PowerScale：如何從 Secure Remote Support （SRS） 遷移至 SupportAssist？

簡介
 

• OneFS 上的遠端連線系統可用來將警示、log_gathers、使用智慧、受管理裝置狀態傳送至 Dell 後端，也可讓 Dell 支援工程師遠端撥入至叢集，前提是叢集已設定為允許此功能

• ESRS 是 OneFS 版本 v9.5 前的預設遠端連線系統，支援 OneFS 9.5+ 但預計很快就會退役。

• 從 OneFS 9.5 開始，SupportAssist 是建議遠端連線系統，用於將事件、記錄和遙測從 PowerScale OneFS 叢集傳送至 Dell 支援。

• SupportAssist 可透過兩種方式與 Dell 後端通訊

  • 直接連線

  • 透過安全連線閘道連線

• 安全連線閘道是 Dell Technologies Services 的下一代整合式連線解決方案，取代 SupportAssist Enterprise （SAE） 和 Secure Remote Services （SRS） 連線解決方案。安全連接閘道 5.0 技術作為設備和獨立應用程式提供。安全連線閘道可為整個 Dell EMC 產品組合提供單一解決方案，支援伺服器、網路、資料儲存、資料保護、超融合及融合式解決方案。

什麼是 SupportAssist？

• SupportAssist 會將 Embedded Service Enabler （ESE） 整合至 OneFS，並可直接連線至 Dell 支援部門或透過支援的安全連線閘道 （SCG） 連線。
• SupportAssist 可用於下列工作流程：
  • CELOG 會透過 SupportAssist 通道將警示傳送至 Dell 支援。
  • 記錄收集與上傳
  • 透過 Dell 後端啟用授權
  • CloudIQ 遙測資料收集與更新。
  • 執行狀況檢查定義會透過 SupportAssist 更新。
  • Remote Support 會使用 SupportAssist 和 Connectivity Hub 協助客戶處理叢集

取得存取金鑰和 PIN：

升級叢集時，若要啟用 SupportAssist，您必須先從 Dell 支援取得存取金鑰和 PIN。若要產生存取金鑰和 PIN，請前往 Dell 支援存取金鑰 網站並輸入您的資訊。如需產生存取金鑰的指示，請前往 產生存取金鑰 指示頁面。

SupportAssist 先決條件：

• OneFS 叢集必須執行 OneFS 9.5.0.0 （或更新版本） 且處於已承諾狀態。您可以使用以下命令驗證：

OneFS9500-1# uname -a
Isilon OneFS OneFS9500-1 9.5.0.3 Isilon OneFS 9.5.0.3 (Patch, Build B_9_5_0_005(RELEASE), 2023-05-08 00:05:53, 0x905005000000005, 9.5.0.3_LTS2023_GA-RUP_PSP-3332) amd64
OneFS9500-1# isi up view

Upgrade Status:

Current Upgrade Activity: No activity
   Cluster Upgrade State: committed
   Upgrade Process State: Not started
      Current OS Version: 9.5.0.0_build(5)style(5)
      Upgrade OS Version: N/A
        Percent Complete: 0%

Nodes Progress:

     Total Cluster Nodes: 3
       Nodes On Older OS: 3
          Nodes Upgraded: 0
Nodes Transitioning/Down: 0

LNN                                                         Version   Status
-------------------------------------------------------------------------------
1-3                                                         9.5.0.0   committed
OneFS9500-1#

• OneFS 叢集有專用的 IPv4 網路。
• SupportAssist 的連線會從靜態網路集區執行
• 如果要從 SRS 遷移至 SupportAssist，請備妥叢集的存取金鑰和 PIN。
• ESE 使用者必須存在，並且屬於 具有ISI_PRIV_REMOTE_SUPPORT 讀寫訪問許可權的角色。輸出應類似於以下內容： 

OneFS9500-1# isi auth users view ese
                    Name: ese
                      DN: -
              DNS Domain: -
                  Domain: UNIX_USERS
                Provider: lsa-file-provider:System
        Sam Account Name: ese
                     UID: 13
                     SID: S-1-22-1-13
                 Enabled: Yes
                 Expired: No
                  Expiry: -
                  Locked: No
                   Email: -
                   GECOS: SupportAssist User
           Generated GID: No
           Generated UID: No
           Generated UPN: Yes
           Primary Group
                          ID: GID:13
                        Name: ese
          Home Directory: /nonexistent
        Max Password Age: -
        Password Expired: No
         Password Expiry: -
       Password Last Set: -
        Password Expires: Yes
              Last Logon: -
                   Shell: /usr/sbin/nologin
                     UPN: ese@UNIX_USERS
User Can Change Password: No
   Disable When Inactive: No
OneFS9500-1# isi auth mapping token ese
                   User
                       Name: ese
                        UID: 13
                        SID: S-1-22-1-13
                    On Disk: 13
                    ZID: 1
                   Zone: System
             Privileges: ISI_PRIV_LOGIN_PAPI
                         ISI_PRIV_REMOTE_SUPPORT
          Primary Group
                       Name: ese
                        GID: 13
                        SID: S-1-22-2-13
                    On Disk: 13
Supplemental Identities
                       Name: Authenticated Users
                        SID: S-1-5-11
OneFS9500-1#

• 如果使用安全連線閘道，您必須使用 SCG 版本 5.x 或更新版本。此外，還應在叢集和 SCG 之間開啟連接埠 9443。從 SupportAssist 閘道存取集區的節點執行以下 curl 命令，以驗證：

Cluster-1# curl -vk https://<IP>:9443
*   Trying <IP>:9443...
* Connected to <IP> (<IP>) port 9443
* ALPN: curl offers http/1.1
* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS handshake, Server key exchange (12):
* TLSv1.2 (IN), TLS handshake, Server finished (14):
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
* TLSv1.2 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (OUT), TLS handshake, Finished (20):
* TLSv1.2 (IN), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (IN), TLS handshake, Finished (20):
* SSL connection using TLSv1.2 / ECDHE-RSA-AES256-GCM-SHA384
* ALPN: server accepted http/1.1
* Server certificate:
*  subject: C=US; ST=Texas; L=Round Rock; O=Dell Technologies Inc.; OU=Dell Secure Remote Services; CN=<CN>
*  start date: Nov 28 13:19:05 2023 GMT
*  expire date: Nov 28 13:19:05 2043 GMT
*  issuer: C=US; ST=Texas; L=Round Rock; O=Dell Technologies Inc.; OU=Dell Secure Remote Services; CN=<CN>
*  SSL certificate verify result: unable to get local issuer certificate (20), continuing anyway.
* using HTTP/1.1
> GET / HTTP/1.1
> Host: <IP>:9443
> User-Agent: curl/8.4.0
> Accept: */*
>
< HTTP/1.1 200 OK
< Date: Thu, 06 Jun 2024 11:14:46 GMT
< Server: Apache
< Strict-Transport-Security: max-age=31536000; includeSubDomains;
< X-Frame-Options: sameorigin
< X-XSS-Protection: 1; mode=block
< X-Content-Type-Options: nosniff
< Last-Modified: Tue, 28 Nov 2023 13:19:05 GMT
< ETag: "18-60b3643496985"
< Accept-Ranges: bytes
< Content-Length: 24
< Content-Security-Policy: frame-ancestors 'self'
< Content-Type: text/html
<
<h1>Page Not Found</h1>
* Connection #0 to host <IP> left intact

• 如果使用直接連線，則必須將網路連接埠 443 和 8443 路由至 Dell 支援。
• SRS 已停用。啟用 SupportAssist 會自動停用 SRS。

啟用 SupportAssist 概觀

若要啟用 SupportAssist，您必須執行下列步驟：

1. 選擇一個或多個用於出站通信的靜態子網或池。

2. 選用：啟用 SCG 並指定主機名稱。

3. 從 Dell 支援入口網站取得存取金鑰和 PIN。

4. 連線與佈建 SupportAssist （注意：SRS 使用者在 OneFS 叢集上啟用 SupportAssist 會永久停用 SRS） 

選項 1 ：啟用 SupportAssist - 直接連線至 Dell 支援

執行下列命令，啟用 SupportAssist，以直接連線至 Dell 支援：

• 若要為連出通訊選擇一或多個靜態子網路和集區，請輸入下列命令，其中選擇的靜態子網路和集區為「

isi supportassist settings modify --network-pools="<subnet0.pool0>"

• 直接連線模式是預設選項。若要啟用直接連線模式，請輸入下列命令：

isi supportassist settings modify --connection-mode direct

• 如果您使用存取金鑰和 PIN 來連線至 Dell 支援並啟用 SupportAssist，請在 其中 和 輸入從 Dell 支援入口網站提供給您的存取金鑰和 PIN：

isi supportassist provision start --access-key <key> --pin <pin>

• 如果您使用的是硬體金鑰，若要連線至 Dell 支援並啟用 SupportAssist，請輸入下列命令：

isi supportassist provision start

• 使用以下命令監控隨需分配狀態

isi supportassist provision view -i

選項 2 ：啟用 SupportAssist - 安全連線閘道
 

執行下列命令，啟用 SupportAssist 以連線至安全連線閘道 （SCG）：

• 若要為連出通訊選擇一或多個靜態子網路和集區，請輸入下列命令，其中 是所選的靜態子網路和集區：

isi supportassist settings modify --network-pools="<subnet0.pool0>"

• 若要啟用 SCG 連線模式，請輸入下列命令：

isi supportassist settings modify --connection-mode gateway

• 若要將 SupportAssist 指向您的 SCG，請輸入下列命令，其中 是 SCG 的主機名稱

isi supportassist settings modify --gateway-host <hostname> --gateway-port <integer>

• 如果您使用存取金鑰和 PIN 來連線至 Dell 支援並啟用 SupportAssist，請在 其中 和 輸入從 Dell 支援入口網站提供給您的存取金鑰和 PIN：

isi supportassist provision start --access-key <key> --pin <pin>

• 如果您使用的是硬體金鑰，若要連線至 Dell 支援並啟用 SupportAssist，請輸入下列命令：

isi supportassist provision start

• 使用以下命令監控隨需分配狀態

isi supportassist provision view -i