Status
Deploy시 이미지 / license 파일마다 좀 다르게 반응을 하는데
저번에 aws 기반 ova파일은 이미 license 이슈로 막힌 상태였다
인증서 문제이겠거니 (dhcp를 static으로 바꾼것도 있고)
license랑 crt UserGuide보며 열심히 변경하다가 ..
오전 창고 이사로 상하차 하느라 체력 이슈 발생!😑😑
이후에 새로운 마음으로 새서버 deploy 시작
아 계속 ping 이 안나간다
deploy 할때 python library 기가 막히게 설치되었는데 왜 안나가지?
Err1 Certification
인증서 문제겠거니 하며
ssl 끄려면 globalupdate.fortinet 들어가야하는데 못들어간다..
그럼 직접 연결하자 싶어 시도함
try 1: 파일찾기
ps -ef | grep '*lic' 하니 안나와서
find / -name '*.lic' 해서 찾아봄 crt 파일도 동일하게 진행
linux 파일 찾기
try 2:vendor 사 cert. lic 파일 관련 guide
- To verify the above-mentioned cases run the following command:
java -jar <jar_path> <serial_no> <device_uuid> <globaupdate_url>
- Import the proxy issuer certificate into truststore using the following command:
keytool -import -alias proxy_issuer_cert -keystore /opt/cyops-auth/certs/fdn_server_truststore.p12 -file <cert_file> -storepass MXakK2bj6vAteC47 -noprompttry 3: 삽질이다..
-
라이센스 파일은 몇 없는데, cert 파일이 너무 많았음.
-
내 cert 파일이 어떤건지도 모르겠어서 SSL / pki 관련된 경로에 있는 crt 부터 차례로 넣어보기 시작함
keytool error: java.lang.Exception: Input not an X.509 certificatetry :
/usr/share/pki/ca-trust-legacy
/opt/cyops/configs/integrations/connectors/fsr-agent-communication-bridge_1_1_0/webserver/ssl
등 ssl 과 관련된것으로 추측되는 crt 파일을 무작위로 넣어보기로 하였다..
keytool error: java.lang.Exception: Input not an X.509 certificatetry : 오 된다..?
/opt/cyops-auth/ssl/server.leaf.crt
Enter keystore password:
이건 또 무슨일인가비밀번호가 뭔지 몰라 실패
try : nginx 내의 crt 파일을 등록해 보았다..
/etc/nginx/ssl/server.leaf.crt
Certificate was added to keystore
된건가..? reboot 시작함동일 이슈로 실패함
try : test
/opt/cyops-workflow/.env/lib/python3.9/site-packages/tornado/test/test.crt
keytool error: java.lang.Exception: Certificate not imported, alias <proxy_issuer_cert> already existstry : final...last😡
keytool error: java.lang.Exception: Certificate not imported, alias <proxy_issuer_cert> already exists
이미 nginx cert는 등록이 된 모양이고 다른것들도 비슷한 에러가 반복해서 나와서 일단 중단상태
Err 1-2 Auth😑
java -jar /opt/cyops-auth/bin/fdnclient.jar <SN> <UUID> https://globalupdate.fortinet.net
- 위와 연동되는 이슈같아서 기록
- CMD 자체에서 좀 이해 부족이 있어 추가로 기록할 예정.
try : register 완료? ❌
일단 등록은 했으나 상태코드 왜이럼?
{
"updateCommandResponse": {
"statusCode": 500
},
"vmSetupCommandResponse": {
"statusCode": 500
}
}현재 디버깅상태임
Err3 Name or service not known
-
벤더사는 라이센스 관리가 깐깐함
- 그것이 trial일지언정 uuid 칼같이 등록해야하고, 이미지 다운로드도 라이센스 어떻게든 사던지 빌어서 클라우드 등록안하면 아예 열어주질 않음.
파트너산데도 이쯤되면 강매 아니냐
- 그것이 trial일지언정 uuid 칼같이 등록해야하고, 이미지 다운로드도 라이센스 어떻게든 사던지 빌어서 클라우드 등록안하면 아예 열어주질 않음.
-
deploy시 python 라이브러리 잘 읽어오길래 외부로 ping이 나가는줄 알았는데, (나가고는 있었음)
-
deploy 다 하고 GUI 환경에서 라이센스 등록하려니까 계속 support.forticare.com 호스팅 안되는거 아니냐 에러가 계속 뜸
- 참고로 저 사이트가 벤더사 계정/ 라이센스 관리 해주는곳인걸로 아는데.. 따로 연동한적 없을텐데..?
try 1 >
-
systemctl restart cyops-auth해보라 해서 해봤는데 안 됌- 라이센스 등록이 아니라 계정 통과만 되는거라 auth 이슈는 아닌걸로
try 2 >
-
ping 보내는데, 왜 ip는 되고 영어 주소로는 못나가는거지..?
ping: www.google.com: Name or service not known- 알고보니 내부망 서버로만 nameserver 가 통신하는중이였음.
- 외부통신 nameserver ip 넣어줘야 통신가능한 상태였음
vi /etc/resolv.conf nameserver 172.~~생략~~ nameserver 168.126.63.1 (추가)Solved
이후
ping support.forticare.com은 여전히 안나갔으나(?) Packet Loss 100%
ping www.goolge.com은 진행 완료
GUI에서 Trial 라이센스는 무사히 통과 - 알고보니 내부망 서버로만 nameserver 가 통신하는중이였음.
Err4
FSR-Auth-007: System time is earlier to license issue date.
- 유사 에러
👿👿 유사에러 코드 첨부시 비공개 처리되네요. 링크만첨부합니다
Auth017 - 원인 1
timesync가 안맞는거 같다 - 서버시간이랑 local 시간이랑 안맞아서 생기는 이슈아닐까- 나의 경우 centos8 버전 사용중
- 벤더사 커뮤니티엔...007 에러 관련 정보가 없다. 유사한 에러 업데이트를 확인함.
timedatectl timedatectl set-ntp true vi /etc/chrony.conf makestep 1.0 -1 sudo systemctl restart chronyd.service
solved
이후 로그인 완료
NTP?
네트워크 시간 프로토콜 = 클럭 동기화
What is NTP – Network Time Protocol?
chronyd ntpd 차이?
- 벤더사에선 에러핸들링시 ntp도 설정했다가 chronyd도 설정하라니까 혼란스러웠음.
Ref
makestep 이 뭐임?
The '-1' instructs chrony to perform as many step actions as needed to synchronize the system time.라고 설명하는데, 그래서 어떤 step을 의미하는거지..?
- azure에 유사한 사례가 있었음 매개변수를 변경하여 시간동기화를 강제 적용한다고 함.
- 원래
makestep 1.0 3이였던것을makestep 1.0 -1로 해서 동기화한다는 뜻?
- 원래
https://learn.microsoft.com/ko-kr/azure/virtual-machines/linux/time-sync
CentOS8 timedate Managing
