PowerScale: Como migrar do Secure Remote Support (SRS) para o SupportAssist?

Introdução
 

• Os sistemas de conectividade remota no OneFS são usados para enviar alertas, log_gathers, inteligência de uso e status do dispositivo gerenciado para o back-end da Dell e também permitem a conexão dial-in remota dos engenheiros do Suporte Dell com o cluster, desde que o cluster esteja configurado para permitir esse recurso

• O ESRS é o sistema de conectividade remota padrão nas versões anteriores à 9.5 do OneFS e é compatível com o OneFS 9.5+, mas espera-se que seja desativado em breve.

• A partir do OneFS 9.5, o SupportAssist é o sistema de conectividade remota recomendado para transmitir eventos, registros e telemetria de um cluster do PowerScale OneFS para o Suporte Dell.

• Há dois métodos para o SupportAssist se comunicar com o back-end da Dell:

  • Conexão direta

  • Conexão por meio do gateway de conexão segura

• O gateway de conexão segura é a solução de conectividade consolidada de última geração da Dell Technologies Services, substituindo as soluções de conectividade SupportAssist Enterprise (SAE) e Secure Remote Services (SRS). A tecnologia Gateway de conexão segura 5.0 é fornecida como um equipamento e um aplicativo independente. O gateway de conexão segura oferece uma solução única para todo o portfólio da Dell EMC, com suporte a servidores, sistema de rede, armazenamento de dados, proteção de dados, soluções hiperconvergentes e convergentes.

O que é o SupportAssist?

• O SupportAssist integra um ESE (Embedded Service Enabler) ao OneFS e pode se conectar ao Suporte Dell diretamente ou por meio de um Gateway de conexão segura (SCG) compatível.
• O SupportAssist é usado para os seguintes fluxos de trabalho:
  • O CELOG envia alertas por meio do canal do SupportAssist para o Suporte Dell.
  • Coleta e upload de logs
  • Ativação da licença por meio do back-end da Dell
  • Coleta e atualização de dados de telemetria do CloudIQ.
  • As definições do HealthCheck são atualizadas usando o SupportAssist.
  • O suporte remoto usa o SupportAssist e o Connectivity Hub para ajudar os clientes com seus clusters

Obtendo uma chave de acesso e um PIN:

Ao fazer upgrade do cluster, para ativar o SupportAssist, você deve primeiro obter uma chave de acesso e um PIN do Suporte Dell. Para gerar sua chave de acesso e PIN, acesse o site da chave de acesso do Suporte Dell e insira suas informações. Para obter instruções sobre como gerar sua chave de acesso, vá para a página Gerar instruções da chave de acesso .

Pré-requisitos do SupportAssist:

• O cluster do OneFS deve estar executando o OneFS 9.5.0.0 (ou posterior) e estar com o status confirmado. Isso pode ser verificado usando os seguintes comandos:

OneFS9500-1# uname -a
Isilon OneFS OneFS9500-1 9.5.0.3 Isilon OneFS 9.5.0.3 (Patch, Build B_9_5_0_005(RELEASE), 2023-05-08 00:05:53, 0x905005000000005, 9.5.0.3_LTS2023_GA-RUP_PSP-3332) amd64
OneFS9500-1# isi up view

Upgrade Status:

Current Upgrade Activity: No activity
   Cluster Upgrade State: committed
   Upgrade Process State: Not started
      Current OS Version: 9.5.0.0_build(5)style(5)
      Upgrade OS Version: N/A
        Percent Complete: 0%

Nodes Progress:

     Total Cluster Nodes: 3
       Nodes On Older OS: 3
          Nodes Upgraded: 0
Nodes Transitioning/Down: 0

LNN                                                         Version   Status
-------------------------------------------------------------------------------
1-3                                                         9.5.0.0   committed
OneFS9500-1#

• O cluster do OneFS tem uma rede IPv4 dedicada.
• A conexão do SupportAssist é realizada a partir de um pool de rede estática
• Se estiver migrando do SRS para o SupportAssist, tenha a chave de acesso e o pin do cluster prontos.
• O usuário ESE deve existir e pertencer a uma função com acesso ISI_PRIV_REMOTE_SUPPORT de leitura e gravação. A saída deve ser semelhante à abaixo: 

OneFS9500-1# isi auth users view ese
                    Name: ese
                      DN: -
              DNS Domain: -
                  Domain: UNIX_USERS
                Provider: lsa-file-provider:System
        Sam Account Name: ese
                     UID: 13
                     SID: S-1-22-1-13
                 Enabled: Yes
                 Expired: No
                  Expiry: -
                  Locked: No
                   Email: -
                   GECOS: SupportAssist User
           Generated GID: No
           Generated UID: No
           Generated UPN: Yes
           Primary Group
                          ID: GID:13
                        Name: ese
          Home Directory: /nonexistent
        Max Password Age: -
        Password Expired: No
         Password Expiry: -
       Password Last Set: -
        Password Expires: Yes
              Last Logon: -
                   Shell: /usr/sbin/nologin
                     UPN: ese@UNIX_USERS
User Can Change Password: No
   Disable When Inactive: No
OneFS9500-1# isi auth mapping token ese
                   User
                       Name: ese
                        UID: 13
                        SID: S-1-22-1-13
                    On Disk: 13
                    ZID: 1
                   Zone: System
             Privileges: ISI_PRIV_LOGIN_PAPI
                         ISI_PRIV_REMOTE_SUPPORT
          Primary Group
                       Name: ese
                        GID: 13
                        SID: S-1-22-2-13
                    On Disk: 13
Supplemental Identities
                       Name: Authenticated Users
                        SID: S-1-5-11
OneFS9500-1#

• Se estiver usando o Gateway de conexão segura, você deverá usar o SCG versão 5.x ou posterior. Além disso, a porta 9443 deve ser aberta entre o cluster e o SCG. Execute o comando curl abaixo em um nó que faz parte do pool de acesso do gateway do SupportAssist para verificar:

Cluster-1# curl -vk https://<IP>:9443
*   Trying <IP>:9443...
* Connected to <IP> (<IP>) port 9443
* ALPN: curl offers http/1.1
* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS handshake, Server key exchange (12):
* TLSv1.2 (IN), TLS handshake, Server finished (14):
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
* TLSv1.2 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (OUT), TLS handshake, Finished (20):
* TLSv1.2 (IN), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (IN), TLS handshake, Finished (20):
* SSL connection using TLSv1.2 / ECDHE-RSA-AES256-GCM-SHA384
* ALPN: server accepted http/1.1
* Server certificate:
*  subject: C=US; ST=Texas; L=Round Rock; O=Dell Technologies Inc.; OU=Dell Secure Remote Services; CN=<CN>
*  start date: Nov 28 13:19:05 2023 GMT
*  expire date: Nov 28 13:19:05 2043 GMT
*  issuer: C=US; ST=Texas; L=Round Rock; O=Dell Technologies Inc.; OU=Dell Secure Remote Services; CN=<CN>
*  SSL certificate verify result: unable to get local issuer certificate (20), continuing anyway.
* using HTTP/1.1
> GET / HTTP/1.1
> Host: <IP>:9443
> User-Agent: curl/8.4.0
> Accept: */*
>
< HTTP/1.1 200 OK
< Date: Thu, 06 Jun 2024 11:14:46 GMT
< Server: Apache
< Strict-Transport-Security: max-age=31536000; includeSubDomains;
< X-Frame-Options: sameorigin
< X-XSS-Protection: 1; mode=block
< X-Content-Type-Options: nosniff
< Last-Modified: Tue, 28 Nov 2023 13:19:05 GMT
< ETag: "18-60b3643496985"
< Accept-Ranges: bytes
< Content-Length: 24
< Content-Security-Policy: frame-ancestors 'self'
< Content-Type: text/html
<
<h1>Page Not Found</h1>
* Connection #0 to host <IP> left intact

• Se estiver usando conexão direta, as portas de rede 443 e 8443 devem ser roteadas para o Suporte Dell.
• O SRS está desativado. A ativação do SupportAssist desativa automaticamente o SRS.

Visão geral da ativação do SupportAssist

Para ativar o SupportAssist, você deve executar as seguintes etapas:

1. Escolha uma ou mais sub-redes estáticas ou pools para comunicação de saída.

2. Opcional: Habilite o SCG e especifique o nome do host.

3. Obtenha uma chave de acesso e um PIN no portal de suporte da Dell.

4. Conectar e provisionar o SupportAssist ( NOTA: Usuários SRS, habilitar o SupportAssist em seu cluster do OneFS desativa permanentemente o SRS ) 

Opção 1 : Ativação do SupportAssist — conecte-se diretamente ao suporte da Dell

Ative o SupportAssist para se conectar diretamente ao Suporte Dell executando os seguintes comandos:

• Para escolher uma ou mais sub-redes estáticas e pools para comunicação de saída, digite o seguinte comando, onde é a sub-rede estática e o pool escolhidos"

isi supportassist settings modify --network-pools="<subnet0.pool0>"

• O modo de conexão direta é a opção padrão. Para ativar o modo de conexão direta, digite o seguinte comando:

isi supportassist settings modify --connection-mode direct

• Se você estiver usando uma chave de acesso e um PIN para se conectar ao Suporte Dell e ativar o SupportAssist, digite o seguinte comando onde e a chave de acesso e o PIN são fornecidos a você no portal do Suporte Dell:

isi supportassist provision start --access-key <key> --pin <pin>

• Se você estiver usando uma chave de hardware para se conectar ao Suporte Dell e ativar o SupportAssist, digite o seguinte comando:

isi supportassist provision start

• Monitore o status do provisionamento usando o comando abaixo

isi supportassist provision view -i

Opção 2 : Ativação do SupportAssist - Gateway de conexão segura
 

Habilite o SupportAssist para se conectar a um Gateway de conexão segura (SCG) executando os seguintes comandos:

• Para escolher uma ou mais sub-redes estáticas e pools para comunicação de saída, digite o seguinte comando, em que é a sub-rede estática e o pool escolhidos:

isi supportassist settings modify --network-pools="<subnet0.pool0>"

• Para ativar o modo de conexão SCG, digite o seguinte comando:

isi supportassist settings modify --connection-mode gateway

• Para direcionar o SupportAssist para o SCG, digite o seguinte comando, em que é o nome do host do SCG

isi supportassist settings modify --gateway-host <hostname> --gateway-port <integer>

• Se você estiver usando uma chave de acesso e um PIN para se conectar ao Suporte Dell e ativar o SupportAssist, digite o seguinte comando onde e a chave de acesso e o PIN são fornecidos a você no portal do Suporte Dell:

isi supportassist provision start --access-key <key> --pin <pin>

• Se você estiver usando uma chave de hardware para se conectar ao Suporte Dell e ativar o SupportAssist, digite o seguinte comando:

isi supportassist provision start

• Monitore o status do provisionamento usando o comando abaixo

isi supportassist provision view -i