Was definiert den Fingerprint für Cluster

Discussion in 'Mail Gateway: HA Cluster' started by strausmann, Jan 8, 2019.

  1. strausmann

    strausmann New Member

    Joined:
    Aug 25, 2010
    Messages:
    4
    Likes Received:
    0
    Hallo zusammen,

    ich habe Testweise ein Cluster von mit 2 Systemen installiert. Ich hatte direkt nach der Installation beide Systeme zu einem Cluster verbunden. Lief scheinbar soweit ganz gut. Was mich etwas irritierte, die Logs, Tracking Center und Statistics zeigen immer nur Aktionen des jeweiligen Nodes, aber nicht was im Cluster passiert ist. Ist das soweit korrekt ?

    Dann habe ich gerade eben die SSL Zertifikate für TLS und API mit LE Zertifikaten ausgetauscht. Kurz danach hatte ich das Problem, dass der Slave Node keine Verbindung mehr zum Cluster aufbauen konnte.

    Dazu die Fehlermeldung (Fingerprint ist gekürzt):

    ERROR: fingerprint '8E:D6:B7:EB:B5:59:54:0E:13:99:CA:42:76:AA:8E' not verified, abort!

    Damit stellt sich mir die Frage, wie wird der Fingerprint der Systeme definiert? Sollte es das API SSL Zertifkat sein, hätte ich alle 1 1/2 Monate ein Problem mit dem Cluster, wenn ACME das Zertifikat erneuert. Welche Befehle sind dann erforderlich um die neuen Fingerprints zu kommunizieren ?

    Wie bekomme ich jetzt den Slave Node an den Master angebunden?
    Ich habe auf dem Master und Slave jeweils das andere System mittels pmgcm delete entfernt und per pmgcm status kontrolliert. Anschließend die /etc/pmg/cluster.conf auf dem Slave ebenfalls den Master aus der Config entfernt.

    Anschließend habe ich auf dem Master mir den aktuelle pmgcm join Wert mittels pmgcm join_cmd ausgeben lassen. Doch mit dem Fingerprint der mir hier zurückgegeben wurde, konnte ich den Slave dem Cluster nicht wieder hinzufügen.

    Dabei habe ich diese Fehlermeldung bekommen:

    cluster join failed: fingerprint 'A1:D6:F4:30:19:18:2F:EB:07:E6:66:9B:38:7A:48:18:A1:C2:AE

    Scheinbar hat wohl dann auch der Befehl "pmgcm join_cmd" nicht mitbekommen, dass sich der Fingerprint von Ihm geändert hat. Denn der Versuch, mit dem genannten Fingerprint in der vorherigen Fehlermeldung den Join zu machen, hat scheinbar soweit wieder funktioniert, das jeweil die beiden Server den anderen in der Cluster Übersicht sehen können.

    pmgcm join 192.168.1.5 --fingerprint A1:D6:F4:30:19:18:2F:EB:07:E6:66:9B:38:

    Danach sehe ich aber wieder auf dem Slave Node im "pmgcm status" die Fehlermeldung

    master ERROR: fingerprint 'A1:D6:F4:30:19:18:2F:EB:07:E6:66:9B:38' not verified, abort!

    Leider ist hier weder im Forum, noch über Google zu dem Thema Fingerprint und Proxmox Mail Gate bzw. überhaupt zum Thema Cluster Fehlerbehebung irgendwas zu finden.

    Was kann ich nun tun?

    Gruß

    Björn
     
  2. tom

    tom Proxmox Staff Member
    Staff Member

    Joined:
    Aug 29, 2006
    Messages:
    13,460
    Likes Received:
    395
    Auch in die Doku durchsuchen kann helfen.

    Siehe Admin Doku:
    "12.1. Change Certificate for Cluster Setups"

    => im /etc/pmg/cluster.conf ändern.
     
    Stop hovering to collapse... Click to collapse... Hover to expand... Click to expand...
  1. This site uses cookies to help personalise content, tailor your experience and to keep you logged in if you register.
    By continuing to use this site, you are consenting to our use of cookies.
    Dismiss Notice