VMware vSphere’in Autodeploy özelliği bare-metal sunuculara VMware ESXi kurulumu yapmadan merkezi bir imaj üzerinden ağ üzerinden boot edilmesini sağlar. Bu yöntem ile;
- Büyük ölçekli ortamlarda yüzlerce ESXi host’un hızlı devreye alınmasını,
- Merkezi olarak güncellenmesini,
- Manuel kurulum süreçlerinin ortadan kalkmasını sağlar.
Ancak bu sistem tamamen sertifika temelli güvenli iletişim üzerine kuruludur. Boot sürecinde ESXi host vCenter Server → VMCA (VMware Certificate Authority) üzerinden sertifika alır ve bu sertifikayı doğrulayarak boot işlemine devam eder. Eğer sertifika zincirinde bir problem varsa, boot kesintiye uğrar.
VMware ESXi sunucusu Boot sırasında görülen hata aşağıdaki gibidir;
Loading /vmw/rbd/host/<host-id>/waiter.tgz
Error loading /vmw/rbd/host/<host-id>/waiter.tgz
Fatal error: 15 (Not found)Bu hata ESXi host’un waiter.tgz dosyasını indiremediğini söyler. Ancak gerçekte dosya kaybolmamıştır sertifika kontrolü başarısız olduğu için erişim engellenmiştir. Loglarda görülen ipuçları aşağıdaki gibidir.
sertifika dosyalarının eksik olduğu durumu;
INFO:sslcert:cert files are missing from /var/lib/rbd/ssl/host-13Sertifika yenileme süresinin eşikten kısa olduğu durumu;
ERROR: The days left for certificate expiry is less than the threshold value, Days_left:230, Configured_threshold:240Yani sertifika aslında geçerli hatta 230 gün daha kullanılabilir. Ancak VMware’in varsayılan kontrol mekanizması “240 gün eşiği” ile kıyasladığında bunu kabul etmiyor ve host boot edemiyor.
Bu hata şu nedenle ortaya çıkar:
- ESXi host boot sırasında VMCA’ya sertifika imzalama isteği (CSR) gönderir.
- vCenter Server host için yeni bir sertifika üretir. Ancak bu sertifikanın geçerlilik süresi VMCA veya bağlı olduğu ara/Root CA sertifikasının süresiyle sınırlıdır.
- Eğer vCenter sunucusu veya zincirdeki herhangi bir sertifikanın süresi 240 günden kısa ise yeni sertifika da bu süreyle kısıtlanır.
- Autodeploy mekanizması host’un sertifikasını doğrularken “kalan süre 240 günden fazla olmalı” kuralına bakar.
- Kalan süre 240 günden az olduğu için sistem boot’u reddeder ve yukarıdaki hata oluşur.
Yani aslında sorun sertifikanın bitmiş olması değil VMware’in güvenlik eşiği (threshold) ile sertifikanın kalan süresinin çakışmasıdır.
Çözüm Yöntemleri
Seçenek 1: VMCA Sertifikasını Yenilemek
- VMCA’nın kök veya makine sertifikası yenilenir.
- Yeni sertifika daha uzun bir geçerlilik süresi (ör. 2-5 yıl) ile yüklenir.
- Böylece ESXi host’lara verilen sertifikalar 240 gün eşiğinin üzerinde kalır.
- Bu işlem için VMware’in Certificate Replacement Overview dokümantasyonu takip edilir.
Seçenek 2: Özel Sertifikalar Kullanmak
Eğer ortamda kurumsal bir Root CA (Microsoft CA, OpenSSL, vs.) kullanılıyorsa:
- Her ESXi host için özel sertifikalar üretilir.
- Bu sertifikalar /var/lib/rbd/ssl/host-id/ dizinine önceden yerleştirilir.
- Böylece Autodeploy sırasında sertifika oluşturma ihtiyacı ortadan kalkar ve hatanın önüne geçilir.
Seçenek 3: Eşik Değerini Değiştirmek (Tavsiye Edilmez)
Bazı ortamlarda 240 günlük eşik değeri düşürülerek sorun geçici olarak aşılabilir. Ancak bu VMware tarafından resmen önerilmez çünkü güvenlik standardını zayıflatır.
Neden Önemlidir?
Bu hata yalnızca boot sırasında kesinti yaratmakla kalmaz aynı zamanda:
- Yeni host eklenmesini engeller,
- Güvenlik zincirinde zafiyet riskine işaret eder,
- Sertifika yönetiminde proaktif önlem almanın önemini gösterir.
Sertifikaların süreleri düzenli kontrol edilmeli, vecs-cli ve vSphere Client üzerinden kalan günler periyodik olarak takip edilmelidir.
Fatal error: 15 (Not found) hatası ilk bakışta dosya eksikliği gibi görünse de aslında sertifika süre yönetimi ile ilgili bir güvenlik önleminden kaynaklanır.
Çözüm için:
- VMCA veya Root CA sertifikalarının süresi yenilenmeli,
- Alternatif olarak özel sertifikalar önceden host dizinine yerleştirilmelidir.
Böylece Autodeploy süreçleri kesintisiz çalışmaya devam eder, altyapı güvenliği korunur ve ESXi host yönetimi sorunsuz ilerler.
Kaynak : https://knowledge.broadcom.com/external/article/343239
