可以使用下列任何方式启动分区管理器:
此帮助页简要说明上述各种方法。有关联机帮助页和其他相关文档的参考,请参考帮助帮助主题。
分区管理器组件
分区管理器运行在基于 Tomcat 的 Servlet 引擎中。在 HP-UX 上,基于 Tomcat 的 Servlet 引擎是 HP-UX Web 服务器套件的一个组件。在 Microsoft® Windows® 上,则由用于 HP System Management Homepage 的 JSP/Servlet Container 提供。当启动分区管理器时,Servlet 引擎由 HP System Management Homepage 自动启动。
分区管理器使用 HP WBEM 服务来从 nPartition Provider 获得 nPartition 的相关信息。WBEM 服务由 HP-UX 上的 CIM 服务器和 Microsoft® Windows® 上的 WMI 提供。有关配置和运行 WBEM Service 提供器的信息,请参考下面的 WBEM 服务部分。与本地组合系统上的服务处理器的交互操作在 IPMI BT 界面上进行。与远程组合系统的交互操作在 LAN 上的 IPMI 接口上进行。有关其他信息,请参阅下面的用户身份验证部分。
分区管理器通过运行在客户端系统的 Web 浏览器与用户进行交互。客户端系统可以与服务器系统相同,也可以是独立的工作站或 PC。并非所有 Web 浏览器都受到分区管理器支持。在运行 HP-UX 11i v1 (B.11.11) 或 HP-UX 11i v2 (B.11.23) 的工作站和服务器上,分区管理器支持使用通过操作环境 (OE) 操作环境 (OE) 软件包安装的缺省 Web 浏览器。在 PC 上,分区管理器支持使用 Microsoft® Internet Explorer 6.0 版和 Netscape 7.0 版。
分区管理器执行 partition(1) 命令来实现管理功能。
parmgr 命令
在 HP-UX,/opt/parmgr/bin/parmgr 命令启动 HP System Management Homepage,并且运行分区管理器 HP System Management Homepage 的一个客户端 Web 浏览器在分区管理器启动时,自动启动 基于 Tomcat 的 Servlet 引擎。
图 1 显示命令语法。表 1 显示一些命令选项的简要列表。
有关 parmgr 命令的完整描述,请参阅 parmgr(1M) 联机帮助页。
如果客户端 Web 浏览器没有运行,则 parmgr 命令将启动该浏览器。如果 Web 浏览器已安装在缺省位置以外的其他地方,必须将 BROWSER 环境变量设置为浏览器的路径。如果正在使用 X 窗口系统管理 Web 浏览器显示,必须将 DISPLAY 环境变量设置为 X 服务器显示名。
如果 Web 浏览器已运行,parmgr 将尝试使用现有的浏览器窗口。Web 浏览器将显示登录屏幕。登录并验证身份后,分区管理器将启动。
表 1 parmgr 命令选项(摘要) -h |
先是关于命令行参数的帮助,然后退出。
| -F |
强令使用一个客户端 Web 浏览器,即使 parmgr 命令无法确定 X 服务器和客户端浏览器之间的通信是否安全。如果没有该选项,当分区管理器可以确定 X 服务器和客户端浏览器之间的通信是安全的,将仅启动 Web 浏览器。
| -b |
如果已经使用“Administrator (root)”权限登录,则绕过 HP System Management Homepage 身份验证。
| -t action_name action_options |
启动一个特定分区管理器工具。通常,分区管理器在组合系统范围硬件视图启动。使用此选项在另一视图或操作启动分区管理器。
|
从 HP 系统管理主页启动过程 1 从 HP System Management Homepage 启动分区管理器
在已安装分区管理器的服务器上,使 Web 浏览器指向 HP System Management Homepage URL。
http://server-hostname:2301/
此处 server-hostname 是服务器的主机名称。
登录到 HP System Management Homepage。
选择工具菜单。
从 nPartition 管理工具列表中选择下列中的一项。分区管理器将作为 HP System Management Homepage 门户中的一个工作区运行。
查看和管理组合系统.
组合系统运行 HP System Management Homepage 时,将显示组合系统范围硬件视图。
如果 HP System Management Homepage 服务器未运行在 nPartition 中,则在选择该菜单项后,系统会提示您登录到要管理的组合系统或 nPartition。有关其他信息,请参阅下面的用户身份验证部分。
查看和管理远程组合系统.
要求登录到要管理的组合系统或 nPartition。有关其他信息,请参阅下面的用户身份验证部分。
从 HP Systems Insight Manager 启动过程 2 从 HP Systems Insight Manager 启动分区管理器
在已安装分区管理器的服务器上,使 Web 浏览器指向 HP Systems Insight Manager URL。
http://server-hostname:280/
此处 server-hostname 是服务器的主机名称。
登录到 HP Systems Insight Manager。
从配置 分区管理菜单选择下列中一项。要求您选择要管理的一个目标系统。仅能选择一个单个目标系统。分区管理器将作为 HP Systems Insight Manager 门户中的一个工作区运行。
从 SAM 启动过程 3 在 HP-UX 中从 SAM 启动分区管理器
使用 sam(1M) 命令启动 SAM。
从主屏幕选择 Partition Manager 功能区域。SAM 将使用 -F 选项执行 parmgr 命令。如果客户端 Web 浏览器已在运行,parmgr 将尝试使用现有的浏览器窗口。
Web 浏览器将首先显示登录屏幕。登录并验证身份(如有必要)后,分区管理器将显示组合系统范围硬件视图。但是,如果分区管理器在组合系统中检测到任何可能的配置故障,则会首先显示分析组合系统运行状况操作。
用户身份验证您对分区管理器拥有的访问权限取决于您是特权用户还是非特权用户。非特权用户只能查看信息,不能执行任何更改远程 nPartition 及其所属组合系统的任务。特权用户可以执行分区管理器中的所有任务(有关可能应用于特权用户的限制的信息,请参考配置权限帮助主题。
当 Web 浏览器连接到分区管理器时,您的身份分两阶段进行验证。
登录屏幕要求输入用户名和口令(如果从 HP System Management Homepage 或 HP Systems Insight Manager 启动分区管理器,则已经执行了这一级别的身份验证)。如果在本地 nPartition 中运行,分区管理器将立即启动。如果用户名代表本地系统上的特权用户,您将拥有特权。
如果不在本地 nPartition 上运行分区管理器,必须提供其他证书,以便访问远程系统。系统将提供两个选择。
远程 nPartition.
要管理远程 nPartition(及其所属组合系统),必须提供 nPartition 的主机名或 IP 地址、远程 nPartition 所知道的用户名以及与用户名关联的口令。缺省情况下,用户名即是登录屏幕中输入的用户名。填充字段后,单击 [连接到远程 nPartition]。
分区管理器将通过 WBEM 使用已提供的用户名和口令,与远程 nPartition 进行通信。如果用户名代表远程 nPartition 上的特权用户,您将拥有特权。
如果 WBEM 用户名和口令并非在组合系统的所有 nPartition 中都有效,则分区管理器将无法获得来自其他 nPartition 的某些信息。要简化对组合系统的管理,请在组合系统的所有 nPartition 中使用一套一致的 WBEM 用户名和口令。
远程可分区组合系统.
要通过 LAN 上的 IPMI 管理远程组合系统,必须提供远程组合系统上服务处理器的主机名或 IP 地址,以及该服务处理器的 IPMI 口令(通过登录到服务处理器,然后使用命令菜单中的 SO 命令,可设置或更改 IPMI 口令)。填充字段后,单击 [连接到远程组合系统]。
如果当您试图使用此选项进行连接时报告错误,请进行检查,看看在远程服务处理器上是否禁用了 LAN 上的 IPMI 访问。通过登录到服务处理器,然后使用命令菜单中的 SA 命令,可启用或禁用通过 LAN 上的 IPMI 对组合系统的访问。
在分区管理器中,可以使用工具 切换组合系统操作来显示这些选项。然后可以选择要管理的不同组合系统。
会话超时
如果 HP System Management Homepage 约 30 分钟看不到任何活动,会话将过期。必须再次登录,才能继续操作。
要手动结束会话,可退出 HP System Management Homepage,或者单击在分区管理器屏幕右上方显示的注销链接。
WBEM 服务
CIM 服务器可在 HP-UX 上为 HP WBEM 服务实现通用信息模型。CIM 服务器可从 nPartition Provider 获取 nPartition 的相关信息。
在 Microsoft® Windows® 中,这些服务将由 WMI (Windows Management Instrumentation) 使用 Pegasus/WMI Mapper 服务来实现。nPartition Provider 由 WMI nPar Provider 服务实现。
当分区管理器运行在 nPartition 上来管理本地组合系统时,WBEM Service 提供器必须运行在本地 nPartition 上。
当分区管理器通过 LAN 上的 IPMI 连接到远程可分区系统的服务处理器时,WBEM Service 提供器必须与分区管理器运行在同一系统上。
当分区管理器通过 WBEM 连接到远程 nPartition 时,WBEM Service 提供器必须运行在该远程 nPartition 上。为了以这种方式进行连接,可能需要执行下面介绍的附加配置步骤。
为了以特权用户身份进行连接,运行在远程 nPartition 上的 WBEM Service 提供器中的 enableRemotePrivilegedUserAccess 参数必须设置为 true。这是缺省设置,但可由系统管理员更改。在 HP-UX 上,可以使用 cimconfig(1M) 命令检查或更改该参数的设置。更改了任何配置后,请重新启动 CIM 服务器。在 Windows 上,编辑文件 %PEGASUS_HOME%\cimserver_planned.conf 并重新启动 Pegasus/WMI Mapper 服务。
如果您未以特权用户身份进行连接,您只能在分区管理器中查看信息。您不能执行任何更改远程 nPartition 及其所属组合系统的任务。 分区管理器在客户端和 WBEM Service 提供器之间使用安全套接字层 (SSL) 连接。WBEM Service 提供器必须启用 SSL 连接(enableHttpsConnection 参数必须设置为 true)。在 HP-UX 上,可以使用 cimconfig(1M) 命令检查或更改该参数的设置。更改了任何配置后,请重新启动 CIM 服务器。在 Windows 上,编辑文件 %PEGASUS_HOME%\cimserver_planned.conf 并重新启动 Pegasus/WMI Mapper 服务。 缺省情况下,分区管理器将验证与 SSL 连接配合使用的证书。这意味着,证书信任存储区必须包含远程 nPartition 的服务器证书。有关导入和导出证书的说明,请参考下面的管理 SSL 证书部分。
如果您的环境不要求由证书验证提供其他安全性,可以禁用此功能。要进行此操作,可编辑 CIM 属性文件:
[Windows]
C:\hp\hpsmh\tomcat\webapps\parmgr\WEB-INF\lib\cim.properties
[HP-UX]
/opt/hpsmh/tomcat/webapps/parmgr/WEB-INF/lib/cim.properties
在文件中删除以下行的注释前缀 (//):
//TrustManager=org.snia.wbemcmd.xml.DontValidateCertificate
有关配置 WBEM Service 提供器的详细信息,请参考 cimconfig(1M) 和 cimserver(1M) 联机帮助页。
管理 SSL 证书要在分区管理器中启用 SSL 证书验证,必须从要连接到的远程 nPartition 上的 WBEM Service 提供器中导出服务器证书,然后将这些证书导入到正在运行分区管理器的 nParititon 中的密钥存储区。执行下面的步骤。 过程 4 从 WBEM Service 提供器获得证书文件 找到要连接到的远程 nPartition 上的 WBEM Service 提供器证书文件 (cert.pem)。要找到正确的文件,请打开 WBEM Service 提供器配置文件:
[Windows] %PEGASUS_HOME%\cimserver_current.conf
[HP-UX] $PEGASUS_HOME/cimserver_current.conf 服务器证书文件的位置通过 sslCertificateFilePath 设置进行配置。通常,它被设置为:
[Windows]C:\hp\sslshare\cert.pem
[HP-UX]/etc/opt/hp/sslshare/cert.pem 如果没有 sslCertificateFilePath 设置,缺省的服务器证书文件为:
[Windows]%PEGASUS_HOME%\server.pem
[HP-UX]$PEGASUS_HOME/server.pem 将第 1 步中找到的证书文件(cert.pem 或 server.pem)复制到客户端系统中。
过程 5 在客户端上导入证书文件 将证书导入到分区管理器密钥存储区: [Windows]
%JAVA_HOME%\bin\keytool -import \
-alias server_hostname \
-file cert.pem \
-keystore %SystemDrive%\hp\sslshare\parmgr.keystore
[HP-UX]
$JAVA_HOME/bin/keytool -import \
-alias server_hostname \
-file cert.pem \
-keystore /etc/opt/hp/sslshare/parmgr.keystore
出现提示时,输入密钥存储区的口令。如果尚无 parmgr.keystore 文件(这是您导入的第一个证书),则该命令将创建一个新的密钥存储文件。在这种情况下,输入的任何口令都会成为该密钥存储区的指定口令。
要为分区管理器所使用的 partition(1) 命令启用证书验证,请将 cert.pem 中的内容追加到以下文件的末尾:
[Windows]%SystemDrive%\hp\sslshare\client.pem
[HP-UX]/var/opt/wbem/client.pem 在 Microsoft® Windows® 上,重新启动 “HP System Management Homepage”服务 (SysMgmtHP),或重新引导 Windows。
nPartition 配置权限
在本地 nPartition 上运行分区管理器时,或通过 WBEM 连接到远程 nPartition 时,在组合系统上执行配置操作的功能会受到nPartition 配置权限的设置的影响。有关详细信息,请参考配置权限主题。
IP 过滤和防火墙
IP 过滤和网络防火墙可阻止某些类型的入站和出站 IP 数据包。如果使用这些产品,必须确保满足下列要求。
不能禁用端口 2301 和 2381。可以使用这些端口从 Web 浏览器启动 HP System Management Homepage。
不能禁用 WBEM 所用的端口。分区管理器将所有的 WBEM 请求发送到端口 5989。接收回复时,由内核协商用于将回复返回给 parmgr 的端口。如果禁用 WBEM,则不能使用分区管理器。
有关 HP-UX 上的 IP 过滤功能的详细信息,请参考 ipf(8)。
Bastille
Bastille 是增加 HP-UX 主机安全性的系统加强程序。它配置守护程序、系统设置和防火墙,使系统更为安全。它可关闭 rcp(1) 和 rlogin(1) 等不需要的服务和工具,并且有助于限制常用 Internet 服务的漏洞,如 Web 服务器和 DNS。
Bastille 用于锁定系统的一个工具是 IP 过滤。将 IP 过滤与分区管理器配合使用时,请参考上一部分的要求。如果使用 Bastille 的交互用户界面,请在回答由 Bastille 提出的询问时注意这些问题。
在 /etc/opt/sec_mgmt/bastille 中,Bastille 还有三个由下列文件表示的安装时安全性选项。
- HOST.config
按主机锁定,无 IPFilter 配置。使用此配置对分区管理器没有任何影响。
- MANDMZ.config
非常紧密的锁定时间,但会将由常用管理协议和工具使用的选择网络端口保持打开。例如,当使用此配置时,WBEM 仍然正常工作。
要在此配置下启动分区管理器,需要使用 SSH,或者进行一些更改而启用端口 2301 和 2381。
要在禁用了端口 2301 和 2381 的系统上启动分区管理器,请调整 IP 过滤功能,方法是将如下条目:
pass in quick proto tcp from any to any port = 2301
flags S/0xff keep state keep frags
pass in quick proto tcp from any to any port = 2381
flags S/0xff keep state keep frags
添加到 /etc/opt/sec_mgmt/bastille/ipf.customrules 中。
有关详细信息,请参考 ipf(5)。
- DMZ.config
紧密锁定。要在此配置下启动分区管理器,需要使用 SSH。
Bastille 还会对使用分区管理器来远程管理启用了 Bastille 的系统产生影响。如果使用 HOST.config 或 MANDMZ.config 配置,则在正常传输证书之后,分区管理器会按上述方式运行。但 DMZ.config 配置会阻塞 WBEM 流量,从而阻止分区管理器远程管理系统。
有关 Bastille 的详细信息,请参考 /opt/sec_mgmt_bastille/docs/user_guide.txt 中的 bastille(1M) 和 Bastille 使用指南。
性能问题
启动或重新启动基于 Tomcat 的 Servlet 引擎后,首次显示每个分区管理器视图时,可能发生明显的延迟。这是由于 Java 服务器页的初始编译所造成的。显示指定的视图后,该视图的后续显示将明显变快。
管理远程的可分区组合系统时,如果连接遍历很长的网络距离,例如从纽约的系统管理加利福尼亚的可分区组合系统,则性能会降低。而且,管理远程系统时,通过连接到 nPartition,而不是直接连接到远程系统的服务处理器,可以提高性能。
管理远程系统时,通过在本地系统上运行 Web 浏览器,而不是运行离本地 X 服务器很远的浏览器,可能会获得性能上的提高。
nPartition Provider 维护着一个有关受管理系统的信息的缓存。nParititon Provider 被 WBEM Service 提供器卸载后,该缓存将被清除。首次管理一个系统或在重新启动 WBEM Service 提供器后立即管理该系统时,性能可能会降低。同一系统的后续管理会话将变快。
|