管理服务器
Lenovo XClarity Administrator 可管理多种类型的系统,包括 ThinkAgile、ThinkSystem、Converged、Flex System、NeXtScale、System x® 和 ThinkServer® 服务器。
开始之前
请在管理设备之前查看管理注意事项。有关信息,请参阅管理注意事项。
某些端口必须可用,以便与设备进行通信。确保所需的全部端口都可用,然后再尝试管理服务器。有关端口的信息,请参阅端口可用性。
确保要使用 XClarity Administrator 管理的每个服务器上都至少装有所需的最低版本固件。可在 “XClarity Administrator 支持 – 兼容性” Web 页面 中单击 Compatibility(兼容性)选项卡,然后单击相应设备类型的链接,找到所需的最低固件级别。
- 确保该设备上启用了 CIM over HTTPS。
使用 RECOVERY_ID 用户帐户登录到服务器的管理 Web 界面,
单击 。
单击 CIM Over HTTPS 选项卡,然后确保已选中启用 CIM Over HTTPS。
对于 ThinkSystem SR635 和 SR655 服务器:
请确保已安装操作系统,并确保服务器已引导至操作系统、装载的可引导介质或 efishell 至少一次,以便 XClarity Administrator 可以收集这些服务器的清单。
确保已启用 IPMI over LAN。默认情况下,IPMI over LAN 在这些服务器上处于禁用状态,必须先手动启用,然后才能管理服务器。要使用 TSM 启用 IPMI over LAN,请单击。可能需要重新启动服务器以激活更改。
如果设备的服务器证书是由外部证书颁发机构签名的,则请确保将该证书颁发机构证书和所有中间证书导入到 XClarity Administrator 信任存储区中(请参阅将定制服务器证书部署到受管设备)。
- 要从 XClarity Administrator 发现位于不同 子网的服务器,请确保满足以下条件之一:
确保在机架顶部交换机以及所处环境的路由器上启用了多播 SLP 转发。要确定是否启用了多播 SLP 转发,如果禁用,要查找启用它的过程,请参阅特定交换机或路由器随附的文档。
如果端点或网络中已禁用 SLP,则可改用 DNS 发现方法,方法是向域名服务器(DNS)手动添加服务记录(SRV 记录),例如,为 XClarity Administrator 使用此方法
_lxca._tcp.labs.lenovo.com service = 0 0 443 fvt-xhmc3.labs.lenovo.com.然后,单击 ,单击 DNS 选项卡,然后选择使用 DNS 发现 Lenovo XClarity Administrator,来从管理 Web 界面启用基板管理控制台上的 DNS 发现。
注管理控制器运行的固件级别必须为 2017 年 5 月及以后,才能支持使用 DNS 自动发现。
如果环境中有多个 XClarity Administrator 实例,服务器仅会通过第一个响应发现请求的实例发现。服务器不能通过所有实例发现。
- 要发现和管理 ThinkServer 服务器,请确保满足以下要求。有关详细信息,请参阅无法发现设备和无法管理设备。
如果要让 XClarity Administrator 自动发现服务器,必须使用有效的主机名或 IP 地址来配置服务器的主机名。
网络配置必须允许在 XClarity Administrator 与服务器之间传输 SLP 流量。
需要单播 SLP。
如果要让 XClarity Administrator 自动发现 ThinkServer 服务器,则需要多播 SLP。此外,还必须在 ThinkServer System Manager(TSM)上启用 SLP。
如果 ThinkServer 服务器所在的网络与 XClarity Administrator 的网络不同,请确保将该网络配置为允许通过端口 162 的入站 UDP,以便 XClarity Administrator 可接收这些设备的事件。
适用于 ThinkAgile、ThinkSystem、Converged、Flex System。对于 NeXtScale 和 System x 服务器,如果卸下、更换或配置服务器中的任何适配器,请重新启动服务器至少一次以更新主板管理控制器和 XClarity Administrator 报告中的新适配器信息(打开和关闭服务器电源)。
对服务器执行管理操作时,请确保服务器已关闭电源或启动到 BIOS/UEFI Setup 或启动到运行的操作系统。(可从 XClarity Administrator 中的“服务器”页面中,通过单击,引导至 BIOS/UEFI Setup。)如果服务器在没有操作系统的情况下打开电源,管理控制器会持续重置服务器以尝试查找操作系统。
- 确保服务器 UEFI 设置中启用所有 UEFI_Ethernet_*和UEFI_Slot_* 设置。要验证这些设置,请重新启动服务器,然后在显示提示 <F1> Setup 时,按 F1 以启动 Setup Utility。导航到 ,然后找到 Enable / Disable UEFI Option ROM(s) 部分以验证是否启用了这些设置。注如果支持,也可以使用主板管理界面中的“远程控制台”功能远程查看和修改设置。
System x3950 X6 服务器必须作为两个 4U 机柜管理,并且每个机柜有自己的主板管理控制器。
关于本任务
XClarity Administrator 可通过探测与 XClarity Administrator 位于同一 IP 子网中的可管理设备,自动发现所处环境中的机架服务器和立式服务器。要发现其他子网中的机架服务器和立式服务器,请指定 IP 地址或 IP 地址范围,或从电子表格导入信息。
在 XClarity Administrator 管理服务器后,Lenovo XClarity Administrator 定期轮询每个受管服务器以收集清单、重要产品数据和状态等信息。可查看和监控每个受管服务器并执行管理操作(如配置系统设置、部署操作系统映像以及打开和关闭电源)。
对机架服务器、Lenovo 机箱及 Lenovo 机架交换机使用本地认证 时,XClarity Administrator 使用存储的凭证对设备进行认证。存储的凭证 可以是设备上的活动用户帐户或 Active Directory 服务器中的用户帐户。
使用本地认证管理设备之前必须在 XClarity Administrator 中创建中存储的凭证,且凭证须匹配设备上的活动用户帐户或者 Active Directory 服务器中的用户帐户(请参阅 XClarity Administrator 在线文档中的管理存储的凭证)。
注RackSwitch 设备仅支持使用存储的凭证进行认证。XClarity Administrator 用户凭证不受支持。
借助受管认证,可使用 XClarity Administrator 认证服务器中的凭证(而非本地凭证)来管理和监控多个设备。对设备(而不是 ThinkServer 服务器、System x M4 服务器和交换机)使用受管认证时,XClarity Administrator 将设备及其安装的组件配置为使用 XClarity Administrator 认证服务器进行集中管理。
启用受管认证后,可使用手动输入的凭证或存储的凭证管理设备(请参阅 XClarity Administrator 在线文档中的管理用户帐户和管理存储的凭证)。
仅当 XClarity Administrator 在设备上配置了 LDAP 设置,才会使用存储的凭证。此后,存储的凭证发生的任何更改都不会影响该设备的管理或监控。
注如果为设备启用了受管认证,则不能使用XClarity Administrator 编辑该设备的存储的凭证。 如果使用本地或外部 LDAP 服务器作为 XClarity Administrator 认证服务器,则应使用在该认证服务器中定义的用户帐户登录到 XClarity Administrator 域中的 XClarity Administrator、CMM 和主板管理控制器。而本地 CMM 和管理控制器用户帐户被禁用。
如果使用 SAML 2.0 身份供应商作为 XClarity Administrator 认证服务器,则 SAML 帐户无法访问受管设备。但是,当 SAML 身份供应商与 LDAP 服务器一起使用时,如果该身份供应商使用存在于 LDAP 服务器中的 LDAP 帐户,则可使用 LDAP 用户帐户登录受管设备,而 SAML 2.0 提供的更高级认证方法(例如多重认证和单点登录)可用于登录 XClarity Administrator。
借助单点登录功能,已登录 XClarity Administrator 的用户将可以自动登录到主板管理控制器。默认情况下,将 ThinkSystem 或 ThinkAgile 服务器设置为受 XClarity Administrator 管理的服务器后,即可启用单点登录(使用 CyberArk 密码管理服务器的情况除外)。可以通过配置全局设置来对所有受管 ThinkSystem 和 ThinkAgile 服务器启用或禁用单点登录。对特定 ThinkSystem 和 ThinkAgile 服务器启用单点登录会覆盖适用于所有 ThinkSystem 和 ThinkAgile 服务器的全局设置(请参阅管理服务器)。
注使用 CyberArk 标识管理系统进行认证时会自动禁用单点登录。为 ThinkSystem SR635 和 SR655 服务器启用受管认证时:
主板管理控制器固件最多支持五个 LDAP 用户角色。XClarity Administrator 在管理期间将这些 LDAP 用户角色添加到服务器中:lxc-supervisor、lxc-sysmgr、lxc-admin、lxc-fw-admin 和 lxc-os-admin。
必须至少为用户分配一个指定的 LDAP 用户角色,用户才能与 ThinkSystem SR635 和 SR655 服务器进行通信。
管理控制器固件不支持与服务器本地用户具有相同用户名的 LDAP 用户。
对于 ThinkServer 和 System x M4 服务器,不使用 XClarity Administrator 认证服务器。而是在设备上创建以“LXCA_”为前缀并后接随机字符串的 IPMI 帐户。(不会禁用现有的本地 IPMI 用户帐户。)终止管理 ThinkServer 服务器时,将禁用该“LXCA_”用户帐户,并将前缀“LXCA_”替换为前缀“DISABLED_”。为了确定 ThinkServer 服务器是否受另一实例管理,XClarity Administrator 检查是否存在以“LXCA_”为前缀的 IPMI 帐户。如果决定强制管理某个受管的 ThinkServer 服务器,则将禁用并重命名该设备上所有以“LXCA_”为前缀的 IPMI 帐户。请考虑手动清除不再使用的 IPMI 帐户。
如果您使用手动输入的凭证,XClarity Administrator 将会自动创建存储的凭证,并使用该存储的凭证来管理设备。
注如果为设备启用了受管认证,则不能使用XClarity Administrator 编辑该设备的存储的凭证。 每次使用手动输入的凭证管理设备时,将为该设备新建一个存储的凭证,即使在之前的管理过程中已为该设备创建过存储的凭证。
终止管理设备时,XClarity Administrator 不会删除管理过程中自动为该设备创建的存储的凭证。
一个设备同时只能受一个 XClarity Administrator 实例管理。不支持受多个 XClarity Administrator 实例管理。如果设备已受一个 XClarity Administrator 管理,而您要用另一 XClarity Administrator 管理它,则必须先在初始 XClarity Administrator 上终止管理该设备,然后用新的 XClarity Administrator 来管理它。如果在终止管理过程中发生错误,则可使用新的 XClarity Administrator 在管理期间选择强制管理选项。
- 使用所提供的凭证登录到服务器。
- 收集每个服务器的清单。注完成管理过程后,将收集某些清单数据。直到收集受管服务器的所有清单数据并且该服务器不再处于“暂挂”状态后,才能对该服务器执行某些任务(如部署 Server Pattern)。
- 配置 NTP 服务器的设置,以使所有受管设备均使用 XClarity Administrator 上配置的同一 NTP 服务器配置。
- (仅限 System x 和 NeXtScale 服务器)将上次编辑的固件合规性策略分配给服务器。
- (仅限 Lenovo System x 和 NeXtScale 服务器)可配置设备的防火墙规则,以便仅接受来自 XClarity Administrator 的传入请求。
- (仅限 System x 和 NeXtScale 服务器)与管理控制器交换安全证书,同时将 CIM 服务器证书和 LDAP 客户端证书从管理控制器拷贝到 XClarity Administrator 信任存储区中,并将 XClarity Administrator CA 安全证书和 LDAP 信任证书发送到管理控制器。管理控制器将证书加载到管理控制器信任存储区,以便管理控制器可以信任与 XClarity Administrator 上的 LDAP 和 CIM 服务器的连接。注如果不存在 CIM 服务器证书或 LDAP 客户端证书,则在管理过程中创建该证书。
如果适用,配置受管认证。有关受管认证的详细信息,请参阅管理认证服务器。
如果适用,创建恢复用户帐户(RECOVERY_ID)。有关 RECOVERY_ID 帐户的详细信息,请参阅管理认证服务器。
过程
要使用 XClarity Administrator 管理机架和立式服务器,请完成以下过程之一。
使用批量导入文件发现和管理大量立式和机架服务器(请参阅 XClarity Administrator 在线文档中的管理设备)。
发现和管理与 XClarity Administrator 在同一 IP 子网上的机架和立式服务器。
从 XClarity Administrator 菜单栏中,单击。随后将显示发现和管理新设备页面。
可以对表的各列进行排序,以方便查找要管理的服务器。此外,您还可以在筛选条件字段中输入文本(如名称或 IP 地址)以进一步筛选显示的服务器。通过单击定制列图标(
),可更改显示的列以及默认排序。单击刷新图标(
),可看到 XClarity Administrator 域内所有可管理的设备。发现过程需要耗时数分钟。在管理过程中单击在所有未来受管设备上启用 Encapsulation 复选框以更改所有设备上的防火墙规则,从而仅接受来自 XClarity Administrator 的传入请求。
管理特定设备后,可在这些设备上启用或禁用 Encapsulation。
注配置管理网络接口以使用动态主机配置协议(DHCP)并启用了 Encapsulation 时,管理机架服务器可能需要很长时间。注意如果启用了 Encapsulation,但XClarity Administrator 在终止管理设备之前变为不可用状态,则必须采取必要步骤来禁用 Encapsulation 以便建立与设备的通信。有关恢复过程,请参阅 lenovoMgrAlert.mib 文件和在发生管理软件故障后用 CMM 恢复管理。 选择要管理的一个或多个服务器。
单击管理所选系统。随后将显示“管理”对话框。
选择对此设备使用 XClarity Administrator 受管认证还是本地认证。默认情况下选择受管认证。要使用本地认证,请清除受管认证。
选择用于向设备进行身份验证的凭证的类型,并指定适合的凭证:
使用手动输入的凭证
指定用于向该服务器进行认证的用户标识和密码。
(可选)如果设备上的密码现已到期,则为指定用户名设置新密码。
注要使用手动输入的凭证,必须选择 XClarity Administrator 受管认证。使用存储的凭证
选择要用于此受管设备的存储的凭证。可通过单击新建新建存储的凭证。
使用标识管理系统
选择要用于此受管设备的标识管理系统。然后,填写其余字段,包括受管服务器的 IP 地址或主机名、用户名以及可选字段(应用程序 ID、安全位置和文件夹)。
如果指定了应用程序标识,则还必须指定安全位置和文件夹(如果适用)。
如果未指定应用程序 ID,XClarity Administrator 使用设置 CyberArk 时定义的路径来标识 CyberArk 中的已注册帐户。
注仅支持 ThinkSystem 或 ThinkAgile 服务器。必须在XClarity Administrator 配置标识管理系统,并且针对受管 ThinkSystem 或 ThinkAgile 服务器的 Lenovo XClarity Controller 必须与 CyberArk 进行集成。
提示建议使用主管或管理员帐户管理该设备。如果使用较低级别权限的帐户,管理可能失败,或管理可能成功,但对该设备执行的其他XClarity Administrator 操作可能失败(特别是在不执行受管认证的情况下管理该设备时)。 如果选择了受管认证,请指定恢复密码。
指定密码后,将在服务器上创建恢复帐户(RECOVERY_ID),并禁用所有本地用户帐户。如果 XClarity Administrator 有问题,并且因某种原因而停止工作,则使用正常的用户帐户也无法 登录到管理控制器。但是,可使用恢复帐户登录。
注如果选择使用受管认证,则恢复密码可选,如果选择使用本地认证,则不允许使用恢复密码。
可以选择使用本地恢复帐户或存储的恢复凭证。无论哪种情况,用户名始终为 RECOVERY_ID。
确保密码遵循设备的安全策略和密码策略。安全策略和密码策略可能不尽相同。
请务必记录恢复密码以备将来使用。
ThinkServer 和 System x M4 服务器不支持恢复帐户。
有关恢复标识的详细信息,请参阅管理认证服务器。
单击更改,以更改要分配到该设备的角色组。
注您可以从分配给当前用户的角色组列表中选择。
如果没有更改角色组,将使用默认角色组。有关默认角色组的更多信息,请参阅更改默认权限。
单击管理。
随后将显示一个对话框,其中显示此管理过程的进度。要确保成功完成该过程,请监控进度。
完成该过程时,单击确定。
设备现在由 XClarity Administrator 管理,后者自动定期轮询受管设备以收集更新的信息(如清单)。
如果管理因以下一种错误情况而未能成功,请使用强制管理选项重复上述过程。
管理 XClarity Administrator 失败且无法恢复。
注如果更换的XClarity Administrator 实例和发生故障的 XClarity Administrator 使用相同的 IP 地址,可使用 RECOVERY_ID 帐户和密码(如适用)以及强制管理选项再次管理设备。 终止管理设备之前,管理 XClarity Administrator 是否已关闭。
是否未能成功终止管理设备。
注意设备同时只能受一个XClarity Administrator 实例管理。不支持受多个 XClarity Administrator 实例管理。如果设备已受一个 XClarity Administrator 管理,而您要用另一 XClarity Administrator 管理它,则必须先在原始 XClarity Administrator 上终止管理该设备,然后用新的 XClarity Administrator 来管理它。
通过手动指定 IP 地址,发现和管理与 XClarity Administrator 不在同一 IP 子网上的机架和立式服务器。
从 XClarity Administrator 菜单栏中,单击。随后将显示发现和管理页面。
在管理过程中单击在所有未来受管设备上启用 Encapsulation 复选框以更改所有设备上的防火墙规则,从而仅接受来自 XClarity Administrator 的传入请求。
管理特定设备后,可在这些设备上启用或禁用 Encapsulation。
注配置管理网络接口以使用动态主机配置协议(DHCP)并启用了 Encapsulation 时,管理机架服务器可能需要很长时间。注意如果启用了 Encapsulation,但XClarity Administrator 在终止管理设备之前变为不可用状态,则必须采取必要步骤来禁用 Encapsulation 以便建立与设备的通信。有关恢复过程,请参阅 lenovoMgrAlert.mib 文件和在发生管理软件故障后用 CMM 恢复管理。 选择手动输入。
指定要管理的服务器的网络地址:
- 单击单系统,然后输入单个 IP 地址、域名或完全限定域名(FQDN)。网络访问权限要指定 FQDN,请确保在页面中指定有效域名(请参阅配置网络访问权限)。
- 单击多系统,然后输入一个 IP 地址范围。要添加其他范围,请单击添加图标(
)。要删除范围,请单击删除图标(
)。
- 单击单系统,然后输入单个 IP 地址、域名或完全限定域名(FQDN)。
单击确定。随后将显示“管理”对话框
选择对此设备使用 XClarity Administrator 受管认证还是本地认证。默认情况下选择受管认证。要使用本地认证,请清除受管认证。
选择用于向设备进行身份验证的凭证的类型,并指定适合的凭证:
使用手动输入的凭证
指定用于向该服务器进行认证的用户标识和密码。
(可选)如果设备上的密码现已到期,则为指定用户名设置新密码。
注要使用手动输入的凭证,必须选择 XClarity Administrator 受管认证。使用存储的凭证
选择要用于此受管设备的存储的凭证。可通过单击新建新建存储的凭证。
使用标识管理系统
选择要用于此受管设备的标识管理系统。然后,填写其余字段,包括受管服务器的 IP 地址或主机名、用户名以及可选字段(应用程序 ID、安全位置和文件夹)。
如果指定了应用程序标识,则还必须指定安全位置和文件夹(如果适用)。
如果未指定应用程序 ID,XClarity Administrator 使用设置 CyberArk 时定义的路径来标识 CyberArk 中的已注册帐户。
注仅支持 ThinkSystem 或 ThinkAgile 服务器。必须在XClarity Administrator 配置标识管理系统,并且针对受管 ThinkSystem 或 ThinkAgile 服务器的 Lenovo XClarity Controller 必须与 CyberArk 进行集成。
提示建议使用主管或管理员帐户管理该设备。如果使用较低级别权限的帐户,管理可能失败,或管理可能成功,但对该设备执行的其他XClarity Administrator 操作可能失败(特别是在不执行受管认证的情况下管理该设备时)。 如果选择了受管认证,请指定恢复密码。
指定密码后,将在服务器上创建恢复帐户(RECOVERY_ID),并禁用所有本地用户帐户。如果 XClarity Administrator 有问题,并且因某种原因而停止工作,则使用正常的用户帐户也无法 登录到管理控制器。但是,可使用恢复帐户登录。
注如果选择使用受管认证,则恢复密码可选,如果选择使用本地认证,则不允许使用恢复密码。
可以选择使用本地恢复帐户或存储的恢复凭证。无论哪种情况,用户名始终为 RECOVERY_ID。
确保密码遵循设备的安全策略和密码策略。安全策略和密码策略可能不尽相同。
请务必记录恢复密码以备将来使用。
ThinkServer 和 System x M4 服务器不支持恢复帐户。
有关恢复标识的详细信息,请参阅管理认证服务器。
单击更改,以更改要分配到该设备的角色组。
注您可以从分配给当前用户的角色组列表中选择。
如果没有更改角色组,将使用默认角色组。有关默认角色组的更多信息,请参阅更改默认权限。
单击管理。
随后将显示一个对话框,其中显示此管理过程的进度。要确保成功完成该过程,请监控进度。
完成该过程时,单击确定。
设备现在由 XClarity Administrator 管理,后者自动定期轮询受管设备以收集更新的信息(如清单)。
如果管理因以下一种错误情况而未能成功,请使用强制管理选项重复上述过程。
管理 XClarity Administrator 失败且无法恢复。
注如果更换的XClarity Administrator 实例和发生故障的 XClarity Administrator 使用相同的 IP 地址,可使用 RECOVERY_ID 帐户和密码(如适用)以及强制管理选项再次管理设备。 终止管理设备之前,管理 XClarity Administrator 是否已关闭。
是否未能成功终止管理设备。
注意设备同时只能受一个XClarity Administrator 实例管理。不支持受多个 XClarity Administrator 实例管理。如果设备已受一个 XClarity Administrator 管理,而您要用另一 XClarity Administrator 管理它,则必须先在原始 XClarity Administrator 上终止管理该设备,然后用新的 XClarity Administrator 来管理它。
完成之后
- 发现和管理其他设备。
- 通过创建和部署 Server Patterns,配置系统信息、本地存储、I/O 适配器、引导主题和固件设置(请参阅使用 Configuration patterns 配置服务器)。
- 将操作系统映像部署到尚未安装操作系统的服务器(请参阅在裸机服务器上安装操作系统)。
- 更新不符合当前策略的设备上的固件(请参阅更新受管设备上的固件)。
- 将设备添加到相应机架以反映物理环境(请参阅管理机架)。
- 监控硬件状态和详细信息(请参阅查看受管服务器的状态)。
- 监控事件和警报(请参阅使用事件和使用警报)。
- 清除服务器的 SEL 日志,方法是单击 XClarity Administrator 菜单栏中的,选择服务器,然后单击。
仅 ThinkSystem 和 ThinkAgile 服务器支持此操作。
解析已到期或无效的存储的凭证(请参阅管理存储的凭证)。
- 对所有受管 ThinkSystem 和 ThinkAgile 服务器启用或禁用单点登录,方法是单击 XClarity Administrator 菜单栏中的,然后单击活动会话,再启用或禁用单点登录。
- 对受管 ThinkSystem 和 ThinkAgile 服务器禁用或启用单点登录。
要对所有受管 ThinkSystem 和 ThinkAgile 服务器(全局)启用或禁用单点登录,请单击 XClarity Administrator 菜单栏中的,然后单击活动会话,再启用或禁用单点登录。
要对特定 ThinkSystem 和 ThinkAgile 服务器执行该操作,请单击 XClarity Administrator 菜单栏中的,然后单击或者单击。
注借助单点登录功能,已登录 XClarity Administrator 的用户将可以自动登录到主板管理控制器。默认情况下,将 ThinkSystem 或 ThinkAgile 服务器设置为受 XClarity Administrator 管理的服务器后,即可启用单点登录(使用 CyberArk 密码管理服务器的情况除外)。可以通过配置全局设置来对所有受管 ThinkSystem 和 ThinkAgile 服务器启用或禁用单点登录。对特定 ThinkSystem 和 ThinkAgile 服务器启用单点登录会覆盖适用于所有 ThinkSystem 和 ThinkAgile 服务器的全局设置。