01-正文
本章节下载: 01-正文 (4.90 MB)
本文档适用于HDM-1.30.XX、HDM-2.XX、HDM-3.XX、HDM-6.XX版本。
本文档指导维护人员进行日常维护HDM软件。维护人员需定期开展系统自检和例行维护工作,及时排除HDM系统中的故障隐患,以提高软件的生命周期。
· 技术支持工程师。
· 维护工程师。
为了充分发挥HDM的性能和作用,确保系统能够长期安全、稳定、可靠地运行,避免意外事故的发生并降低维护成本,在维护操作前,维护人员必须仔细阅读并严格遵守相关注意事项。
· 严格控制网络服务的启用。
· 例行监控网络连接状态,确保接入经过授权。
· 妥善保管Administrator权限用户的密码,并定期修改用户密码。
· 严格限制用户角色,确保分属不同角色的用户仅有可访问资源的最低操作权限。
· 充分重视例行维护的重要性,严格按照手册执行例行检查和测试,并做好记录。
· 所有的重大操作(如重启服务、服务器切换、加载软件等)均应严格控制。
· 在操作前仔细确认操作的可行性,做好相应的备份、应急和安全措施后,由有经验的操作人员执行。非必要的情况下不要轻易对系统进行断电和重启。
· 若遇到疑难问题,维护人员应先详细记录各种原始信息,及时联系技术支持。
· 若遇到紧急情况,维护人员应按照应急流程进行处理,并立即联系技术支持。
· 严格执行备份计划,定期备份系统数据。
· 重要数据的修改应授权、受控地执行,维护人员在修改前必须进行数据备份操作,并做好完整的操作记录。
本手册适用于以下产品:
· H3C UniServer R4300 G5
· H3C UniServer R4330 G5
· H3C UniServer R4330 G5 H3
· H3C UniServer R4700 G5
· H3C UniServer R4700LC G5
· H3C UniServer R4900 G5
· H3C UniServer R4900LC G5
· H3C UniServer R4930 G5
· H3C UniServer R4930 G5 H3
· H3C UniServer R4930LC G5 H3
· H3C UniServer R4950 G5
· H3C UniServer R5300 G5
· H3C UniServer R5500 G5
· H3C UniServer R5500LC G5
· H3C UniServer R6900 G5
· H3C UniServer B5700 G5
· H3C UniServer R2700 G3
· H3C UniServer R2900 G3
· H3C UniServer R4100 G3
· H3C UniServer R4300 G3
· H3C UniServer R4500 G3
· H3C UniServer R4700 G3
· H3C UniServer R4900 G3
· H3C UniServer R4950 G3
· H3C UniServer R5300 G3
· H3C UniServer R6700 G3
· H3C UniServer R6900 G3
· H3C UniServer R8900 G3
· H3C UniServer B5700 G3
· H3C UniServer B5800 G3
· H3C UniServer B7800 G3
· H3C UniServer E3200 G3
· AE100
通过HDM Web页面更新各类CPLD固件时,重启HDM或断开服务器电源。
更新各类CPLD固件过程中,如果重启HDM或断开服务器电源,可能会导致固件更新失败,HDM或操作系统无法启动。
更新各类CPLD固件时,请勿重启HDM,并确保服务器供电环境处于稳定状态。
(1) 登录HDM Web,进入[固件更新]页面,如图2-1所示。
图2-1 更新各类CPLD固件(以CPLD固件为例)
(2) 选择固件类型CPLD,上传固件镜像文件。
(3) 进入如图2-2所示的固件信息确认页面后,确认固件信息正确后,单击<下一步>按钮开始更新固件。
图2-2 固件信息确认页面(以CPLD固件为例)
通过HDM Web页面更新BIOS固件时,重启HDM或重启服务器或断开服务器电源。
更新BIOS固件期间,如果重启HDM或重启服务器或断开服务器电源,将导致固件更新失败,且HDM或操作系统无法正常启动。
更新BIOS固件期间,请勿重启HDM或服务器,并确保服务器供电环境处于稳定状态。
(1) 登录HDM Web,进入[固件更新]页面,如图2-3所示。
(2) 选择固件类型BIOS,上传固件镜像文件,选择BIOS更新配置和是否恢复出厂配置。
(3) 进入如图2-4所示的固件信息确认页面后,确认固件信息正确后,单击<下一步>按钮开始更新固件。
通过HDM Web更新电源固件时,重启HDM或断开服务器电源。
更新电源固件时,如果重启HDM或断开服务器电源,将导致固件更新失败,固件更新失败的电源无法正常工作,可能会影响服务器的正常运行。
更新电源固件过程中,请勿重启HDM并确保服务器供电环境处于稳定状态。
(1) 登录HDM Web,进入[固件更新]页面,如图2-5所示。
(2) 选择固件类型PSU,上传固件镜像文件。
(3) 进入如图2-6所示的固件信息确认页面后,确认固件信息正确后,单击<下一步>按钮开始更新固件。
通过HDM Web页面执行创建或删除逻辑盘操作。
· 创建逻辑盘或删除逻辑盘可能会改变操作系统配置,如操作系统侧硬盘的盘符顺序发生变化,会影响操作系统的正常运行。
· 创建逻辑盘可能会导致逻辑盘下成员盘中的原有数据丢失。
· 删除逻辑盘会导致已有逻辑盘中的数据丢失。
· 创建逻辑盘或删除逻辑盘前,请确保操作系统没有对目标逻辑盘执行分区操作,避免创建或删除逻辑盘操作影响操作系统配置。
· 创建逻辑盘或删除逻辑盘前,请确保目标逻辑盘下成员盘中的数据可以被覆盖或删除,或提前备份好数据。
(1) 登录HDM Web,进入[存储管理]页面,如图2-7所示。
(2) 单击<创建逻辑盘>按钮,进入创建逻辑盘页面,如图2-8所示。
(3) 根据需求配置参数,单击<保存>按钮,完成操作。
(4) 单击图2-7中的图标,可以删除目标逻辑盘。
通过HDM Web页面导入BIOS配置。
· 导入BIOS配置后,BIOS启动模式可能会被修改,与实际系统模式不匹配,可能会导致服务器无法正常启动。
· 导入BIOS配置后,BIOS启动设备可能会修改,改变服务器启动时启动设备的引导顺序,可能会进入非预期的启动设备。
需要预先评估导入BIOS配置的风险,确保配置导入后的BIOS启动模式和启动设备与预期结果一致。
(1) 登录HDM Web,进入[配置管理]页面,如图2-9所示。
(2) 在“导入配置”栏选择配置类别“BIOS”,单击<浏览>按钮,上传配置文件。
(3) 单击<导入>按钮,在对话框中单击<确定>按钮,完成操作。
通过HDM Web页面修改BIOS启动模式或启动设备。
· 修改BIOS启动模式后,与实际系统模式不匹配,可能会导致服务器无法正常启动。
· 修改BIOS启动设备后,会改变服务器启动时启动设备的引导顺序,可能会进入非预期的启动设备。
需要预先评估修改风险,确保修改后的BIOS启动模式和启动设备与预期结果一致。
(1) 登录HDM Web,进入[系统启动项]页面,如图2-10所示。
(2) 选择启动设置有效期、启动模式和启动设备,单击<保存>按钮,完成操作。
通过HDM Web端的网卡选择功能切换共享网口至网络连接断开的端口。
通过网卡选择功能切换共享网口至网络连接断开的端口,会导致操作系统断开网络连接,且用户无法通过HDM共享网口的IP地址访问HDM Web。
切换HDM共享网口前,请确保目标端口的网络连接处于正常状态。
(1) 登录HDM Web,进入[共享网口]页面,如图2-11所示。
(2) 确认目标端口的网络连接处于正常状态后,再切换端口。
在HDM页面开启主板功率封顶功能后,可以实现对服务器CPU等关键部件运行功率的限制。如果选择启用“功率封顶失效关机”功能,HDM会在功率封顶失效后执行正常关机操作,如果正常关机失败就会强制关机。
· 启用主板功率封顶后,如果要对服务器进行硬件扩容,且扩容后的实际功率值超过功率封顶值时,可能导致服务器无法正常运行。
· 如果选择启用“功率封顶失效关机”功能,当功率封顶失效时HDM会执行正常关机操作,如果正常关机失败就强制关机。
· 设置功率封顶功能时,请根据服务器历史功率值合理设置功率封顶值。
· 开启功率封顶功能后,在硬件扩容前需要评估扩容增加的功率值,以评估是否需要修改功率封顶值。
· 请谨慎评估是否需要启用“功率封顶失效关机”功能,避免操作系统因功率封顶问题关机。
(1) 登录HDM Web页面,进入[功率信息]页面,如图2-12所示。
(2) 单击“主板功率”栏的按钮,进入如图2-13所示的主板功率封顶配置对话框。
(3) 选择是否启用功率封顶功能,设置功率封顶值,并选择是否启用功率封顶失效是否关机功能。
MCA(Machine Check Architecture,硬件错误检测架构)策略是指安装Intel处理器的服务器,在主机触发IERR(Internal Error,内部故障)故障之后,HDM是否主动重启服务器的预设置策略,默认主动重启服务器。
登录HDM Web,设置MCA策略,包括主动重启主机或不主动重启主机两个选项。
· 如果选择主动重启主机,HDM会重启服务器以尽快恢复正常运行,但是可能会破坏现场的问题环境。
· 如果选择不主动重启主机,服务器可能一直处于宕机的状态,影响操作系统恢复正常运行。
无。
(1) 登录HDM Web,进入[告警策略]页面,如图2-14所示。
(2) 选择MCA策略,单击<保存>按钮,完成操作。
通过HDM Web页面执行NMI(Non Maskable Interrupt,不可屏蔽中断)控制操作。
单击“NMI控制”栏的<执行动作>按钮后,HDM会向操作系统中发送一个不可屏蔽的中断信号,如果当前服务器处于运行状态,该信号会导致操作系统挂死并重启,该操作仅用于测试NMI功能。
建议仅在测试NMI功能时执行该操作。
(1) 登录HDM Web页面,进入[告警策略]页面,如图2-15所示。
(2) 单击“NMI控制”栏的<执行动作>按钮,如果当前服务器的操作系统处于运行状态,该操作会导致操作系统挂死并重启,该操作仅用于测试NMI功能使用。
用户的权限列表,不同型号的服务器支持的功能不完全一样,具体差异请以界面显示为准。
表3-1 HDM用户权限列表
模块/功能 |
Administrator |
Operator |
User |
|
用户配置 |
本地用户配置 |
√ |
╳ |
╳ |
LDAP配置 |
√ |
╳ |
╳ |
|
AD配置 |
√ |
╳ |
╳ |
|
双因素认证 |
√ |
╳ |
╳ |
|
导入/导出配置 |
√ |
╳ |
╳ |
|
HDM联合管理 |
√ |
╳ |
╳ |
|
常规配置 |
设置资产标签 |
√ |
√ |
╳ |
配置专用网口 |
√ |
√ |
╳ |
|
配置共享网口 |
√ |
√ |
╳ |
|
DNS配置 |
√ |
√ |
╳ |
|
设置网口模式 |
√ |
√ |
╳ |
|
设置LLDP |
√ |
√ |
╳ |
|
无线管理 |
√ |
√ |
╳ |
|
设置NTP服务器 |
√ |
√ |
╳ |
|
SNMP配置 |
√ |
√ |
╳ |
|
邮件通知设置 |
√ |
√ |
╳ |
|
Trap设置 |
√ |
√ |
╳ |
|
Syslog设置 |
√ |
√ |
╳ |
|
事件日志查看及设置(策略设置、保存、清除) |
√ |
√ |
╳ |
|
查看、保存或清除操作日志 |
√ |
√ |
╳ |
|
一键收集查看并下载 |
√ |
√ |
╳ |
|
录像回放设置(设置、查看、下载) |
√ |
√ |
╳ |
|
安全面板设置 |
√ |
√ |
╳ |
|
安全配置 |
服务配置 |
√ |
√ |
╳ |
防火墙配置 |
√ |
√ |
╳ |
|
SSL证书配置 |
√ |
√ |
╳ |
|
PFR固件保护配置 |
√ |
√ |
╳ |
|
登录安全性信息配置 |
√ |
√ |
╳ |
|
远程控制 |
存储信息管理(RAID配置、物理盘管理) |
√ |
√ |
╳ |
系统资源监控告警阈值设置 |
√ |
√ |
╳ |
|
硬分区配置 |
√ |
√ |
╳ |
|
KVM控制台(电源控制、镜像挂载除外) |
√ |
√ |
╳ |
|
H5 KVM控制台(电源控制、镜像挂载除外) |
√ |
√ |
╳ |
|
VNC密码管理 |
√ |
√ |
╳ |
|
设置系统启动项 |
√ |
√ |
╳ |
|
SOL串口配置 |
√ |
√ |
╳ |
|
UID灯设置 |
√ |
√ |
╳ |
|
MCA策略配置 |
√ |
√ |
╳ |
|
远程媒体 |
虚拟媒体配置 |
√ |
√ |
╳ |
KVM镜像挂载 |
√ |
√ |
╳ |
|
H5 KVM镜像挂载 |
√ |
√ |
╳ |
|
电源控制 |
设备上下电 |
√ |
√ |
╳ |
NMI控制 |
√ |
√ |
╳ |
|
电源配置(工作模式、AC恢复配置) |
√ |
√ |
╳ |
|
挂耳电源按钮屏蔽 |
√ |
√ |
╳ |
|
电源功率配置(总功率告警阈值、功率封顶) |
√ |
√ |
╳ |
|
风扇配置 |
√ |
√ |
╳ |
|
节能设置 |
√ |
√ |
╳ |
|
维护诊断 |
设置硬盘定位灯 |
√ |
╳ |
╳ |
事件日志设置(策略设置、保存、清除) |
√ |
╳ |
╳ |
|
保存操作日志 |
√ |
╳ |
╳ |
|
固件更新 |
√ |
╳ |
╳ |
|
恢复HDM配置 |
√ |
╳ |
╳ |
|
重启HDM |
√ |
╳ |
╳ |
|
HDM主备切换 |
√ |
╳ |
╳ |
|
重启CPLD |
√ |
╳ |
╳ |
|
服务U盘设置 |
√ |
╳ |
╳ |
|
查询 |
查看基本信息 |
√ |
√ |
√ |
查看基本状态 |
√ |
√ |
√ |
|
查看设备健康状态 |
√ |
√ |
√ |
|
查看用户会话 |
√ |
√ |
√ |
|
查看存储信息 |
√ |
√ |
√ |
|
查看系统信息 |
√ |
√ |
√ |
|
查看温度海洋 |
√ |
√ |
√ |
|
查看风扇配置信息 |
√ |
√ |
√ |
|
查看系统启动项信息 |
√ |
√ |
√ |
|
查看系统资源监控信息 |
√ |
√ |
√ |
|
查看蓝屏快照 |
√ |
√ |
√ |
|
查看录像回放 |
√ |
√ |
√ |
|
查看专用网口 |
√ |
√ |
√ |
|
查看共享网口 |
√ |
√ |
√ |
|
查看DNS配置 |
√ |
√ |
√ |
|
查看网口模式 |
√ |
√ |
√ |
|
查看LLDP信息 |
√ |
√ |
√ |
|
查看无线网络管理信息 |
√ |
√ |
√ |
|
查看本地用户自身配置 |
√ |
√ |
√ |
|
查看其他本地用户配置 |
√ |
╳ |
╳ |
|
查看NTP服务器 |
√ |
√ |
√ |
|
查看LDAP配置 |
√ |
√ |
√ |
|
查看AD配置 |
√ |
√ |
√ |
|
查看SNMP配置 |
√ |
√ |
√ |
|
查看告警设置 |
√ |
√ |
√ |
|
查看服务配置信息 |
√ |
√ |
√ |
|
查看防火墙配置 |
√ |
√ |
√ |
|
查看PFR固件保护设置 |
√ |
√ |
√ |
|
查看SSL证书 |
√ |
√ |
√ |
|
查看UID灯状态 |
√ |
√ |
√ |
|
查看系统启动项 |
√ |
√ |
√ |
|
查看SOL串口信息 |
√ |
√ |
√ |
|
查看虚拟媒体信息 |
√ |
√ |
√ |
|
查看安全面板设置 |
√ |
√ |
√ |
|
查看服务U盘设置 |
√ |
√ |
√ |
|
查看登录安全性信息 |
√ |
√ |
√ |
|
查看双因素认证信息 |
√ |
√ |
√ |
|
查看安全模块信息 |
√ |
√ |
√ |
|
查看电源状态 |
√ |
√ |
√ |
|
查看电源信息 |
√ |
√ |
√ |
|
查看电源配置(工作模式、AC恢复配置) |
√ |
√ |
√ |
|
电源功率配置(总功率告警阈值、功率封顶) |
√ |
√ |
√ |
|
查看历史功率信息 |
√ |
√ |
√ |
|
查看开机自检码信息 |
√ |
√ |
√ |
|
查看风扇配置 |
√ |
√ |
√ |
|
查看节能设置 |
√ |
√ |
√ |
|
查看HDM联合管理信息 |
√ |
√ |
√ |
|
语言切换 |
√ |
√ |
√ |
|
查看联机帮助 |
√ |
√ |
√ |
|
刷新功能 |
√ |
√ |
√ |
|
查看最新事件消息 |
√ |
√ |
√ |
|
退出登录 |
√ |
√ |
√ |
|
配置自身 |
修改当前登录用户的密码和SSH密钥(仅限于本地用户) |
√ |
√ |
√ |
HDM支持为自定义权限用户CustomRole1~CustomRole5配置名称和操作权限。
(1) 单击[用户&安全/用户管理]菜单项,进入本地用户页面。
(2) 单击角色权限右侧的图标,可以修改CustomRole 1~CustomRole 5的权限名称。
(3) 在自定义权限栏配置CustomRole1~CustomRole5的操作权限,如图3-1所示。
(4) 单击<保存>按钮,在对话框中输入当前登录用户的密码,验证通过后完成操作。
· 角色权限:角色组用户所拥有的HDM访问权限。
· CustomRole1~CustomRole5:管理员可以配置自定义权限组所拥有的名称和操作权限,缺省拥有查询的权限。权限组名称长度为1~16个字符,仅支持字母、数字、句点(.)、连接符(-)和下划线(_)和特殊字符(@),区分大小写。
· 用户配置:包括本地用户配置、LDAP用户配置、AD用户配置、双因素认证、导入/导出配置和HDM联合管理的操作权限。
· 常规配置:包括设置资产标签、网络配置、NTP配置、SNMP配置和告警设置(SMTP、Trap、Syslog、应急诊断)、事件日志、操作日志、一键收集、录像回放和安全面板设置的操作权限。
· 安全配置:包括服务配置、防火墙、SSL证书、PFR固件保护、登录安全性信息的操作权限。
· 远程控制:包括存储信息管理(RAID配置和物理盘管理)、系统资源监控设置、硬分区配置、KVM(电源控制、镜像挂载除外)、H5 KVM(电源控制、镜像挂载除外)、VNC密码管理、系统启动项、UID灯控制、SOL串口设置和MCA策略的操作权限。
· 远程媒体:包括虚拟媒体配置、KVM镜像挂载、H5 KVM镜像挂载的操作权限。
· 电源控制:包括电源管理、物理电源按钮控制、NMI控制和风扇配置的操作权限。
· 维护诊断:包括硬盘点灯、蓝屏快照、固件更新、恢复HDM配置、HDM主备切换、重启HDM、重启CPLD和服务U盘的操作权限。
· 查询:包括查看HDM主要信息的权限,但不包括查看事件日志、操作日志及通过一键收集下载SDS日志的权限。查询权限中的查看其他用户信息的权限仅适用于Administrator权限用户。
· 配置自身:可以配置用户(仅限本地用户)自身的密码和SSH密钥。
用户需有常规配置权限才能上传或下载各类文件。
通过本功能可以设置GPU功率封顶值,当功率封顶失效时,可以设置服务器自动关机功能或服务器继续以实际功率运行。
(1) 单击[系统管理/电源管理]菜单项,选择“功率信息”页签,进入如图4-1所示的功率信息页面。
(2) 单击GPU功率栏的按钮,跳出对话框,如图4-2所示。
(3) 选择开启功率封顶功能,输入功率封顶值。
(4) 并根据实际需求设置功率封顶失效是否关机。
(5) 单击<确定>按钮,完成操作。
通过本功能可以设置服务器总功率告警阈值,当总功率超过告警阈值时,HDM会触发一条轻微级别的事件日志提醒用户。
(1) 单击[系统管理/电源管理]菜单项,选择“功率信息”页签,进入如图4-1所示的功率信息页面。
(2) 单击总功率告警栏的按钮,跳出对话框,如图4-3所示。
(3) 选择开启总功率告警功能,输入总功率告警阈值。
(4) 单击<确定>按钮,完成操作。
CIFS(Common Internet File System,通用Internet文件系统),是一种基于客户端-服务器架构的文件共享协议,通常用于在Windows操作系统之间进行文件和打印机的共享。通过CIFS,用户可以在不同的设备上访问和操作共享文件夹,实现文件的读、写、复制、移动等操作。Windows系统中已包括CIFS软件,无需下载安装。
本文以Windows 7的环境为例介绍如何设置CIFS服务。
把镜像文件拷贝到本地路径,以“D:\IMAGE 2”为例,如图4-4所示。
(1) 选择“IMAGE 2”文件夹,单击右键,选择共享/特定用户,在文件共享窗口设置镜像文件的读写权限。
(2) 在文本框里选择查找用户,在对话框中搜索并添加用户,以userA为例,如图4-5所示。
(3) 添加用户(可多个)后,设置用户的权限为读取写入,如图4-6所示,该用户就拥有访问该文件的权限。
(1) 登录HDM,单击[远程服务/虚拟媒体]菜单项,进入虚拟媒体页面。
(2) 单击<高级设置>按钮,开启远程媒体支持功能,如图4-7所示。
(3) 启用媒体类型勾选CD/DVD。
(4) 服务器地址输入CIFS服务器地址,以192.168.32.48为例,源路径输入IMAGE 2。
(5) 分享类型选择CIFS。
(6) 用户名和密码,输入userA访问共享镜像文件的用户名和密码。
(7) 单击<确定>按钮,与CIFS服务器成功建立连接,访问共享路径,如图4-8所示。
CIFS(Common Internet File System,通用Internet文件系统)使应用程序可以远程访问服务器上的文件。CIFS是SMB(Server Messages Block,服务器信息块)协议的开放版本。CIFS可以在不同的操作系统(包括Windows、Linux、Unix等)之间实现文件共享和访问。
Samba是在Linux系统中实现SMB协议的一个免费软件,由服务端及客户端程序构成。在Linux系统中安装Samba后即可使用CIFS服务。
本文以Red Hat Enterprise Linux 7.3的环境为例介绍下载、安装和设置Samba软件。
(1) 输入以下命令,安装Samba软件。
yum –y install samba samba-common samba-client
建议同时安装Samba服务端和客户端。
· samba-common代表Samba服务端。
· samba-client代表Samba客户端。
(2) 安装完成后,输入以下命令,查看安装软件列表。
yum list installed | grep samba
(3) 安装完成后,输入以下命令,校验Samba配置是否正确,正确如图4-9所示。
testparm
输入以下命令启动并查看Samba服务。
systemctl start smb
systemctl status smb
输入以下命令,关闭防火墙,把SELinux设为安全值。
systemctl stop firewalld
getenforce
setenforce 0
(1) 输入以下命令,查询Samba用户。
pdbedit –L
(2) 如果没有Samba用户,输入以下命令,添加用户,以ldt为例,如图4-10所示。
smbpasswd -a ldt
添加的Samba用户必须是服务端OS下已经存在的用户,可以输入以下命令查看用户信息。
cat /etc/passwd
输入以下命令,访问Samba服务器,即OS侧IP地址,以10.99.205.165为例,查看服务端共享信息,如图4-11所示。
smbclient -L //10.99.205.165
图4-11 Samba服务器
输入以下命令,修改/etc/samba/smb.conf 配置文件,创建共享路径。
vi /etc/samba/smb.conf
[mnt]
comment = /mnt dir
path = /test
输入以下命令,重启Samba服务。
systemctl restart smb
在/test路径下放入共享文件,以test.iso为例。
(1) 登录HDM,单击[远程服务/虚拟媒体]菜单项,进入虚拟媒体页面。
(2) 单击<高级设置>按钮,开启远程媒体支持功能,如图4-12所示。
(3) 启用媒体类型勾选CD/DVD。
(4) 服务器地址输入Samba服务端OS侧IP地址,以10.99.205.165为例,源路径输入/mnt。
(5) 分享类型选择CIFS。
(6) 域名可以不填。
(7) 输入查询并添加Samba用户添加的Samba用户名和密码。
(8) 单击<确定>按钮,与CIFS服务器成功建立连接,访问共享路径,如图4-13所示。
· 导入HDM配置前,确保设备型号相同。
· 配置文件中的密码显示为空,如果导入原服务器,不需要手动添加密码,导入后将保留原来的密码。如果导入其他服务器,需要手动添加密码,导入成功后,添加的密码会生效。
使用文本工具打开配置文件,搜索“User Accounts”,找到用户配置信息,如图4-14所示。
以用户“ycj”为例举例说明,删除comment语句,输入用户密码Password@_,如图4-15所示。
如果图4-14中的Complexity check的值为1,即密码复杂度检查为开启状态,输入的密码需要符合密码复杂度检查。
(1) 选择Username为空的用户,以User ID 8为例,删除comment语句,如图4-16所示。
(2) 输入新用户信息,以用户名Test33,密码Password@123为例,如图4-17所示。
如果图4-14中的Complexity check的值为1,即密码复杂度检查为开启状态,输入的密码需要符合密码复杂度检查。
(3) 设置用户的网络权限(User role,以Administrator为例),开启访问HDM的权限,把HDM Access to HDM的值设置为1,如图4-18所示。
修改用户的其它信息,请保证输入信息的合法性,具体请参考表4-1。
信息项 |
含义及合法值 |
role customrole 1~5 |
自定义权限组的权限。以435的状态值为例,先转换成二进制110110011,Bit0到Bit8依次表示远程控制、远程媒体、安全配置、用户配置、常规配置、电源控制、维护诊断、查询、配置自身权限的状态 · 1:开启 · 0:关闭 |
User ID |
用户编号,2~16,不能和已有的用户编号重复 |
User role |
用户的网络权限: · 2:User · 3:Operator · 4:Administrator · 6~10:CustomRole 1~CustomRole 5 · 15:None |
Access to HDM |
访问HDM的权限,开启后用户才能登录HDM Web端 · 1:开启 · 0:关闭 |
WEB |
Web扩展权限,当用户的网络权限为Administrator和Operator时,缺省开启,不可修改 · 1:开启 · 0:关闭 |
IPMI |
IPMI扩展权限,当用户的网络权限为Administrator和Operator时,缺省开启,不可修改 · 1:开启 · 0:关闭 |
(1) 单击[远程运维/配置管理]菜单项,进入配置管理页面,导入修改后的HDM配置文件,如图4-19所示。
(2) 导入成功后,配置会立即生效。
(3) 注销当前用户回到登录页面,输入用户名Test33,密码Password@123,重新登录HDM,如图4-20所示。
(4) 进入[用户&安全/用户访问设置]页面,查看用户信息,如图4-21所示。
使用文本工具打开配置文件,搜索“SNMPTrap”,找到SNMP Trap信息,如图4-22所示。
(1) 修改目标地址2为10.99.160.75,端口号为161。
(2) 修改目标地址3的状态为0,关闭该目标地址的通道。
(3) 新增目标地址4的地址为10.99.160.70,如图4-23所示。
修改SNMP Trap其它信息,请保证修改后信息的合法性,具体请参考表4-2。
信息项 |
含义及合法值 |
SnmpEnable |
是否开启SNMP Trap 功能: · 0:关闭 · 1:开启 |
Trap Mode |
SNMP Trap 模式: · 0:模块OID模式 · 1:事件OID模式 |
Version |
SNMP Trap版本 · 0:v1 · 1:v2c · 2:v3 |
V3_User |
选择v3用户 |
Location |
节点位置:服务器的位置描述,最多只能输入31个字节 |
Contact |
联系方式:设备联系人的名字及联系方式,最多只能输入31个字节 |
Trap_Community |
Trap团体名:管理端进行的接收认证,最多只能输入31个字节,缺省值为public |
AlarmSendLevel |
告警发送级别: · 0:轻微+严重+紧急 · 1:严重+紧急 · 2:所有级别 |
Port~Port_8 |
目的主机接收SNMP告警信息的端口号。端口号范围为1~65535,缺省值为162 |
Enable_1~Enable_8 |
通道是否开启: · 0:停用 · 1:启用 |
Destination_1~Destination_8 |
接收SNMP告警的目标地址,支持IP地址和域名地址 |
(1) 单击[远程运维/配置管理]菜单项,进入配置管理页面,导入修改后的HDM配置文件。
(2) 导入成功后,配置会自动生效。
(3) 进入“告警Trap报文设置”页面,在告警Trap页面查看修改后的Trap服务器信息,如图4-24所示。
本文以Red Hat Enterprise Linux 7.7的环境为例介绍下载、安装和配置Syslog服务器。
Syslog服务器包括UDP、TCP和TLS三种协议。
打开配置文件/etc/rsyslog.conf,如图4-25所示。
去掉#注释,启用接收UDP和TCP的模块,设置UDP和TCP服务器端口分别为514和518,并设置remotelogs存储路径为/var/log/hdm/messages.log,如图4-26所示。
· UDP和TCP模块同时启用时,需要设置不同的端口。
· $template RemoteLogs指令,使rsyslog后台进程隔开本地/var/log/下的文件去写日志信息,而日志文件名为messages.log。
· *.* ?RemoteLogs指令,用RemoteLogs模板来接收所有的日志。
· & ~指令告诉rsyslog后台进程停止对日志进行本地化写入,日志信息只会写入到messages.log这个路径下。
输入以下命令,重启并查看rsyslog服务,如图4-27所示。
(1) 登录HDM Web端。
(2) 进入[远程运维/告警设置/Syslog设置]页面。
(3) 单击<配置>按钮,在“Syslog设置”对话框中,配置相关信息,如图4-28所示。
(4) 开启Syslog功能,选择告警日志主机标识为主机名和传输协议为UDP。
(5) 单击<确定>按钮,完成操作。
(6) 单击告警日志服务器栏的<修改>按钮,弹出修改Syslog服务器对话框。
(7) 设置Syslog服务器的地址和端口分别为172.16.18.48(OS侧IP地址)和514,选择日志类型为操作日志和事件日志,如图4-29所示。
(8) 单击<确定>按钮,完成操作。
TLS是一种加密的传输协议,分为单向认证与双向认证两种:
· 单向认证:只认证Syslog服务器端的证书。
· 双向认证:Syslog服务器端和客户端(即HDM)的证书都需要认证。
服务器安装OS之后,OS默认会安装rsyslog,但是要想实现TLS传输,则还需要安装依赖包rsyslog-gnutls。
· 如果设备能联网,可以使用sudo yum install -y rsyslog-gnutls或apt命令下载依赖包。
· 如果不能联网,OS系统默认配置了rsyslog,而且OS镜像内也有对应的rsyslog-gnutls依赖包,如图4-30所示。
图4-31 安装依赖包rsyslog-gnutls
使用openssl 命令在控制台依次输入以下命令生成自签CA证书。
(1) 生成根证书私钥(pem文件)。
# cd /root/Desktop
# mkdir tls
# cd tls
# mkdir server
# mkdir client
# openssl genrsa -out cakey.pem 2048
(2) 生成根证书签发申请文件(csr文件) 。
# openssl req -new -key cakey.pem -out ca.csr -subj "/C=CN/ST=myprovice/L=mycity/O=myorganization/OU=mygroup/CN=myCA"
(3) 自签发根证书(cer文件)
# openssl x509 -req -days 365 -sha1 -extensions v3_ca -signkey cakey.pem -in ca.csr -out cacert.pem
使用openssl 命令在控制台依次输入以下命令生成服务端私钥和证书。
(1) 生成服务端私钥。
# cd server
# openssl genrsa -out key.pem 2048
(2) 生成证书请求文件,以rsyslog服务器OS侧IP地址172.16.18.48为例。
# openssl req -new -key key.pem -out server.csr -subj "/C=CN/ST=myprovice/L=mycity/O=myorganization/OU=mygroup/CN=172.16.18.48"
(3) 使用根证书签发服务端证书。
# openssl x509 -req -days 365 -sha1 -extensions v3_req -CA ../cacert.pem -CAkey ../cakey.pem -CAserial ca.srl -CAcreateserial -in server.csr -out cert.pem
(4) 使用CA证书验证服务端证书。
# openssl verify -CAfile ../cacert.pem cert.pem
(1) 生成客户端私钥。
# cd ../client
# openssl genrsa -out key.pem 2048
(2) 生成证书请求文件,以HDM 客户端IP地址172.16.20.168为例。
# openssl req -new -key key.pem -out client.csr -subj "/C=CN/ST=myprovice/L=mycity/O=myorganization/OU=mygroup/CN=172.16.20.168"
(3) 使用根证书签发客户端证书。
# openssl x509 -req -days 365 -sha1 -extensions v3_req -CA ../cacert.pem -CAkey ../cakey.pem -CAserial ../server/ca.srl -CAcreateserial -in client.csr -out cert.pem
(4) 使用CA证书验证客户端证书。
# openssl verify -CAfile ../cacert.pem cert.pem
(1) 保留配置TCP和UDP 部分的不动,修改标红内容,如图4-32所示。
(2) 设置服务器端口为516。
(3) 单向认证仅支持客户端验证服务端的证书,服务端无需验证客户端的证书。所以在服务端的rsyslog.conf下,需要取消对客户端证书的验证,设置后重启rsyslog服务端就不用再验证了。配置信息如下:
$InputTCPServerStreamDriverAuthMode anon
(4) 而双向认证需要验证服务器端和客户端的证书,配置信息如下:
$InputTCPServerStreamDriverAuthMode x509/certvalid
输入以下命令,将SELINUX设置为disabled,关闭防火墙。
# systemctl stop firewalld
# setenforce 0
# sed -i 's#SELINUX=enforcing#SELINUX=disabled#g' /etc/selinux/config
输入以下命令,重启并查看rsyslog状态。
systemctl restart rsyslog
systemctl status rsyslog
(1) 把步骤3~5生成的证书拷贝到HDM客户端所在的环境。
(2) 登录HDM Web端。
(3) 进入[远程运维/告警设置/Syslog设置]页面。
(4) 开启告警日志功能,如图4-33所示。
(5) 选择告警日志主机标识为主机名和传输协议为TLS。
¡ 认证方式选择单向认证,需要上传步骤3生成的自签CA证书去验证服务端。
¡ 认证方式选择双向认证,需要上传步骤3和5生成的自签CA证书、客户端证书(即本地证书)和私钥。
(6) 单击<确定>按钮,完成操作。
(7) 设置告警日志服务器的地址和端口分别为172.16.18.48和516,选择日志类型为操作日志和事件日志,如图4-34所示。
(8) 单击<确定>按钮,完成操作。
(1) 通过SSH方式登录rsyslog服务器:172.16.18.48。
(2) 查看/var/log/hdm/messages.log路径下的日志,如图4-35所示。
LDAP(Lightweight Directory Access Protocol,轻型目录访问协议)是一个访问在线目录服务的协议,主要的优点是可以快速响应用户的查询需求,可用于实现用户认证的统一管理。
HDM支持与Windows Active Directory和Linux OpenLDAP的对接,本文以Windows Server 2012 R2 Datacenter为例说明LDAP服务的配置过程,主要包括安装操作系统、搭建LDAP服务器、配置LDAP服务器、HDM Web端配置LDAP和验证LDAP配置五个部分。
安装Windows Server 2012 R2 Datacenter,具体操作步骤请参见《操作系统安装指导》。
操作系统安装完成后,以管理员权限登录,进入操作系统,开始搭建LDAP服务器。
(1) 单击[服务器管理器]菜单项,进入服务器管理器页面。
(2) 单击左侧导航栏的[本地服务器]菜单,右侧显示本地服务器的属性,如图4-36所示。
(3) 单击右上角的[管理]菜单,选择“添加角色和功能”,打开添加角色和功能向导,如图4-37所示。
(4) 单击<下一步>按钮,进入安装类型选择界面,选择基于角色或基于功能的安装,如图4-38所示。
(5) 单击<下一步>按钮,进入服务器选择界面,选择从服务器池中选择服务器,选择本机作为目标服务器,如图4-39所示。
图4-39 选择目标服务器
(6) 单击<下一步>按钮,进入服务器角色界面,勾选DNS服务器选项,如图4-40所示。
(7) 单击<下一步>按钮,进入选择功能界面,勾选NET Framework 4.5功能,如图4-41所示。
(8) 单击<下一步>按钮,进入注意事项界面。
(9) 单击<下一步>按钮,进入功能确认界面。
(10) 单击<安装>按钮,安装DNS服务。
(1) 参考安装DNS服务的步骤1~5,继续添加新服务。
(2) 进入服务器角色界面,勾选Active Directory域服务,如图4-42所示。
(3) 单击<下一步>按钮,进入选择功能界面,勾选NET Framework 4.5功能,如图4-43所示。
(4) 单击<下一步>按钮,进入注意事项界面。
(5) 单击<下一步>按钮,进入功能确认界面。
(6) 单击<安装>按钮,安装Active Directory域服务。
(1) 单击服务器管理器页面左侧的[AD DS]菜单,右侧显示Active Directory域服务的属性,如图4-44所示。
(2) 单击页面右上方的“更多…”,打开所有服务器任务详细信息的对话框,如图4-45所示。
(3) 单击操作栏的“将此服务器提升为域控制器”,打开Active Directory域服务配置向导,如图4-46所示。
图4-46 Active Directory域服务配置向导
(4) 选择添加新林,在根域名栏输入Active Directory域名,以hdmldap为例,单击<下一步>按钮,打开域控制器界面,如图4-47所示。
(5) 输入Active Directory域控制器的密码,单击<下一步>按钮。
(6) 根据指引继续单击<下一步>按钮,直至进入域服务路径界面,如图4-48所示。
(7) 根据实际需求设置Active Directory域服务相关路径,也可以使用默认配置,单击<下一步>按钮。
(8) 根据指引继续单击<下一步>,直至进入先决条件检查界面,如图4-49所示。
(9) 单击<安装>按钮,开始配置Active Directory域服务器,配置完成后,操作系统将会自动重启。
操作系统重启后,需要以管理员权限重新登录,登录时要在用户名前面加上域名才能登录成功。
(1) 参考安装DNS服务的步骤1~5,继续添加新服务。
(2) 进入服务器角色界面,勾选Active Directory证书服务,如图4-50所示。
(3) 单击<下一步>按钮,进入选择功能界面,勾选NET Framework 4.5功能,如图4-51所示。
(4) 单击<下一步>按钮,进入注意事项界面。
(5) 单击<下一步>按钮,进入为Active Directory证书服务添加角色服务界面,勾选证书颁发机构和证书颁发机构Web注册,如图4-52所示。
(6) 单击<下一步>按钮,进入注意事项界面。
(7) 单击<下一步>按钮,进入为Web服务器添加角色服务界面,推荐使用默认配置,如图4-53所示。
(8) 单击<下一步>按钮,进入确认界面。
(9) 单击<安装>按钮,开始安装Active Directory证书服务。
(1) 单击服务器管理器页面左侧的[AD CS]菜单,右侧显示Active Directory证书服务的属性,如图4-54所示。
(2) 单击页面右上方的“更多…”,打开所有服务器任务详细信息的对话框,如图4-55所示。
(3) 单击操作栏的配置目标服务器上的Active Directory证书服务,打开Active Directory证书服务配置向导,如图4-56所示。
图4-56 Active Directory证书服务配置向导
(4) 单击<下一步>按钮,进入角色服务界面,勾选证书颁发机构和证书颁发机构Web注册,如图4-57所示。
(5) 单击<下一步>按钮,进入设置类型界面,勾选企业CA。
(6) 单击<下一步>按钮,进入CA类型界面,勾选根CA。
(7) 单击<下一步>按钮,进入私钥界面,勾选创建新的私钥。
(8) 单击<下一步>按钮,进入加密界面,指定加密提供程序为RSA,秘钥长度为2048,哈希算法为SHA1,如图4-58所示。
图4-58 CA加密界面
(9) 单击<下一步>按钮,进入CA名称界面,设置CA名称为hdmldap-test02,如图4-59所示。
图4-59 CA名称
(10) 单击<下一步>按钮,进入有效期界面,指定CA证书有效期,默认为5年。
(11) 单击<下一步>按钮,进入证书数据库界面,设置证书数据库位置,如图4-60所示。
(12) 单击<下一步>按钮,进入确认界面。
(13) 单击<配置>按钮,开始配置Active Directory证书服务。
(14) 配置完成后,需要重启服务器使配置生效。
操作系统重启后,以管理员权限重新登录进入操作系统,登录时要在用户名前面加上域名才能登录成功,登录成功后开始配置LDAP服务器。
· 新建组织单位时,可以根据实际需要在LDAP服务器上规划新的一级组织单位和低级别组织单位,也可以在已有的组织单位下面新建低级别组织单位。
· 本文以新建一级和二级组织单位为例进行说明。
(1) 单击 [服务器管理器]菜单项,进入服务器管理器页面。
(2) 单击页面右上方的<任务>按钮,在下拉列表中选择Active Directory用户和计算机,打开域的服务组件,如图4-61所示。
图4-61 Active Directory用户和计算机
(3) 右键单击hdmldap.com,选择[新建/组织单位]菜单项,如图4-62所示。
(4) 打开新建对象的组织单位对话框,输入组织名称,以company为例,如图4-63所示。
(5) 单击<确定>按钮,一级组织company创建成功。
(6) 右键单击company,选择[新建/组织单位]菜单项,打开新建组织单位对话框。
(7) 输入组织名称,以product为例,如图4-64所示。
(8) 单击<确定>按钮,二级组织product创建成功。
(9) 重复以上操作,可以新建多个组织单位。
新建角色组时,可以选择任意级别的组织单位。
(1) 右键单击product,选择[新建/组]菜单项,打开新建组对话框。
(2) 输入组名,以group1为例,勾选组作用域和组类型,如图4-65所示。
“组名(A)”和“组名(Windows 2000以前版本)”建议保持一致。
(3) 单击<确定>按钮,创建角色组成功。
(4) 重复以上操作,可以新建多个角色组。
新建用户时,可以选择任意级别的组织单位。
(1) 右键单击product,选择[新建/用户]菜单项,打开新建用户对话框。
(2) 输入用户信息,以user为例,如图4-66所示。
用户登录名和下一步的登录密码是访问HDM的登录名和密码,请谨慎设置和保存。
(3) 单击<下一步>按钮,进入设置密码界面,输入用户登录密码,取消勾选“用户下次登录时须更改密码”选项,如图4-67所示。
(4) 单击<下一步>按钮,进入确认界面,单击<完成>按钮,创建成功。
(5) 重复以上操作,可以新建多个用户。
可以通过对组的操作来添加用户,也可以通过对用户的操作来添加到组,本文以对用户的操作为例进行说明。
(1) 右键单击user1,选择添加到组,打开选择组对话框,如图4-68所示。
(2) 输入要加入的组名,以group1为例,单击<确定>确定按钮,完成操作。
(3) 重复以上操作,可以将多个用户添加到组。
HDM提供LDAP用户的接入功能。通过HDM Web启用LDAP功能,添加角色组后,可以直接使用角色组里的LDAP用户访问HDM。
(1) 单击[用户&安全/用户访问设置]菜单项,选择域用户页签,进入域用户页面。
(2) 单击LDAP配置栏的<高级设置>按钮,弹出“LDAP设置”对话框。
(3) 在对话框中勾选LDAP认证的<启用>选项,并配置相关信息,如图4-69所示。
a. 加密类型选择无加密。
b. 通用名称类型选择IP。
c. 服务器地址输入LDAP服务器所在的操作系统的IP地址。
d. 端口号使用默认端口即可。
e. Bind DN输入user1的dn信息,包括公共名称、组织单位(从低级到高级组织)和域名信息,信息之间用英文逗号隔开。
- 公共名称:cn=user1
- 组织单位:ou=product,ou=company
- 域名:dc=hdmldap,dc=com
f. 密码输入user1的登录密码。
g. 用户搜索库输入user1的域名信息,dc=hdmldap,dc=com。
h. 用户登录属性选择cn。
(4) 单击<确定>按钮,完成操作。
(1) 单击[用户&安全/用户访问设置]菜单项,选择域用户页签,进入域用户页面。
(2) 单击LDAP配置栏的<添加角色组>按钮,完成操作。
(3) 在对话框中输入角色组的名称和域名信息,如图4-70所示。
(4) 选择角色组权限。
(5) 单击<确定>按钮,完成操作。
添加角色组成功后,使用角色组里的用户名和密码登录HDM,如果登录成功,说明配置正确且已经生效。
(1) HDM登录页面输入group1里的用户名和登录密码,以user1为例,如图4-71所示。
(2) 单击<登录>按钮,登录HDM。
表4-3 LDAP关键字
关键字 |
英文全称 |
含义 |
dc |
Domain Component |
域名,域名example.com的正确写法是dc=example,dc=com |
uid |
User ID |
用户ID,如LDAPuser1 |
ou |
Organizational Unit |
组织单位,是一个容器对象 |
cn |
Common Name |
公共名称,如user1 |
sn |
Surname |
姓,如Yang |
dn |
Distinguished Name |
可分辨名称,每个条目都有一个唯一的可分辨名称 |
c |
Country |
国家,如CN |
o |
Organization |
组织名,如Example. Inc |
登录HDM前,请先将HDM管理接口连接到网络,确保本地PC和服务器路由可达。
服务器支持以下两种HDM管理接口,您可以根据业务需求,选择合适的HDM管理接口。
· HDM共享网口:可以同时处理HDM管理流量和服务器业务数据流量的网络接口。
· HDM专用网口:专门用于处理HDM管理流量的网络接口,如图5-1所示。
图5-1 网络连接(以R4900 G3的HDM专用网口为例)
登录HDM前,需要先获取HDM管理IP地址(HDM专用网口/共享网口的IP地址)可以通过查看POST界面来获取HDM管理IP地址,如图5-2所示:
· HDM Shared IPv4:表示HDM共享网口的IPv4地址。
· HDM Dedicated IPv4:表示HDM专用网口的IPv4地址。
· HDM Shared IPv6:表示HDM共享网口的IPv6地址。
· HDM Dedicated IPv6:表示HDM专用网口的IPv6地址。
图5-2 HDM管理IP地址(以6.00.05版本BIOS为例)
缺省HDM管理IP地址如表5-1所示,登录后可进入网络设置页面修改HDM管理IP地址。
表5-1 缺省HDM管理IP地址
接口 |
缺省IP地址 |
HDM共享网口 |
通过网络中的DHCP服务器分配IP地址 |
HDM专用网口 |
192.168.1.2/24 |
通过Web浏览器即可访问HDM。HDM支持的浏览器版本及客户端分辨率如表5-2所示。
浏览器版本 |
分辨率 |
Google Chrome 48.0及以上 |
要求不低于1366*768,推荐设置为1600*900或更高 |
Mozilla Firefox78.0及以上 |
|
Internet Explorer 11及以上 |
本指南以Google Chrome浏览器为例介绍登录HDM Web界面的操作步骤。
· 默认情况下,系统超时时间为30分钟,如果您未在Web界面执行任何操作,系统将自动退出登录。
· 连续5次输入错误的密码后,系统将对此用户进行锁定,等待5分钟后,方可重新登录。
· 为保证系统的安全性,初次登录后,请及时修改缺省用户名和密码,并定期更新。
· 由于HDM登录网址默认自签名SSL证书,因此会弹出告警窗口。
(1) 打开Chrome浏览器,在地址栏中输入HDM管理IP地址,弹出告警窗口,如图5-3所示。
(2) 单击“继续前往HDM管理IP地址(不安全)”,进入HDM Web登录界面,如图5-4所示。
图5-4 HDM Web登录界面
(3) (可选)单击“Chinese”或“English”切换HDM界面语言。HDM支持简体中文和英语两种界面语言。
(4) 在登录框中输入用户名和密码(包括本地用户和域用户)后,单击<登录>按钮,进入HDM Web界面首页。缺省用户名和密码如表5-3所示,登录后可进入用户访问设置页面修改用户名和密码。
表5-3 HDM本地用户缺省用户名和密码
类型 |
缺省值 |
用户名 |
admin |
密码 |
Password@_ |
用户可通过OM Web页面登录到刀片服务器的HDM Web页面,支持的方式包括:
· 方式一:免认证登录功能。
· 方式二:系统管理网络HDM地址链接。
具体流程如图5-5所示。
· 仅具有如下权限的用户才能使用OM Web页面的免认证登录功能和系统管理网络HDM地址链接。
· 具有OM管理员权限的用户。
· 具有登录刀片服务器操作权限的操作员用户。
图5-5 登录HDM流程图
本地PC通过局域网与主备OM模块的管理端口(MGMT)相连,如图5-6所示,管理端口(MGMT)具体位置参见OM模块前面板丝印。
登录刀片服务器HDM Web页面前,用户需获取如下数据,具体如表5-4所示。
数据类别 |
缺省信息 |
OM管理IP地址 |
192.168.100.100/24 |
OM登录信息 |
用户名:admin 密码:Password@_ |
本地PC作为客户端需要满足的浏览器及版本,如表5-5所示。
浏览器版本 |
分辨率 |
Google Chrome 58.0及以上 |
推荐设置为1600*900或更高 |
为了正常登录OM Web和HDM Web,需确保客户端已分别配置了与OM管理IP地址及HDM管理IP地址相同网段的地址。用户可通过登录OM Web页面后查看刀片服务器HDM管理IP地址,具体方法参见OM Web联机帮助。
(1) 打开客户端浏览器,输入OM管理IP地址(格式为https://OM_ip_address),如图5-7所示,进入OM登录页面。输入用户名和密码,单击<登录>按钮,完成操作。
(1) 在OM Web首页,单击左树[计算节点管理],在列表中选择目标刀片服务器,然后单击[远程控制台/远程控制台],进入远程控制台页面。如图5-8所示,单击<免认证登录>按钮,页面跳转至HDM Web页面。需要注意的是,首次通过该方式登录时,需要在浏览器设置允许弹出式窗口且需信任该网页,具体步骤参见5.2.7 常用操作。
图5-8 通过免认证登录HDM Web页面
(2) 如图5-9所示,进入HDM Web页面。
(1) 在OM Web首页,单击左树[计算节点管理],在列表中选择目标刀片服务器。如图5-10所示,在系统管理网络页面下,单击红框中地址链接,页面跳转至HDM Web页面。需要注意的是,首次通过该方式登录时,需要在浏览器设置允许弹出式窗口且需信任该网页,具体步骤参见5.2.7 常用操作。
图5-10 通过系统管理网络HDM地址链接登录HDM Web页面
(2) 如图5-11所示,进入HDM Web页面。
首次通过OM Web页面登录HDM Web页面时,需要信任该网页,如图5-12所示,单击红框链接,浏览器将自动跳转至目的页面。
通过本功能可以执行以下操作:
· 导入配置:将HDM/BIOS/RAID配置文件导入到系统中,覆盖当前配置。
· 导出配置:导出当前的HDM/BIOS/RAID配置信息,并生成一份配置文件。
· 恢复HDM配置:将当前的HDM配置还原为默认配置或出厂配置。
¡ 默认配置:恢复HDM固件的缺省配置。
¡ 出厂配置:当HDM存在客户定制化出厂配置时,支持将HDM当前配置还原为出厂配置。
通过本功能可以导出服务器当前的HDM、BIOS或RAID配置信息,并生成一份配置文件。
· RAID配置导出前,请确保存储控制卡已完成初始化。
· PMC存储控制卡不支持RAID配置导出。
· RAID配置导出前,请确保RAID卡下的逻辑盘处于正常状态,且未执行扩容、迁移、重建、擦除等操作。
(1) 单击[远程运维/配置管理]菜单项,进入配置管理页面,如图6-1所示。
(2) 在导出配置栏选择配置类别。
(3) 单击<导出>按钮,完成操作。
用户导入配置文件后,可以覆盖服务器之前的配置。
· 导入RAID和BIOS配置文件前,确保设备型号和组件配置(如存储控制卡型号、硬盘数量和槽位)都相同。导入RAID配置时,请确保存储控制卡模式为RAID模式,主机处于上电状态。
· 导入HDM配置前,确保设备型号相同。
· 导入HDM配置前,请确保待导入设备和配置文件中的Bonding模式处于同样的状态,否则会导入失败。
· 导入RAID配置时,如果硬盘之前的RAID信息未清除,会产生Foreign状态,导致RAID配置失败。请先在BIOS下清除该硬盘的RAID配置信息。
· 导入HDM配置前,如果配置文件中的某项配置信息被删除或不存在,则该项配置将在配置导入后依然保持原来的状态。
· 导入配置过程中,请勿对服务器进行上下电,否则可能会导致HDM部分功能以及操作系统出现异常。
· 导入HDM/BIOS/RAID配置时,如果Web页面提示出现失败项,将暂停导入,请修改失败项后再重新导入,直到导入完成。
· 导入配置前,请确保仅当前登录用户在执行操作,否则可能会导致导入配置失败。
(1) (可选)使用文本工具打开配置文件,编辑配置文件信息,如图6-2所示。
· 请谨慎修改配置文件,确保修改后配置信息的合法性,否则可能会导入失败。
· 编辑配置文件时,如果配置信息里包含“This_is_comment”信息,需要删除该信息。
· 配置文件中的密码显示为空,如果导入原服务器,不需要手动添加密码,导入后将保留原来的密码。如果导入其它服务器,需要手动添加密码,导入成功后,添加的密码会生效。
(2) 单击[远程运维/配置管理]菜单项,进入配置管理页面,如图6-1所示。
(3) 在导入配置栏选择配置类别。
(4) 选择并导入配置文件。
(5) 在对话框中单击<确定>按钮,完成操作。
· HDM配置导入后,如果配置文件中包括网络设置信息,HDM会自动重启使配置生效;否则配置会直接生效。
· HDM配置导入后,如果配置文件中包含HDM配置管理IP地址,当前HDM管理IP地址会因为被覆盖而无法访问。如果配置文件里面的HDM管理IP地址是静态地址,导入成功后会直接替换原来的IP地址。如果配置文件里面的HDM管理IP地址是通过DHCP方式获取的,导入后HDM管理IP地址的获取方式会变成DHCP,并重新获取一个IP地址。
· BIOS配置导入后需要服务器重启后生效。
· PMC存储控制卡不支持RAID配置导入。
· RAID配置导入后需要等待约40秒后才能生效。
· 恢复HDM配置后,需要使用首次登录HDM的方法才可以登录HDM,非专业人员请谨慎使用此功能。
· 恢复HDM配置过程中不要刷新页面,否则可能会导致HDM Web界面无法访问。
(1) 单击[远程运维/配置管理]菜单项,进入配置管理页面,如图6-1所示。
(2) 单击恢复HDM配置栏下的<恢复默认配置>或<恢复出厂配置>按钮。
(3) 在弹出的对话框中单击<确定>按钮。
(4) HDM会自动重启,重启后配置生效。
该功能用于指导工程师通过HDM Web更新HDM固件。
· 登录HDM Web界面,具体方法请参见《HDM用户指南》中的“登录HDM”章节。
· 从H3C官网获取最新的HDM固件,并保存在本地。请确保该HDM固件包含签名信息,且没有被篡改,否则会导致固件更新失败。
· 更新HDM固件前,建议先备份HDM配置文件,以避免HDM配置意外丢失。
· HDM包括主分区和备分区两个镜像,固件更新针对的是备分区镜像。
· 固件更新过程中,请勿开关机或插拔电源,否则可能会导致固件更新失败。
· 如果多用户同时进行固件更新操作,非第一个操作的用户会被强制登出。
· 固件更新过程中,部分功能不可用,详情请参见《HDM用户指南》。
(1) 进入固件更新页面,如图7-1所示。
(2) 配置上传固件镜像的方式,建议优先使用本地上传方式上传固件。
¡ 选择本地上传方式时,先选择固件类型,然后在“请选择固件镜像”栏,单击<浏览>按钮,在弹出对话框选择固件镜像。
¡ 选择TFTP方式时,先输入TFTP服务器地址和镜像名称,再选择固件类型。
(3) 选择HDM更新配置方式和是否恢复出厂配置。
¡ 勾选<更新后立即重启HDM>选项,HDM将在更新完成后自动重启。
¡ 勾选<更新后手动重启HDM>选项,HDM更新完成后需要手动重启。
如需将HDM恢复出厂配置,请启用“恢复出厂配置”功能。若启用该功能,HDM固件更新完成后,需要使用首次登录HDM的方法才可以登录HDM,具体操作请参见《HDM用户指南》。非专业人员请谨慎使用此功能。
(4) 单击<下一步>按钮,进入固件信息确认页面,如图7-2所示,确认HDM版本信息是否正确。
(5) 单击<下一步>按钮,开始更新固件。
(6) 更新完成后,HDM会自动重启或手动重启,重启后会自动执行主备切换。
(7) 重新登录HDM Web,查看到主分区镜像版本已经更新,如图7-3所示。
· 建议通过再次更新HDM固件的操作,将主备镜像更新到同一版本。
· 更新HDM固件后,请清除浏览器的缓存后再登录HDM Web界面,否则界面显示可能存在问题。
通过UniSystem更新HDM固件的详细信息,请参见《H3C服务器 固件&软件更新指导书》。
通过iFIST更新HDM固件的详细信息,请参见《H3C服务器 固件&软件更新指导书》。
虚拟KVM是指用户在客户端利用本地的视频、键盘、鼠标对远程的设备进行监视和控制,提供实时操作异地服务器的管理方式。
为了保障用户连接上的服务器信息不在链路上泄露,交互过程的信息不被监听,对KVM链接通道传递的数据,支持采用加密方式来通信。
· 确认用户是否拥有远程控制权限,可通过[用户&安全/用户访问设置]菜单项修改用户权限。
· 必须先开启KVM服务才能使用KVM功能,H5 KVM需同时开启Web和KVM服务。可通过[远程服务/服务设置]菜单项开启KVM和Web服务。
(1) 单击[远程服务/远程控制台]菜单项,进入远程控制台页面,如图8-1所示。
(2) (可选)单击<配置>按钮,在对话框中选择KVM和H5 KVM的启动模式。
(3) (可选)单击<确定>按钮,完成操作。
(4) 单击<启动KVM>或<启动H5 KVM>按钮,弹出远程控制台窗口。
虚拟媒体即通过网络在服务器上以虚拟USB光盘驱动器和软盘驱动器的形式提供对本地媒体(光盘驱动器、软盘驱动器或光/软盘的镜像文件,硬盘文件夹)的远程访问方式。虚拟媒体的实现原理是将客户所在的本地主机的媒体设备通过网络虚拟为远端服务器主机的媒体设备。
支持的虚拟媒介有:
· DVD、CD光驱
· Floppy软驱
· ISO、IMG文件
· 虚拟文件夹
· USB key
· 使用远程媒体挂载时,必须在[远程服务/服务设置]中启用相应的虚拟媒体服务,比如:CD-Media(CD/DVD)、FD-Media(软盘)和HD-Media(硬盘)。
· 通过远程控制台或镜像挂载功能挂载镜像文件时,CD/DVD和硬盘类型支持挂载两个镜像文件,软盘媒体类型支持挂载一个镜像文件。
· CD/DVD镜像文件必须是.iso格式。
· Floppy(软盘)、Drive(硬盘)镜像文件是.img或.ima格式,且Floppy(软盘)文件大小不能超过1.44MB。
· 请检查并确保NFS或CIFS服务器源路径中CD-Media(CD/DVD)、FD-Media(软盘)和HD-Media(硬盘)三种类型的镜像文件数量之和不超过400个,且单个镜像的名称长度小于128个字符。
(2) 单击[远程服务/虚拟媒体]菜单项,进入虚拟媒体页面,如图8-5所示。
(3) 单击<高级设置>按钮,在对话框中开启远程媒体支持的功能,如图8-6所示。
(4) 勾选启用媒体类型(CD/DVD、软盘、硬盘、所有),显示相对应的介质设置。
(5) 输入介质设置信息,请尽量避免使用特殊字符(如#等),否则可能会导致挂载失败。
¡ 如果分享类型选择NFS,需输入服务器地址、源路径两项信息。
¡ 如果分享类型选择CIFS(Samba),需输入服务器地址、源路径、用户名、密码和域名,其中域名为可选信息。
(6) 单击<确定>按钮,完成操作。
VNC(Virtual Network Console,虚拟网络控制台)用于传送服务端的原始图像到客户端,该协议提供一种不用登录HDM即可访问控制服务器的方法,即用本地主机的显示器、输入设备远程控制服务器。
(1) 打开VNC客户端,如图8-7所示,输入HDM管理IP地址,单击<Connect>按钮,进入登录页面,如图8-8所示。
图8-4 VNC客户端(以TightVNC为例)
(2) 输入VNC密码(缺省为root),连接VNC远程控制台,如图8-9所示。
图8-6 VNC远程控制台
(1) 单击[远程服务/远程控制台]菜单项,选择“VNC”页签,进入VNC页面,如图8-10所示。
图8-7 VNC密码管理
(2) 选择是否开启密码复杂度检查。
(3) 输入修改后的密码和确认密码。
(4) 单击<保存>按钮,完成操作。
HDM账号安全主要包含用户策略和会话策略两个方面。
表8-1 安全策略
模块 |
参数 |
说明 |
用户策略 |
系统创建用户的最大限制 |
系统支持的最大用户数量 · 取值范围:1~16 · 默认值:16 |
用户登录失败后被锁定时长(分钟) |
用户因为用户名或密码错误等原因导致多次登录失败后账户会被锁定,待锁定的时长过去后,用户才能再次登录 · 取值范围:1~5 · 默认值:5 |
|
用户名长度限制 |
新建用户的用户名的长度范围,取值范围:1~16 |
|
禁用历史密码 |
用户修改密码时,新密码不允许与设置个数内的历史密码相同 · 取值范围:0~5 · 默认值:5 |
|
登录失败锁定 |
用户连续登录失败的次数达到设定次数后,系统会锁定该用户的登录 · 取值范围:1~5 · 默认值:5 |
|
密码有效期(天) |
用户密码的使用期限,到达使用期限后,UniSystem会提醒用户修改密码 · 取值范围:0~365 · 默认值:365 |
|
会话策略 |
会话超时时间(秒) |
用户登录后,若在一定时间段内不做任何操作,将会自动退出登录 · 取值范围:300~1800 · 默认值:1800 |
系统创建会话上限 |
同一admin权限用户允许多次登录,最多可支持同时在线20个用户 |
LDAP(Lightweight Directory Access Protocol)是一个访问在线目录服务的协议。LDAP目录中可以存储例如电子邮件地址、邮件路由信息等各种类型的数据,为用户提供更集中、更便捷的查询。
启用HDM的目录服务后,可以将所有HDM的用户管理都集中到目录服务器上,避免大量的重复性用户配置任务,提高管理效率。另外将用户集中到目录服务器上,也能大大提高HDM管理系统的安全性。
(1) 单击[用户&安全/用户访问设置]菜单项,选择“域用户”页签,进入域用户页面,如图8-11所示。
(2) 单击LDAP配置栏的<高级设置>按钮,跳出LDAP设置对话框,如图8-12所示。
图8-9 LDAP高级设置
(3) 在对话框中勾选LDAP认证的<启用>选项,并配置相关信息。
(4) 单击<确定>按钮,完成操作。
(5) 单击LDAP配置栏的<添加角色组>按钮,完成操作。
(6) 在对话框中配置相关信息,如图8-13所示。
(7) 单击<确定>按钮,完成操作。
AD(Active Directory、活动目录)是指Windows服务器操作系统中的目录服务,它提供了集中组织管理和访问网络资源的目录服务功能,使网络拓扑和协议对用户变得透明。
HDM支持AD用户认证功能。启用AD认证并制定访问策略,配置完成后,用户可以使用AD目录服务器中设置的用户名和密码直接访问HDM。
(1) 单击[用户&安全/用户访问设置]菜单项,选择“域用户”页签,进入域用户页面,如图8-11所示。
(2) 单击AD配置栏的<高级设置>按钮,跳出AD设置对话框,如图8-14所示。
图8-11 AD设置
(3) 在对话框中勾选活动目录认证的<启用>选项,并配置相关信息。
(4) 单击<确定>按钮,完成操作。
(5) 在角色组列表选择一个空栏位,单击<添加>按钮,弹出添加AD角色组对话框,如图8-15所示。
图8-12 添加AD角色组
(6) 在对话框中配置相关信息。
(7) 单击<确定>按钮,完成操作。
通过本功能可以开启并设置双因素认证功能,提升HDM的安全性。HDM支持宁盾动态令牌方案,在HDM上绑定OTP(One-Time Password,一次性密码)服务器后,可以对登录HDM的用户执行“静态密码”+“动态密码”的双因素认证。开启双因素认证后,用户登录HDM时不仅需要输入用户名和静态密码,还要输入手机令牌或硬件令牌上的动态密码,所有信息校验通过后,才能登录成功。
· 刀片服务器和AE模块不支持双因素认证功能。
· 仅HDM-2.25及以后的版本支持双因素认证功能。
· 开启双因素认证前,请保证有可访问的OTP服务器,并在OTP服务器上完成相关配置,包括添加HDM管理IP地址、添加HDM用户(包括本地用户和域用户)、设置用户的认证策略和令牌。
· 请谨慎配置双因素认证功能,可能会影响用户正常登录HDM。
· 动态密码错误导致的用户登录失败达到系统锁定次数后,HDM不会锁定该用户。
(1) 单击[用户&安全/用户访问设置]菜单项,选择“双因素认证”页签,进入双因素认证配置页面,如图8-16所示。
(2) 选择开启“双因素认证”功能。
(3) 输入OTP服务器地址、服务端口号和共享秘钥。
(4) 单击<保存>按钮,完成操作。
(5) 配置完成后,新建HDM Web会话需要在登录页面输入HDM用户名、静态密码和动态密码,才能登录HDM,如图8-17所示。
· OTP服务器地址:OTP服务器的地址,支持IP地址及域名地址,输入IPv6地址时,不支持输入本地链路地址和组播地址。
· 服务端口:OTP服务器的服务端口号,缺省为1812。
· 共享秘钥:在OTP服务器上添加HDM 管理IP地址时设置的共享秘钥,长度为1~64个字符,支持英文字符、数字、特殊字符`~!@$%^&*()_+-=[]\{}|;':",./?,区分大小写。
· 开启双因素认证后,服务器的部分接口会受到影响,影响范围如表8-2所示。但接口的服务配置状态并不会被修改,关闭双因素认证后这些接口会恢复到功能开启之前的状态。
接口类型 |
是否中断已存在会话或连接 |
是否屏蔽新建会话或连接 |
Web |
否 |
否 |
SSH |
否 |
是 |
Telnet |
否 |
否 |
VNC |
是 |
是 |
Redfish |
否 |
是 |
IPMI |
是 |
是 |
SNMPv3 |
否 |
是 |
SOL |
是 |
是 |
· 开启双因素认证后,其他不支持双因素认证的管理软件或功能(包括但不仅限于UniSystem、HDM Mobile、其他服务器的HDM联合管理)无法通过HDM管理IP地址添加并管理当前服务器。
防火墙可以根据访问HDM的设备的IP地址、IP地址段和MAC地址设置防火墙黑名单和白名单规则,黑名单的优先级比白名单高,仅允许符合规则的设备访问HDM。
(1) 单击[用户&安全/安全设置]菜单项,选择“防火墙”页签,进入防火墙页面,如图8-18所示。
(2) 单击黑名单栏的<添加新规则>按钮,跳出添加黑名单对话框,如图8-19所示。
(3) 输入IP地址(或IP地址段)、MAC地址和时间段。
(4) 单击<确定>按钮,完成操作。
· 添加白名单规则时,请先添加本机IP地址或MAC地址,以保证正常访问HDM。
· 添加白名单规则后,白名单以外的地址均不能访问HDM。
(1) 单击[用户&安全/安全设置]菜单项,选择“防火墙”页签,进入防火墙页面,如图8-18所示。
(2) 单击白名单栏的<添加新规则>按钮,跳出添加白名单对话框,如图8-20所示。
(3) 输入本机的IP地址(或IP地址段)、MAC地址。
(4) 单击<确定>按钮,完成操作。
(5) 再重复步骤(1)~(4),添加其他IP地址(或IP地址段)和MAC地址。
SSL(Secure Sockets Layer,安全套接字层)是一个安全协议,为基于TCP的应用层协议(如HTTP)提供安全连接。使用SSL传输数据,会在客户端和Web服务器之间建立一条安全通道,可以保证数据传输的机密性,验证数据源的身份,并保证数据的完整性。
SSL证书根据来源可以分为两种:
· 从正式的证书颁发机构获取的SSL证书。(推荐)
· 用户自己使用工具生成的证书。
(1) 单击[用户&安全/安全设置]菜单项,选择“SSL证书”页签,进入SSL证书页面。
(2) 单击<上传SSL>按钮,弹出“上传SSL”对话框,如图8-21所示。
(3) 单击新的证书选项的<浏览>按钮,弹出对话框,选择正确的SSL证书文件。
(4) 单击新的私钥选项的<浏览>按钮,弹出对话框,在窗口选择正确的私钥文件。
(5) 单击<确认>按钮,上传SSL证书文件和私钥文件到HDM,完成操作。
如果上传的是自己使用工具生成的证书,在上传后还需要确认客户端浏览器中是否已存在对应的根证书。下面以IE 11.0浏览器为例介绍如何在浏览器中查看并添加认证机构的根证书。
(6) 打开IE浏览器。
(7) 在工具栏中选择“工具>Internet选项”,弹出“Internet选项”窗口。
(8) 单击“内容”页签,再选择“证书”,弹出“证书”窗口。
(9) 在“受信任的根证书颁发机构”页签中查看颁发SSL证书的机构是否在列表中,以及证书截止日期。
(10) 如果颁发机构不在列表中,单击右下方的“导入”,重新导入根证书,如图8-22所示。
(1) 单击[用户&安全/安全设置]菜单项,选择SSL证书页签,进入SSL证书页面。
(2) 单击<生成SSL>按钮,跳出生成SSL证书对话框,如图8-23所示。
(3) 输入通用名称、组织、组织单元、城市或地区、省(州)、国家、电子邮件地址、有效期等信息,并选择密钥长度。
(4) 单击<确定>按钮,跳出确认对话框,单击<确定>按钮。
(5) 弹出“生成SSL证书成功”对话框,表示新的SSL证书生成成功。
(6) 重新登录HDM,将使用新生成的SSL证书。
PFR(Platform Firmware Resilience,通用平台固件保护恢复方案)是一种安全技术,用于保护HDM免受攻击。PFR固件保护功能开启后,PFR会在HDM启动时对固件镜像文件进行校验。
· 如果主分区校验通过,HDM会直接从主分区启动。
· 如果主分区检测到固件损坏,会对备分区镜像文件进行校验,校验通过后HDM会从备分区启动。
· 如果主备分区都检测到固件损坏,而主分区的损坏不影响正常启动,HDM还是会从主分区启动。
(1) 单击[用户&安全/安全设置]菜单项,选择“PFR固件保护”页签,进入PFR固件保护页面,如图8-24所示。
(2) 查看PFR固件保护功能状态和当前固件状态。
(3) 选择是否开启“校验失败从备分区启动”功能。
图8-21 PFR固件保护
HDM支持多用户管理,所以存在多个用户对同一台设备进行操作的情况。用户可以使用此功能,在HDM登录页面自定义一个提示信息,降低误操作的风险。
(1) 单击[用户&安全/安全设置]菜单项,选择“登录安全性信息配置”页签,进入登录安全性信息配置页面,如图8-25所示。
(2) 选择开启“登录安全性信息”功能。
(3) 输入登录安全性信息内容,允许设置为空。
(4) 单击<保存>按钮,完成操作。
(5) 保存成功后,进入登录页面,可以查看已设置的安全性信息内容,如图8-26所示。
为了满足客户的业务和安全需要,HDM提供开关来控制是否提供服务端口。HDM支持修改的服务为:CD-Media、FD-Media、HD-Media、IPMI、iHDT、KVM、Remote_XDP、SNMP、SSH、Telnet、VNC和Web。
(1) 单击[远程服务/服务设置]菜单项,进入“服务设置”页面,如图8-27所示。
(2) 单击操作栏的查看按钮,在弹出的页面中可以查看服务的详细信息。
(3) 操作栏的修改按钮,弹出“修改服务”对话框,如图8-28所示。
(4) 在对话框中根据需要修改服务的当前状态、端口号和超时时间等参数。
(5) (仅适用于iHDT服务)单击<重启>按钮会重启iHDT服务。
(6) 单击<确定>按钮,完成操作。
通过查看事件日志的详细信息和处理建议,用户可以快速地处理服务器故障,解除HDM告警。
(1) 单击[远程运维/日志]菜单项,进入事件日志页面,如图9-1所示。
(2) 在日志策略栏选择事件日志的策略。
(3) 在日志筛选栏选择日志等级、传感器类型和日期信息,或者输入关键字来筛选日志。
(5) (可选)在查询框中输入关键字,单击图标,可以查询日志。
(6) (可选)单击<重置>按钮,可以清除事件日志的所有筛选条件。
(7) (可选)单击页面右上方<保存日志>按钮,可以下载.csv文件到本地。
(8) (可选)单击页面右上方<清除所有日志>按钮,完成清除操作后,事件日志无法恢复。
一键收集功能用于收集服务器的SDS日志,SDS(Smart Diagnosis System,智能诊断系统)日志包括HDM事件日志、HDM操作日志、设备信息、运行参数、内部诊断信息。
将收集到的SDS日志进行解析后,用户可以对服务器出现的问题进行全面定位和分析。
需要注意的是,用户需要联系技术支持,才能进行SDS日志解析。为方便联系,建议用户在下载日志时添加联系人信息。
(1) 单击[远程运维/日志]菜单项,选择“一键收集”页签,进入一键收集页面,如图9-2所示。
(2) 选择下载全部日志或下载指定时间段内的日志。
¡ 下载全部日志:选择<下载全部日志>。
¡ 下载指定时间段内的日志:在“下载日志”栏中,输入起始时间和截止时间。
(3) (选填)填写联系人信息,输入“姓名”、“电话”和“邮箱”信息。
(4) 单击<下载日志>按钮,开始下载日志,界面会显示下载进度,如图9-3所示。
(5) 下载完成后,将.sds日志文件保存到本地,完成操作。
告警邮件通过SMTP(Simple Mail Transfer Protocol,简单邮件传输协议)协议,实现将告警邮件以邮件的形式发送到指定接收人。
通过本功能可以设置SMTP服务器和告警邮件发件人和接收人,设置成功后,可以发送测试邮件以验证配置是否生效。
(1) 单击[远程运维/告警设置]菜单项,选择邮件通知页签,进入邮件通知页面,如图9-4所示。
(2) 单击<配置>按钮,在对话框中配置SMTP服务器。
a. 勾选SMTP功能的<启用>按钮。
b. 输入SMTP服务器地址和SMTP服务器端口。
c. 如果不勾选是否使用匿名的<启用>选项,需输入连接SMTP服务器的用户名和密码,用户名仅支持字母、数字及字符(_)、(@)和(.)。
d. 发件人邮件地址:发送电子邮件时使用的可连接SMTP服务器的邮箱地址。
e. 选择告警发送级别:包括紧急、严重+紧急、轻微+严重+紧急和所有级别三个选项。
(3) 完成告警邮件相关配置后,请单击<确定>按钮。
(1) 单击[远程运维/告警设置]菜单项,选择邮件通知页签,进入邮件通知页面,如图9-4所示。
(2) 单击<添加新邮件地址>按钮,弹出接收告警设置对话框。
(3) 在对话框中,设置收件人信息。
a. 选择收件人用户名后,会自动关联邮箱地址。
b. (可选)如果需要为选择的收件人添加邮箱地址,请单击“前往修改”链接进入[用户&安全/用户访问设置]页面,选择用户,单击“修改”按钮配置用户的电子邮箱ID。
(4) 请输入邮件主题,仅支持字母、数字和特殊字符(_)。
(5) 添加成功后,单击“测试”按钮,发送测试告警邮件,再单击“结果”按钮,查看测试邮件发送结果。
(6) (可选)单击操作栏的<修改>按钮,修改收件人信息。
(7) (可选)单击操作栏的<删除>按钮,删除收件人信息。
通过本功能可以配置服务器将Trap告警发送给目的主机。管理员可以通过Trap告警来监控服务器的运行状态,及时发现设备异常情况。
(1) 单击[远程运维/告警设置]菜单项,选择“告警Trap报文设置”页签,进入Trap报文设置页面。
(2) 单击<配置>按钮,在对话框中配置Trap报文通知相关信息,如图9-5所示。
a. 选择启用Trap功能。
b. 选择Trap模式,模块OID模式或者事件OID模式。
c. 选择Trap版本,如果选择v3版本,还需要选择v3用户。
d. (可选)输入节点位置和联系方式。
e. 输入团体名并选择告警发送级别。
(3) 单击<确定>按钮,完成操作。
图9-5 告警Trap报文设置
(1) 单击[远程运维/告警设置]菜单项,选择“告警Trap报文设置”页签,进入Trap报文设置页面。
(2) 单击设置告警Trap服务器栏的<修改>按钮,弹出修改告警Trap服务器对话框,如图9-6所示。
图9-6 修改告警Trap服务器对话框
(3) 修改配置信息。
(4) 单击<确定>按钮,完成操作。
(5) (可选)单击设置告警Trap服务器栏的<测试>按钮,发送测试告警信息。
· 模块OID模式:缺省模式,以与事件相关传感器模块对应的SNMP节点的OID作为Trap事件的标识。
· 事件OID模式:以与事件一一对应的SNMP节点OID作为Trap事件的标识,相较模块OID模式,可提供更为精确的定位信息。
· SNMP Trap版本:选择v1、v2c或v3版本。
· 选择v3用户:选择发送SNMP v3版本Trap需要使用的用户名。
· 节点位置:服务器的位置描述,最多只能输入31个字符。
· 联系方式:设备联系人的名字及联系方式,最多只能输入31个字符。
· Trap团体名:管理端进行的接收认证,最多只能输入31个字符,缺省值为public。
· 告警发送级别:包括严重+紧急、轻微+严重+紧急和所有级别三个选项。
· 序号:Trap发送告警的通道 ,最多可定义八个通道。
· 当前状态:勾选<启用>选项,表示通道处于启用状态,可以发送告警Trap信息;勾选<停用>选项,表示通道处于停用状态。
· Trap服务器地址:接收SNMP告警信息的目的主机地址,支持IP地址和域名地址,输入IPv6地址时,不支持输入本地链路地址和组播地址。
· 端口号:目的主机接收SNMP告警信息的端口号。端口号范围为1~65535,缺省值为162。
· 节点位置、联系方式、Trap团体名仅支持输入英文、数字以及特殊字符`~!@$%^&*()_+-=[]{}|:,./?。
通过本功能可以配置服务器以Syslog报文方式发送以下信息到目的服务器。
· 告警日志信息,包括操作日志、事件日志和安全日志。
· 传感器信息,包括传感器名称、读数和状态。
· 串口信息,包括BIOS启动信息和OS串口下的信息。
启用本功能前需要先配置Syslog服务器,具体操作请参见4.4 搭建Syslog服务器。
(1) 单击[远程运维/告警设置]菜单项,选择“Syslog设置”页签,进入Syslog设置页面。
(2) 单击<配置>按钮,进入“告警日志报文通知”配置页面,配置相关信息,如图9-7所示。
(3) 选择开启告警日志功能。
(4) 选择告警日志主机标识和传输协议。
a. 如果传输协议选择TLS。
b. 需要选择认证方式,单向认证或双向认证。
- 如果选择单向认证,只需要上传CA证书。
- 如果选择双向认证,需要上传CA证书、本地证书和私钥文件。
(5) 单击<确定>按钮,完成操作。
(6) 单击“设置告警日志服务器”栏的<修改>按钮,弹出“设置告警日志服务器”对话框,如图9-8所示。
(7) 修改配置信息。
(8) 单击<确定>按钮,完成操作。
(1) 单击[远程运维/告警设置]菜单项,选择“Syslog设置”页签,进入Syslog设置页面。
(2) 单击“传感器信息设置”栏的<配置>按钮,在弹窗中配置相关信息,如图9-9所示。
a. 选择开启传感器信息功能。
b. 选择传输协议。
c. 输入Syslog服务器地址,端口号和发送时间间隔。
(3) 单击<确定>按钮,完成操作。
(1) 单击[远程运维/告警设置]菜单项,选择“Syslog设置”页签,进入Syslog设置页面。
(2) 单击“串口信息设置”栏的<配置>按钮,在弹窗中配置相关信息,如图9-10所示。
a. 选择开启串口信息功能。
b. 选择传输协议。
c. 输入Syslog服务器地址和端口号。
(3) 单击<确定>按钮,完成操作。
· 告警日志主机标识:标识告警日志的信息来源,包括主机名、主板序列号、产品资产标签和产品序列号。
· 传输协议:服务器发送Syslog报文使用的传输协议,包括TCP、UDP和TLS三种协议。
¡ TCP:面向连接的协议,在正式收发数据前,必须在收发方建立可靠的连接。
¡ UDP:无连接协议,在正式收发数据前,收发方不建立连接,直接传输正式的数据。
¡ TLS:面向连接的协议,并保证数据传输的保密性和数据完整性。
- 单向认证:只认证Syslog服务器端的证书。
- 双向认证:Syslog服务器端和客户端(即HDM)的证书都需要认证。
- CA证书:建立数据连接时,使用此处上传的CA证书对Syslog服务器发送的报文进行
验证,证书文件的格式应为.pem。
- 本地证书:建立数据连接时,HDM向Syslog服务器同时发送报文和本地证书信息,用于Syslog服务器对HDM的验证,证书文件的格式应为.pem。
- 私钥:解密本地证书的密码,私钥文件的格式应为.pem。
· 序号:Syslog报文发送通道,最多可定义八个通道。
· 服务器地址:接收Syslog报文的目的主机的地址,仅支持IP地址和域名地址,缺省值为127.0.0.1,如果输入域名地址,长度不能超过48个字符,如果输入IPv6地址,不支持输入本地链路地址和组播地址。
· 端口:目的主机接收Syslog报文的端口号,端口号范围为1~65535,缺省值为514。
· 日志类型:Syslog报文包含的日志类型,包括操作日志、事件日志和安全日志,可多选。
· 时间间隔:发送传感器信息的时间间隔,取值范围为10秒~2592000秒。
修改告警日志报文通知设置后,告警日志服务器设置会恢复为缺省状态。
介绍在处理故障过程中需要注意的事项。
· 保留好故障现场的任何记录,不能随意删除数据或日志。
· 进行任何修改前,做好配置信息和数据的备份。
· 对于HDM的故障修复,不能影响服务器操作系统的运行。
本节主要介绍HDM故障处理的基本流程,包括故障处理准备、信息收集、诊断定位和故障处理等步骤。故障处理的指导思想是根据故障现象初步确定故障出现的所有可能的原因,并结合软硬件日志诊断及测试验证结果,最终找到问题根因,并采取对应措施解决问题。
表10-1 故障处理流程说明
步骤 |
说明 |
准备工作 |
准备故障诊断和处理所需的软硬件工具和相关手册 |
故障信息收集 |
· 收集故障现场信息,如现象描述、设备型号、操作系统及具体操作等。针对具体问题请联系技术支持,判断收集哪些类型的现场信息 · 收集有助于故障诊断定位的相关日志信息 |
判断故障是否与产品相关 |
判断故障是否与产品相关 · 如果是与产品相关的故障问题,请进一步定位故障原因 · 如果是与产品无关的故障问题,即上层业务软件或操作系统产生的故障,建议优先联系业务软件或操作系统供应商处理 |
故障诊断定位 |
基于收集到的故障信息,采用合适的故障定位方法找到故障根因 |
故障处理 |
根据故障根因,确定并实施故障排除措施 |
联系技术支持 |
如果在故障处理过程中遇到难以确定或解决的问题,通过指导文档依旧无法解决,请联系技术工程师协助处理 |
建议用户参考表10-2,收集服务器的基本信息。
项目 |
说明 |
产品型号 |
举例:H3C UniServer R4900 G5 |
产品序列号 |
举例:210235A3THH19A000123 |
硬件配置 |
如果更改过CPU、内存、硬盘、存储控制卡等配置,请具体明确 |
操作系统和应用软件版本 |
请根据具体问题,判断是否需要收集操作系统和应用软件版本 |
HDM版本信息 |
举例:HDM-2.59 |
故障发生时间 |
举例:xxxx年xx月xx日xx时xx分xx秒 |
故障现象 |
举例:登录失败 |
故障前的操作 |
举例:网络设置 |
故障后已采取的操作和结果 |
举例:重启服务器后故障依然存在 |
从H3C官网或技术支持获取《H3C服务器 故障处理手册》和《H3C服务器 高危操作手册》。
下载HDM SDS日志,具体步骤请参见9.2 下载SDS日志。
联系技术支持,解析日志,对故障进行诊断定位。
故障定位完成后,在技术支持的指导下完成故障处理。
· 系统资源监控的数据来源是FIST SMS。FIST SMS运行在主机侧操作系统上,获取服务器主机侧的内存和CPU使用率,然后定期将CPU、内存和硬盘的使用率推送至HDM。
· CUPS的数据来源是ME,CUPS中的CPU/内存的动态负载率和OS侧的CPU/内存利用率是不同的概念,两者之间的数据无相关性。
¡ CUPS中将CPU/MEM/IO三者作为一个整体资源,三者利用率占比总和为100,通过这三个数值可以大致判断当前主机所跑的业务类型,比如,CPU数值较高,可以认为当前运行的是计算密集型业务,IO值较高,可以认为当前运行了IO密集型业务。
¡ OS下面的CPU利用率就是非空闲进程占用时间的比例,比如CPU有100秒的运行时间,其中90S在运行业务,10S处于空闲,那么CPU利用率就是90%。
清除浏览器的缓存,重新登录HDM Web即可。
CPLD相关故障未关联到传感器及健康状态,导致HDM页面健康状态和挂耳灯不一致。
请更新HDM版本至官网最新版本。
· 登录HDM Web,单击[远程服务/服务设置]菜单项,进入“服务设置”页面禁用iHDT服务。
· 升级HDM固件至官网最新版本。
修改VNC配置或者关闭VNC服务,需要先断开VNC会话。
IPMItool工具的选项导致,在下发IPMI命令时默认是用admin权限,而实际使用的用户权限不足,导致命令下发失败。
非admin权限用户(user、operator、oem)在下发IPMI命令时需要加上-L参数,参数如下:
· Ipmitool -I lanplus -H 127.0.0.1 -U UserName -P Password -L Priv cmd
¡ User:-L user
¡ Operator: -L operator
¡ CustomRole: -L oem
建议更新HDM固件至官网最新版本。
安装Intel CPU的服务器如果配置了支持MCTP功能的存储控制卡,该卡需要在BIOS Setup下启用Enable MCTP Proxy选项后,HDM才能正常识别显示相关信息。
电源配置策略出厂默认为负载均衡模式。出现电源负载不均衡的场景一般是电源输出功率差别较大的时候;出现不均衡对系统业务无影响且不影响硬件寿命,会降低电源模块可靠性,建议更换成相同型号的电源。
建议更新HDM固件至官网最新版本。
本文涉及的常用词及说明如表13-1所示。
常用词 |
说明 |
AD |
Active Directory,活动目录 |
BIOS |
Basic Input Output System,基本输入输出系统 |
CIFS |
Common Internet File System,通用Internet文件系统 |
CPLD |
Complex Programmable Logic Device,复杂可编程逻辑器件 |
CPU |
Central Processing Unit,中央处理器 |
DHCP |
Dynamic Host Configuration Protocol,动态主机配置协议 |
FIST SMS |
Fast Intelligent Scalable Toolkit System Management Service,UniSystem用来管理服务器的配套软件 |
GUI |
Graphical User Interface,图形用户界面 |
HDM |
Hardware Device Management,硬件设备管理 |
IPMI |
Intelligent Platform Management Interface,智能平台管理接口 |
KVM |
Keyboard Video Mouse,键盘、显示器和鼠标 |
LDAP |
Lightweight Directory Access Protocol,轻型目录访问协议 |
MCA |
Machine Check Architecture,硬件错误检测架构 |
MCTP |
Management Component Transport Protocol,管理组件传输协议 |
NMI |
Non Maskable Interrupt,不可屏蔽中断 |
NTP |
Network Time Protocol,网络时间协议 |
OS |
Operating System,操作系统 |
OTP |
One-Time Password,一次性密码 |
PFR |
Platform Firmware Resilience,通用平台固件保护恢复方案 |
PSU |
Power Supply Unit,电源供应单元 |
PXE |
Preboot Execute Environment,预启动执行环境 |
RAID |
Redundant Arrays of Independent Disks,独立磁盘冗余阵列 |
SDS |
Smart Diagnosis System,智能诊断系统 |
SMTP |
Simple Mail Transfer Protocol,简单邮件传输协议 |
SSL |
Secure Sockets Layer,安全套接字层 |
TCP |
Transmission Control Protocol,传输控制协议 |
TLS |
Transport Layer Security,传输层安全性协议 |
UDP |
User Datagram Protocol,用户数据报协议 |
VNC |
Virtual Network Console,虚拟网络控制台 |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!