服务:vcenter service
版本: 7.0.3
问题描述:无法访问vcenter ui
排障思路:
1. 登入vcenter所在服务器执行基础排查:内存、cpu、磁盘、网络等,发现磁盘日志目录已经爆满,删除180天前的日志恢复磁盘正常状态。
2. service-control --status --all查看vcenter各服务状态,发现vpxd、vpxd-svcs、ui、vpostgres等核心服务状态均为停止。
3. service-control --stop --all && service-control --start --all尝试整台vcenter,发现还有一部分服务无法启动,vcenter server “503 Service Unavailable”,不过至少vcenter manager服务已经正常。
4. 按照官网文档检查vcenter 证书,执行一下命令发现证书均已过期。
for store in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list | grep -v TRUSTED_ROOT_CRLS); do echo "[*] Store :" $store; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $store --text | grep -ie "Alias" -ie "Not After";done;5. 执行/usr/lib/vmware-vmca/bin/certificate-manager 博主这边是输入:8(选择重置所有证书)。重置完成vcenter所有服务均会自动重启。
1. 用自定义证书替换机器 SSL 证书
2. 用自定义签名证书替换 VMCA 根证书证书并替换所有证书
3. 用 VMCA 证书替换机器 SSL 证书
4. 重新生成新的 VMCA 根证书并替换所有证书
5. 用以下证书替换解决方案用户证书自定义证书
注意:解决方案用户证书将在未来的版本中将不再使用解决方案用户证书。有关详细信息,请参阅发行说明。
6. 用 VMCA 证书替换解决方案用户证书
7. 通过重新发布旧的证书
8. 重置所有证书
6. 尝试访问vcenter server ui,又发现浏览器不信任vcenter自有证书。(好吧,关关难过关关过,心态放平ing)。参考官方文档解决证书不信任问题。
右键单击 右侧灰色框底部的下载受信任的根 CA 证书链接,然后使用将链接另存为下载文件并输入保存文件的路径(或者,通过单击下载链接下载文件)。
下载的文件Download.zip是 VMware Endpoint 证书存储 (VECS) 中的所有根证书和所有 CRL 的 ZIP 文件。
提取 ZIP 文件的内容。结果是一个 包含两种类型文件的 certs文件夹。
- 以数字作为扩展名(.0、 .1等)的文件是根证书。
- 扩展名以 r 开头的文件(.r0、. r1等)是与证书关联的 CRL 文件。
按照适合操作系统的流程将证书文件安装为受信任证书。以下是示例
- 单击“开始”,单击“开始搜索”,输入:certlm.msc(windows)mcc(mac)
- 选择受信任的根证书颁发机构下的证书,然后右键单击 -> 选择所有任务-> 单击导入
- 如果成功,则会出现以下消息。对每个受信任证书重复相同的操作。
- 关闭浏览器重新访问https://vcenter.com即可
7. 重置vcenter ui密码
/usr/lib/vmware-vmdir/bin/vdcadmintool #按:3,会自动重置生成密码
