PowerScale. Как перейти с Secure Remote Support (SRS) на SupportAssist?
Сводка: Это дополнительная статья к руководствам администратора OneFS для веб-интерфейса и интерфейса командной строки, предназначенная для заказчиков и партнеров при переходе с SRS на SupportAssist ...
Инструкции
Введение
-
Системы удаленного подключения OneFS используются для отправки оповещений, log_gathers, анализа использования и состояния управляемых устройств во внутреннюю часть Dell, а также позволяют инженерам службы поддержки Dell Support удаленно подключаться к кластеру, если в кластере настроена возможность использования этой функции
-
ESRS — это система удаленного подключения по умолчанию в версиях OneFS до v9.5. Она поддерживается в OneFS 9.5+, но скоро будет выведена из эксплуатации.
-
Начиная с OneFS 9.5, SupportAssist — это рекомендованная система удаленного подключения для передачи событий, журналов и телеметрии из кластера PowerScale OneFS в службу поддержки Dell Support.
-
Существует два способа взаимодействия SupportAssist с внутренним сервером Dell
-
Прямое подключение
-
Подключение через Secure Connect Gateway
-
-
Secure Connect Gateway — это консолидированное решение Dell Technologies Services для подключения следующего поколения, которое заменит решения для подключения SupportAssist Enterprise (SAE) и Secure Remote Services (SRS). Технология Secure Connect Gateway 5.0 предоставляется в виде устройства и автономного приложения. Secure Connect Gateway предоставляет единое решение для всего портфеля Dell EMC, поддерживающее серверы, сетевые компоненты, системы хранения и средства защиты данных, гиперконвергентные и конвергентные решения.
Что такое SupportAssist?
- SupportAssist интегрирует встроенное средство включения служб (ESE) в OneFS и может подключаться к службе поддержки Dell напрямую или через поддерживаемый шлюз Secure Connect Gateway (SCG).
- SupportAssist используется для следующих рабочих процессов:
- CELOG отправляет оповещения в службу поддержки Dell по каналу SupportAssist.
- Сбор и загрузка журналов
- Активация лицензии через внутренний сервер Dell
- Сбор и обработка данных телеметрии CloudIQ .
- Определения HealthCheck обновляются с помощью SupportAssist.
- Удаленная поддержка использует SupportAssist и Connectivity Hub для помощи заказчикам с их кластерами
Получение ключа доступа и PIN-кода:
Во время модернизации кластера для включения SupportAssist необходимо сначала получить ключ доступа и PIN-код в службе поддержки Dell. Чтобы сгенерировать ключ доступа и PIN-код, перейдите на сайт ключа доступа службы поддержки Dell и введите свои данные. Инструкции по созданию ключа доступа см. на странице Инструкции по созданию ключа доступа .
Необходимые условия для SupportAssist:
-
Кластер OneFS должен работать под управлением OneFS 9.5.0.0 (или более поздней версии) и иметь состояние «Подтверждено». Это можно проверить с помощью следующих команд:
OneFS9500-1# uname -a
Isilon OneFS OneFS9500-1 9.5.0.3 Isilon OneFS 9.5.0.3 (Patch, Build B_9_5_0_005(RELEASE), 2023-05-08 00:05:53, 0x905005000000005, 9.5.0.3_LTS2023_GA-RUP_PSP-3332) amd64
OneFS9500-1# isi up view
Upgrade Status:
Current Upgrade Activity: No activity
Cluster Upgrade State: committed
Upgrade Process State: Not started
Current OS Version: 9.5.0.0_build(5)style(5)
Upgrade OS Version: N/A
Percent Complete: 0%
Nodes Progress:
Total Cluster Nodes: 3
Nodes On Older OS: 3
Nodes Upgraded: 0
Nodes Transitioning/Down: 0
LNN Version Status
-------------------------------------------------------------------------------
1-3 9.5.0.0 committed
OneFS9500-1#
- Кластер OneFS имеет выделенную сеть IPv4.
- Подключение SupportAssist выполняется из статического сетевого пула
- При миграции с SRS на SupportAssist подготовьте ключ доступа и PIN-код для кластера.
- Пользователь ESE должен существовать и принадлежать роли с доступом ISI_PRIV_REMOTE_SUPPORT чтение и запись. Выходные данные должны быть похожи на приведенные ниже:
OneFS9500-1# isi auth users view ese
Name: ese
DN: -
DNS Domain: -
Domain: UNIX_USERS
Provider: lsa-file-provider:System
Sam Account Name: ese
UID: 13
SID: S-1-22-1-13
Enabled: Yes
Expired: No
Expiry: -
Locked: No
Email: -
GECOS: SupportAssist User
Generated GID: No
Generated UID: No
Generated UPN: Yes
Primary Group
ID: GID:13
Name: ese
Home Directory: /nonexistent
Max Password Age: -
Password Expired: No
Password Expiry: -
Password Last Set: -
Password Expires: Yes
Last Logon: -
Shell: /usr/sbin/nologin
UPN: ese@UNIX_USERS
User Can Change Password: No
Disable When Inactive: No
OneFS9500-1# isi auth mapping token ese
User
Name: ese
UID: 13
SID: S-1-22-1-13
On Disk: 13
ZID: 1
Zone: System
Privileges: ISI_PRIV_LOGIN_PAPI
ISI_PRIV_REMOTE_SUPPORT
Primary Group
Name: ese
GID: 13
SID: S-1-22-2-13
On Disk: 13
Supplemental Identities
Name: Authenticated Users
SID: S-1-5-11
OneFS9500-1#
- При использовании Secure Connect Gateway необходимо использовать SCG версии не ниже 5.x. Кроме того, между кластером и SCG должен быть открыт порт 9443. Выполните следующую команду curl на узле, который входит в пул доступа шлюза SupportAssist, чтобы проверить:
Cluster-1# curl -vk https://<IP>:9443 * Trying <IP>:9443... * Connected to <IP> (<IP>) port 9443 * ALPN: curl offers http/1.1 * Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH * TLSv1.2 (OUT), TLS handshake, Client hello (1): * TLSv1.2 (IN), TLS handshake, Server hello (2): * TLSv1.2 (IN), TLS handshake, Certificate (11): * TLSv1.2 (IN), TLS handshake, Server key exchange (12): * TLSv1.2 (IN), TLS handshake, Server finished (14): * TLSv1.2 (OUT), TLS handshake, Client key exchange (16): * TLSv1.2 (OUT), TLS change cipher, Change cipher spec (1): * TLSv1.2 (OUT), TLS handshake, Finished (20): * TLSv1.2 (IN), TLS change cipher, Change cipher spec (1): * TLSv1.2 (IN), TLS handshake, Finished (20): * SSL connection using TLSv1.2 / ECDHE-RSA-AES256-GCM-SHA384 * ALPN: server accepted http/1.1 * Server certificate: * subject: C=US; ST=Texas; L=Round Rock; O=Dell Technologies Inc.; OU=Dell Secure Remote Services; CN=<CN> * start date: Nov 28 13:19:05 2023 GMT * expire date: Nov 28 13:19:05 2043 GMT * issuer: C=US; ST=Texas; L=Round Rock; O=Dell Technologies Inc.; OU=Dell Secure Remote Services; CN=<CN> * SSL certificate verify result: unable to get local issuer certificate (20), continuing anyway. * using HTTP/1.1 > GET / HTTP/1.1 > Host: <IP>:9443 > User-Agent: curl/8.4.0 > Accept: */* > < HTTP/1.1 200 OK < Date: Thu, 06 Jun 2024 11:14:46 GMT < Server: Apache < Strict-Transport-Security: max-age=31536000; includeSubDomains; < X-Frame-Options: sameorigin < X-XSS-Protection: 1; mode=block < X-Content-Type-Options: nosniff < Last-Modified: Tue, 28 Nov 2023 13:19:05 GMT < ETag: "18-60b3643496985" < Accept-Ranges: bytes < Content-Length: 24 < Content-Security-Policy: frame-ancestors 'self' < Content-Type: text/html < <h1>Page Not Found</h1> * Connection #0 to host <IP> left intact
- При использовании прямого подключения сетевые порты 443 и 8443 необходимо направить в службу поддержки Dell.
- SRS отключен. Включение SupportAssist автоматически отключает SRS.
Общие сведения о включении SupportAssist
Чтобы включить SupportAssist, необходимо выполнить следующие действия.
-
Выберите одну или несколько статических подсетей или пулов для исходящей связи.
-
Опционально. Включите SCG и укажите имя хоста.
-
Получите ключ доступа и PIN-код на портале поддержки Dell.
-
Подключение и предоставление ресурсов SupportAssist ( ПРИМЕЧАНИЕ. Пользователи SRS, при включении SupportAssist в кластере OneFS окончательно отключает SRS)
Вариант 1 : Включение SupportAssist — прямое подключение к службе поддержки Dell
Включите прямое подключение SupportAssist к службе поддержки Dell, выполнив следующие команды:
-
Чтобы выбрать одну или несколько статических подсетей и пулов для исходящей связи, введите следующую команду, где находятся выбранные статические подсеть и пул.
isi supportassist settings modify --network-pools="<subnet0.pool0>"
- Режим прямого подключения является параметром по умолчанию. Чтобы включить режим прямого подключения, введите следующую команду:
isi supportassist settings modify --connection-mode direct
- Если вы используете ключ доступа и PIN-код для подключения к службе поддержки Dell и включения SupportAssist, введите следующую команду, где и — ключ доступа и PIN-код, предоставленные вам на портале поддержки Dell:
isi supportassist provision start --access-key <key> --pin <pin>
- Если вы используете аппаратный ключ для подключения к службе поддержки Dell и включения SupportAssist, введите следующую команду:
isi supportassist provision start
- Отслеживайте состояние предоставления с помощью следующей команды.
isi supportassist provision view -i
Вариант 2 : Включение SupportAssist — Secure Connect Gateway
Включите SupportAssist для подключения к шлюзу защищенного соединения (SCG), выполнив следующие команды:
-
Чтобы выбрать одну или несколько статических подсетей и пулов для исходящей связи, введите следующую команду, где будут выбраны статическая подсеть и пул:
isi supportassist settings modify --network-pools="<subnet0.pool0>"
- Чтобы включить режим подключения SCG, введите следующую команду:
isi supportassist settings modify --connection-mode gateway
- Чтобы указать SupportAssist на SCG, введите следующую команду, где — имя хоста SCG
isi supportassist settings modify --gateway-host <hostname> --gateway-port <integer>
- Если вы используете ключ доступа и PIN-код для подключения к службе поддержки Dell и включения SupportAssist, введите следующую команду, где и — ключ доступа и PIN-код, предоставленные вам на портале поддержки Dell:
isi supportassist provision start --access-key <key> --pin <pin>
- Если вы используете аппаратный ключ для подключения к службе поддержки Dell и включения SupportAssist, введите следующую команду:
isi supportassist provision start
- Отслеживайте состояние предоставления с помощью следующей команды.
isi supportassist provision view -i