- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-正文
本章节下载: 01-正文 (1.57 MB)
目 录
3 在CentOS/H3Linux系统上运行License Server
3.1.3 放行License Server相关端口、地址和协议
4 在Ubuntu/Linx系统上运行License Server
4.1.4 配置防火墙放行License Server相关端口、地址和协议
7.1 获得License文件后,硬件变化导致无法安装时,如何操作?
7.3 部署License Server后,如何修改IP地址?
H3C License Server是H3C推出的一款授权管理软件,具有集中管理授权、集中分发授权、HA(High Availability,高可靠性)等功能,可以简化用户的License使用、解决动态业务授权控制等问题。
License Server的主要特点如下:
· 支持授权与服务器硬件绑定,支持授权安装、存储在License Server上
· 支持从License Server向网络中的授权业务提供授权服务
· 支持主备License Server冗余备份功能,提供不间断的授权服务
在安装License Server之前,建议您根据具体需求先规划好基础网络,使得License Server所在的服务器的IP地址在网络中可达。
License Server所需服务器的硬件配置如表2-1所示。
|
CPU架构 |
CPU内核 |
内存 |
所需磁盘空间 |
网卡 |
备注 |
|
x86-64(Intel64/AMD64) |
16核、2.0Ghz主频及以上 |
32GB及以上 |
64GB及以上(安装目录所在的系统分区) |
支持1-10Gbps带宽 |
推荐配置 基于该配置可支持2000个以内的客户端数量 |
|
x86-64(Intel64/AMD64) |
2核及以上 2.0Ghz主频及以上 |
4GB及以上 |
64GB及以上(安装目录所在的系统分区) |
支持1-10Gbps带宽 |
最简配置 基于该配置仅支持20个以内的客户端数量 |
· 为保证License Server正常运行,请将License Server安装在物理服务器而非虚拟机上。
· License Server默认安装目录是“/opt”,在系统默认配置下,“/opt”目录属于根分区。无论是否对“/opt”目录进行单独分区,或者自行指定安装目录,都需要确保安装目录所在系统分区的剩余磁盘空间在64GB及以上。
License Server所需服务器的操作系统为:
· CentOS 7.3 1611 64位操作系统(DVD版)
· H3Linux Release 1.1.2(3.10/4.14内核版本)
· Linx-6.0.80 64位操作系统
· Ubuntu-20.04 64位操作系统
用户使用浏览器即可访问License Server。支持的浏览器类型及版本为:
· Google Chrome 27及以上;
· Internet Explorer 9及以上。
(1) 禁用SELinux需要修改SELinux配置文件。
vi /etc/selinux/config
(2) 将SELINUX参数值设置为disabled,以禁用SELINUX。
SELINUX=disabled
(3) 保存退出后重启系统即可生效。
可通过两种方式安装License Server:
· RPM方式:使用RPM格式软件包安装License Server,此方式仅安装License Server,需要预先安装操作系统。
· ISO方式:使用ISO格式软件包安装License Server,此方式可同时安装H3Linux操作系统和License Server。
将License Server安装软件包拷贝至服务器的待安装目录下,或使用FTP等文件传输协议将软件包上传到指定目录。
如果需要利用FTP、TFTP协议上传下载,请选择binary模式(二进制模式)传输,以免损坏软件包。
当前系统支持使用root用户和非root用户安装License Server软件包,推荐使用root用户进行安装。若使用非root用户安装软件包,则需要为非root用户添加权限,操作步骤为:在root用户视图下通过visudo命令打开配置文件,在配置文件末尾添加配置:<username> ALL=(root) NOPASSWD:/bin/bash,其中username表示非root用户名。权限添加完成后,执行安装和卸载命令时,需要在命令前添加sudo指令。
License Server软件的安装步骤如下所示。
(1) 进入License Server软件包(.rpm文件)的存放路径(以路径/root为例),安装License Server软件包,软件包的名称格式为LICENSE_SERVER-version.rpm,其中version为版本号。
[root@localhost ~] rpm -ivh LICENSE_SERVER-D1101.rpm
Preparing... ################################# [100%]
…略…
(2) 如果为首次安装或者在卸载旧版本时未保留配置,则会提示输入授权服务端口号,直接回车则使用默认端口号5555。请确认使用的端口号为空闲端口号。
Type the license service port (1024-65535, default:5555) :
(3) 如果为首次安装或者在卸载旧版本时未保留配置,则会提示输入登录WEB界面的HTTPS端口号,直接回车则使用默认端口号,请确认使用的端口号为空闲端口号。
Type the HTTPS port for the Web login (1-65535, default:28443) :
HA功能主备License Server之间的报文交互使用了登录WEB界面的HTTPS端口号,如果需要配置HA功能,则需要保证主和备License Server配置了相同的HTTPS端口号,否则会导致HA功能无法使用。
(1) 在命令提示符界面验证License Server是否安装成功,如果显示正确的版本号,则表示安装成功。
[root@localhost ~]# rpm -qa | grep license-server
license-server-1101-1.el7.centos.x86_64
(2) 查看License Server的Core服务、Monitor服务、Tomcat服务和Redis数据库服务是否开启。如果都显示active (running)或licstomcat is running信息,则表示License Server服务已开启。
[root@localhost ~] service licscore status
Redirecting to /bin/systemctl status licscore.service
licscore.service - LICS Core
Loaded: loaded (/etc/systemd/system/licscore.service; disabled)
Active: active (running) since Thu 2015-05-28 16:53:40 CST; 2min 51s ago
…略…
[root@localhost ~]# service licsmonitor status
Redirecting to /bin/systemctl status licsmonitor.service
licsmonitor.service - LICS Monitor
Loaded: loaded (/etc/systemd/system/licsmonitor.service; disabled)
Active: active (running) since Thu 2015-06-11 01:15:36 CST; 49s ago
…略…
[root@localhost ~]# service licstomcat status
licstomcat is running
[root@localhost ~]# service licsredis status
Redirecting to /bin/systemctl status licsredis.service
licsredis.service – Lics Redis
Loaded: loaded (/etc/systemd/system/licsredis.service; enabled)
Active: active (running) since Mon 2016-01-25 14:05:05 CST; 2min 40s ago
…略…
配置HA功能后,备License Server的Core服务会更改为inactive状态,其它服务仍为active状态。
(1) 使用服务器的远程控制台通过虚拟光驱加载安装软件包的ISO文件。
(2) 重新启动服务器,重启后进入系统加载过程,加载完成后,进入WELCOME TO H3LINUX界面。
图3-1 WELCOME TO H3LINUX界面
(3) 选择语言,以English为例,单击<Continue>按钮进入INSTALLATION SUMMARY界面。
图3-2 INSTALLATION SUMMARY界面
(4) 单击“LOCALIZATION”栏目下的“DATE & TIME”链接进入时间和时区设置页面,选择当前地区的时区,例如,中国地区请选择Asia/Shanghai时区。时区和时间设置完成后,单击<Done>按钮返回INSTALLATION SUMMARY界面。
(5) 单击“LOCALIZATION”栏目下的“KEYBOARD”链接进入键盘布局配置页面,选择English(US)。单击<Done>按钮返回INSTALLATION SUMMARY界面。
图3-3 键盘布局配置页面
(6) 单击“SOFTWARE”栏目下的“SOFTWARE SELECTION”链接进入软件选择页面,选择Minimal Install。单击<Done>按钮返回INSTALLATION SUMMARY界面。
图3-4 软件选择页面
(7) 单击“SYSTEM”栏目下的“NETWORK&HOST NAME”链接进入网络和主机名配置页面,如需修改主机名,可在Host name输入框中输入新的主机名,单击<Apply>按钮完成修改。
图3-5 网络和主机名配置页面
(8) 在网络和主机名配置页面单击<Configure>按钮进入网络配置界面,单击<General>,勾选<Automatically connect to this network when it is available>复选框,如图3-6示;然后单击<IPv4 Settings>配置IPv4地址,如图3-7所示。配置完成后单击<Save>按钮保存配置,再单击<Done>按钮返回INSTALLATION SUMMAY界面。
(9) 完成上述操作后,单击<Begin Installation>按钮开始安装。在安装过程中会弹出用户配置选项,在该页面可创建Root密码和用户。
图3-8 设置用户及密码
(10) 安装完成后会自动重启,完成操作系统和License Server的安装。
可通过两种方式放行端口、地址和协议:Firewall方式和IPtables方式,二者只可配置其一。可根据组网需求灵活选择配置方式。
License Server安装完成后,需要根据Firewall或IPtables的状态进行如下处理:
· 如果Firewall和IPtables均处于关闭状态,可无需进行本章节的配置,但需要确保Firewall和IPtables处于永久关闭状态,否则可能导致License Server运行异常。当License Server暴露在公网环境中时,为提升安全性,建议开启Firewall或IPtables,并按照本章节的配置步骤进行配置。
· 如果Firewall或IPtables处于开启状态,需确认Firewall或IPtables是否已放行了License Server相关端口、地址和协议,如果未放行,则需要通过本章节的步骤进行配置,否则License Server无法正常运行。需要放行的端口、地址和协议如下:
¡ 登录WEB界面的HTTPS端口号
¡ 授权服务端口号
¡ Redis数据库服务端口号6387
¡ HA功能Keepalived组播地址224.0.0.18(IPv4)、ff02::12(IPv6)和VRRP协议
(1) 查看Firewall状态
查看Firewall状态,如果显示active (running),则表示已开启。
[root@localhost ~]# service firewalld status
Redirecting to /bin/systemctl status firewalld.service
firewalld.service - firewalld - dynamic firewall daemon
Loaded: loaded (/usr/lib/systemd/system/firewalld.service; disabled)
Active: active (running) since Thu 2015-07-30 12:33:26 CST; 20s ago
…略…
(2) 配置Firewall放行License Server的授权服务端口号和HTTPS端口号
a. 验证Firewall是否放行了License Server的授权服务端口号和HTTPS端口号,授权服务端口号以5555为例, HTTPS端口号以28443为例,显示为no表示未放行。
[root@localhost ~]# firewall-cmd --query-port=5555/tcp
no
[root@localhost ~]# firewall-cmd --query-port=28443/tcp
no
b. 放行License Server相关端口号,显示success表示操作成功。
[root@localhost ~]# firewall-cmd --permanent --add-port=5555/tcp
success
[root@localhost ~]# firewall-cmd --permanent --add-port=28443/tcp
success
c. 重载配置使配置生效。
[root@localhost ~]# firewall-cmd --reload
success
d. 验证端口是否放行成功,显示yes表示放行成功。
[root@localhost ~]# firewall-cmd --query-port=5555/tcp
yes
[root@localhost ~]# firewall-cmd --query-port=28443/tcp
yes
(3) 配置Firewall放行HA功能的Redis端口号
如果License Server需要配置HA功能,则需要在主License Server和备License Server上配置Firewall放行HA功能的Redis组件使用的端口6387,为保证数据库安全,建议只允许在主License Server和备License Server之间开放此端口,即:在主License Server上配置向备License Server开放此端口,在备License Server上配置向主License Server开放此端口。
a. 验证Firewall是否放行了HA功能的Redis端口号,显示为no表示未放行,显示为yes表示已放行。
[root@localhost ~]# firewall-cmd --permanent --query-port=6387/tcp
no
b. 如果已放行端口6387,请先取消放行。
[root@localhost ~]# firewall-cmd --permanent --remove-port=6387/tcp
success
c. 配置只对主或备License Server放行端口6387。
¡ 主或备License Server的IP地址为IPv4地址时,以192.168.109.15为例。
[root@localhost ~]# firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.109.15" port protocol="tcp" port="6387" accept"
Success
¡ 主或备License Server的IP地址为IPv6地址时,以2001::142为例。
[root@localhost ~]# firewall-cmd --permanent --add-rich-rule="rule family="ipv6" source address="2001::142" port protocol="tcp" port="6387" accept"
success
d. 重载配置使配置生效。
[root@localhost ~]# firewall-cmd --reload
success
e. 验证端口是否放行成功。
¡ IPv4组网
[root@localhost ~]# firewall-cmd --list-all
…略…
rule family="ipv4" source address="192.168.109.15" port port="6387" protocol="tcp" accept
¡ IPv6组网
[root@localhost ~]# firewall-cmd --list-all
…略…
rule family="ipv6" source address="2001::142" port port="6387" protocol="tcp" accept
(4) 配置Firewall放行HA功能Keepalived组播地址和VRRP协议
如果License Server需要配置HA功能,则需要配置Firewall放行HA功能所使用的Keepalived报文的组播地址和VRRP协议。
a. 检查Firewall是否存在Keepalived组播地址和VRRP协议的放行规则,显示为no表示未放行。
- 使用IPv4地址时检测放行规则。
[root@localhost ~]# firewall-cmd --query-rich-rule="rule family="ipv4" destination address="224.0.0.18" protocol value="vrrp" accept"
no
- 使用IPv6地址时检测放行规则。
[root@localhost ~]# firewall-cmd --query-rich-rule="rule family="ipv6" destination address="ff02::12" protocol value="vrrp" accept"
no
b. 配置Firewall放行Keepalived的组播地址和VRRP协议。
- 使用IPv4地址时配置放行规则。
[root@localhost ~]# firewall-cmd --permanent --add-rich-rule="rule family="ipv4" destination address="224.0.0.18" protocol value="vrrp" accept"
success
- 使用IPv6地址时配置放行规则。
[root@localhost ~]# firewall-cmd --permanent --add-rich-rule="rule family="ipv6" destination address="ff02::12" protocol value="vrrp" accept"
success
c. 重载配置,使配置生效。
[root@localhost ~]# firewall-cmd --reload
Success
(1) 查看IPtables状态
查看IPtables状态,如果显示active (exited),则表示已开启。
[root@localhost ~]# service iptables status
Redirecting to /bin/systemctl status iptables.service
● iptables.service - IPv4 firewall with iptables
Loaded: loaded (/usr/lib/systemd/system/iptables.service; disabled; vendor preset: disabled)
Active: active (exited) since Thu 2020-01-16 10:11:01 EST; 11s ago
…略…
(2) 配置IPtables放行License Server的授权服务端口号和HTTPS端口号
a. 验证IPtables是否放行了License Server的授权服务端口号和HTTPS端口号,授权服务端口号以5555为例,HTTPS端口号以28443为例,未配置规则或存在目标值不是ACCEPT的规则表示未放行。
[root@localhost ~]# iptables -nvL | grep 5555
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5555
[root@localhost ~]# iptables -nvL | grep 28443
b. 如未配置规则,请添加以下规则放行相应端口号;如已存在目标值不是ACCEPT的规则,请将原规则删除后再添加。
[root@localhost ~]# iptables -I INPUT -p tcp --dport 5555 -j ACCEPT
[root@localhost ~]# iptables -I INPUT -p tcp --dport 28443 -j ACCEPT
c. 保存规则。
[root@localhost ~]# service iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables:[ OK ]
d. 重启IPtables服务,使配置生效。
[root@localhost ~]# service iptables restart
Redirecting to /bin/systemctl restart iptables.service
e. 验证端口是否放行成功,目标值显示ACCEPT表示放行成功。
[root@localhost ~]# iptables -nvL | grep 5555
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5555
[root@localhost ~]# iptables -nvL | grep 28443
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:28443
(3) 配置IPtables放行HA功能的Redis端口号
如果License Server需要配置HA功能,则需要在主License Server和备License Server上配置IPtables放行HA功能的Redis组件使用的端口号6387,为保证数据库安全,建议只允许在主License Server和备License Server之间开放此端口,即,在主License Server上配置向备License Server开放此端口,在备License Server上配置向主License Server开放此端口。
a. 验证IPtables是否放行了HA功能的Redis端口号,未配置规则或存在目标值不是ACCEPT的规则表示未放行。
[root@localhost ~]# iptables -nvL | grep 6387
b. 如未配置规则,请添加以下规则向主或备License Server放行端口6387,主或备License Server的IP地址以192.168.109.15为例;如已存在端口6387的放行规则,请将原规则删除并添加以下规则。
[root@localhost ~]# iptables -I INPUT -s 192.168.109.15 -p tcp --dport 6387 -j ACCEPT
c. 保存规则。
[root@localhost ~]# service iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables:[ OK ]
d. 重启IPtables服务,使配置生效。
[root@localhost ~]# service iptables restart
Redirecting to /bin/systemctl restart iptables.service
e. 验证端口是否放行成功。
[root@localhost ~]# iptables -nvL | grep 6387
0 0 ACCEPT tcp -- * * 192.168.109.15 0.0.0.0/0 tcp dpt:6387
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:6387
(4) 配置IPtables放行HA功能Keepalived组播地址和VRRP协议
如果License Server需要配置HA功能,则需要配置IPtables放行HA功能所使用的Keepalived报文的组播地址224.0.0.18和VRRP协议。
a. 检查IPtables是否存在放行Keepalived组播地址和VRRP协议的规则,如果未配置规则或存在包含组播地址224.0.0.18和VRRP协议且目标值不是ACCEPT的规则,则表示未放行。
[root@localhost ~]# iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
348 25382 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
32 2336 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
…略…
b. 如已存在目标值不是ACCEPT的规则,请将原规则删除后再添加。如未配置规则,请添加以下规则;
[root@localhost ~]# iptables -I INPUT -d 224.0.0.18/8 -j ACCEPT
[root@localhost ~]# iptables -I INPUT -p vrrp -j ACCEPT
c. 保存规则。
[root@localhost ~]# service iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables:[ OK ]
d. 重启IPtables服务,使配置生效。
[root@localhost ~]# service iptables restart
Redirecting to /bin/systemctl restart iptables.service
(1) 查看IP6tables状态
查看IP6tables状态,如果显示active (exited),则表示已开启。
[root@localhost ~]# service ip6tables status
Redirecting to /bin/systemctl status ip6tables.service
● ip6tables.service - IPv6 firewall with ip6tables
Loaded: loaded (/usr/lib/systemd/system/ip6tables.service; disabled; vendor preset: disabled)
Active: active (exited) since Fri 2020-07-03 06:22:04 EDT; 31min ago
…略…
(2) 配置IP6tables放行License Server的授权服务端口号和HTTPS端口号
a. 验证IP6tables是否放行了License Server的授权服务端口号和HTTPS端口号,授权服务端口号以5555为例,HTTPS端口号以28443为例,未配置规则或存在目标值不是ACCEPT的规则表示未放行。
[root@localhost ~]# ip6tables -nvL | grep 5555
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5555
[root@localhost ~]# ip6tables -nvL | grep 28443
b. 如未配置规则,请添加以下规则放行相应端口号;如已存在目标值不是ACCEPT的规则,请将原规则删除后再添加。
[root@localhost ~]# ip6tables -I INPUT -p tcp --dport 5555 -j ACCEPT
[root@localhost ~]# ip6tables -I INPUT -p tcp --dport 28443 -j ACCEPT
c. 保存规则。
[root@localhost ~]# service ip6tables save
ip6tables: Saving firewall rules to /etc/sysconfig/ip6table[ OK ]
d. 重启IP6tables服务,使配置生效。
[root@localhost ~]# service ip6tables restart
Redirecting to /bin/systemctl restart ip6tables.service
e. 验证端口是否放行成功,目标值显示ACCEPT表示放行成功。
[root@localhost ~]# ip6tables -nvL | grep 5555
0 0 ACCEPT tcp * * ::/0 ::/0 tcp dpt:5555
[root@localhost ~]# ip6tables -nvL | grep 28443
0 0 ACCEPT tcp * * ::/0 ::/0 tcp dpt:28443
(3) 配置IP6tables放行HA功能的Redis端口号
如果License Server需要配置HA功能,则需要在主License Server和备License Server上配置IP6tables放行HA功能的Redis组件使用的端口号6387,为保证数据库安全,建议只允许在主License Server和备License Server之间开放此端口,即,在主License Server上配置向备License Server开放此端口,在备License Server上配置向主License Server开放此端口。
a. 验证IP6tables是否放行了HA功能的Redis端口号,未配置规则或存在目标值不是ACCEPT的规则表示未放行。
[root@localhost ~]# ip6tables -nvL | grep 6387
b. 如未配置规则,请添加以下规则向主或备License Server放行端口6387,主或备License Server的IP地址以2001::142为例;如已存在端口6387的放行规则,请将原规则删除并添加以下规则。
[root@localhost ~]# ip6tables -I INPUT -s 2001::142 -p tcp --dport 6387 -j ACCEPT
c. 保存规则。
[root@localhost ~]# service ip6tables save
ip6tables: Saving firewall rules to /etc/sysconfig/ip6table[ OK ]
d. 重启IP6tables服务,使配置生效。
[root@localhost ~]# service ip6tables restart
Redirecting to /bin/systemctl restart ip6tables.service
e. 验证端口是否放行成功。
[root@localhost ~]# ip6tables -nvL | grep 6387
0 0 ACCEPT tcp * * 2001::142 ::/0 tcp dpt:6387
0 0 ACCEPT tcp * * 2001::186 ::/0 tcp dpt:6387
(4) 配置IP6tables放行HA功能Keepalived组播地址和VRRP协议
如果License Server需要配置HA功能,则需要配置IP6tables放行HA功能所使用的Keepalived报文的ipv6组播地址ff02::12和VRRP协议。
a. 检查IP6tables是否存在放行Keepalived组播地址和VRRP协议的规则,如果未配置规则或存在包含组播地址ff02::12 和VRRP协议且目标值不是ACCEPT的规则,则表示未放行。
[root@localhost ~]# ip6tables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp * * ::/0 ::/0 tcp dpt:28443
0 0 ACCEPT tcp * * ::/0 ::/0 tcp dpt:5555
0 0 ACCEPT all * * ::/0 ::/0 state RELATED,ESTABLISHED
4 272 ACCEPT icmpv6 * * ::/0 ::/0
0 0 ACCEPT all lo * ::/0 ::/0
…略…
b. 如已存在目标值不是ACCEPT的规则,请将原规则删除后再添加。如未配置规则,请添加以下规则;
[root@localhost ~]# ip6tables -I INPUT -d ff02::12/64 -j ACCEPT
[root@localhost ~]# ip6tables -I INPUT -p vrrp -j ACCEPT
c. 保存规则。
[root@localhost ~]# service ip6tables save
ip6tables: Saving firewall rules to /etc/sysconfig/ip6table[ OK ]
d. 重启IP6tables服务,使配置生效。
[root@localhost ~]# service ip6tables restart
Redirecting to /bin/systemctl restart ip6tables.service
卸载License Server可选择备份卸载和不备份卸载:
· 备份卸载:在卸载时对配置文件和日志信息进行备份,重新安装License Server时将自动检测备份文件,如果存在备份文件,会自动进行恢复。
· 不备份卸载:在卸载时不对配置文件和日志信息进行备份。
卸载License Server后激活文件仍将保留,重新安装时会自动加载License文件,无需再手工上传。
(1) 卸载License Server软件包。
[root@localhost ~] rpm -e license-server
(2) 提示是否进行卸载,继续卸载请输入Y并回车或直接回车;如想中断卸载则输入N并回车。此处以选择Y为例。
Do you really want to uninstall license-server? (y/n, default:y) :Y
(3) 提示是否进行备份,选择Y表示备份,选择N表示不备份,具体步骤如下:
· 备份并卸载
Do you want to backup the configuration? (y/n, default:y) : y
The backup path is '/opt/LicServer/uninstallbackup/'.
Uninstalling license-server...
…略…
· 不备份并卸载
Do you want to backup the configuration? (y/n, default:y) : n
Uninstalling license-server...
…略…
配置HA功能后,请不要对主License Server执行不备份卸载操作,否则将导致License Server数据丢失。如需不备份卸载主License Server,请先将主License Server切换为备,再执行卸载操作。
升级License Server时请先卸载旧版本License Server,具体步骤请参见“3.2 卸载License Server”,在卸载旧版本License Server时建议采用备份卸载的方式,否则可能会导致授权业务中断。卸载完成后再安装新版本License Server,具体步骤请参见“3.1 安装License Server”。
如果配置了HA功能,建议您先升级备License Server,并在备License Server状态为active后继续等待2分钟以完成主备数据的同步,然后再升级主License Server。
如果配置了HA功能,且从E1140及之前的版本升级到E1141及之后的版本时,不支持使用不中断业务的方式升级,为了最大限度的减少License Server停止服务的时间,请按照以下步骤升级:
(1) 保存配置卸载备License Server。
(2) 保存配置卸载主License Server。
(3) 依次对主License Server和备License Server进行新版本的安装。
升级License Server时,建议客户端不要主动断开与License Server的连接,License Server升级完成后会自动与客户端重新建立连接,此方式下,在升级过程中客户端获取的License授权不会中断。如果客户端主动断开连接,会导致License Server回收所有授权,从而导致客户端业务受限。
如果升级过程中需要变更操作系统(例如重装或升级操作系统)或者变更硬件信息,需要按照本章节的步骤进行操作,否则可能会导致升级前的授权无法继续使用。
(1) 在License Server的[License/安装]页面中,将所有正式版License卸载并导出卸载文件至本地。
(2) 变更操作系统或硬件,并升级License Server。
¡ 如需变更操作系统,请在操作系统变更后重新安装License Server,具体步骤请参见“3.1 安装License Server”。
¡ 如仅变更硬件信息,请先卸载旧版本License Server,具体步骤请参见“3.2 卸载License Server”。卸载完成后再安装新版本License Server,具体步骤请参见“3.1 安装License Server”。
(3) 登录升级后的License Server,在[License/安装]页面中,单击<导出DID>按钮获取设备信息文件。
(4) 访问网址http://www.h3c.com/cn/License,单击“设备授权迁移申请”,进入“设备授权迁移申请”页面。使用已导出的卸载文件和升级后的License Server设备信息文件进行授权迁移,生成新的激活文件。
(5) 在升级后的License Server上安装激活文件。
当前系统支持使用root用户和非root用户安装License Server软件包,推荐使用root用户进行安装。若使用非root用户安装软件包,则需要为非root用户添加权限,操作步骤为:在root用户视图下通过visudo命令打开配置文件,在配置文件末尾添加配置:<username> ALL=(root) NOPASSWD:/bin/bash,其中username表示非root用户名。权限添加完成后,执行安装和卸载命令时,需要在命令前添加sudo指令。
将License Server安装软件包拷贝至服务器的待安装目录下,或使用FTP等文件传输协议将软件包上传到指定目录。
如果需要利用FTP、TFTP协议上传下载,请选择binary模式(二进制模式)传输,以免损坏软件包。
License Server软件的安装步骤如下所示。
(1) 进入License Server软件包(.deb文件)的存放路径(以路径/root为例),安装License Server软件包,软件包的名称格式为LICENSE_SERVER-version.deb,其中version为版本号。
root@Linx:~# dpkg -i LICENSE_SERVER-E1144.deb
正在选中未选择的软件包 license-server。
(正在读取数据库 ... 系统当前共安装有 187153 个文件和目录。)
正准备解包 LICENSE_SERVER-E1144.deb ...
正在解包 license-server (1144) ...
正在设置 license-server (1144) ...
…略…
(2) 如果为首次安装或者在卸载旧版本时未保留配置,则会提示输入授权服务端口号,直接回车则使用默认端口号5555。请确认使用的端口号为空闲端口号。
Type the license service port (1024-65535, default:5555) :
(3) 如果为首次安装或者在卸载旧版本时未保留配置,则会提示输入登录WEB界面的HTTPS端口号,直接回车则使用默认端口号,请确认使用的端口号为空闲端口号。
Type the HTTPS port for the Web login (1-65535, default:28443) :
HA功能主备License Server之间的报文交互使用了登录WEB界面的HTTPS端口号,如果需要配置HA功能,则需要保证主和备License Server配置了相同的HTTPS端口号,否则会导致HA功能无法使用。
(1) 在命令提示符界面验证License Server是否安装成功,如果显示正确的版本号,则表示安装成功。
root@Linx:~# dpkg -l |grep license-server
ii license-server 1144 amd64 License Server
(2) 查看License Server的Core服务、Monitor服务、Tomcat服务和Redis数据库服务是否开启。如果都显示active (running)表示License Server服务已开启。
root@Linx:~# service licscore status
● licscore.service - LICS Core
Loaded: loaded (/etc/systemd/system/licscore.service; enabled)
Active: active (running) since 六 2019-07-27 17:06:50 CST; 8min ago
…略…
root@Linx:~# service licsmonitor status
● licsmonitor.service - LICS Monitor
Loaded: loaded (/etc/systemd/system/licsmonitor.service; enabled)
Active: active (running) since 六 2019-07-27 17:06:50 CST; 9min ago
…略…
root@Linx:~# service licstomcat status
● licstomcat.service - LSB: start|stop|restart|status
Loaded: loaded (/etc/init.d/licstomcat)
Active: active (running) since 六 2019-07-27 17:06:50 CST; 16min ago
…略…
root@Linx:~# service licsredis status
● licsredis.service - Lics Redis
Loaded: loaded (/etc/systemd/system/licsredis.service; enabled)
Active: active (running) since 六 2019-07-27 17:06:46 CST; 18min ago
…略…
配置HA功能后,备License Server的Core服务会更改为inactive状态,其它服务仍为active状态。
License Server安装完成后,需要根据防火墙的状态进行如下处理:
· 如果防火墙处于关闭状态,可无需进行本章节的配置,但需要确保防火墙处于永久关闭状态,否则可能导致License Server运行异常。当License Server暴露在公网环境中时,为提升安全性,建议开启防火墙,并按照本章节的配置步骤对防火墙进行配置。
· 如果防火墙处于开启状态,需确认防火墙是否已放行了License Server相关端口、地址和协议,如果未放行,则需要通过本章节的步骤对防火墙进行配置,否则License Server无法正常运行。需要放行的端口、地址和协议如下:
¡ 登录WEB界面的HTTPS端口号
¡ 授权服务端口号
¡ Redis数据库服务端口号6387
¡ HA功能Keepalived组播地址224.0.0.18(IPv4)、ff02::12(IPv6)和VRRP协议
查看防火墙状态,如果显示active,则表示已开启。
root@Linx:~# ufw status
Status: active
(1) 放行授权服务端口号和HTTPS端口号,授权服务端口号以5555为例, HTTPS端口号以28443为例。
root@Linx:~# ufw allow 28443
Rule added
Rule added (v6)
root@Linx:~# ufw allow 5555
Rule added
Rule added (v6)
(2) 验证是否放行成功,显示为ALLOW IN表示已放行。
root@Linx:~# ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing)
New profiles: skip
To Action From
-- ------ ----
28443 ALLOW IN Anywhere
5555 ALLOW IN Anywhere
28443 ALLOW IN Anywhere (v6)
5555 ALLOW IN Anywhere (v6)
如果License Server需要配置HA功能,则需要在主License Server和备License Server上配置防火墙放行HA功能的Redis组件使用的端口6387,为保证数据库安全,建议只允许在主License Server和备License Server之间开放此端口,即:在主License Server上配置向备License Server开放此端口,在备License Server上配置向主License Server开放此端口。
(1) 验证防火墙是否放行了HA功能的Redis端口号,显示为ALLOW IN表示已放行。
root@Linx:~# ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing)
New profiles: skip
To Action From
-- ------ ----
28443 ALLOW IN Anywhere
5555 ALLOW IN Anywhere
6387 ALLOW IN Anywhere
28443 ALLOW IN Anywhere (v6)
5555 ALLOW IN Anywhere (v6)
6387 ALLOW IN Anywhere (v6)
(2) 如果已放行端口6387,请先删除已放行的配置。
a. 获取配置序列号。
root@Linx:~# ufw status numbered
Status: active
To Action From
-- ------ ----
[ 1] 28443 ALLOW IN Anywhere
[ 2] 5555 ALLOW IN Anywhere
[ 3] 6387 ALLOW IN Anywhere
[ 4] 28443 ALLOW IN Anywhere (v6)
[ 5] 5555 ALLOW IN Anywhere (v6)
[ 6] 6387 ALLOW IN Anywhere (v6)
b. 删除对应序列号的配置,按照序列号由大到小的顺序删除。
root@Linx:~# ufw delete 8
Deleting:
allow 6387
Proceed with operation (y|n)? y
Rule deleted (v6)
root@Linx:~# ufw delete 4
Deleting:
allow 6387
Proceed with operation (y|n)? y
Rule deleted
c. 验证是否删除成功。
root@Linx:~# ufw status numbered
Status: active
To Action From
-- ------ ----
[ 1] 28443 ALLOW IN Anywhere
[ 2] 5555 ALLOW IN Anywhere
[ 3] 28443 ALLOW IN Anywhere (v6)
[ 4] 5555 ALLOW IN Anywhere (v6)
(3) 配置只对主或备License Server放行端口6387。
· IPv4组网。主或备License Server的IP地址以10.114.104.120为例。本地IP以10.114.104.121为例。
root@Linx:~# ufw allow proto tcp from 10.114.104.120 to 10.114.104.121 port 6387
Rule added
· IPv6组网。主或备License Server的IP地址以2001::142为例。本地IP地址以2001::65为例。
root@Linx:~# ufw allow proto tcp from 2001::142 to 2001::65 port 6387
Rule added (v6)
(4) 验证端口是否放行成功。
root@Linx:~# ufw status numbered
Status: active
To Action From
-- ------ ----
[ 1] 28443 ALLOW IN Anywhere
[ 2] 5555 ALLOW IN Anywhere
[ 3] 10.114.104.121 6387/tcp ALLOW IN 10.114.104.120
[ 4] 28443 ALLOW IN Anywhere (v6)
[ 5] 5555 ALLOW IN Anywhere (v6)
[ 6] 2001::65 6387/tcp ALLOW IN 2001::142
如果License Server需要配置HA功能,则需要配置防火墙放行HA功能所使用的Keepalived报文的组播地址224.0.0.18(IPv4)和ff02::12(IPv6)。
(1) 配置防火墙放行Keepalived组播地址。
root@Linx:~# ufw allow to 224.0.0.18
Rule added
root@Linx:~# ufw allow to ff02::12
Rule added (v6)
(2) 验证是否放行成功。
root@Linx:~# ufw status numbered
Status: active
To Action From
-- ------ ----
[ 1] 28443 ALLOW IN Anywhere
[ 2] 5555 ALLOW IN Anywhere
[ 3] 10.114.104.121 6387/tcp ALLOW IN 10.114.104.120
[ 4] 224.0.0.18 ALLOW IN Anywhere
[ 5] 28443 ALLOW IN Anywhere (v6)
[ 6] 5555 ALLOW IN Anywhere (v6)
[ 7] 2001::65 6387/tcp ALLOW IN 2001::142
[ 8] ff02::12 ALLOW IN Anywhere (v6)
卸载License Server可选择备份卸载和不备份卸载:
· 备份卸载:在卸载时对配置文件和日志信息进行备份,重新安装License Server时将自动检测备份文件,如果存在备份文件,会自动进行恢复。
· 不备份卸载:在卸载时不对配置文件和日志信息进行备份。
卸载License Server后激活文件仍将保留,重新安装时会自动加载License文件,无需再手工上传。
(1) 卸载License Server软件包。
root@Linx:~# dpkg -r license-server
(2) 提示是否进行卸载,继续卸载请输入Y并回车或直接回车;如想中断卸载则输入N并回车。此处以选择Y为例。
Do you really want to uninstall license-server? (y/n, default:y) :Y
(3) 提示是否进行备份,选择Y表示备份,选择N表示不备份,具体步骤如下:
· 备份并卸载
Do you want to backup the configuration? (y/n, default:y) : y
The backup path is '/opt/LicServer/uninstallbackup/'.
Uninstalling license-server...
…略…
· 不备份并卸载
Do you want to backup the configuration? (y/n, default:y) : n
Uninstalling license-server...
…略…
配置HA功能后,请不要对主License Server执行不备份卸载操作,否则将导致License Server数据丢失。如需不备份卸载主License Server,请先将主License Server切换为备,再执行卸载操作。
升级License Server时请先卸载旧版本License Server,具体步骤请参见“4.2 卸载License Server”,在卸载旧版本License Server时建议采用备份卸载的方式,否则可能会导致授权业务中断。卸载完成后再安装新版本License Server,具体步骤请参见“4.1 安装License Server”。
如果配置了HA功能,建议您先升级备License Server,并在备License Server状态为active后继续等待2分钟以完成主备数据的同步,然后再升级主License Server。
升级License Server时,建议客户端不要主动断开与License Server的连接,License Server升级完成后会自动与客户端重新建立连接,此方式下,在升级过程中客户端获取的License授权不会中断。如果客户端主动断开连接,会导致License Server回收所有授权,从而导致客户端业务受限。
如果升级过程中需要变更操作系统(例如重装或升级操作系统)或者变更硬件信息,需要按照本章节的步骤进行操作,否则可能会导致升级前的授权无法继续使用。
(1) 在License Server的[License/安装]页面中,将所有正式版License卸载并导出卸载文件至本地。
(2) 变更操作系统或硬件,并升级License Server。
¡ 如需变更操作系统,请在操作系统变更后重新安装License Server,具体步骤请参见“4.1 安装License Server”。
¡ 如仅变更硬件信息,请先卸载旧版本License Server,具体步骤请参见“4.2 卸载License Server”。卸载完成后再安装新版本License Server,具体步骤请参见“4.1 安装License Server”。
(3) 登录升级后的License Server,在[License/安装]页面中,单击<导出DID>按钮获取设备信息文件。
(4) 访问网址http://www.h3c.com/cn/License,单击“设备授权迁移申请”,进入“设备授权迁移申请”页面。使用已导出的卸载文件和升级后的License Server设备信息文件进行授权迁移,生成新的激活文件。
(5) 在升级后的License Server上安装激活文件。
(1) 在浏览器中输入License Server的WEB登录地址,各版本WEB登录地址见下方表格,回车后会弹出如图5-1所示登录界面。
表5-1 E1144之前版本WEB登录地址格式
|
IP协议类型 |
登录地址格式 |
缺省端口号 |
|
IPv4 |
http://lics_ipv4_address:port/licsmanager |
8090 |
表5-2 E1144至E1146之前版本WEB登录地址格式
|
IP协议类型 |
登录地址格式 |
缺省端口号 |
|
IPv4 |
http://lics_ipv4_address:port/licsmanager |
8090 |
|
https://lics_ipv4_address:port/licsmanager |
28443 |
表5-3 E1146版本开始支持的WEB登录地址格式
|
IP协议类型 |
登录地址格式 |
缺省端口号 |
|
IPv4 |
https://lics_ipv4_address:port/ https://lics_ipv4_address:port/licsmanager |
28443 |
|
IPv6 |
https://[lics_ipv6_address]:port/ https://[lics_ipv6_address]:port/licsmanager |
28443 |
¡ lics_ip4_address/lics_ipv6_address为License Server软件安装所在服务器的IPv4或IPv6地址,如果已配置HA功能,则该地址可以为虚拟IP地址或主License Server的IP地址;
¡ port为端口号。
(2) 单击右上角的<中文>或<English>按钮选择界面语言,输入管理员的用户名和密码(缺省用户名为admin,密码为admin@h3c)后,单击<登录>按钮进入License Server WEB首页。
(3) License Server安装完成后,首次登录WEB页面时会弹出配置向导,通过该向导可进行添加客户端、修改系统配置(如授权服务端口号)和修改管理员密码的操作。
License Server支持两个节点的HA集群,使用虚拟IP地址对外提供服务。主License Server负责处理业务,备License Server负责备份数据,当主License Server出现故障时,备License Server可接管业务成为主并对外提供服务。为防止因单点故障导致授权功能中断,推荐您部署License Server HA集群。
部署License Server HA集群需要分别在两台服务器上安装License Server,再对安装的两台License Server进行必要的HA功能配置,操作步骤如下:
(1) 选定一台License Server作为主License Server
¡ 如果两台License Server都为全新安装,可选择任意一台作为主License Server;
¡ 如果由原单机方式部署改为HA方式部署,请选择原单机License Server作为主License Server;
¡ 如果两台License Server都使用过,请务必核对每台License Server上的数据,选择需要保留数据的License Server作为主License Server。
(2) 登录主License Server。
(3) 在配置HA页面选择IP版本,输入HA ID、虚拟IP地址、主IP地址及备IP地址。
¡ HA ID不能与组网中同一广播域下VRRP备份组的VRID冲突;
¡ 虚拟IP地址需保证为空闲IP地址,且不能与其他业务或集群的虚拟IP地址冲突;
¡ 主IP地址及备IP地址请使用主备License Server的静态IP地址。
(4) 单击<确定>按钮,等待创建HA操作完成。
(5) 创建HA操作完成后,查看HA页面,确认HA配置信息正确以及两台License Server的状态正常,当备License Server的状态显示为active时,表示HA创建成功。
(6) HA创建成功后,客户端务必使用License Server HA集群的虚拟IP地址进行连接。
· 安装License Server时要求主备License Server的各个端口号配置相同,否则会导致HA功能无法正常使用。
· 配置HA功能前,请检查主备License Server系统时间,确保主备License Server系统时间一致。
· 配置HA功能后,备License Server的Core服务会更改为inactive状态,其它服务仍为active状态;请不要修改服务器网卡的配置文件,否则可能会导致HA功能运行异常。
· 当License Server运行在HA模式时,为了确保成员License Server之间信息交互的性能,建议提高交换机与License Server连接端口的端口优先级,即将交换机与License Server连接端口的优先级,包括lp(本地优先级)、dot1p(802.1p优先级)、dscp(DSCP优先级)都设置为较高的数值。
· 建议配置日志服务器用于接收License Server的系统日志,监控HA状态以及授权状态。
在获取License文件并安装到License Server之前,如果设备信息文件对应的服务器出现变更网卡(包括禁用网卡、启用新网卡、更换网卡或旧网卡损坏等)、更换主板、更换CPU或升级BIOS等硬件信息的变更,可能会导致License文件失效,无法安装到License Server。此时需申请授权变更,请联系技术支持人员处理。
License Server上已安装授权后,如果设备信息文件对应的服务器出现更换主板、更换CPU或升级BIOS等硬件信息的变更,可能会导致License文件失效。如需变更硬件信息,需要对已安装的正式版授权进行授权迁移操作。如果授权迁移操作对业务有影响,需在授权迁移前采取预防措施,例如申请并安装临时授权,使得客户端在授权迁移时可使用临时授权。授权迁移具体步骤如下:
(1) 登录授权所在的License Server,单击[License/安装]菜单项,进入激活文件管理页面。
(2) 选定要迁移的激活文件,在“操作”区段首先单击
按钮,使激活文件进入卸载状态,然后单击
按钮(中间位置),导出卸载文件并保存。
硬件信息变更后,登录License Server,单击[License/安装]菜单项,在该页面单击<导出DID>按钮获取设备信息文件。
访问网址http://www.h3c.com/cn/License,单击“设备授权迁移申请”,进入“设备授权迁移申请”页面。使用已导出的卸载文件和升级后的License Server设备信息文件进行授权迁移,生成新的激活文件。
(1) 登录硬件变更后的License Server,单击[License/安装]菜单项,进入激活文件管理页面。
(2) 单击<安装激活文件>按钮,在弹出的对话框中单击<浏览>按钮,选择保存在本地的License文件。单击<确定>按钮,上传选中的License文件。上传成功后在激活文件管理页面会显示获取的授权信息。
· 修改IP地址过程中,客户端与License Server之间的网络连接会断开,请与客户端技术支持人员确认评估其影响。
· 修改IP地址过程中,如果客户端需要与License Server重新建立连接,请与客户端技术支持人员确认评估该操作的影响。
License Server单机部署时,修改IP地址对License Server无影响,如果客户端使用该IP连接License Server,在修改IP地址后,客户端需要重新配置License Server IP地址,连接License Server。
HA部署时修改节点物理IP地址的具体步骤如下:
(1) 确认License Server HA状态为正常状态。
通过License Server虚拟IP地址(VIP)登录,在[HA]页面查看HA配置及状态,确保备License Server的状态为active。
(2) 删除HA。
在[HA]页面删除HA,操作成功后,分别通过各节点物理IP地址登录,在[HA]页面查看HA配置已删除。
(3) 修改节点物理IP地址。
修改指定节点的物理IP地址并使其生效。
(4) 使用删除HA前的主作为主License Server重新创建HA。
通过删除HA前的主License Server的物理IP地址登录,在[HA]页面输入原HA ID、原虚拟IP地址、(修改后的)主IP地址、(修改后的)备IP地址创建HA。创建成功后,需再次确认HA状态为正常状态。
(5) 确认客户端侧连接及授权状态。
在客户端侧确认连接及授权状态正常。
HA部署时修改虚拟IP地址的具体步骤如下:
(1) 确认License Server HA状态为正常状态。
通过License Server虚拟IP地址(VIP)登录,在[HA]页面查看HA配置及状态,确保备License Server的状态为active。
(2) 删除HA。
在[HA]页面删除HA,操作成功后,分别通过各节点物理IP地址登录,在[HA]页面查看HA配置已删除。
(3) 使用删除HA前的主作为主License Server重新创建HA。
通过删除HA前的主License Server的物理IP地址登录,在[HA]页面输入原HA ID、新虚拟IP地址、主IP地址、备IP地址创建HA。创建成功后,需再次确认HA状态为正常状态。
(4) 客户端重新连接License Server。
客户端重新配置License Server IP地址,连接License Server,配置完成后确认连接及授权状态正常。
为了能保持客户端配置的License Server地址不变,减少配置工作量,可采取如下操作步骤:
(1) 修改物理IP地址。
将当前License Server的IP地址修改成1个新的IP地址,并使新IP地址生效。
(2) 使用原IP地址作为虚拟IP,原单机作为主License Server创建HA。
通过License Server的新IP地址登录,在[HA]页面创建HA,其中虚拟IP使用修改前的License Server IP地址。
(3) 确认License Server HA状态为正常状态。
通过License Server虚拟IP地址登录,在[HA]页面查看HA配置及状态,确保备License Server的状态为active。
(4) 确认客户端侧连接及授权状态。
在客户端侧确认连接及授权状态正常。
卸载License Server软件并不删除已安装的授权信息,重新安装原版本License Server或升级到新版本License Server,授权继续可用。
备份恢复功能不支持恢复授权信息,仅支持恢复客户端配置、系统配置、日志配置等配置。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
