PowerScale: Wie erfolgt die Migration von Secure Remote Support (SRS) zu SupportAssist?

Einführung
 

• Remotekonnektivitätssysteme auf OneFS werden für das Senden von Warnmeldungen, log_gathers, Nutzungsinformationen und verwaltetem Gerätestatus an das Dell Back-End verwendet und ermöglichen auch die Remoteeinwahl durch Dell Supporttechniker zum Cluster, sofern der Cluster so konfiguriert ist, dass er diese Funktion zulässt

• ESRS ist das standardmäßige Remotekonnektivitätssystem in OneFS-Versionen vor v9.5 und wird auf OneFS 9.5+ unterstützt, wird aber voraussichtlich bald außer Betrieb genommen.

• Ab OneFS 9.5 ist SupportAssist das empfohlene Remotekonnektivitätssystem für die Übertragung von Ereignissen, Protokollen und Telemetriedaten von einem PowerScale OneFS-Cluster an den Dell Support.

• Es gibt zwei Methoden für die Kommunikation von SupportAssist mit dem Dell Back-End:

  • Direkte Verbindung

  • Verbindung über sicheres Verbindungsgateway

• Das sichere Verbindungsgateway ist die konsolidierte Konnektivitätslösung der nächsten Generation von Dell Technologies Services und ersetzt die Konnektivitätslösungen SupportAssist Enterprise (SAE) und Secure Remote Services (SRS). Die Technologie des sicheren Verbindungsgateways 5.0 wird als Appliance und als eigenständige Anwendung bereitgestellt. Das sichere Verbindungsgateway bietet eine einzige Lösung für das gesamte Dell EMC Portfolio, die Server, Netzwerke, Daten-Storage, Data Protection sowie hyperkonvergente und konvergente Lösungen unterstützt.

Was ist SupportAssist?

• SupportAssist integriert einen integrierten Service Enabler (ESE) in OneFS und kann direkt oder über ein unterstütztes Secure Connect Gateway (SCG) mit dem Dell Support verbunden werden.
• SupportAssist wird für die folgenden Workflows verwendet:
  • CELOG sendet Warnmeldungen über den SupportAssist-Kanal an den Dell Support.
  • Protokollerfassung und Upload
  • Lizenzaktivierung über das Dell Back-End
  • CloudIQ-Telemetriedaten sammeln und aktualisieren .
  • HealthCheck-Definitionen werden mithilfe von SupportAssist aktualisiert.
  • Remotesupport verwendet SupportAssist und den Konnektivitäts-Hub, um Kunden bei ihren Clustern zu unterstützen

Abrufen eines Zugriffsschlüssels und einer PIN:

Wenn Sie ein Upgrade Ihres Clusters durchführen, müssen Sie zunächst einen Zugriffsschlüssel und eine PIN vom Dell Support erhalten, um SupportAssist zu aktivieren. Um Ihren Zugriffsschlüssel und Ihre PIN zu generieren, rufen Sie die Dell Support-Website für Zugriffsschlüssel auf und geben Sie Ihre Informationen ein. Anweisungen zum Generieren Ihres Zugriffsschlüssels finden Sie auf der Seite Anweisungen zum Generieren eines Zugriffsschlüssels .

SupportAssist-Voraussetzungen:

• Auf dem OneFS-Cluster muss OneFS 9.5.0.0 (oder höher) ausgeführt werden und der Status "committed" muss sich befinden. Dies kann mit den folgenden Befehlen überprüft werden:

OneFS9500-1# uname -a
Isilon OneFS OneFS9500-1 9.5.0.3 Isilon OneFS 9.5.0.3 (Patch, Build B_9_5_0_005(RELEASE), 2023-05-08 00:05:53, 0x905005000000005, 9.5.0.3_LTS2023_GA-RUP_PSP-3332) amd64
OneFS9500-1# isi up view

Upgrade Status:

Current Upgrade Activity: No activity
   Cluster Upgrade State: committed
   Upgrade Process State: Not started
      Current OS Version: 9.5.0.0_build(5)style(5)
      Upgrade OS Version: N/A
        Percent Complete: 0%

Nodes Progress:

     Total Cluster Nodes: 3
       Nodes On Older OS: 3
          Nodes Upgraded: 0
Nodes Transitioning/Down: 0

LNN                                                         Version   Status
-------------------------------------------------------------------------------
1-3                                                         9.5.0.0   committed
OneFS9500-1#

• Der OneFS-Cluster verfügt über ein dediziertes IPv4-Netzwerk.
• Die Verbindung von SupportAssist erfolgt über einen statischen Netzwerkpool
• Halten Sie bei einer Migration von SRS zu SupportAssist den Zugriffsschlüssel und die PIN Ihres Clusters bereit.
• Der ESE-Nutzer muss vorhanden sein und gehört zu einer Rolle mit ISI_PRIV_REMOTE_SUPPORT Lese- und Schreibzugriff. Die Ausgabe sollte der folgenden ähneln: 

OneFS9500-1# isi auth users view ese
                    Name: ese
                      DN: -
              DNS Domain: -
                  Domain: UNIX_USERS
                Provider: lsa-file-provider:System
        Sam Account Name: ese
                     UID: 13
                     SID: S-1-22-1-13
                 Enabled: Yes
                 Expired: No
                  Expiry: -
                  Locked: No
                   Email: -
                   GECOS: SupportAssist User
           Generated GID: No
           Generated UID: No
           Generated UPN: Yes
           Primary Group
                          ID: GID:13
                        Name: ese
          Home Directory: /nonexistent
        Max Password Age: -
        Password Expired: No
         Password Expiry: -
       Password Last Set: -
        Password Expires: Yes
              Last Logon: -
                   Shell: /usr/sbin/nologin
                     UPN: ese@UNIX_USERS
User Can Change Password: No
   Disable When Inactive: No
OneFS9500-1# isi auth mapping token ese
                   User
                       Name: ese
                        UID: 13
                        SID: S-1-22-1-13
                    On Disk: 13
                    ZID: 1
                   Zone: System
             Privileges: ISI_PRIV_LOGIN_PAPI
                         ISI_PRIV_REMOTE_SUPPORT
          Primary Group
                       Name: ese
                        GID: 13
                        SID: S-1-22-2-13
                    On Disk: 13
Supplemental Identities
                       Name: Authenticated Users
                        SID: S-1-5-11
OneFS9500-1#

• Wenn Sie Secure Connect Gateway verwenden, müssen Sie SCG Version 5.x oder höher verwenden. Außerdem sollte Port 9443 zwischen dem Cluster und SCG geöffnet werden. Führen Sie den folgenden curl-Befehl von einem Node aus, der Teil des SupportAssist-Gatewayzugriffspools ist, um Folgendes zu überprüfen:

Cluster-1# curl -vk https://<IP>:9443
*   Trying <IP>:9443...
* Connected to <IP> (<IP>) port 9443
* ALPN: curl offers http/1.1
* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS handshake, Server key exchange (12):
* TLSv1.2 (IN), TLS handshake, Server finished (14):
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
* TLSv1.2 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (OUT), TLS handshake, Finished (20):
* TLSv1.2 (IN), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (IN), TLS handshake, Finished (20):
* SSL connection using TLSv1.2 / ECDHE-RSA-AES256-GCM-SHA384
* ALPN: server accepted http/1.1
* Server certificate:
*  subject: C=US; ST=Texas; L=Round Rock; O=Dell Technologies Inc.; OU=Dell Secure Remote Services; CN=<CN>
*  start date: Nov 28 13:19:05 2023 GMT
*  expire date: Nov 28 13:19:05 2043 GMT
*  issuer: C=US; ST=Texas; L=Round Rock; O=Dell Technologies Inc.; OU=Dell Secure Remote Services; CN=<CN>
*  SSL certificate verify result: unable to get local issuer certificate (20), continuing anyway.
* using HTTP/1.1
> GET / HTTP/1.1
> Host: <IP>:9443
> User-Agent: curl/8.4.0
> Accept: */*
>
< HTTP/1.1 200 OK
< Date: Thu, 06 Jun 2024 11:14:46 GMT
< Server: Apache
< Strict-Transport-Security: max-age=31536000; includeSubDomains;
< X-Frame-Options: sameorigin
< X-XSS-Protection: 1; mode=block
< X-Content-Type-Options: nosniff
< Last-Modified: Tue, 28 Nov 2023 13:19:05 GMT
< ETag: "18-60b3643496985"
< Accept-Ranges: bytes
< Content-Length: 24
< Content-Security-Policy: frame-ancestors 'self'
< Content-Type: text/html
<
<h1>Page Not Found</h1>
* Connection #0 to host <IP> left intact

• Bei Verwendung einer direkten Verbindung müssen die Netzwerkports 443 und 8443 an den Dell Support weitergeleitet werden.
• SRS ist deaktiviert. Durch die Aktivierung von SupportAssist wird SRS automatisch deaktiviert.

Übersicht über das Aktivieren von SupportAssist

Zum Aktivieren von SupportAssist müssen Sie die folgenden Schritte ausführen:

1. Wählen Sie ein oder mehrere statische Subnetze oder Pools für die ausgehende Kommunikation aus.

2. Optional: Aktivieren Sie SCG und geben Sie den Hostnamen an.

3. Rufen Sie einen Zugriffsschlüssel und eine PIN aus dem Dell Support-Portal ab.

4. Verbinden und Bereitstellen von SupportAssist ( HINWEIS: SRS-NutzerInnen, die SupportAssist auf Ihrem OneFS-Cluster aktivieren, deaktiviert dauerhaft SRS ) 

Möglichkeit 1 : Aktivieren von SupportAssist – direkte Verbindung zum Dell Support

Aktivieren Sie SupportAssist, um eine direkte Verbindung zum Dell Support herzustellen, indem Sie die folgenden Befehle ausführen:

• Um ein oder mehrere statische Subnetze und Pools für die ausgehende Kommunikation auszuwählen, geben Sie den folgenden Befehl ein, wobei das ausgewählte statische Subnetz und der ausgewählte Pool sind."

isi supportassist settings modify --network-pools="<subnet0.pool0>"

• Der Direktverbindungsmodus ist die Standardoption. Um den direkten Verbindungsmodus zu aktivieren, geben Sie den folgenden Befehl ein:

isi supportassist settings modify --connection-mode direct

• Wenn Sie einen Zugriffsschlüssel und eine PIN verwenden, um eine Verbindung zum Dell Support herzustellen und SupportAssist zu aktivieren, geben Sie den folgenden Befehl ein, wobei und sind der Zugriffsschlüssel und die PIN, die Sie vom Dell Support-Portal erhalten:

isi supportassist provision start --access-key <key> --pin <pin>

• Wenn Sie einen Hardwareschlüssel verwenden, geben Sie den folgenden Befehl ein, um eine Verbindung zum Dell Support herzustellen und SupportAssist zu aktivieren:

isi supportassist provision start

• Überwachen Sie den Bereitstellungsstatus mithilfe des folgenden Befehls:

isi supportassist provision view -i

Möglichkeit 2 : Aktivieren von SupportAssist – Sicheres Verbindungsgateway
 

Aktivieren Sie SupportAssist, um eine Verbindung zu einem Secure Connect Gateway (SCG) herzustellen, indem Sie die folgenden Befehle ausführen:

• Um ein oder mehrere statische Subnetze und Pools für die ausgehende Kommunikation auszuwählen, geben Sie den folgenden Befehl ein, wobei sich das ausgewählte statische Subnetz und der ausgewählte Pool befinden:

isi supportassist settings modify --network-pools="<subnet0.pool0>"

• Um den SCG-Verbindungsmodus zu aktivieren, geben Sie den folgenden Befehl ein:

isi supportassist settings modify --connection-mode gateway

• Um SupportAssist auf Ihr SCG zu verweisen, geben Sie den folgenden Befehl ein, wobei der Hostname Ihres SCG ist

isi supportassist settings modify --gateway-host <hostname> --gateway-port <integer>

• Wenn Sie einen Zugriffsschlüssel und eine PIN verwenden, um eine Verbindung zum Dell Support herzustellen und SupportAssist zu aktivieren, geben Sie den folgenden Befehl ein, wobei und sind der Zugriffsschlüssel und die PIN, die Sie vom Dell Support-Portal erhalten:

isi supportassist provision start --access-key <key> --pin <pin>

• Wenn Sie einen Hardwareschlüssel verwenden, geben Sie den folgenden Befehl ein, um eine Verbindung zum Dell Support herzustellen und SupportAssist zu aktivieren:

isi supportassist provision start

• Überwachen Sie den Bereitstellungsstatus mithilfe des folgenden Befehls:

isi supportassist provision view -i