vCenter 8 提示无法连接到 Profile-Driven Storage Service
这篇文章记录 vCenter 8 在克隆虚拟机时,存储步骤报出“无法连接到 Profile-Driven Storage Service”的排查过程。最终根因是证书信任链异常,处理方式是重置证书并重新拉起相关服务。
问题现象
登录 VCSA 后执行虚拟机克隆,在“选择存储”这一步会提示:
无法连接到 Profile-Driven Storage Service
同时在 5480 管理后台可以看到 vmware-sps 服务状态异常。vmware-sps 的全称是 VMware vSphere Profile-Driven Storage Service,主要负责存储策略、PBM、vSAN/vVols 相关能力。
登录 5480 后台时还能看到明显的 SSL 报错,这已经把排查方向指向证书问题。
排查过程
1. 先排除基础配置问题
最先检查的是 hosts 和服务状态。虽然 vmware-sps 没有完全正常,但系统并没有出现特别明显的基础配置错误。
2. 用官方工具检查证书与环境信息
虽然按直觉环境不应该这么快就过期,但既然已经出现 SSL 校验失败,就需要把证书信任关系核实清楚。这里使用的是 Broadcom 官方提供的 VDT 2.2.8。
VDT 的输出里有两个重点值得注意:
- DNS 解析检查失败
- PNID 与主机名不匹配
从这个结果看,方向已经很明确了。当前 VCSA 是通过 IP 访问,而且没有独立 DNS 环境,PNID、主机名和证书字段之间并不一致,最终导致服务之间的 SSL 信任关系出现问题。
3. 重置证书
这里采用的是 certificate-manager 的证书重置方式。
由于当前环境是纯 IP 访问,没有 DNS 解析,所以填写过程中至少要特别注意三个字段:
IPADDRESSHOSTNAMEVMCA Name
如果这里仍然填成不匹配的主机名或空值,证书虽然会重建,但后续服务可能还是会报错。
4. 重启服务并确认 SPS 状态
证书重置完成后,需要把相关服务重新拉起:
service-control --stop --all
service-control --start --all
这里重点看 vmware-sps 是否已经从异常状态恢复。
验证结果
证书重置完成后,再次克隆虚拟机,存储兼容性检查恢复正常,不再出现 Profile-Driven Storage Service 报错。
日志分析
如果还想从日志角度进一步确认,可以 SSH 登录 VCSA,并切换到 bash:
shell.set --enabled true
shell再用下面的命令查看支持包位置:
vc-support -l日志包通常位于:
/storage/log/<vcenter-name>-<date>.tgz从 sps.log 里,可以抓到几个关键点。
错误信息本身
Error in queryVasaProviderInfo Cannot write application data until initial handshake completed.这说明 SSL 握手还没完成就尝试写数据,本质上还是证书校验失败。
关联的 IP 地址
Requesting VMCA Signed cert for 10.0.0.250 having IP 10.0.0.250日志已经把问题对象指向了对应的 ESXi 或 VASA Provider。
错误上下文
Provider creation failed : ProviderRegistrationFault
at com.vmware.vim.sms.client.VasaClientImpl.registerVASACertificate这说明 SPS 在向 VASA Provider 注册证书时失败,双方 SSL 信任链并不一致。
修复后的日志
Signing certificate has changed, so register and refresh certs at VP
Added renewed sps-extension certificate to SMS Store执行证书重置后,SPS 重新注册成功,进一步印证根因就是证书链异常。
总结
这类问题表面上是 vmware-sps 起不来,实质上往往是证书、主机名、PNID、DNS 解析方式不一致造成的连锁反应。排查时不要只看 vCenter Web 页面上的报错,还要结合:
5480后台服务状态VDT的证书与环境检查结果sps.log里的 SSL 握手错误
如果环境是纯 IP 访问,没有标准 DNS 配置,证书字段就更容易和实际访问方式不匹配,这一点尤其要提前确认。