFO Status Code: 200
    2024-04-09 11:15:57.188 INFO Status Msg: VIM Connection State Up
    2024-04-09 11:15:57.189 INFO Vim connector id: cvim-openstack-lab
    2024-04-09 11:15:57.189 INFO ===== SEND NOTIFICATION ENDS =====

    Étape facultative

    En cas de renouvellement de certificat, supprimez l'ancien certificat après avoir confirmé que la connexion VIM est active après l'ajout d'un nouveau certificat.

    [admin@lab-esc-1 ~]$ sudo escadm truststore delete --alias cvim-openstack-lab --verbose
    CA certificate "cvim-openstack-lab" deleted successfully
    [admin@lab-esc-1 ~]$ sudo escadm truststore show --verbose
    esc, Mar 30, 2024, trustedCertEntry, 
    cvim-openstack-lab-renewed, Apr 9, 2024, trustedCertEntry,

    Dépannage

    Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

    Le TrustStore du contrôleur de services élastiques est automatiquement rechargé après l'ajout d'un nouveau, de sorte que la connexion VIM doit automatiquement être active. Consultez les journaux escmanager pour résoudre les problèmes en cas de panne.

    [admin@lab-esc-1 ~]$ tail -100f /var/log/esc/escamanager.log
    2024-04-09 11:15:55.369 INFO [SslManager.java:run:262] Change of type ENTRY_MODIFY is detected on truststore. Trigger reloading.
    2024-04-09 11:15:55.370 INFO [SslManager.java:loadESCTruststore:215] ESC truststore file loaded successfully.
    2024-04-09 11:15:55.375 INFO [SslManager.java:loadESCTruststore:226] Added Java default Root CA certificates: 136
    2024-04-09 11:15:55.376 INFO [VimUtils.java:reloadVimManagerTrustStore:1057] Starting request to reload VimManager truststore.
    2024-04-09 11:15:55.430 INFO [VimUtils.java:reloadVimManagerTrustStore:1065] Completed request to reload vimManager truststore.
    2024-04-09 11:15:55.430 INFO [SslManager.java:run:270] Reloading of truststore is done.
    2024-04-09 11:15:57.183 INFO [VimAuthenticationService.java:updateVimStatusFromNotification:709] Vim status message: VIM reachable; connection state: CONNECTED
    2024-04-09 11:15:57.183 INFO [VimAuthenticationService.java:processVimStatusNotification:784] Sending VIM Status notification for vim cvim-openstack-lab, status CONNECTION_SUCCESSFUL
    2024-04-09 11:16:31.428 INFO [VimUtils.java:getAuthStatusById:1077] VIM ID - cvim-openstack-lab, VimInfo is : VimInfoHolder [vimStatus=VIM_STATUS_REACHABLE, vimUserStatus=VIM_USER_STATUS_AUTHENTICATED, ts=2024-04-09T11:15:57.157]

    Historique de révision

    Révision Date de publication Commentaires
    1.0
    29-Apr-2024
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Gouthamraj Sekar
      Ingénieur TAC Cisco

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits