免責事項: これは英文の記事Expired ESXi host certificates can impact vSAN functionalityの日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事を参照してください。

事象:
vSAN クラスタ内の ESXi ホスト証明書の期限が切れると、以下のような vSAN 機能への悪影響が生じる可能性があります。

• ホスト上のユニキャスト エージェント リストが不完全になり、オブジェクトの健全性低下やアクセス不可が発生する
• esxcli vsan コマンドが失敗する
• プライマリ ノードがクラスタ内の他のホストからパフォーマンス データを受信できなくなる
• vCenter と ESXi 間の通信断

ESXi ホストの /var/run/log/hostd.log ファイルに、次のようなエントリが表示されます。

<YYYY-MM-DD>T<TIME>Z error hostd[B182B70] [Originator@6876 sub=Default opID=378619de-c4-3001 user=vpxuser:com.vmware.vsan.health] AdapterServer caught exception: SSL Exception: error:14094415:SSL routines:ssl3_read_bytes:sslv3 alert certificate expired
<YYYY-MM-DD>T<TIME>Z info hostd[31240B70] [Originator@6876 sub=VsanSimsStubImpl opID=xxxxxxx-edc4-11eb-70-af-xxxx user=vpxuser:com.vmware.vsan.health] Need to retry fetchVsanSharedSecret. Count 3, Period 10, loginSeq 11303
<YYYY-MM-DD>T<TIME>Z info hostd[31281B70] [Originator@6876 sub=VsanSimsStubImpl opID=xxxxxxx-edc4-11eb-70-af-xxxx user=vpxuser:com.vmware.vsan.health] Need to retry fetchVsanSharedSecret. Count 2, Period 10, loginSeq 11304
<YYYY-MM-DD>T<TIME>Z info hostd[312C2B70] [Originator@6876 sub=VsanSimsStubImpl opID=xxxxxxx-edc4-11eb-70-af-xxxx user=vpxuser:com.vmware.vsan.health] Need to retry fetchVsanSharedSecret. Count 1, Period 10, loginSeq 11305
<YYYY-MM-DD>T<TIME>Z info hostd[31281B70] [Originator@6876 sub=VsanSimsStubImpl opID=xxxxxxx-edc4-11eb-70-af-xxxx user=vpxuser:com.vmware.vsan.health] Need to
<YYYY-MM-DD>T<TIME>Z error hostd[31A44B70] [Originator@6876 sub=Default opID=xxxxxxx-edc4-11eb-70-af-xxxx user=vpxuser:com.vmware.vsan.health] AdapterServer caught exception: SSL Exception: error:14094415:SSL routines:ssl3_read_bytes:sslv3 alert certificate expired
<YYYY-MM-DD>T<TIME>Z error hostd[31A44B70] [Originator@6876 sub=Default opID=xxxxxxx-edc4-11eb-70-af-xxxx user=vpxuser:com.vmware.vsan.health] Backtrace:

ESXi ホストの /var/log/vsanvpd.log ファイルに、次のようなエントリが表示されます。

<YYYY-MM-DD>T<TIME>Z vsanSoapServer: run:182:Failed to accept client <IP Address> [30]: SSL_ERROR_SSL error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown
<YYYY-MM-DD>T<TIME>Z vsanSoapServer: run:186:SOAP process done
<YYYY-MM-DD>T<TIME>Z vsanSoapServer: run:139:To accept SOAP socket

vCenter Server にある /var/log/vmware/vsan-health/vmware-vsan-health-service.log に、次のようなエントリが表示されます。

<YYYY-MM-DD>T<TIME>Z INFO vsan-health[sq1368:t2] [VsanMgmtAdapters::_HandleOneHost] Member info for host host-10(<ESXi hostname>) is (vim.cluster.VsanPerfMemberInfo) {
   dynamicType = <unset>,
   dynamicProperty = (vmodl.DynamicProperty) [],
   thumbprint = '65374cbd9fe51889014158b834b6ef7be56e0fa7',
   memberUuid = u'host-xxxxxxxxx-a9e9-d339-3642-xxxxxxxxx',
   isSupportUnicast = true,
   unicastAddressInfos = (vim.cluster.VsanUnicastAddressInfo)

VMware vSAN 6.x

VMware vSAN 7.x

期限切れの ESXi ホスト証明書により、vSAN クラスタ内のホスト間の適切な通信が妨げられます。

ESXi ホスト証明書の有効期限が切れている、または間もなく切れる場合は、直ちに更新を実施してください。

証明書の更新方法について以下のリンクをご参照ください：
ESXi 証明書の更新
vCenter Server に登録されているホストで「ESXiホスト証明書ステータス」アラートが表示される

Expired ESXi host certificates can impact vSAN functionality