HP

分區管理員說明

繁體中文
  開始與停止   

開始與停止

目錄
索引
協助
綜覽
關於分區
開始與停止
複合系統範圍
分區範圍
單元範圍
I/O 機座範圍
動作
狀態指示燈
訊息
版本需知
關於分區管理員
辭彙
使用輔助說明
 分區管理員元件
 parmgr 命令
 自 HP System Management Homepage 啟動
 自 HP Systems Insight Manager 啟動
 自 SAM 啟動
 使用者認證
 階段作業逾時
 WBEM 服務
 管理 SSL 憑證
 nPartition 配置權限
 IP 過濾和防火牆
 Bastille
 效能問題

您能夠以下列任一方式啟動分區管理員:

本說明頁將簡要說明上述各方法。若需線上援助頁或其他相關文件作為參考,請參閱協助說明主題。

分區管理員元件

分區管理員是在 Tomcat-based Servlet Engine 中執行的。在 HP-UX 上,Tomcat-based Servlet Engine 是 HP-UX 網頁伺服器套件的元件;在 Microsoft® Windows® 上,則由 JSP/Servlet Container for HP System Management Homepage 提供。啟動分區管理員時,HP System Management Homepage 會自動啟動 Servlet Engine。

分區管理員使用 HP WBEM Services,自 nPartition Provider 取得 nPartition 的資訊。WBEM 服務在 HP-UX 上由 CIM 伺服器提供;在 Microsoft® Windows® 上則由 WMI 提供。若需配置和執行 WBEM 服務提供程式的相關資訊,請參閱下文的 WBEM 服務一節。在本機複合系統中,於 IPMI 的 BT 介面上與服務處理器互動。與遠端複合系統的互動則經由區域網路介面透過 IPMI 進行。若需相關資訊,請參閱下文的使用者認證一節。

分區管理員透過用戶端系統上執行的網頁瀏覽器與使用者互動。用戶端系統和伺服器系統可以為同一系統,也可以是不同的工作站或 PC。並非所有網頁瀏覽器皆受分區管理員支援。在執行 HP-UX 11i v1 (B.11.11) 或 HP-UX 11i v2 (B.11.23) 的工作站和伺服器上,分區管理員支援使用由作業環境隨附軟體安裝的預設網頁瀏覽器;在 PC 上,分區管理員支援使用 Microsoft® Internet Explorer 6.0 版和 Netscape 7.0 版。

分區管理員執行 partition(1) 命令以執行管理功能。

parmgr 命令

在 HP-UX 上,/opt/parmgr/bin/parmgr 命令可啟動或停止 HP System Management Homepage 和執行分區管理員的用戶端網頁瀏覽器。 啟動分區管理員時,HP System Management Homepage 會自動啟動 Tomcat-based Servlet Engine。 圖 1 顯示命令語法。 表 1 顯示部份命令選項的快速摘要。 若需 parmgr 命令行的完整說明,請參閱 parmgr(1M) 線上援助頁。

Microsoft® Windows® 上不提供 parmgr 命令。HP System Management Homepage 會自動啟動 Tomcat-based Servlet Engine。

圖 1 parmgr 命令語法

parmgr [-h] [-F] [-b]

parmgr -t create [-F] [-b]

parmgr -t modify -p nPartition_id [-F] [-b]

parmgr -t par_details -p nPartition_id [-F] [-b]

parmgr -t cell_details -c { 機箱_編號/插槽_編號 | 全域_單元_編號 } [-F] [-b]

parmgr -t io_details -i 機箱_編號/機槽_編號/機座_編號 [-F] [-b]

parmgr -t complex_details [-F] [-b]

parmgr 命令會啟動尚未執行的用戶端網頁瀏覽器。若網頁瀏覽器未安裝於預設的位置,您必須將 BROWSER 環境變數設為該瀏覽器的路徑。若您使用 X Window 系統來管理網頁瀏覽器的顯示畫面,則必須將 DISPLAY 環境變數設為 X 伺服器的顯示名稱。

若網頁瀏覽器已執行,parmgr 會嘗試使用現有的瀏覽器視窗。網頁瀏覽器會顯示登入畫面。在您登入並進行身分認證後,分區管理員即啟動。

表 1 parmgr 命令選項 (摘要)

-h 顯示命令行參數的輔助說明,然後離開。
-F 即使 parmgr 無法判斷 X 伺服器和用戶端網頁瀏覽器之間的通訊是否安全,仍強迫使用用戶端網頁瀏覽器。若不使用此選項,則分區管理員只會在判定 X 伺服器和用戶端網頁瀏覽器之間的通訊安全時才會啟動網頁瀏覽器。
-b 若使用 管理員 (root) 權限登入,則會略過 HP System Management Homepage 認證作業。

欲在 HP-UX 11i v1 上使用此功能,必須安裝可自 HP 軟體儲存站取得的 KRNG11i (HP-UX 11i v1 的強固亂數產生器軟體)。

-t 動作_名稱 動作_選項 啟動特定的分區管理員工具。通常分區管理員會在複合系統範圍硬體視界中啟動。使用此選項可在不同的視界或動作中啟動分區管理員。

 

自 HP System Management Homepage 啟動

程序 1 自 HP System Management Homepage 啟動分區管理員

  1. 將您的網頁瀏覽器指向安裝分區管理員之伺服器的 HP System Management Homepage URL:

    http://伺服器-主機名稱:2301/

    其中伺服器-主機名稱是伺服器的主機名稱。

    若此伺服器上停用 HP System Management Homepage 的自動啟動功能,則需先啟動 HP System Management Homepage。若需詳細資訊,請參閱 smhstartconfig(1M)

  2. 請登入 HP System Management Homepage。

  3. 選取 Tools 功能表。

  4. nPartition Management 工具清單選擇下列其中一個項目。分區管理員會在 HP System Management Homepage 入口網站中以工作區的形式執行。

    • 檢視與管理複合系統.  執行 HP System Management Homepage 的複合系統會顯示複合系統範圍硬體視界

      若 HP System Management Homepage 伺服器未在 nPartition 上執行,則選取此功能表項目後,系統會要求您登入欲管理的複合系統或 nPartition。若需詳細資訊,請參閱下文的使用者認證一節。

    • 檢視與管理遠端複合系統.  系統會要求您登入欲管理的複合系統或 nPartition。若需詳細資訊,請參閱下文的使用者認證一節。

自 HP Systems Insight Manager 啟動

程序 2 自 HP Systems Insight Manager 啟動分區管理員

  1. 將您的網頁瀏覽器指向安裝分區管理員之伺服器的 HP Systems Insight Manager URL:

    http://伺服器-主機名稱:280/

    其中伺服器-主機名稱是伺服器的主機名稱。

  2. 請登入 HP Systems Insight Manager。

  3. ConfigurePartition Management 功能表選擇下列其中一個選項。系統會要求您選取一個欲管理的目標系統。您只能選取一個單一的目標系統。分區管理員會在 HP Systems Insight Manager 入口網站中以工作區的形式執行。

自 SAM 啟動

程序 3 自 HP-UX 的 SAM 啟動分區管理員

  1. 使用 sam(1M) 命令啟動 SAM

  2. 請自主畫面選取分區管理員功能區。SAM 會執行 parmgr 命令搭配 -F 選項。若用戶端網頁瀏覽器已執行,parmgr 會嘗試使用現有的瀏覽器視窗。

  3. 網頁瀏覽器首先會顯示登入畫面。在登入以及視需要進行身分認證之後,分區管理員會顯示複合系統範圍硬體視界。但是,若分區管理員偵測到複合系統中有任何可能的配置問題,則會先顯示分析複合系統的運作狀況動作。

使用者認證

對分區管理員的存取視您為獲授權的使用者未獲授權的使用者而定。未獲授權的使用者僅能檢視資訊,無法執行任何變更遠端 nPartition 或其隸屬之複合系統的工作。獲授權的使用者可以在分區管理員中執行所有工作 (若需可能適用於獲授權之使用者的限制資訊,請參閱配置權限說明主題)。

網頁瀏覽器連線至分區管理員時,會進行兩階段的身份認證。

  1. 登入畫面會要求您輸入使用者名稱和密碼 (若分區管理員由 HP System Management Homepage 或 HP Systems Insight Manager 啟動,則已執行此認證層級)。若在本機 nPartition 上執行,則分區管理員會立即啟動。若使用者名稱代表本機系統上獲授權的使用者,則您會擁有獲授權的存取。

  2. 若尚未在本機 nPartition 上執行分區管理員,則必須提供額外的資格證明才能存取遠端系統。您有兩種選擇。

    遠端 nPartition.  欲管理遠端 nPartition (及其隸屬的複合系統),您必須提供 nPartition 的主機名稱或 IP 位址、遠端 nPartition 認可的使用者名稱,以及該使用者名稱的密碼。登入畫面中已輸入預設的使用者名稱。填寫各欄位之後,按一下 [連線到遠端 nPartition]。

    分區管理員會使用您提供的使用者名稱和密碼,透過 WBEM 與遠端 nPartition 通訊。若使用者名稱代表遠端 nPartition 上獲授權的使用者,則您會擁有獲授權的存取。

    若 WBEM 使用者名稱和密碼並非在複合系統的所有 nPartition 上均有效,則分區管理員無法從其他 nPartition 取得某些資訊。欲簡化複合系統的管理,請在複合系統的所有 nPartition 上使用同一組 WBEM 使用者名稱和密碼。

    遠端可分區複合系統.  欲經由區域網路透過 IPMI 管理遠端複合系統,您必須提供遠端複合系統上服務處理器的主機名稱或 IP 位址,以及服務處理器的 IPMI 密碼 (登入服務處理器,並自命令功能表使用 SO 命令即可設定或變更 IPMI 密碼)。填寫各欄位之後,按一下[連線到遠端複合系統]。

    若試圖使用此選項連線時出現錯誤報告,請檢查區域網路上的 IPMI 是否並未在遠端服務處理器上停用。登入服務處理器,並自命令功能表使用 SA 命令即可啟用或停用經由區域網路透過 IPMI 存取複合系統。

您可在分區管理員中使用工具複合系統切換動作以顯示這些選項,之後便可選擇不同的複合系統以進行管理。

階段作業逾時

若 HP System Management Homepage 經過約 30 分鐘後未察覺動作,則階段作業會過期。您必須再次登入以繼續作業。

欲手動結束階段作業,請登出 HP System Management Homepage,若分區管理員畫面的右上角顯示登出連結,則請按下該連結。

WBEM 服務

CIM 伺服器為 HP-UX 上的 HP WBEM 服務施行共通資訊模式 (Common Information Model)。CIM 伺服器會自 nPartition Provider 取得 nPartition 資訊。

Microsoft® Windows® 下,這些服務則由 WMI (Windows Management Instrumentation,Windows 管理工具) 使用 Pegasus/WMI Mapper 服務施行。nPartition Provider 則由 WMI nPar Provider 服務施行。

分區管理員在 nPartition 上執行以管理本機複合系統時,WBEM 服務提供程式必須在本機 nPartition 上執行。

分區管理員經由區域網路透過 IPMI 連線至遠端可分區系統的服務處理器時,WBEM 服務提供程式必須在分區管理員執行的系統上執行。

分區管理員透過 WBEM 連線至遠端 nPartition 時,WBEM 服務提供程式必須在該遠端 nPartition 上執行。欲以此方式連線,可能需執行下文說明的額外配置步驟。

  1. 欲以獲授權使用者的身分連線,在遠端 nPartition 上執行之 WBEM 服務提供程式的 enableRemotePrivilegedUserAccess 參數必須設為 true。此為預設值,但可由系統管理員變更。在 HP-UX 上,請使用 cimconfig(1M) 命令檢查或變更此參數的設定。進行任何配置變更後請重新啟動 CIM 伺服器。在 Windows 上,請編輯 %PEGASUS_HOME%\cimserver_planned.conf 檔並重新啟動 Pegasus/WMI Mapper 服務。

    若未以獲授權的使用者身分連線,則僅能在分區管理員中檢視資訊,而無法執行任何變更遠端 nPartition 或其所屬複合系統的工作。

  2. 分區管理員會在用戶端和 WBEM 服務提供程式之間使用安全資料傳輸層 (Secure Socket Layer,SSL) 連線。WBEM 服務提供程式必須啟用 SSL 連線 (enableHttpsConnection 參數需設為 true)。在 HP-UX 上,請使用 cimconfig(1M) 命令檢查或變更此參數的設定。進行任何配置變更後請重新啟動 CIM 伺服器。在 Windows 上,請編輯 %PEGASUS_HOME%\cimserver_planned.conf 檔並重新啟動 Pegasus/WMI Mapper 服務。

  3. 分區管理員預設會驗證和 SSL 連線共用的憑證,意即用戶端的憑證信賴電子商店必須包含遠端 nPartition 的伺服器憑證。若需匯出和匯入憑證的指示說明,請參閱下文的管理 SSL 憑證一節。

    若您的環境不需要憑證驗證所提供的額外安全性,則可停用此功能。欲執行此作業,請編輯 CIM 屬性檔:

    [Windows:]
    C:\hp\hpsmh\tomcat\webapps\parmgr\WEB-INF\lib\cim.properties

    [HP-UX:]
    /opt/hpsmh/tomcat/webapps/parmgr/WEB-INF/lib/cim.properties

    請移除檔案內下行中的註解字首 (//):

    //TrustManager=org.snia.wbemcmd.xml.DontValidateCertificate

若需配置 WBEM 服務提供程式的相關資訊,請參閱 cimconfig(1M)cimserver(1M) 線上援助頁。

管理 SSL 憑證

欲在分區管理員中啟用 SSL 憑證驗證,必須自欲連線之遠端 nPartition 上的 WBEM 服務提供程式匯出伺服器憑證,然後將這些憑證匯入執行分區管理員的金鑰庫 (keystore) 中。請遵循下列步驟。

程序 4 自 WBEM 服務提供程式取得憑證檔。

  1. 找出欲連線之遠端 nPartition 上的 WBEM 服務提供程式憑證檔 (cert.pem)。欲找到正確的檔案,請開啟 WBEM 服務提供程式配置檔:

    [Windows:]%PEGASUS_HOME%\cimserver_current.conf
    [HP-UX:]$PEGASUS_HOME/cimserver_current.conf 

    此伺服器憑證檔的位置由 sslCertificateFilePath 設定配置,通常設為:

    [Windows:]C:\hp\sslshare\cert.pem      
    [HP-UX:]/etc/opt/hp/sslshare/cert.pem

    若沒有 sslCertificateFilePath 設定,則預設的伺服器憑證檔為:

    [Windows:]%PEGASUS_HOME%\server.pem
    [HP-UX:]$PEGASUS_HOME/server.pem 
  2. 請將步驟 1 的憑證檔 (cert.pemserver.pem) 複製到用戶端系統。

    將憑證檔複製到用戶端系統的暫存目錄 (而非 sslshare 目錄) 下。請勿覆寫用戶端系統 sslshare 目錄中的 cert.pemserver.pem 檔案。

程序 5 在用戶端上匯入憑證檔

  1. 將憑證匯入分區管理員的金鑰庫:

    [Windows:]
    %JAVA_HOME%\bin\keytool -import \
    -alias 伺服器_主機名稱 \
    -file cert.pem \
    -keystore %SystemDrive%\hp\sslshare\parmgr.keystore
    
    [HP-UX:]
    $JAVA_HOME/bin/keytool -import \
    -alias 伺服器_主機名稱 \
    -file cert.pem \
    -keystore /etc/opt/hp/sslshare/parmgr.keystore

    出現提示畫面時,請輸入金鑰庫的密碼。若 parmgr.keystore 檔案尚未存在 (此為您匯入的第一個憑證),則此命令會建立新的金鑰庫檔案。在此情形下,您輸入的任何密碼會成為此金鑰庫指派的密碼。

    請使用您記得的密碼,下次將憑證匯入金鑰庫時會需要此密碼。

  2. 欲啟用分區管理員使用之 partition(1) 命令的憑證驗證,請將 cert.pem 的內容附加到下列檔案的結尾:

    [Windows:]%SystemDrive%\hp\sslshare\client.pem
    [HP-UX:]/var/opt/wbem/client.pem
  3. Microsoft® Windows® 上,重新啟動 「HP System Management Homepage」 服務 (SysMgmtHP) 或使 Windows 重新開機。

nPartition 配置權限

在本機 nPartition 執行分區管理員時,或透過 WBEM 連接遠端 nPartition 時,在複合系統上執行配置作業的能力會受 nPartition 配置權限 設定的影響。若需詳細資訊,請參閱配置權限主題。

IP 過濾和防火牆

IP 過濾和網路防火牆可阻擋某些類型的內送和外送 IP 封包。若使用這些產品,必須確認符合下列需求。

  1. 不得停用連接埠 2301 和 2381。會使用連接埠自網頁瀏覽器啟動 HP System Management Homepage。

  2. WBEM 使用的連接埠不得停用。分區管理員會將所有 WBEM 請求送至連接埠 5989,收到回覆時,核心程式會協調各個用於回覆 parmgr 的連接埠。在 WBEM 停用時無法使用分區管理員。

若需 HP-UX 上 IP 過濾的相關資訊,請參閱 ipf(8)

Bastille

Bastille 是強化 HP-UX 主機安全性的系統強化程式,它會將協助程式、系統設定和防火牆配置得更為安全。Bastille 可關閉不必要的服務和工具,如 rcp(1)rlogin(1),亦可協助您限制常用的網際網路服務 (例如網頁伺服器和 DNS) 的弱點。

Bastille 用來鎖定系統的其中一項工具即為 IP 過濾。若需並用 IP 過濾與分區管理員的需求,請參閱前一節。若使用 Bastille 的互動使用者介面,在回答 Bastille 的詢問時請注意這些問題。

Bastille 也有三個安裝時點 (install-time) 的安全性選項,由 /etc/opt/sec_mgmt/bastille 內的下列檔案代表。

HOST.config

以主機為基礎的鎖定 (lockdown),無 IPFilter 配置。使用本配置對分區管理員並無影響。

MANDMZ.config

相當嚴格的鎖定,但仍留下可自由選擇的網路連接埠,供一般管理通訊協定和工具使用。例如,使用本配置時 WBEM 仍可作用。

在此配置下啟動分區管理員需使用 SSH 或變更以啟用連接埠 2301 和 2381。

欲在停用連接埠 2301 和 2381 的系統上啟動分區管理員,請增加下列項目以調整 IP 過濾:

pass in quick proto tcp from any to any port = 2301
flags S/0xff keep state keep frags

pass in quick proto tcp from any to any port = 2381
flags S/0xff keep state keep frags
                

請在執行 Bastille 前將上述項目新增至 /etc/opt/sec_mgmt/bastille/ipf.customrules

若需相關資訊,請參閱 ipf(5)

DMZ.config

嚴格的鎖定。在此配置下啟動分區管理員需使用 SSH。

Bastille 亦會影響使用分區管理員遠端管理啟用 Bastille 的系統。在正常的憑證傳輸後,若使用 HOST.configMANDMZ.config 配置,則分區管理員會如上所述運作。但 DMZ.config 配置會阻擋 WBEM 訊務,並因而使分區管理員無法遠端管理系統。

若需 Bastille 的相關資訊,請參閱 bastille(1M),和安裝在 /opt/sec_mgmt_bastille/docs/user_guide.txt 的《Bastille User Guide》。

效能問題

在啟動或重新啟動 Tomcat-based Servlet Engine 後,初次顯示各分區管理員視界時可能會發生顯著的延遲,這是因為 Java 伺服器頁進行初始編譯的緣故。顯示特定視界後,該視界後續的顯示速度都會明顯加快。

管理遠端可分區複合系統時,若連線需跨越漫長的網路距離,例如從位於紐約的系統管理位於加州的可分區複合系統,則效能會降低。此外,管理遠端系統時,連線至遠端 nPartition 而非直接連線至遠端系統的服務處理器可以提升效能。

管理遠端系統時,若在本機系統上執行網頁瀏覽器,而非在本機 X 伺服器上遠端執行瀏覽器,可能可以提升效能。

nPartition Provider 會維護受管理之系統的資訊快取。WBEM 服務提供程式卸載 nPartition Provider 時會清除此快取。初次管理系統,或在 WBEM 服務提供程式重新啟動後立即管理系統可能會降低效能,但同一系統的後續管理階段作業速度則會加快。