2024年9月12日 (初版)
| TAC SR Collection |
|
主な問題
|
Cisco Catalyst Center (旧称: Cisco DNA Center、以降は Catalyst Center と記載) にて AURA を実行した際、下記のような kubelet の root CA 証明書の失効に関するエラーが出力される場合があります。
Check: #18:Expiry of kubelet root CA cert
Error:#UR01:kubelet root CA cert is expiring in less than 100 days. Validity : XX days
※ AURA ツールに関する詳細情報は、下記を参照ください。
DNAC: Cisco DNA Center AURA ツールについて
|
| 原因 |
過去に下記の Field Notice が報告されており、この問題の検知ができるよう、AURA は kubelet root CA 証明書の有効期限が残り 100 日を切った場合に本エラーを出力する作りとなっているためです。
Field Notice: FN72406 - Cisco DNA Center: Failure in PKI Certificate Refresh Process Causes System Function Failures - Software Upgrade Recommended
|
| 解決策 |
暫定回避策:
エラーメッセージ中の「 Validity : XX days 」の表記がマイナスとなっていない場合、暫定回避のための対処は不要です。
エラーメッセージ中の「 Validity : XX days 」の表記がマイナス (- XX days) となっている場合、下記手順を実行後に再度 AURA を実行し、本エラーが出力されなくなっていることをご確認ください。
※下記手順を実行すると 15 分ほど GUI へのアクセスが不可となりますが、その後復旧いたします。
1. Catalyst Center へ maglev ユーザーにて ssh ログインします。
2. ログイン後に以下コマンドを実行し、bash モードへ遷移します。( バージョン 2.3.3.x 以降の場合 )
_shell
3. 以下コマンドを実行し、各証明書の期限 ( not After の部分 ) を事前確認します。
sudo openssl x509 -noout -dates -in /var/lib/kubelet/pki/kubelet.crt
sudo openssl x509 -noout -dates -in /var/lib/kubelet/pki/kubelet-client-current.pem
4.続けて以下コマンドを実行し、各証明書を一旦クリアします。
sudo rm /var/lib/kubelet/pki/*
5. 続けて以下コマンドを実行し、kubelet の再起動を実施します。
sudo systemctl restart kubelet
6. 再度以下コマンドを実行し、各証明書の期限 ( not After の部分 ) が延長されていることを確認します。
sudo openssl x509 -noout -dates -in /var/lib/kubelet/pki/kubelet.crt
sudo openssl x509 -noout -dates -in /var/lib/kubelet/pki/kubelet-client-current.pem
エラーメッセージ中の「 Validity : XX days 」の表記が上記いずれの場合も、上記の Field Notice を恒久的に解消するため、FN72406 の問題が改修されたソフトウェアへの速やかなバージョンアップをご検討ください。
恒久対策:
FN72406 の問題が改修されたソフトウェアを使用してください。
|
備考
本不具合は、Bug Search Tool でも確認できます。
各製品の TAC SR Collection の一覧は、よくある質問と解決方法 (TAC SR Collection) から確認できます。
