
<html xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=utf-8">

<meta name="Generator" content="Microsoft Word 15 (filtered medium)">

<style><!--

/* Font Definitions */

@font-face

        {font-family:"Cambria Math";

        panose-1:2 4 5 3 5 4 6 3 2 4;}

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        font-size:11.0pt;

        font-family:"Calibri",sans-serif;}

span.EmailStyle20

        {mso-style-type:personal-compose;

        font-family:"Calibri",sans-serif;

        color:windowtext;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-family:"Calibri",sans-serif;}

@page WordSection1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.WordSection1

        {page:WordSection1;}

--></style>

</head>

<body lang="EN-US" link="blue" vlink="purple" style="word-wrap:break-word">

<div class="WordSection1">

<p class="MsoNormal">> How can we verify that a key server is up and running when there are multiple key servers in an rkm pool serving a single key.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Pretty simple.  <o:p></o:p></p>

<p class="MsoNormal">-Grab a compute node/client (and mark it offline if needed) unmount all encrypted File Systems.<o:p></o:p></p>

<p class="MsoNormal">-Hack the RKM.conf to point to JUST the server you want to test (and maybe a backup)<o:p></o:p></p>

<p class="MsoNormal">-Clear all keys:   ‘/usr/lpp/mmfs/bin/tsctl encKeyCachePurge all ‘<o:p></o:p></p>

<p class="MsoNormal">-Reload the RKM.conf:  ‘/usr/lpp/mmfs/bin/tsloadikm run’   (this is a great command if you need to load new Certificates too)

<o:p></o:p></p>

<p class="MsoNormal">-Attempt to mount the encrypted FS, and then cat a few files.  

<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">If you’ve not setup a 2<sup>nd</sup> server in your test you will see quarantine messages in the logs for a bad KMIP server.    If it works, you can clear keys again and see how many were retrieved. 

<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">>Is there any documentation or diagram officially from IBM that recommends having 2 keys from independent RKM environments for high availability as best practice that I could refer to?<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">I am not an IBM-er…  but I’m also not 100% sure what you are asking here.   Two un-related SKLM setups? How would you sync the keys?   How would this be better than multiple replicated servers?<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Ed Wahl<o:p></o:p></p>

<p class="MsoNormal">Ohio Supercomputer Center<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in">

<p class="MsoNormal"><b>From:</b> gpfsug-discuss <gpfsug-discuss-bounces@gpfsug.org>

<b>On Behalf Of </b>Alec<br>

<b>Sent:</b> Wednesday, August 16, 2023 3:33 PM<br>

<b>To:</b> gpfsug main discussion list <gpfsug-discuss@gpfsug.org><br>

<b>Subject:</b> [gpfsug-discuss] RKM resilience questions testing and best practice<o:p></o:p></p>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<p class="MsoNormal" style="mso-line-height-alt:.75pt"><span style="font-size:1.0pt;color:white">Hello we are using a remote key server with GPFS I have two questions: First question: How can we verify that a key server is up and running when there are multiple

 key servers in an rkm pool serving a single key. The scenario is after maintenance

<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="mso-line-height-alt:.75pt"><span style="font-size:1.0pt;color:white"><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal">Hello we are using a remote key server with GPFS I have two questions:<o:p></o:p></p>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">First question:<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">How can we verify that a key server is up and running when there are multiple key servers in an rkm pool serving a single key.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">The scenario is after maintenance or periodically we want to verify that all member of the pool are in service.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">Second question is:<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">Is there any documentation or diagram officially from IBM that recommends having 2 keys from independent RKM environments for high availability as best practice that I could refer to?<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">Alec<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

</div>

</div>

</body>

</html>