管理机箱
Lenovo XClarity Administrator 可管理若干类型的系统,包括 Flex System 机箱。
开始之前
请在管理设备之前查看管理注意事项。有关信息,请参阅管理注意事项。
某些端口必须能够与受管机箱的 CMM 进行通信。确保这些端口可用,然后再尝试管理机箱。有关端口的详细信息,请参阅 XClarity Administrator 在线文档中的端口可用性。
确保要使用 XClarity Administrator 管理的每个机箱上都至少装有所需的最低版本固件。可在 “XClarity Administrator 支持 – 兼容性” Web 页面 中单击 Compatibility(兼容性)选项卡,然后单击相应设备类型的链接,找到所需的最低固件级别。
确保已针对机箱将 CMM 中的 LDAP 用户的同时活动会话数设置为 0(零)。可以通过单击,单击全局登录设置,然后单击常规选项卡,从 CMM Web 界面验证该设置。
确保至少设置三个 TCP Command 模式会话以便与 CMM 进行带外通信。有关设置会话数的详细信息,请参阅CMM 在线文档中的 tcpcmdmode 命令。
要从 XClarity Administrator 发现位于不同 子网的机箱,请确保满足以下条件之一:
确保在机架顶部交换机以及所处环境的路由器上启用了多播 SLP 转发。要确定是否启用了多播 SLP 转发,如果禁用,要查找启用它的过程,请参阅特定交换机或路由器随附的文档。
如果端点或网络中已禁用 SLP,则可改用 DNS 发现方法,方法是向域名服务器(DNS)手动添加服务记录(SRV 记录),例如,为 XClarity Administrator 使用此方法。
_lxca._tcp.labs.lenovo.com service = 0 0 443 fvt-xhmc3.labs.lenovo.com.然后,单击,单击 DNS 选项卡,然后选择使用 DNS 发现 Lenovo XClarity Administrator,以从管理 Web 界面启用 CMM 上的 DNS 发现。
注CMM 运行的固件级别必须为 2017 年 5 月,才能支持使用 DNS 自动发现。
如果环境中有多个 XClarity Administrator 实例,机箱仅会通过第一个响应发现请求的实例发现。机箱不能通过所有实例发现。
考虑为受 XClarity Administrator 管理的所有 CMM 和 Flex 交换机实现 IPv4 或 IPv6 地址。如果为某些 CMM 和 Flex 交换机实现 IPv4,为其他交换机实现 IPv6,则可能无法在审核日志中(或作为审核陷阱)收到某些事件。
关于本任务
XClarity Administrator 可通过探测与 XClarity Administrator 位于同一 IP 子网中的可管理系统,自动发现所处环境中的机箱。要发现其他子网中的机箱,请指定 IP 地址或 IP 地址范围,或从电子表格导入信息。
在 XClarity Administrator 管理机箱后,XClarity Administrator 将定期轮询每个受管机箱以收集清单、重要产品数据和状态等信息。可查看和监控每个受管机箱并执行管理操作(如配置系统信息、网络设置和故障转移)。对处于 Protected Mode 的机箱,禁用管理操作。
机箱使用 XClarity Administrator 受管认证管理。
对机架服务器、Lenovo 机箱及 Lenovo 机架交换机使用本地认证 时,XClarity Administrator 使用存储的凭证对设备进行认证。存储的凭证 可以是设备上的活动用户帐户或 Active Directory 服务器中的用户帐户。
使用本地认证管理设备之前必须在 XClarity Administrator 中创建中存储的凭证,且凭证须匹配设备上的活动用户帐户或者 Active Directory 服务器中的用户帐户(请参阅 XClarity Administrator 在线文档中的管理存储的凭证)。
注RackSwitch 设备仅支持使用存储的凭证进行认证。XClarity Administrator 用户凭证不受支持。
借助受管认证,可使用 XClarity Administrator 认证服务器中的凭证(而非本地凭证)来管理和监控多个设备。对设备(而不是 ThinkServer 服务器、System x M4 服务器和交换机)使用受管认证时,XClarity Administrator 将设备及其安装的组件配置为使用 XClarity Administrator 认证服务器进行集中管理。
启用受管认证后,可使用手动输入的凭证或存储的凭证管理设备(请参阅 XClarity Administrator 在线文档中的管理用户帐户和管理存储的凭证)。
仅当 XClarity Administrator 在设备上配置了 LDAP 设置,才会使用存储的凭证。此后,存储的凭证发生的任何更改都不会影响该设备的管理或监控。
注如果为设备启用了受管认证,则不能使用XClarity Administrator 编辑该设备的存储的凭证。 如果使用本地或外部 LDAP 服务器作为 XClarity Administrator 认证服务器,则应使用在该认证服务器中定义的用户帐户登录到 XClarity Administrator 域中的 XClarity Administrator、CMM 和主板管理控制器。而本地 CMM 和管理控制器用户帐户被禁用。
如果使用 SAML 2.0 身份供应商作为 XClarity Administrator 认证服务器,则 SAML 帐户无法访问受管设备。但是,当 SAML 身份供应商与 LDAP 服务器一起使用时,如果该身份供应商使用存在于 LDAP 服务器中的 LDAP 帐户,则可使用 LDAP 用户帐户登录受管设备,而 SAML 2.0 提供的更高级认证方法(例如多重认证和单点登录)可用于登录 XClarity Administrator。
借助单点登录功能,已登录 XClarity Administrator 的用户将可以自动登录到主板管理控制器。默认情况下,将 ThinkSystem 或 ThinkAgile 服务器设置为受 XClarity Administrator 管理的服务器后,即可启用单点登录(使用 CyberArk 密码管理服务器的情况除外)。可以通过配置全局设置来对所有受管 ThinkSystem 和 ThinkAgile 服务器启用或禁用单点登录。对特定 ThinkSystem 和 ThinkAgile 服务器启用单点登录会覆盖适用于所有 ThinkSystem 和 ThinkAgile 服务器的全局设置(请参阅管理服务器)。
注使用 CyberArk 标识管理系统进行认证时会自动禁用单点登录。为 ThinkSystem SR635 和 SR655 服务器启用受管认证时:
主板管理控制器固件最多支持五个 LDAP 用户角色。XClarity Administrator 在管理期间将这些 LDAP 用户角色添加到服务器中:lxc-supervisor、lxc-sysmgr、lxc-admin、lxc-fw-admin 和 lxc-os-admin。
必须至少为用户分配一个指定的 LDAP 用户角色,用户才能与 ThinkSystem SR635 和 SR655 服务器进行通信。
管理控制器固件不支持与服务器本地用户具有相同用户名的 LDAP 用户。
对于 ThinkServer 和 System x M4 服务器,不使用 XClarity Administrator 认证服务器。而是在设备上创建以“LXCA_”为前缀并后接随机字符串的 IPMI 帐户。(不会禁用现有的本地 IPMI 用户帐户。)终止管理 ThinkServer 服务器时,将禁用该“LXCA_”用户帐户,并将前缀“LXCA_”替换为前缀“DISABLED_”。为了确定 ThinkServer 服务器是否受另一实例管理,XClarity Administrator 检查是否存在以“LXCA_”为前缀的 IPMI 帐户。如果决定强制管理某个受管的 ThinkServer 服务器,则将禁用并重命名该设备上所有以“LXCA_”为前缀的 IPMI 帐户。请考虑手动清除不再使用的 IPMI 帐户。
如果您使用手动输入的凭证,XClarity Administrator 将会自动创建存储的凭证,并使用该存储的凭证来管理设备。
注如果为设备启用了受管认证,则不能使用XClarity Administrator 编辑该设备的存储的凭证。 每次使用手动输入的凭证管理设备时,将为该设备新建一个存储的凭证,即使在之前的管理过程中已为该设备创建过存储的凭证。
终止管理设备时,XClarity Administrator 不会删除管理过程中自动为该设备创建的存储的凭证。
一个设备同时只能受一个 XClarity Administrator 实例管理。不支持受多个 XClarity Administrator 实例管理。如果设备已受一个 XClarity Administrator 管理,而您要用另一 XClarity Administrator 管理它,则必须先在初始 XClarity Administrator 上终止管理该设备,然后用新的 XClarity Administrator 来管理它。如果在终止管理过程中发生错误,则可使用新的 XClarity Administrator 在管理期间选择强制管理选项。
- 使用所提供的凭证登录到机箱。
- 收集每个机箱中所有组件(如 CMM、计算节点、存储设备和 Flex 交换机)的清单。注完成管理过程后,将收集某些清单数据。机箱处于暂挂状态,直至收集所有清单数据为止。直到收集受管设备的所有清单数据并且机箱不再处于暂挂状态,才能对该设备执行某些任务(如部署 Server Pattern)。
- 配置 NTP 服务器的设置,以使所有受管设备均使用来自 XClarity Administrator 的 NTP 服务器。
- 将上次编辑的固件合规性策略分配给机箱。
- 对于 Lenovo Flex 设备,可选择性配置设备防火墙规则,以便仅接受来自 XClarity Administrator 的传入请求。
- 与 CMM 交换安全证书,期间将 CMM 安全证书复制到 XClarity Administrator 信任存储区中,并将 XClarity Administrator CA 安全证书发送到 CMM。CMM 将证书载入 CMM 信任存储区,然后将它分发到各个计算节点服务处理器以加入到其信任存储区中。
配置受管认证。CMM LDAP 客户端的设置改为使用 XClarity Administrator 作为认证服务器,而 CMM 中的“全局登录设置”改为仅限于外部认证服务器。有关受管认证的详细信息,请参阅 管理认证服务器。
创建恢复用户帐户(RECOVERY_ID)。有关 RECOVERY_ID 帐户的详细信息,请参阅 管理认证服务器。
过程
完成以下某个过程以使用 XClarity Administrator 发现和管理机箱。
使用批量导入文件发现和管理大量机箱和其他设备(请参阅 Lenovo XClarity Administrator 在线文档中的管理设备)。
发现和管理与 XClarity Administrator 在同一 IP 子网上的机箱。
从 XClarity Administrator 菜单栏中,单击。随后将显示发现和管理新设备页面。
可对表中各列进行排序,以便更容易查找要管理的机箱。此外,可在筛选条件字段中输入文本(如系统名称或 IP 地址)以进一步筛选所显示的机箱。通过单击定制列图标(
),可更改显示的列以及默认排序。单击刷新图标(
),可看到 XClarity Administrator 域内所有可管理的设备。发现过程需要耗时数分钟。在管理过程中单击在所有未来受管设备上启用 Encapsulation 复选框以更改所有设备上的防火墙规则,从而仅接受来自 XClarity Administrator 的传入请求。
管理特定设备后,可在这些设备上启用或禁用 Encapsulation。
注意如果启用了 Encapsulation,但XClarity Administrator 在终止管理设备之前变为不可用状态,则必须采取必要步骤来禁用 Encapsulation 以便建立与设备的通信。有关恢复过程,请参阅 lenovoMgrAlert.mib 文件和在发生管理软件故障后用 CMM 恢复管理。 选择要管理的一个或多个机箱。
单击管理所选系统。
选择对此设备使用 XClarity Administrator 受管认证还是本地认证。默认情况下选择受管认证。要使用本地认证,请清除受管认证。
注ThinkServer 和 System x M4 服务器不支持受管认证和本地认证。选择用于设备的凭证的类型,并指定适合的凭证:
使用手动输入的凭证
指定用于向 CMM 认证的具有 lxc-supervisor 权限的用户标识和密码。
(可选)如果设备上的密码现已到期,则为 CMM 用户帐户指定新密码。
使用存储的凭证
选择要用于此受管设备且具有 lxc-supervisor 权限的存储的凭证。可通过单击管理存储的凭证添加存储的凭证。
注如果选择使用本地认证,则必须选择存储的凭证以管理设备。
提示建议使用主管或管理员帐户管理该设备。如果使用较低级别权限的帐户,管理可能失败,或管理可能成功,但将来对该设备执行的其他XClarity Administrator 操作可能失败(特别是在不执行受管认证的情况下管理该系统时)。 如果选择了受管认证,请指定恢复密码。
已在 CMM 上创建了恢复帐户(RECOVERY_ID),并且已禁用了所有本地用户帐户。如果 XClarity Administrator 有问题,并且因某种原因而停止工作,则无法 使用正常的用户帐户登录到 CMM。但是,可使用 RECOVERY_ID 帐户登录。
注意:
如果选择使用受管认证,则恢复密码为必需,如果选择使用本地认证,则不允许使用恢复密码。
可以选择使用本地恢复帐户或存储的恢复凭证。无论哪种情况,用户名始终为 RECOVERY_ID。
确保密码遵循设备的安全策略和密码策略。安全策略和密码策略可能不尽相同。
请务必记录恢复密码以备将来使用。
有关恢复标识的详细信息,请参阅管理认证服务器。
单击更改,以更改要分配到该设备的角色组。
注您可以从分配给当前用户的角色组列表中选择。
如果没有更改角色组,将使用默认角色组。有关默认角色组的更多信息,请参阅更改默认权限。
单击管理。
随后将显示一个对话框,其中显示此管理过程的进度。要确保成功完成该过程,请监控进度。
当该过程执行完毕后,对话框将显示机箱中的设备数和机箱状态。
注完成管理过程后,将收集某些清单数据。机箱处于暂挂状态,直至收集所有清单数据为止。直到收集受管设备的所有清单数据并且机箱不再处于暂挂状态,才能对该设备执行某些任务(如部署 Server Pattern)。完成该过程时,单击确定。
设备现在由 XClarity Administrator 管理,后者自动定期轮询受管设备以收集更新的信息(如清单)。
如果管理因以下一种错误情况而未能成功,请使用强制管理选项重复上述过程。
管理 XClarity Administrator 失败且无法恢复。
注如果更换的XClarity Administrator 实例和发生故障的 XClarity Administrator 使用相同的 IP 地址,可使用 RECOVERY_ID 帐户和密码(如适用)以及强制管理选项再次管理设备。 终止管理设备之前,管理 XClarity Administrator 是否已关闭。
是否未能成功终止管理设备。
注意设备同时只能受一个XClarity Administrator 实例管理。不支持受多个 XClarity Administrator 实例管理。如果设备已受一个 XClarity Administrator 管理,而您要用另一 XClarity Administrator 管理它,则必须先在原始 XClarity Administrator 上终止管理该设备,然后用新的 XClarity Administrator 来管理它。 如果这是新机箱,则单击继续进行机箱配置以确认并更改整个机箱(包括计算节点和 Flex 交换机)的管理网络设置以及通过创建并部署 Server Patterns,配置计算节点信息、本地存储、I/O 适配器、引导目标和固件设置。有关详细信息,请参阅修改机箱的管理 IP 设置和使用 Configuration patterns 配置服务器。
通过手动指定 IP 地址,发现和管理与 XClarity Administrator 不在同一 IP 子网上的机箱。
从 XClarity Administrator 菜单栏中,单击。随后将显示发现和管理页面。
在管理过程中单击在所有未来受管设备上启用 Encapsulation 复选框以更改所有设备上的防火墙规则,从而仅接受来自 XClarity Administrator 的传入请求。
管理特定设备后,可在这些设备上启用或禁用 Encapsulation。
注意如果启用了 Encapsulation,但XClarity Administrator 在终止管理设备之前变为不可用状态,则必须采取必要步骤来禁用 Encapsulation 以便建立与设备的通信。有关恢复过程,请参阅 lenovoMgrAlert.mib 文件和在发生管理软件故障后用 CMM 恢复管理。 选择手动输入。
指定要管理的机箱的网络地址:
- 单击单系统,然后输入单个 IP 地址、域名或完全限定域名(FQDN)。网络访问权限要指定 FQDN,请确保在页面中指定有效域名(请参阅配置网络访问权限)。
- 单击多系统,然后输入一个 IP 地址范围。要添加其他范围,请单击添加图标(
)。要删除范围,请单击删除图标(
)。
- 单击单系统,然后输入单个 IP 地址、域名或完全限定域名(FQDN)。
单击确定。
选择对此设备使用 XClarity Administrator 受管认证还是本地认证。默认情况下选择受管认证。要使用本地认证,请清除受管认证。
注ThinkServer 和 System x M4 服务器不支持受管认证和本地认证。选择用于设备的凭证的类型,并指定适合的凭证:
使用手动输入的凭证
指定用于向 CMM 认证的具有 lxc-supervisor 权限的用户标识和密码。
(可选)如果设备上的密码现已到期,则为 CMM 用户帐户指定新密码。
使用存储的凭证
选择要用于此受管设备且具有 lxc-supervisor 权限的存储的凭证。可通过单击管理存储的凭证添加存储的凭证。
注如果选择使用本地认证,则必须选择存储的凭证以管理设备。
提示建议使用主管或管理员帐户管理该设备。如果使用较低级别权限的帐户,管理可能失败,或管理可能成功,但将来对该设备执行的其他XClarity Administrator 操作可能失败(特别是在不执行受管认证的情况下管理该系统时)。 如果选择了受管认证,请指定恢复密码。
已在 CMM 上创建了恢复帐户(RECOVERY_ID),并且已禁用了所有本地用户帐户。如果 XClarity Administrator 有问题,并且因某种原因而停止工作,则无法 使用正常的用户帐户登录到 CMM。但是,可使用 RECOVERY_ID 帐户登录。
注意:
如果选择使用受管认证,则恢复密码为必需,如果选择使用本地认证,则不允许使用恢复密码。
可以选择使用本地恢复帐户或存储的恢复凭证。无论哪种情况,用户名始终为 RECOVERY_ID。
确保密码遵循设备的安全策略和密码策略。安全策略和密码策略可能不尽相同。
请务必记录恢复密码以备将来使用。
有关恢复标识的详细信息,请参阅管理认证服务器。
单击更改,以更改要分配到该设备的角色组。
注您可以从分配给当前用户的角色组列表中选择。
如果没有更改角色组,将使用默认角色组。有关默认角色组的更多信息,请参阅更改默认权限。
单击管理。
随后将显示一个对话框,其中显示此管理过程的进度。监控进度以确保成功完成该过程。
当该过程执行完毕后,对话框将显示机箱中的设备数和机箱状态。
注完成管理过程后,将收集某些清单数据。机箱处于暂挂状态,直至收集所有清单数据为止。直到收集受管设备的所有清单数据并且机箱不再处于暂挂状态,才能对该设备执行某些任务(如部署 Server Pattern)。完成该过程时,单击确定。
设备现在由 XClarity Administrator 管理,后者自动定期轮询受管设备以收集更新的信息(如清单)。
如果管理因以下一种错误情况而未能成功,请使用强制管理选项重复上述过程。
管理 XClarity Administrator 失败且无法恢复。
注如果更换的XClarity Administrator 实例和发生故障的 XClarity Administrator 使用相同的 IP 地址,可使用 RECOVERY_ID 帐户和密码(如适用)以及强制管理选项再次管理设备。 终止管理设备之前,管理 XClarity Administrator 是否已关闭。
是否未能成功终止管理设备。
注意设备同时只能受一个XClarity Administrator 实例管理。不支持受多个 XClarity Administrator 实例管理。如果设备已受一个 XClarity Administrator 管理,而您要用另一 XClarity Administrator 管理它,则必须先在原始 XClarity Administrator 上终止管理该设备,然后用新的 XClarity Administrator 来管理它。 如果这是新机箱,则单击继续进行机箱配置以确认并更改整个机箱(包括计算节点和 Flex 交换机)的管理网络设置以及通过创建并部署 Server Patterns,配置计算节点信息、本地存储、I/O 适配器、引导目标和固件设置。有关详细信息,请参阅修改机箱的管理 IP 设置和使用 Configuration patterns 配置服务器。
完成之后
- 发现和管理其他设备。
- 将操作系统映像部署到尚未安装操作系统的服务器。有关详细信息,请参阅在裸机服务器上安装操作系统。
- 更新不符合当前策略的设备上的固件(请参阅更新受管设备上的固件)。
- 将新近管理的设备添加到相应机架以反映物理环境(请参阅管理机架)。
- 监控硬件状态和详细信息(请参阅查看受管服务器的状态)。
- 监控事件和警报(请参阅使用事件和使用警报)。