ESXiのホスト証明書の有効期限が切れた場合vSANデータストアへのアクセスが失われる
search cancel

ESXiのホスト証明書の有効期限が切れた場合vSANデータストアへのアクセスが失われる

book

Article ID: 320829

calendar_today

Updated On: 04-27-2025

Products

VMware vSAN

Issue/Introduction

vSANを有効にしているESXiホストでホスト証明書の有効期限が切れた場合、vSAN の機能に次のような悪影響を及ぼす可能性があります:

  • ホスト上のユニキャスト エージェント リストが不完全になることにより、オブジェクトが不健全またはアクセス不能になる
  • esxcli vsan コマンドが失敗する
  • プライマリ ノードがクラスタ内の他のホストからパフォーマンス データを受信しない
  • vCenter / ESXi 間の通信

この事象が発生するとESXiの/var/run/log/hostd.logに以下のようなログが出力されます。

<YYYY-MM-DD>T<TIME>Z error hostd[B182B70] [Originator@6876 sub=Default opID=378619de-c4-3001 user=vpxuser:com.vmware.vsan.health] AdapterServer caught exception: SSL Exception: error:14094415:SSL routines:ssl3_read_bytes:sslv3 alert certificate expired

<YYYY-MM-DD>T<TIME>Z info hostd[31240B70] [Originator@6876 sub=VsanSimsStubImpl opID=88a25ce2-edc4-11eb-70-af-7033 user=vpxuser:com.vmware.vsan.health] Need to retry fetchVsanSharedSecret. Count 3, Period 10, loginSeq 11303
...
<YYYY-MM-DD>T<TIME>Z info hostd[31281B70] [Originator@6876 sub=VsanSimsStubImpl opID=88a25ce2-edc4-11eb-70-af-7033 user=vpxuser:com.vmware.vsan.health] Need to retry fetchVsanSharedSecret. Count 2, Period 10, loginSeq 11304
...
<YYYY-MM-DD>T<TIME>Z info hostd[312C2B70] [Originator@6876 sub=VsanSimsStubImpl opID=88a25ce2-edc4-11eb-70-af-7033 user=vpxuser:com.vmware.vsan.health] Need to retry fetchVsanSharedSecret. Count 1, Period 10, loginSeq 11305
...
<YYYY-MM-DD>T<TIME>Z info hostd[31281B70] [Originator@6876 sub=VsanSimsStubImpl opID=88a25ce2-edc4-11eb-70-af-7033 user=vpxuser:com.vmware.vsan.health] Need to retry fetchVsanSharedSecret. Count 0, Period 10, loginSeq 11306
<YYYY-MM-DD>T<TIME>Z info hostd[31281B70] [Originator@6876 sub=VsanSimsStubImpl opID=88a25ce2-edc4-11eb-70-af-7033 user=vpxuser:com.vmware.vsan.health] Invoke fetchVsanSharedSecret failed for last time
<YYYY-MM-DD>T<TIME>Z error hostd[31A44B70] [Originator@6876 sub=Default opID=88a25ce2-edc4-11eb-70-af-7033 user=vpxuser:com.vmware.vsan.health] AdapterServer caught exception: SSL Exception: error:14094415:SSL routines:ssl3_read_bytes:sslv3 alert certificate expired

<YYYY-MM-DD>T<TIME>Z error hostd[31A44B70] [Originator@6876 sub=Default opID=88a25ce2-edc4-11eb-70-af-7033 user=vpxuser:com.vmware.vsan.health] Backtrace:
 

また、ESXiホストの/var/log/vsanvpd.logに以下のようなログが出力されます。

<YYYY-MM-DD>T<TIME>Z vsanSoapServer: run:182:Failed to accept client <IP Address> [30]: SSL_ERROR_SSL error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown
<YYYY-MM-DD>T<TIME>Z vsanSoapServer: run:186:SOAP process done
<YYYY-MM-DD>T<TIME>Z vsanSoapServer: run:139:To accept SOAP socket
 
 

vCenterServerの/var/log/vmware/vsan-health/vmware-vsan-health-service.logに以下のようなログが出力されます。

<YYYY-MM-DD>T<TIME>Z INFO vsan-health[sq1368:t2] [VsanMgmtAdapters::_HandleOneHost] Member info for host host-10(<ESXi hostname>) is (vim.cluster.VsanPerfMemberInfo) {
   dynamicType = <unset>,
   dynamicProperty = (vmodl.DynamicProperty) [],
   thumbprint = '65374cbd9fe51889014158b834b6ef7be56e0fa7',
   memberUuid = u'host-10;62e7855e-a9e9-d339-3642-0050569b1ce8',
   isSupportUnicast = true,
   unicastAddressInfos = (vim.cluster.VsanUnicastAddressInfo) []
}
 
注: ログの抜粋は一例です。日時、環境変数はお使いの環境によって変わる場合があります。

Environment

VMware vSAN 6.x
VMware vSAN 7.x
 

Cause

ESXiのホスト証明書の有効期限が切れると、vSANクラスタ内のホスト間の適切な通信を妨げてしまいます。

Resolution

ESXi ホスト証明書の期限切れもしくは期限切れ直近の最初の兆候が現れたら、ホストを右クリックして [証明書] > [証明書の更新] を選択し、証明書を更新します。



Additional Information