所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

FusionCloud 6.3.0 安全管理指南 09

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
Service OM类

Service OM类

登录和注销Service OM界面

指导管理员登录Service OM,进行界面的相关操作。

前提条件
  • 已获取所要求版本的浏览器。
    表5-3 浏览器版本要求

    类型

    说明

    IE

    支持“Internet Explorer 10.0”到“Internet Explorer 11.0”的正式版本。

    Chrome

    支持“Google Chrome 31.0”到“Google Chrome 60.0”的正式版本。

    Firefox

    支持“Firefox 34.0”到“Firefox 55.0”的正式版本。

    说明:

    当浏览器版本做了升级,请清理浏览器缓存后再登录。

  • 本地PC已设置所要求的分辨率。推荐使用的分辨率为1366*768、1440*900。为保证较好的使用效果,建议横向分辨率不小于1280px。
  • 已获取ManageOne运维面的IP地址。
  • 已获取登录ManageOne运维面的用户名、密码。
登录Service OM界面
  1. 使用浏览器,登录ManageOne运维面。

    • 登录地址:https://ManageOne运维面浮动IP地址:31943。例如,https://192.168.0.3:31943。
    • 默认帐号:admin,默认密码:Huawei12#$。

  1. 在页面上方的导航栏,选择“运维地图”,进入“运维地图”页面。
  2. 在“运维地图”页面右边的“快速访问”导航栏中,单击“ServiceOM”进入Service OM界面。

用户注销

在界面右上方,单击用户名,选择“退出”,即可退出当前用户登录,回到登录界面。

更换Service OM的Web服务器nginx证书

背景信息

该任务指导管理员在系统正常运行时,手动更换Service OM的Web服务器nginx的认证证书,以提升系统的运维安全性。

目前产品提供的证书是自签名证书,如果需要使用自己的证书做认证,可向CA申请证书,并按照本文档所描述的步骤进行替换。

Service OM的Web服务器nginx证书的默认加密密码为“FusionSphere123”

建议证书的加密和签名算法为“RSA 2048”及“SHA256”。

FusionSphere OpenStack 和Service OM两边的根证书和服务证书应保持一致,否则业务会不正常。

对系统的影响

更换证书需要重启生效,重启的过程中Service OM业务暂停。如果更换的证书不正确,会导致Service OM的页面无法访问、接囗不能使用。

前提条件
  • 已获取FusionSphere根证书、由FusionSphere根证书签发的服务证书文件以及私钥,并将FusionSphere根证书命名为“fsRoot.crt”,服务证书文件命名为“server.crt”,私钥命名为“server.key”。
  • 已获取Service OM主、备节点的管理IP地址以及galaxmanager用户的密码。
  • 已获取PuTTY工具。
  • 已获取WinSCP工具。
操作步骤
  1. 将FusionSphere根证书“fsRoot.crt”,由“fsRoot.crt”签发的证书文件“server.crt”及私钥“server.key”放到一个文件夹中并命名为“ws”。
  2. 使用“WinSCP”工具,以“galaxmanager”用户,将“ws”文件夹拷贝到Service OM主节点的“/opt/goku/data/upload”路径下。

    通过Service OM主节点管理IP地址登录,“galaxmanager”用户默认密码为“IaaS@OS-CLOUD9!”。

    使用“WinSCP”登录时协议选择“SFTP”,端口号默认为“22”。

  3. 使用“PuTTY”工具,登录Service OM主节点。

    以“galaxmanager”用户,通过Service OM主节点管理IP地址登录。

    “galaxmanager”用户的默认密码为“IaaS@OS-CLOUD9!”。

    其他“PuTTY”登录的选项请保持默认值。

  4. 执行以下命令,并按提示输入“root”用户的密码,切换至“root”用户。

    su - root

    root用户的默认密码是“IaaS@OS-CLOUD8!”。

  5. 执行以下命令,防止系统超时退出。

    TMOUT=0

  6. 执行以下命令,替换证书。

    updateCa ws

  7. 根据提示输入私钥“server.key”的加密密码。如果没有提示输入密码,说明私钥没有密码,无需执行此步骤。

    回显如下信息,表示替换成功。

    Update ca for web service and agent success
  8. 执行以下命令,重启服务,使证书配置生效。

    nginx restart

    回显如下信息,表示重启成功。

    restart success
  9. 执行以下命令,删除上传的证书文件。

    rm -rf /opt/goku/data/upload/ws

  10. 重复执行29,在Service OM备节点上更换证书。

配置认证服务

配置认证第三方服务端
背景信息

Service OM和FusionSphere之外的其他网元通过SSL方式通信时,Service OM作为SSL客户端,且和服务端不在同一个信任域时,可以开启认证其它服务端身份的功能,用来识别正确的服务端。

前提条件
  • 已准备跨平台远程访问工具,如“PuTTY”。
  • 已获取Service OM的管理IP地址,“galaxmanager”用户密码。
  • 确认已经导入过其他网元的根证书。如果没有导入,将导致Service OM连接其他网元失败。
操作步骤

启用Service OM认证第三方服务端

  1. 使用“PuTTY”,登录Service OM节点,Service OM节点主备部署时,需登录Service OM主节点。

    以“galaxmanager”用户,通过Service OM管理IP地址登录。

    “galaxmanager”用户的默认密码为“IaaS@OS-CLOUD9!”。

  2. 执行以下命令,并按提示输入“root”用户的密码,切换至“root”用户。

    su - root

    root用户的默认密码是“IaaS@OS-CLOUD8!”。

  3. 执行以下命令,防止系统超时退出。

    TMOUT=0

  4. Service OM节点是否主备部署?
    • 是,执行5
    • 否,执行6
  5. 执行以下命令,禁止主备倒换 。

    ha_switch -f MODIFY_DB 86400

  6. 分别执行如下命令,开启Service OM认证第三方服务端。

    certSwitch open

    显示如下回显信息时,输入yes,

    Are you sure you want to enable authenticating other servers? [yes/no]

    显示如下回显时,表示开启成功:

    Authenticating other servers is already enabled.

    Authenticating other servers enabled successfully.

    sh /opt/panda/tools/bin/modifySSLCheckOption.sh open

    显示如下回显信息时,输入yes

    Are you sure you want to enable authenticating other servers? [yes/no]

    显示如下回显信息时,表示开启成功:

    Authenticating other servers is already enabled.

    Authenticating other servers enabled successfully.
  7. Service OM节点虚拟机是否主备部署?
    • 是,执行8
    • 否,任务结束。
  8. 执行以下命令,同步配置到备节点。

    haNotifySyncFiles

  9. 执行以下命令,取消禁止主备倒换。

    ha_switch -c MODIFY_DB

相关任务

如何关闭Service OM认证第三方服务端

  1. 使用“PuTTY”,登录Service OM节点,Service OM节点主备部署时,需登录Service OM主节点。

    以“galaxmanager”用户,通过Service OM管理IP地址登录。

    “galaxmanager”用户的默认密码为“IaaS@OS-CLOUD9!”。

  2. 执行以下命令,并按提示输入“root”用户的密码,切换至“root”用户。

    su - root

    root用户的默认密码是“IaaS@OS-CLOUD8!”。

  3. 执行以下命令,防止系统超时退出。

    TMOUT=0

  4. Service OM节点是否主备部署?
    • 是,执行5
    • 否,执行6
  5. 执行以下命令,禁止主备倒换

    ha_switch -f MODIFY_DB 86400

  6. 分别执行如下命令,关闭Service OM认证第三方服务端。

    certSwitch close

    显示如下回显信息时,表示关闭成功:

    Authenticating other servers is already disabled.

    Authenticating other servers disabled successfully.

    sh /opt/panda/tools/bin/modifySSLCheckOption.sh close

    显示如下回显信息时,表示关闭成功:

    Authenticating other servers is already disabled.

    Authenticating other servers disabled successfully.
  7. Service OM节点虚拟机是否主备部署?
    • 是,执行8
    • 否,任务结束。
  8. 执行以下命令,同步配置到备节点。

    haNotifySyncFiles

  9. 执行以下命令,取消禁止主备倒换。

    ha_switch -c MODIFY_DB

配置backup-client认证服务端
背景信息

Service OM支持backup-client通过根证书对其服务端进行认证,该认证功能支持开启和关闭,默认为开启。

前提条件
  • 已获取Service OM主、备节点的管理IP地址以及galaxmanager用户的密码。
  • 已获取PuTTY工具。
操作步骤
  1. 使用“PuTTY”工具,登录Service OM主节点。

    以“galaxmanager”用户,通过管理IP地址登录。

    “galaxmanager”用户的默认密码为“IaaS@OS-CLOUD9!”。

  2. 执行以下命令,并按提示输入“root”用户的密码,切换至“root”用户。

    su - root

    root用户的默认密码是“IaaS@OS-CLOUD8!”。

  3. 执行以下命令,防止系统超时退出。

    TMOUT=0

  4. 执行以下命令,配置backup-client的证书认证开关。

    configManager -sv True/False -f backup-client

    其中,“True”表示开启,“False”表示关闭。

    例如,关闭backup-client的证书认证开关,执行命令如下:

    configManager -sv False -f backup-client

    显示如下回显信息,说明配置成功:

    Config successfully!
  5. 在Service OM备节点上同步进行配置,配置方法请参考14

获取根证书

背景信息

Service OM作为服务端与FusionSphere之外的其他网元和通过SSL方式通信时,该网元作为客户端需要对Service OM的身份进行认证,因此要获取Service OM的根证书并导入到该网元的信任库。如果该网元没有导入Service OM的根证书,会导致连接Service OM失败。

前提条件
  • 已准备跨平台远程访问工具,如“PuTTY”。
  • 已获取Service OM的管理IP地址,“galaxmanager”用户密码。
  • 文件传输工具,如WinSCP。
操作步骤
  1. 使用“PuTTY”,登录Service OM节点,Service OM节点主备部署时,需登录Service OM主节点。

    以“galaxmanager”用户,通过Service OM管理IP地址登录。

    “galaxmanager”用户的默认密码为“IaaS@OS-CLOUD9!”。

  2. 执行以下命令,并按提示输入“root”用户的密码,切换至“root”用户。

    su - root

    root用户的默认密码是“IaaS@OS-CLOUD8!”。

  3. 执行以下命令,防止系统超时退出。

    TMOUT=0

  4. 执行以下命令,导出Service OM根证书。

    exportFMRootCert

    显示如下回显信息时,表示导出成功。

    export Root CA successfully
  5. 使用文件传输工具,如WinSCP工具,进入“/opt/goku/data/upload”目录下,获取Service OM的根证书“fsRoot.crt”。

切换及退出Service OM的工程模式

背景信息

Service OM在企业级Linux系统上进行了增强的安全加固,在产品正常服务周期内将运行于安全模式下,不需要进入工程模式。工程模式一般仅在工厂进行产品调试时使用。在工程模式下可以获得系统底层软硬件系统的详细运行信息,以辅助产品问题定位。工程模式仅在常规维护手段无法处理的重大软件问题时使用,例如系统经常性异常崩溃而无法通过业务、系统运行日志进行处理的情况。在正常使用、维护阶段不需要进入工程模式。

操作步骤

切换工程模式

  1. 以“galaxmanager”用户,使用管理IP地址,通过PuTTY登录Service OM节点。

    “galaxmanager”用户的默认密码为“IaaS@OS-CLOUD9!”。

  2. 执行以下命令,切换工程模式。

    gotoEngineerMode

  3. 根据界面提示,输入root帐号的密码,进入工程模式。
  1. 问题定位完成后,执行以下命令,退出工程模式。

    exit

翻译
下载文档
更新时间:2019-01-25

文档编号:EDOC1100015665

浏览量:29434

下载量:793

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页