The validity period for the Security Token Service (STS) signing certificate in VMware vCenter Server 6.5 Update 2 and Update 3, along with some versions of vCenter Server 6.7 and 7.0, may result in expiry soon. This is more likely in the 6.5/6.7 family.

When the STS certificate expires, logging in to vCenter Server will fail with:
HTTP Status 400 – Bad Request Message BadRequest, Signing certificate is not valid

As the STS certificate will expire silently (no alarm is raised in vCenter), we want to help ensure that you avoid this situation.

The below Knowledge Base articles provide steps to check the expiry date of the certificate along with the steps to renew the certificate if it is due for expiry soon:
•  KB 79248: Simple ways to check the STS certificate expiration date
•  KB 76719: Scripted/automated method to replace STS certificate

ошибка 500 и супорт ссылается на STS с ошибкой 400 это нормально?

Сапорту виднее я думаю, на что ссылаться. Я, лично, про проблему с STS сертами... Проверить эту ситуацию легко (указано как в КБ)

STS сертификаты совершенно не истёкшие, если вы об этом, но судя по комментариям поддержки с 7.0u2 меняется логика работы с ними и вот оно у меня их и ломает. Вот только workaround не работает :(

в любом случае, snapshot перед установкой даже минорных патчей обязателен)

вот https://kb.vmware.com/s/article/83161

судя по дате - создана в том числе и по моему кейсу 🙂

кстати, именно из-за пункта номер 6 (Restart services on all vCenters and/or PSCs in your SSO domain by using below commands) мы решили полностью калёным железом выжечь ELM. Любой чих или баг любого из вЦентров вынуждает рестартовать все вЦентры в ELM. Слишком уж мне это надоело делать с периодичностью в 3-6 месяцев)

(но это всё не относится к vSAN, разумеется. Не напрямую точнее)

Стоит ли мигрировать vsan интерконнект на 25 Гбит/с?

+21% по пропускной способности, +15% по iops относительно 10 Гбит/с🤔

стоит ли мигрировать интерконнект на rocev2

Не будет разницы даже в 10% по iops на маленьких и средних блоках под смешанной нагрузкой. Под seq read - да, но оно нужно? Это очень легко проверить - дайте нагрузку на ваш кластер и посмотрите сколько Gb/s на портах вы утилизируете и если там не будет 7-8Gb/s, то смысла нет

При этом 25 лучше, чем 10 тем, что система лучше себя ведёт на failover (когда весь трафик заворчаивается в 1 оставшийся аплинк), vMotion шустрее, тот же seq read не загружает канал, 25GbE карты и свитчи обычно новее и лучше (буферы, оффлоды, поддержка). А при практически равной стоимости 10 и 25 нынче брать 10gbe смысла большого нет, поэтому все новые проекты идут на 25 как правило. Но не стоит надеяться, что в рамках текущей инфры вы замените сеть с 10 на 25 и получите заметный буст по производительности vsan. Лучше пойти ещё ssd код кэш купить и новые DG собрать - вот это будет заметно и при этом сильно проще и дешевле.

справедливость ради, 25г подороже пока

А давайте попробуем с обратной стороны - а какие вы видите причины/поводы НЕ использовать RoCEv2?