ACI: root アクセスと root パスワードの発行方法

Daijiro Kido · ‎2019-01-22

はじめに

ACI では限定された問題に対する高度なトラブルシューティングや、特別な不具合に対する回避策の適用を目的として、 APIC もしくは Leaf/Spine スイッチにて root 権限を用いたオペレーションを必要とする場合があります。

root 権限の取得(root アクセス)には root パスワードを使用する必要があります。

root パスワードは TAC エンジニアが発行することができ、ご利用の ACI 環境の token を取得・提示の上、TAC サービスリクエストを通して通知されます。

root アクセスによる対処が必要な不具合事例:
Field Notice: FN - 64329 - APIC SSD Degradation After High Percent Utilization of Solid State Drive - Hardware Upgrade Available

CSCvb13193: [nginx]access.log of nginx is not auto rotated

実行方法

token には有効期限があります。オープン中のサービスリクエストがない場合は事前にroot password 発行用のサービスリクエストを申請してください。

apic1# acidiag dbgtoken
XXXXXX1234   !! この dbgtoken を TAC に提示する

apic1# ssh root@localhost
Application Policy Infrastructure Controller
root@localhost‘s password:  “ TAC が発行するパスワードを入力”

[root@apic1 ~]#

token の有効期限はおよそ1時間となります。(acidiag dbgtoken 確認から TACより通知されたパスワードを用いたログインを完了させるまでの時間目安です。)
一度 root ユーザに移行した後は、 token の有効権限が切れてもログアウトするまで権限は有効です。
dbgtoken および発行されるパスワードは、どの APIC および Leaf/Spine スイッチであっても一つの ACI Fabric 内では共通となります。

注意事項

Japan TAC 営業時間内 (平日 9:00AM-5:00PM)のみパスワード発行が可能です。(日本の場合)
担当 TAC エンジニアが不在としてる場合もあり、token 有効期限内の対応が間に合わない場合があります。発行予定日時は事前に通知の上、token 提示後も電話連絡をいただくとより確実に対応が可能です。
root パスワード発行が可能なケースは、cisco.comドキュメント(Bug Search Tool, Field Notice) に root アクセスが明言されているもの、もしくは TAC がサービスリクエストを通じてご案内するときのみに限定されます。
上記以外の作業(状態確認等)では発行できない場合があります。
Japan TAC 営業時間外(夜間作業等)での発行が必要な場合は Global TAC へのケースオープンが必要です。Global TAC へ root パスワードの発行依頼をする場合は root パスワードが必要になる作業の 30 分前に Severity 2 で Service Request を Open してください。token 提示後も電話連絡をいただくとより確実に対応が可能です。Global TAC へのケースオープンについては「Global TAC へのケース申請方法」をご参照ください。