- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-正文
本章节下载: 01-正文 (3.54 MB)
本文档主要介绍EAD终端准入控制产品的安装、登录、升级、注册、卸载等功能。具体模块主要包括:
· EAD终端智能接入:可为企业提供统一的网络接入策略,实现企业网络(有线、无线和VPN网络)的统一接入管理,并提供对员工、访客、设备管理员基于角色、设备类型、接入时间、接入地点的网络访问控制,满足企业多种网络接入、多种终端接入的统一运维管理需求,确保终端安全策略在整个网络无缝地执行。
· EAD终端合规管理:从控制用户终端安全接入网络的角度入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,有效地加强了用户终端的主动防御能力,为企业网络管理人员提供了有效、易用的管理工具和手段。
· EAD鹰视端点探测:是一种专为探测、识别和监控网络中所有端点而设计的系统。它运用扫描器在设定的时间间隔或周期内对网络内的端点进行扫描,自动识别端点类型和操作系统等信息。通过这种方式,EAD鹰视端点探测能够及时发现和识别新的端点,以及异常端点,并将其标注出来以供管理员审批依据。EAD鹰视端点探测的作用在于加强对网络端点的管理和监控,有助于提升网络安全性和降低潜在风险。
· EAD终端行为审计:是专为各企事业单位高效解决终端用户行为管理问题而研发的一款产品。能够全面监控终端用户的各类操作,有效监控网络资源的使用和敏感信息的传播,准确掌握用户终端的安全状态,及时发现违反安全策略的事件并实时告警、记录,同时进行安全事件定位分析,为事后追查取证提供可信的溯源凭据。
· EAD终端数据管理:通过先进的深度内容识别技术和全面的渠道控制手段,有效防止用户关键业务数据或信息资产以不符合管理策略的方式有意或无意外泄。能够帮助企事业单位根据数据的重要性进行有针对性的管理和保护,防止核心信息资产的泄露,从而避免企业面对不可估量的风险和损失。
· Matrix:基于Kubernetes,实现了对Docker容器的编排调度。主要用于Kubernetes集群的搭建,微服务的部署,以及系统、Docker容器、微服务等的运维监控。
· Master节点:集群主节点。一个集群必须包含3个Master节点(单机模式下仅需一个Master节点),集群将从3个Master节点中自动选举出一台作为主用Master节点,其它Master节点为备用Master节点。当集群的主用Master节点故障时,将在备用Master节点中重新选出新的主用Master节点,接管原主用Master节点的业务,避免业务中断。主用Master和备用Master的作用如下:
¡ 主用Master节点:负责管理和监控集群中的所有节点,北向业务虚IP会下发至主用Master节点上,所有Master节点共同承担业务的运行。
¡ 备用Master节点:仅承担业务的运行,不负责管理和监控其它节点。
· Worker节点:集群业务节点。Worker节点仅承担业务,不参与主用Master节点的选举。Worker节点为可选节点,当Master上的业务已经达到资源和性能瓶颈,如CPU和内存使用率居高不下,业务响应慢,节点上Pod个数达到或接近300个限制等,可通过增加Worker节点提升集群的性能和业务处理能力。(是否支持增加Worker节点部署,请查看相应产品版本说明书)
· 扫描器:扫描器用于对指定网关或者网段内的端点根据配置的策略进行扫描。扫描器可以发现和识别端点,并将扫描结果上报扫描器引擎。EAD鹰视端点探测将上报的扫描结果与已有基线作对比,更新端点的合规状态和在线状态。
支持多种扫描器模式:主动扫描、被动扫描、融合扫描。满足不同场景需求:
¡ 主动扫描:扫描器主动向端点发送探测报文,根据端点的回应报文进行识别。
¡ 被动扫描:不主动向端点发送探测报文,仅抓取镜像到配置网卡上的报文,并提取特征值进行端点识别。不会对目的端点造成影响。
¡ 融合扫描:同时进行主动扫描和被动扫描,会将两种识别结果选取最优结果上报。
控制组件可在Matrix融合部署页面进行安装。具体安装流程如下。
表1 安装流程
|
步骤 |
具体操作 |
说明 |
|
1. 准备服务器 |
· 单机部署模式准备1台服务器 · 集群部署模式准备至少3台服务器 |
必选 硬件和软件需求,请参见“软硬件配置需求” |
|
2. 安装Matrix集群 |
在服务器上安装操作系统,并安装Matrix集群 |
必选 具体方法请参见配套的《H3C 统一数字底盘安装部署指导》 |
|
3. 部署统一数字底盘 |
部署统一数字底盘 |
必选 具体方法请参见配套的《H3C 统一数字底盘安装部署指导》 |
|
4. 部署BMP_Common和BMP_Connect组件 |
必选 |
|
|
5. 在Matrix融合部署页面部署EAD |
必选 |
|
|
必选 |
||
|
必选 请在融合部署页面,将产品安装包上传并部署 |
||
|
必选 |
||
|
必选 |
||
|
必选 |
||
|
必选 |
||
|
必选 |
EAD包括EAD终端智能接入、EAD终端合规管理、EAD鹰视端点探测等多个功能模块。根据功能需求各模块既可独立部署,也可融合部署。在进行融合部署时请务必评估硬件资源的使用情况。
EAD支持单机和集群部署,推荐3机集群部署模式。具体的硬件配置要求可使用资源计算工具进行自定义配置计算。
EAD运行在统一数字底盘上,部署前需要先安装统一数字底盘。操作系统的具体安装步骤请参见《H3C 统一数字底盘操作系统安装指导》,支持操作系统安装包如下表所示。
|
安装包名称 |
功能说明 |
获取路径 |
说明 |
|
NingOS-version.iso |
· H3C磐宁NingOS操作系统 · 银河麒麟操作系统 · TenCentOS操作系统 |
H3C自研操作系统下载路径:H3C官网首页>支持>文档与软件>软件下载>智能管理与运维>H3C PLAT (统一数字底盘)>H3C PLAT 2.0 (统一数字底盘) |
必选,操作系统三选一即可。具体所适配的操作系统版本,请查看产品版本说明书 |
|
Kylin-Server-version.iso |
请用户自行获取 |
||
|
TenCentOS-Server-version.iso |
请用户自行获取 |
表3 操作系统检测项
|
检测项 |
检测标准 |
|
NTP检查 |
请检查系统时间已配置完成,建议配置NTP时间同步,整网使用统一的时钟源同步时间 |
|
服务器和操作系统兼容性 |
请参见以下链接,查看H3C服务器和操作系统的兼容性列表: |
扫描器需要部署在独立的服务器上,支持物理机和虚拟机部署。
|
管理端点数 |
扫描用时 |
CPU(主频≥ 2.5GHz) |
内存 |
磁盘空间 |
|
<=3000 |
· <=500端点:10min · <=3000端点:30min |
4核CPU |
8G |
80GB |
· Windows Server 2008 with Service Pack 2
· Windows Server 2008 R2 with Service Pack 1
· Windows Server 2012 和 KB2836988补丁(64 bit)
· Windows Server 2012 R2 (64 bit)
· Windows Server 2016
· Windows Server 2019
· Windows Server 2022
Windows操作系统需要安装相应的补丁,详见版本使用限制及注意事项中的相关说明。
· Red Hat Enterprise Linux Server 7.0 (64bit)
· 凝思磐石6.0.80
· 银河麒麟V10(SP1,SP2,SP3)
· NingOS-V3-1.0.2403
· 银河麒麟V10(SP1,SP2,SP3)(ARM)
· NingOS-V3-1.0.2403(ARM)
· 统信UOS (ARM)
扫描器需要能够访问终端和EAD鹰视端点探测的IP地址(统一数字底盘北向业务虚IP),确保网络互通。
|
类型 |
型号 |
|
交换机 |
H3C S3100-8TP-PWR-EI,H3C S5130-52S-PWR-EI,H3C S7502E-XS,Cisco 3560-24TS,Cisco 3560-48TS,Cisco 3560G-48PS,Huawei Quidway S5700-28C-EI,HP A5500-48G-PoE+ E |
· 推荐被动扫描器和主动扫描器部署在同一台服务器上。
· 当被动扫描器独立部署时,需满足本章节配置要求。
表6 被动扫描器配置要求
|
平台 |
操作系统及内核版本 |
|
Linux平台- X86_64架构 |
RHEL 7.0-7.6,7.8-7.9,8.0-8.3 中标麒麟(内核3.10.0-862.9) 凝思磐石(内核4.9.0) NingOS-V3-1.0.2403(内核5.10.0) |
|
Linux平台- ARM架构 |
银河麒麟(内核4.4.58,4.4.131,4.19.90-11) 统信UOS(内核4.19.0-ARM 64) |
若需使用流量镜像功能,则需要安装EAC Client。
Linux:NingOS-V3-1.0.2403
· 准备一台支持流量镜像功能的交换机。
· 准备一台服务器,规格要求请参见表7。
表7 EAC流量镜像服务器参数规格
|
管理终端数 |
网卡 |
CPU |
内存 |
磁盘空间 |
|
<=2000 |
一张或两张10GB网卡,一张普通网卡(百兆或千兆) 【说明】若部分设备流量镜像口无法通信,则需配置两张10GB网卡。 |
8核及以上(主频≥ 2.0GHz) |
8G及以上 |
500G及以上 |
EAC Client所需安装包如表8所示。
表8 EAC Client所需安装包
|
安装包名称 |
说明 |
|
EacClient.tar.gz |
该安装包存放在EAD组件安装包的tools路径下 路径示例:EAD\tools\EacClient.tar.gz |
|
操作系统 |
硬件要求 |
浏览器配置要求 |
|
Windows |
主频2.0G Hz(以上)、内存2GB(以上)、硬盘50GB(以上)、100M网卡(以上)、声卡 |
· 关闭浏览器的弹出窗口阻塞设置 · 必须使能浏览器的Cookies · 统一数字底盘站点加入受信任站点 · 客户端分辨率显示宽度至少为1440 · 推荐使用Chrome 70及以上版本 |
安装环境请参见下表中所示的各个检测项目,确保安装Matrix的条件已经具备。
|
检测项 |
检测标准 |
|
|
服务器 |
硬件检查 |
请检查硬件是否符合要求(包括CPU、内存、硬盘、网口等) 请检查是否支持部署统一数字底盘 |
|
软件检查 |
请检查系统时间已配置完成,建议配置NTP时间同步,整网使用统一的时钟源同步时间 |
|
|
客户端 |
请确保浏览器版本符合要求 |
|
EAD的安装需要依赖统一数字底盘,详细的统一数字底盘应用包介绍,请参见《H3C统一数字底盘安装部署指导》中的“应用安装包说明”章节。本文仅介绍部署EAD所需的统一数字底盘应用安装包,安装包的名称格式如下表所示,其中version为版本号,platform为CPU架构类型。
表11 部署EAD所需的统一数字底盘应用安装包
|
应用安装包名称 |
功能说明 |
说明 |
|
UDTP_Base_version_platform.zip |
基础服务组件:提供融合部署、用户管理、权限管理、资源管理、租户管理、菜单管理、日志中心、备份恢复和健康检查等基础功能 |
必选 |
|
BMP_Connect_version_platform.zip |
连接服务组件:提供上下级站点管理、WebSocket通道管理和NETCONF通道管理功能 |
必选 |
|
BMP_Common_version_platform.zip |
通用服务组件:提供大屏管理、告警、告警聚合和告警订阅等功能 |
必选 |
|
BMP_Extension_version_platform.zip |
扩展服务组件:提供异地容灾、快照回滚、证书服务、自监控、智能算法库、单点登录和密码平台等功能 |
可选,依赖BMP_Common |
|
BMP_Report_version_platform.zip |
报表服务 |
可选 |
EAD部署所需的安装包如下表所示,将安装包解压后可获得应用包。
表12 部署EAD安装包
|
安装包名称 |
应用包名称 |
说明 |
|
H3C_EAD_version.zip |
EIA-version.zip |
EAD终端智能接入模块 |
|
BRANCH-version.zip |
分级管理模块 |
|
|
TAM-version.zip |
设备管理模块 |
|
|
EAD-version.zip |
EAD终端合规管理模块,依赖EAD终端智能接入模块 |
|
|
H3C_EAD-Extend_version.zip |
EPS-version.zip |
EAD鹰视端点探测模块 |
|
EBM-version.zip |
EAD终端行为审计模块 |
|
|
EDM-version.zip |
EAD终端数据管理模块,依赖EAD终端行为审计模块 |
上传应用安装包之后,请参见如下命令对软件包执行MD5验证,确保软件包的完整性和正确性。
(1) 查看已上传的安装包。
[root@node1 ~]# cd /opt/matrix/app/install/packages/
[root@node1 packages]# ls
BMP_Common_E7401_x86.zip BMP_Connect_E7401_x86.zip
…略…
(2) 查看安装包的MD5值,以UDTP_Base_E7401_x86.zip为例。
[root@node1 packages]# md5sum UDTP_Base_E7401_x86.zip
c5751a529b7a6f2b34284e8e07df8831 UDTP_Base_E7401_x86.zip
(3) 将上述步骤中获取到的MD5值与发布的软件版本文件MD5值进行比对,若一致,则软件包正确。
具体请参考《H3C 统一数字底盘操作系统安装指导》。
(1) 获取软件安装包,并将软件包拷贝至服务器的待安装目录下,或使用FTP等文件传输协议将软件包上传到指定目录。
¡ (推荐)root用户在/root目录下,或在/root下创建目录。
¡ (推荐)非root用户(如admin)在/home/admin下。
· 如果需要使用FTP、TFTP协议上传下载,请选择binary模式(二进制模式)传输,以免损坏软件包。
· 如需安装Matrix的E7105H04及以上版本,或E7302及以上版本,若Docker版本为20.10.24,可直接安装;若Docker版本低于20.10.24,请先安装E7105或E7105H02的Matrix版本,然后将Docker升级至20.10.24,最后再将Matrix升级到E7105H04或E7302及以上版本。
(2) 上传完成后,请参考验证软件包对Matrix的安装包进行MD5校验。
若使用root用户安装软件包,或者使用admin用户安装NingOS操作系统,可直接跳过该章节。
(1) 执行su root命令切换为root用户后,在root用户下确认/etc/passwd配置文件。已配置的非root用户名称是否与配置文件中的名称一致,此处以user为例,如下图所示。如果不一致请修改配置文件中的用户名,其他参数无需修改,保持默认设置即可。
[root@node1 ~]# vim /etc/passwd
…
user:x:1000:1001:user:/home/user:/bin/bash
…
(2) 在root用户下修改/etc/sudoers配置文件。
[root@node1 ~]# vim /etc/sudoers
…略…
## Allow root to run any commands anywhere
root ALL=(ALL) ALL
user ALL=(root) NOPASSWD:/bin/bash
## Allows members of the 'sys' group to run networking, software,
## service management apps and more.
# %sys ALL = NETWORKING, SOFTWARE, SERVICES, STORAGE, DELEGATING, PROCESSES, LOCATE, DRIVERS
## Allows people in group wheel to run all commands
%wheel ALL=(ALL) ALL
user ALL=(root) NOPASSWD:/bin/bash
user ALL=(root) NOPASSWD:/usr/bin/rpm,/bin/sh
…略…
(3) 在root用户下修改/etc/pam.d/login配置文件。
[root@node1 ~]# vim /etc/pam.d/login
#%PAM-1.0
auth substack system-auth
auth [user_unknown=ignore success=ok ignore=ignore auth_err=die default=bad] pam_securetty.so
…略…
(4) 在root用户下修改/etc/ssh/sshd_config配置文件。
若当前环境为统一数字底盘与PolarDB数据库的融合部署,请勿执行此步骤。
[root@node1 ~]# vim /etc/ssh/sshd_config
…略…
#LoginGraceTime 2m
PermitRootLogin no
…略…
(5) 修改完成后,执行systemctl restart sshd命令重启sshd服务。
· 所有节点的安装用户需保持一致,若选择非root作为安装用户,需要在脚本执行命令前添加sudo /bin/bash指令。
· 安装Matrix的用户需与所属用户组名称保持一致。
(1) 进入Matrix软件包(.zip文件)的存放路径,安装Matrix。软件包的名称格式为UDTP_Matrix_version_platform.zip,其中version为版本号,platform为CPU架构类型。下面以root用户、x86_64版本为例进行安装。
[root@node1 ~]# unzip UDTP_Matrix_E7401_x86_64.zip
[root@node1 ~]# cd UDTP_Matrix_E7401_x86_64
[root@node1 UDTP_Matrix_E7401_x86_64]# ./install.sh
…略…
Complete!
(2) 通过命令systemctl status matrix验证Matrix服务是否安装成功。若安装成功,则将在Active字段后显示运行信息为active (running)。剩余节点执行同样操作即可。
(3) 默认为中文界面,若需英文界面,则可通过如下方式修改:
a. 使用vim /opt/matrix/config/navigator_config.json命令进入navigator_config文件,修改defaultLanguage字段值为en(若文件中没有该配置,请直接增加该字段,字段后需要携带英文逗号),配置如下:
[root@node1 ~]# vim /opt/matrix/config/navigator_config.json
{
"defaultLanguage":"en",
"productName": "uc",
"pageList": ["SYS_CONFIG", "DEPLOY", "APP_DEPLOY"],
"defaultPackages": [],
"allowDeployedPackageIds": ["UNIFIED-PLATFORM-BASE"],
"url": "http:””://${vip}:30000/central/index.html#/ucenter-deploy",
"theme":"darkblue",
"matrixLeaderLeaseDuration": 30,
"matrixLeaderRetryPeriod": 2,
"sshPort": 22,
"sshLoginMode": "secret",
"features":{"stopNtpServerBeyondThreshold":"false"}
}
b. 执行systemctl restart matrix命令重启Matrix服务使配置生效,其他节点也依次按a、b步骤配置。
Matrix集群通过SSH连接进行节点的安装、升级、修复等操作,并实现应用部署、监控等功能。各节点上的SSH服务器默认使用22号端口侦听客户端连接请求,双方建立TCP连接后可进行数据信息的交互。
用户可根据本章节修改SSH服务端口号,提高SSH连接的安全性。
· 请确保所有节点都配置为相同的SSH服务端口号。
· 端口范围为1~65535,不推荐使用1~1024之间的知名端口号,禁止使用各方案端口矩阵中已定义的端口号,否则SSH服务可能启动失败。
· 若需要通过ISO方式升级Matrix,请在升级前确保集群中所有节点的navigator_config文件内容一致。可使用vim /opt/matrix/config/navigator_config.json命令进入navigator_config文件,查看该文件中的详细信息。
· 若修改已部署集群中的SSH服务端口号,请确认所有业务组件是否支持。
· 若为非root用户,执行如下命令前,请进行提权操作(在非root用户下执行su root命令即可)。
· 集群各节点/opt/matrix/config/navigator_config.json中的配置必须保持一致,否则会影响集群稳定性。
· 若需修改SSH服务端口号,请参见各产品版本使用指导书中的产品端口占用说明,以避免端口冲突。
· 在PolarDB或Matrix集群部署完成后,禁止修改SSH端口。
(1) 若集群未部署,登录节点后台,使用netstat -anp | grep after_port-number检查指定的端口号是否被占用,若未被占用,则无返回信息;若被占用,则返回如下信息。其中,after_port-number为用户想要指定的SSH服务新的端口号。举例如下:
¡ 12345端口号未被占用,可以修改为该端口号。
[root@node1 ~]# netstat -anp | grep 12345
¡ 1234端口号被占用,不可以修改为该端口号。
[root@node1 ~]# netstat -anp | grep 1234
tcp 0 0 0.0.0.0:1234 0.0.0.0:* LISTEN 26211/sshd
tcp6 0 0 :::1234 :::* LISTEN 26211/sshd
若集群已部署,除上述的检查外,还需要执行以下命令确认环境中是否有业务容器占用该端口(如果还有其他形式的端口占用,请根据实际情况检查)。具体如下:
¡ 12345端口号未被占用,可以修改为该端口号。
[root@node1 ~]# kubectl get svc -A -oyaml | grep nodePort | grep -w 12345
[root@node1 ~]# kubectl get pod -A -oyaml | grep hostPort | grep -w 12345
¡ 1234端口号被nodePort或hostPort占用,不可以修改为该端口号。
[root@node1 ~]# kubectl get svc -A -oyaml | grep nodePort | grep -w 1234
nodePort: 1234
[root@worker ~]# kubectl get pod -A -oyaml | grep hostPort | grep -w 1234
hostPort: 1234
(2) 使用vim /etc/ssh/sshd_config命令进入sshd服务的配置文件,将配置文件中端口号修改为用户想要指定的端口号(以12345为例),且需要删除注释符号。
图1 修改前的端口号为22
图2 修改后的端口号
(3) 修改完成后,需重启sshd服务。
[root@node1 ~]# systemctl restart sshd
(4) 查看新的端口号是否修改成功。以Master节点为例,若有如下返回信息,则表示修改成功。
[root@node1 ~]# netstat -anp | grep -w 12345
tcp 0 0 0.0.0.0:12345 0.0.0.0:* LISTEN 26212/sshd
tcp6 0 0 :::12345 :::* LISTEN 26212/sshd
(1) 使用vim /opt/matrix/config/navigator_config.json命令进入navigator_config文件,查看该文件中是否存在sshPort字段,若存在,将该字段取值修改为用户想要指定的端口号(以12345为例);若不存在,则需手动添加该字段并为其赋值。下面以x86版本为例进行说明。
{
"productName": "uc",
"pageList": ["SYS_CONFIG", "DEPLOY", "APP_DEPLOY"],
…略…
"matrixLeaderLeaseDuration": 30,
"matrixLeaderRetryPeriod": 2,
"sshPort": 12345
}
(2) 修改完成后,需重启Matrix服务。
[root@node1 ~]# systemctl restart matrix
(3) 查看新的端口号是否修改成功。以Master节点为例,若成功,则日志中最后一条信息如下。
[root@node1 ~]# cat /var/log/matrix-diag/Matrix/Matrix/matrix.log | grep "ssh port"
2022-03-24T03:46:22,695 | INFO | FelixStartLevel | CommonUtil.start:232 | ssh port = 12345.
集群主用Master节点通过SSH连接管理和监控集群中的所有节点,当通过命令行修改某一节点密码后,还需登录Matrix页面修改对应节点的密码,若其它场景也保存了节点密码,则需同步修改(如跳板机、部署在Matrix上的应用),否则将会导致集群异常。整个过程易遗漏、易出错,且需较高的时间和人力成本。
各节点上配置SSH密钥登录后,无需在多处修改节点密码,集群节点间也可进行互相操作。
当前支持root用户和非root用户进行SSH密钥配置。
· 请确保所有节点的SSH登录方式一致(如Matrix服务启动后,修改了某一节点的SSH登录方式,该操作需同步至所有节点。修改完成后请依次重启各节点Matrix服务)。
· Matrix(包括集群和单机模式)部署完成后,若因重建/升级等原因重装节点操作系统时,在操作系统安装完成后、重建/升级操作前,请确保已完成所有节点的SSH密钥登录配置,且所有节点SSH登录方式必须一致(都为密钥登录),否则将会导致操作失败。
· 首次部署统一数字底盘时,无需手动配置SSH密钥登录,系统将在创建Matrix集群时自动完成SSH密钥配置。
依次登录各节点后台进行SSH密钥配置。下面以node1节点为例,进行配置说明。
执行ssh-keygen -R命令时如果出现文件或目录不存在的报错,属正常现象,可忽略。
(1) root用户登录node1节点后台,执行如下命令,通过ED25519加密算法生成SSH对称认证所需的公钥和私钥文件。保存该公/私钥的文件名默认为/root/.ssh/id_ed25519,文件名不允许修改。
[root@node1 ~]# ssh-keygen -t ed25519
Generating public/private ed25519 key pair.
Enter file in which to save the key (/root/.ssh/id_ed25519):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_ed25519
Your public key has been saved in /root/.ssh/id_ed25519.pub
The key fingerprint is:
SHA256:GLeq7ZQlnKHRTWvefTwIAlAHyeB3ZfZt0Ovnfbkcbak root@node1
The key's randomart image is:
…略…
(2) 首先清理各节点的旧公钥信息。然后将生成的公钥拷贝至各个节点(包括当前登录的节点)。下面以集群中有三个Master节点并且SSH端口号为默认的22为例进行配置说明。其中,node1 IP地址为192.168.227.171;node2 IP地址为192.168.227.172;node3 IP地址为192.168.227.173。
[root@node1 ~]# ssh-keygen -R 192.168.227.171
[root@node1 ~]# ssh-keygen -R 192.168.227.172
[root@node1 ~]# ssh-keygen -R 192.168.227.173
[root@node1 ~]# ssh-copy-id -p 22 -i ~/.ssh/id_ed25519.pub [email protected]
[root@node1 ~]# ssh-copy-id -p 22 -i ~/.ssh/id_ed25519.pub [email protected]
[root@node1 ~]# ssh-copy-id -p 22 -i ~/.ssh/id_ed25519.pub [email protected]
(3) 登录其它节点后台,执行步骤(1)和(2)命令。
(4) root用户登录node1节点后台,SSH到当前节点及其它节点,验证SSH密钥配置是否生效。下面以SSH到node2并且SSH端口号为默认的22为例进行配置说明。
[root@node1 ~]# ssh -p 22 [email protected]
依次登录各节点后台进行SSH密钥配置。
由于非root用户下部分命令需要以root权限执行,所以非root用户需配置admin到admin用户密钥配置、root到admin用户密钥配置。
执行ssh-keygen -R命令时如果出现文件或目录不存在的报错,属正常现象,可忽略。
(1) 配置admin到admin用户密钥配置
下面以3个Master节点都为admin用户为例,进行配置说明。
a. admin用户登录node1节点后台,执行ssh-keygen -t ed25519命令,生成SSH对称认证所需的公钥和私钥文件。保存该公/私钥的文件名默认为/home/admin/.ssh/id_ed25519,文件名不允许修改。
b. 首先清理各节点的旧公钥信息。然后将生成的公钥拷贝至各个节点(包括当前登录的节点)。下面以集群中有三个Master节点并且SSH端口号为默认的22为例进行配置说明。其中,node1 IP地址为192.168.227.171;node2 IP地址为192.168.227.172;node3 IP地址为192.168.227.173。
[admin@node1 ~]$ ssh-keygen -R 192.168.227.171
[admin@node1 ~]$ ssh-keygen -R 192.168.227.172
[admin@node1 ~]$ ssh-keygen -R 192.168.227.173
[admin@node1 ~]$ ssh-copy-id -p 22 -i ~/.ssh/id_ed25519.pub [email protected]
[admin@node1 ~]$ ssh-copy-id -p 22 -i ~/.ssh/id_ed25519.pub [email protected]
[admin@node1 ~]$ ssh-copy-id -p 22 -i ~/.ssh/id_ed25519.pub [email protected]
c. 登录其它节点后台,执行步骤(a)和(b)命令。
d. admin用户登录节点后台,SSH到当前节点及其它节点,验证SSH密钥配置是否生效。
[admin@node1 ~]$ ssh -p 22 [email protected]
(2) 配置root到admin用户密钥配置
a. admin用户登录node1节点后台,并将用户切换至root用户下。
b. 请依次执行以下操作:生成新的公钥和私钥文件,清理旧的公钥信息,并将新公钥拷贝到所有节点(包括当前登录的节点)。
c. 登录其它节点后台,执行步骤(a)和(b)命令。
d. admin用户登录节点后台,并将用户切换至root用户下。SSH到当前节点及其它节点的admin用户,验证SSH密钥配置是否生效。
[root@node1 ~]# ssh -p 22 [email protected]
(1) 使用vim /opt/matrix/config/navigator_config.json命令进入navigator_config文件,查看该文件中是否存在sshLoginMode字段,若存在,将该字段取值修改为secret;若不存在,则需手动添加该字段并为其赋值。下面以x86版本为例进行说明。
{
…略
"sshLoginMode":"secret"
}
(2) 重启Matrix服务,使SSH登录方式修改生效。
[root@node1 ~]# systemctl restart matrix
(3) 查看修改的SSH登录方式是否生效。
[root@node1 ~]# cat /var/log/matrix-diag/Matrix/Matrix/matrix.log | grep "sshLoginMode"
2022-03-31T20:11:08,119 | INFO | features-3-thread-1 | CommonUtil.start:245 | ssh port = 22, sshLoginMode = secret.
· 对于使用内置NTP服务器的场景,在部署集群之前,需确保所有节点的系统时间和当前时间保持一致。对于使用外置NTP服务器作为时钟同步源的场景,需确保外置NTP服务器的时间与当前时间保持一致。如果NTP服务器网络不通、出现故障或时间不准确时,可能导致Matrix集群部署失败。
· 查看及修改节点系统时间的命令如下:date(查看系统时间);date -s yyyy-mm-dd(修改系统时间的年月日);date -s hh:mm:ss(修改系统时间的时分秒)。
· 在应用部署、升级过程中,不能执行重启Matrix服务、重启节点和断开节点服务器电源操作,否则会造成应用部署数据出现损坏(例如Etcd数据错误、磁盘文件损坏等),造成应用部署、升级失败。
(1) 依次登录各节点后台,执行sudo bash /opt/matrix/tools/env_check.sh命令进行环境检查,并根据检查结果进行相应处理。
· 统一数字底盘支持的所有操作系统都可执行env_check.sh脚本。
· 在CPU频率低于2000MHz的情况下,Matrix的自检脚本(env_check.sh)和健康检查模块会打印CPU频率告警。请检查服务器硬件是否满足要求,并确保CPU供电模式设置为高性能(performance)模式(例如NingOS系统可执行cpupower frequency-set -g performance命令)。
· 可在节点后台执行sudo bash /opt/matrix/tools/env_check.sh -h命令查看帮助,获取更多脚本使用方式。例如:查询Etcd磁盘IOPS性能的命令为sudo bash /opt/matrix/tools/env_check.sh -p -d /var/lib/etcd。
· 集群部署完成后,docker、chrony等服务会自动启动,无需关注其检查结果。
下表中所示的各项未在env_check.sh脚本中进行检查,请手动确认,确保安装Matrix的条件已经具备。
|
检测项 |
检测标准 |
|
网口 |
Matrix单独使用一个网口,不允许在此网口上配置子接口及子IP。 |
|
IP地址 |
· Matrix节点其它网口上的IP地址不允许和本节点Matrix使用的IP地址相同网段。 · 节点与Matrix集群其它节点通信使用的IP源地址,必须为建立Matrix集群使用的IP地址。可以使用命令ip route get targetIP获取主机访问目标IP时使用的源地址,其中targetIP为目标IP。 [root@node1 ~]# ip route get 100.100.5.10 100.100.5.10 via 192.168.10.10 dev eth0 src 192.168.5.10 |
|
时区 |
· 请确保Matrix所有节点的系统时区必须相同(可使用命令timedatectl查看各节点的系统时区),否则将会导致在GUI页面上增加节点失败。 · 若选择中国标准时区,请选择亚洲/上海,不允许选择“亚洲/北京”(未被正式收录)。 |
|
主机名 |
请确保主机名符合如下标准,否则集群将会建立失败。 · 各节点的主机名不能相同。 · 请勿使用默认主机名(localhost、localhost.localdomain、localhost4、localhost4.localdomain4、localhost6、localhost6.localdomain6)。 · 主机名称最长63个字符,仅支持小写字母、数字、连字符和小数点,不能以0开头且全为数字,不能以0x、连字符、小数点开头,不能以连字符、小数点结尾。 |
(2) 在部署统一数字底盘UDTP_Base_version_platform.zip组件前,请在各节点执行cat /proc/sys/vm/nr_hugepages命令检查大页是否开启,如果返回结果不是0,请记录该值,并执行echo 0 > /proc/sys/vm/nr_hugepages命令临时关闭大页。待部署UDTP_Base_version_platform.zip组件完成后,再将echo 0 > /proc/sys/vm/nr_hugepages命令中的数字0改为记录的值,并在各节点执行,以恢复大页配置。
· 可在Matrix上进行如下操作:上传、删除统一数字底盘应用安装包;部署、升级、扩容、卸载统一数字底盘应用;升级、重建集群节点;增加、删除Worker节点。
· 部署集群节点时,要求主机名称不得重复,当集群部署成功后,不允许修改集群节点的主机名。
· 集群部署过程中不支持登录集群各节点进行任何操作,也不支持在其他集群中添加当前集群部署中的节点。
(1) 在浏览器中输入Matrix的登录地址,进入如下图所示登录页面。
a. 若使用IPv4地址,登录地址格式为:https://ip_address:8443/matrix/ui。本文档后续配置均以IPv4配置为例。
b. 若使用IPv6地址,登录地址格式为:https://[ip_address]:8443/matrix/ui。
登录地址中参数含义如下:
ip_address为节点IP地址。
8443为缺省端口号。
采用集群部署模式时,未部署集群之前,ip_address可以是任意一个规划为Master节点的IP地址。
图3 Matrix登录页面
(2) 输入用户名和密码(默认用户名为admin,密码为Pwd@12345)后,单击<登录>按钮,默认进入Matrix的集群部署页面,部署双栈集群需要开启双栈按钮。
图5 集群双栈部署页面
部署集群节点前,需要先配置集群参数。配置集群参数,各参数的介绍如下两表所示。
|
参数 |
说明 |
|
北向业务虚IP |
集群对外提供服务的IP地址,该地址必须在Master节点所处的网段内。 |
|
Service IP地址池 |
用于为Service分配IP地址,不能与部署环境中的其它网段冲突。默认地址为10.96.0.0/16,一般保持缺省值。 |
|
容器IP地址池 |
用于为容器分配IP地址,不能与部署环境中的其它网段冲突。默认地址为177.177.0.0/16,一般保持缺省值。 |
|
虚IP模式 |
取值为内置虚IP、外置虚IP。内置模式下虚IP由Matrix下发到集群内,并由Matrix管理虚IP在集群节点间的漂移;外置模式下,虚IP由第三方平台或软件下发到集群外,不再由Matrix管理。默认为内置模式。 说明:E0713版本开始,新增该字段。 |
|
集群网络模式 |
· 单子网:集群内所有节点、虚IP必须在相同网段内,否则将无法互相通信。 · 多子网:多子网模式允许节点和虚IP处于不同子网。启用多子网模式前必须完成所有节点的路由配置。 · 单子网-VXLAN:集群内所有节点、虚IP必须在相同网段内,否则将无法互相通信。单子网-VXLAN模式仅支持IPv4网络。 ¡ 如果在集群上联交换机上配置安全策略如ACL,不允许以Service IP地址池和容器IP地址池中的地址为源的报文转发,需要使用单子网VXLAN。 ¡ 在公有云和私有云场景下,因为云上的网络限制,需要使用单子网VXLAN网络。 |
|
CPU厂商 |
请根据实际使用的物理CPU厂商正确选择对应的CPU厂商类型。 应用可能会根据不同CPU厂商的性能差异,自动调整自身的资源使用限制。若选择的CPU厂商与实际情况不符,可能导致应用无法合理调整资源配额,从而影响性能和资源利用效率。 |
|
NTP服务器 |
· 用于保证集群内各节点系统时间的一致性,支持选择内置服务器和外置服务器。选择外置服务器时,需要配置NTP服务器地址,且该地址不可与集群内各节点的IP地址冲突。 · 本文档使用内置服务器作为NTP服务器,则部署集群时会首先进行时间同步,集群部署完成后,三台Master节点会定时同步时间,从而保证集群内各节点的系统时间保持一致。 · 如需部署上下级环境,必须为上级和下级配置相同的NTP服务器,以确保上下级的时间一致。 |
|
外置DNS服务器 |
用于解析K8s集群外部的域名,格式为IP:Port,部署统一数字底盘可根据实际需要配置外置DNS服务器。本文档中不配置此项。 · 容器解析域名时,集群外部的域名无法被内置DNS服务器解析,本平台将把需要解析的外部域名随机转发给一台外置DNS服务器来解析。 · 外置DNS服务器最多可以配置10个,各外置DNS服务器要求具有相同的DNS解析能力,并可以独立满足外部域名解析需求、无主备之分、无先后顺序之分。 · 建议所有的DNS服务器都能够访问根域,可使用命令行nslookup -port={port} -q=ns . {ip}查看是否可以访问。 |
|
自定义虚IP |
通常用于隔离集群网络与管理网络。不能与部署环境中的其它网段冲突。 |
表15 双栈集群参数说明
|
参数 |
说明 |
|
北向业务虚IP(IPv4、IPv6) |
集群对外提供服务的IP地址,该地址必须在Master节点所处的网段内,分别分配IPv4地址,IPv6地址。北向业务虚IP至少配置一个IPv4或IPv6,不可同时配置两个相同协议的IP。配置IPv6地址时,请勿以冒号结尾。 |
|
Service IP地址池 |
双栈环境下生效。 用于为Service分配IPv4、IPv6地址,默认IPv4地址为10.96.0.0/16,默认IPv6地址为fd00:10:96::/112,一般保持缺省值。集群部署后不允许更改。 该地址池不能与部署环境中其它网段冲突,否则可能会导致集群异常。 |
|
容器IP地址池 |
双栈环境下生效。 用于为容器分配IPv4、IPv6地址,默认IPv4地址为177.177.0.0/16,默认IPv6地址为fd00:177:177::/112,一般保持缺省值。集群部署后不允许更改。 该地址池不能与部署环境中其它网段冲突,否则可能会导致集群异常。 |
|
虚IP模式 |
取值为内置虚IP、外置虚IP。内置模式下虚IP由Matrix下发到集群内,并由Matrix管理虚IP在集群节点间的漂移;外置模式下,虚IP由第三方平台或软件下发到集群外,不再由Matrix管理。默认为内置模式。 说明:E0713版本开始,新增该字段。 |
|
集群网络模式 |
双栈模式下仅支持单子网模式。 单子网:集群内所有节点、虚IP必须在相同网段内,否则将无法互相通信。 |
|
NTP服务器 |
· 用于保证集群内各节点系统时间的一致性,支持选择内置服务器和外置服务器。选择外置服务器时,需要配置NTP服务器地址,且该地址不可与集群内各节点的IP地址冲突。 · 本文档使用内置服务器作为NTP服务器,部署集群时会首先进行时间同步,集群部署完成后,三台Master节点会定时同步时间,从而保证集群内各节点的系统时间保持一致。 · 如需部署上下级环境,必须为上级和下级配置相同的NTP服务器,以确保上下级的时间一致。 |
|
CPU厂商 |
请根据实际使用的物理CPU厂商正确选择对应的CPU厂商类型。 应用可能会根据不同CPU厂商的性能差异,自动调整自身的资源使用限制。若选择的CPU厂商与实际情况不符,可能导致应用无法合理调整资源配额,从而影响性能和资源利用效率。 |
|
外置DNS服务器 |
用于解析K8s集群外部的域名,格式为IP:Port,部署统一数字底盘可根据实际需要配置外置DNS服务器。本文档中不配置此项。 · 容器解析域名时,集群外部的域名无法被内置DNS服务器解析,本平台将把需要解析的外部域名随机转发给一台外置DNS服务器来解析。 · 外置DNS服务器最多可以配置10个,各外置DNS服务器要求具有相同的DNS解析能力,并可以独立满足外部域名解析需求、无主备之分、无先后顺序之分。 · 建议所有的DNS服务器都能够访问根域,可使用命令行nslookup -port={port} -q=ns . {ip}查看是否可以访问。 |
|
自定义虚IP |
通常用于隔离集群网络与管理网络。不能与部署环境中的其它网段冲突。 |
若NTP服务器不与北向地址相通,可以先不增加NTP服务器。待集群创建完成后,在配置网卡网络时,通过修改集群参数再增加。
单机部署模式下,仅需增加一个Master节点即可部署集群。集群部署模式下,需要增加三个Master节点后,再部署集群。
不支持创建1Master+nWoker(n>0)模式的集群。
(1) 配置集群参数后,单击<下一步>按钮,进入创建集群页面,如下图所示。
图6 集群部署页面
(2) 单击Master节点区域的增加图标
,弹出增加节点窗口,如下图所示。
图8 增加双栈节点窗口
(3) 配置如下参数:
¡ 类型:显示为“Master”,且不可修改。
¡ IP地址:规划的Master节点的IP地址。支持批量添加Master节点,批量添加模式下,各Master节点的用户名和密码需相同。
¡ 用户名:节点操作系统的用户名。根据安装操作系统时实际选择的用户填写。集群中所有节点的用户名必须相同。
¡ 密码:节点操作系统的用户密码。
¡ SSH端口号:默认为22。
(4) 单击<确定>按钮,完成增加Master节点操作。
(5) 单击<开始部署>按钮,开始部署集群,当所有节点的进度达到100%时,表示集群部署成功。
集群部署成功后,主Master节点会在节点左上角显示标记
,其余未被标记的Master节点为备用Master节点。
(6) 集群部署完成后,配置网络和部署应用的操作可以先跳过,后期根据实际需要再进行配置。
Matrix部署完成后,如需执行kubectl命令,请断开重连当前SSH会话后再执行对应命令,否则kubectl命令无法执行,提示The connection to the server localhost:8080 was refused - did you specify the right host or port?
上传安装包时,需保证浏览器到集群之间的网络连接稳定,且连接带宽不能低于10Mbps,否则会导致安装包上传耗时长或上传失败。
应用包仅支持在Matrix页面进行部署,支持批量上传应用包,但必须先部署Base,再部署其他应用。
(1) 在浏览器中输入“https://ip_address:8443/matrix/ui”,登录Matrix。其中“ip_address”为北向业务虚IP地址。
(2) 单击[部署>应用]菜单项,进入应用部署页面。
图10 应用部署页面
(3) 单击<安装包管理>按钮,进入安装包管理页面。
(4) 单击<上传>按钮,在弹框中上传Base应用安装包。
图11 安装包管理页面
(5) 上传完成后,单击“返回”链接,返回至应用部署页面。
(6) 单击<安装>按钮,进入应用选择页面。
(7) 部署模式选择“标准”,勾选Base应用。
图12 应用选择页面
(8) 单击<下一步>按钮,进入安装包选择页面,选择对应的安装包。选择完成后单击<下一步>按钮。
图13 安装包选择页面
(9) 在资源配置页面选择对应的资源档位。选择完成后单击<下一步>按钮。
图14 资源配置页面
(10) 单击<修改>按钮,配置Base参数,配置完成后单击<确定>按钮保存配置。
表16 Base参数配置说明
|
配置项 |
配置项参数说明 |
|
部署协议 |
可选择http和https。 |
|
HTTP协议端口号 |
缺省值30000。 |
|
HTTPS协议端口号 |
缺省值30443。 |
|
主题 |
可选择white、star。 |
|
语言 |
可选择zh_CN、en_US。 |
|
第三方数据库 |
可选择是否启用第三方数据库。 |
图15 参数配置页面
(11) 参数配置完成后单击<部署>按钮。
(12) 在弹框中确认参数信息。确认无误后,单击<确定>按钮,开始部署Base应用。
部署EAD之前需要先完成BMP_Common和BMP_Connect组件的安装部署操作。
(1) 在浏览器中输入“https://ip_address:8443/matrix/ui”,登录Matrix。其中“ip_address”为北向业务虚IP地址。
(2) 单击[部署>应用]菜单项,进入应用页面。
图16 应用
单击<安装包管理>按钮,进入安装包管理页面。单击<上传>按钮,上传安装包。该页面支持对安装包进行上传、删除等操作。上传完成的安装包将展示名称、版本、大小、创建时间等信息。应用安装包支持批量上传,可根据用户需求,批量选择上传所需安装包,将BMP_Connect和BMP_Common安装包上传到系统,如下图所示。
图17 安装包管理
应用包上传完成后,单击<返回>按钮,返回应用页面,单击<安装>按钮,进入应用选择页面,勾选要安装的组件。
图18 应用选择
勾选完应用后,单击<下一步>按钮,进入安装包选择页面,选择对应版本的应用安装包。
图19 安装包选择
单击<下一步>按钮,进入资源配置页面,如下图所示,可参考资源计算工具根据不同规格选择相应的资源档位。
图20 资源配置
单击<下一步>按钮,进入BMP_Connect参数配置页面,网络方案选择默认的“南北向网络合一”,单击<应用>按钮,如下图所示。
图21 BMP_Connect参数配置
(1) 单击<部署>按钮,进入参数确认页面,如下图所示。
图22 参数确认
(2) 参数确认无误后,单击<确定>按钮,进入部署页面,如下图所示。
图23 部署
(3) 部署完成后,在部署管理页面,可以看到已部署的组件。
(1) 在浏览器中输入“https://ip_address:8443/matrix/ui”,登录Matrix。其中“ip_address”为北向业务虚IP地址。
(2) 单击[部署>应用]菜单项,进入应用页面。
图24 应用
单击<安装包管理>按钮,进入安装包管理页面。单击<上传>按钮,上传安装包。该页面支持对安装包进行上传、删除等操作。上传完成的安装包将展示名称、版本、大小、创建时间等信息。应用安装包支持批量上传,可根据用户需求,批量选择上传所需安装包,将EAD、EAD-Extend安装包上传到系统,EAD和EAD-Extend安装包上传后将自动解压成各个模块应用包,如下图所示。
图25 安装包管理
应用包上传完成后,单击<返回>按钮,返回应用页面,单击<安装>按钮,进入应用选择页面,可按需选择场景,或者单独勾选要安装的模块。
图26 应用选择
勾选完应用后,单击<下一步>按钮,进入安装包选择页面,选择对应版本的应用安装包。
图27 安装包选择
单击<下一步>按钮,进入资源配置页面,如下图所示,可参考资源计算工具根据不同规格选择相应的资源档位。
图28 资源配置
(1) 单击<下一步>按钮,进入参数配置页面,选择“EIA”页签,可配置EAD终端智能接入模块的参数,如下图所示。
图29 EIA参数配置1
图30 EIA参数配置2
¡ 节点绑定(可选):当集群节点数量大于3时,可启用绑定节点部署功能,进行节点绑定操作。
¡ 外置数据库配置(可选):如果需要使用指定类型的外置数据库,可以启用外置数据库配置。选择数据库类型,并填写相应的IP地址、端口、用户名、密码等详细信息,单击<应用>按钮,完成配置。
¡ Portal认证配置参数(可选):可以设置系统编码,增加域名映射,单击<应用>按钮,完成配置。当DNS服务器异常无法解析到域名对应的IP地址时,配置该参数,可通过域名映射解析出IP地址。
¡ 端口配置(可选):可以配置各业务的端口,配置完成后单击<应用>按钮。
- 端口配置:“默认端口”为系统当前内置的默认端口;选择“自定义”时,所有输入框会自动填入各端口的缺省值,预填后用户仍可自行修改。
- RADIUS认证端口:用于接收RADIUS认证报文,默认端口为1812。
- RADIUS计费端口:用于接收RADIUS计费报文,默认端口为1813。
- RadSec认证端口:Portal服务器与客户端进行RadSec认证交互时使用的端口,默认端口为2083。
- DHCP Agent交互端口:用于与DHCP Agent插件进行报文交互的端口,默认端口为1810。
- 代拨认证端口:用于代拨场景下与代拨BRAS设备进行报文交互的端口,默认端口为3799。
- Portal服务端口(与设备交互):Portal服务器与网络设备交互时使用的端口,默认端口为50100。
- Portal服务端口(与客户端交互):Portal服务器与终端客户端交互时使用的端口,默认端口为50200。
- Portal服务端口(密文):Portal服务器进行加密通信时使用的端口,默认端口为21005。
- Portal/EAC认证端口(HTTP):用于Portal认证时终端发起HTTP请求,以及EAC认证时EAC设备发起HTTP请求的端口,默认端口为9092。
- Portal/EAC认证端口(HTTPS):用于Portal认证时终端发起HTTPS请求,以及EAC认证时EAC设备发起HTTPS请求的端口,默认端口为9445。
- MAC Portal端口(HTTP):进行MAC Portal认证时,终端发起HTTP请求使用的端口,默认端口为9444。
- MAC Portal端口(HTTPS):进行MAC Portal认证时,终端发起HTTPS请求使用的端口,默认端口为30004。
- 用户自助端口(HTTP):访问用户自助系统时,HTTP请求使用的端口,默认端口为9066。
- 用户自助端口(HTTPS):访问用户自助系统时,HTTPS请求使用的端口,默认端口为9443。
- 消息下发端口:与DIF服务通信使用的端口,用于消息下发相关功能,默认端口为9018。
- 策略服务器端口:策略服务器对外提供服务的端口,用于策略相关功能交互,默认端口为9019。
- 桌面资产管理端口:与桌面资产管理系统通信使用的端口,用于资产管理相关功能,默认端口为9029。
- IPSGT端口:IPSGT功能使用的端口,默认端口为7777。若要使用IPSGT功能,需要在Matrix中进入[观测>监控>应用监控]页面,单击websocket操作列的
按钮,启动websocket功能,如下图所示。
图31 启动websocket
· 若启用外置数据库配置,请先创建组件对应的数据库,否则会导致组件部署失败。
· EAD终端智能接入模块 E7401版本针对外置数据库仅支持TDSQL类型。
· 外置数据库只需配置一次即可,EIA、BRANCH、TAM各应用策略统一。
(2) 选择“BRANCH”页签,如下图所示,可配置如下参数,如下图所示。
图32 BRANCH参数配置
¡ 节点绑定(可选):当集群节点数量大于3时,可启用绑定节点部署功能,进行节点绑定操作。
¡ 外置数据库配置(可选):如果需要使用指定类型的外置数据库,可以启用外置数据库配置。选择数据库类型,并填写相应的IP地址、端口、用户名、密码等详细信息,单击<应用>按钮,完成配置。
(3) 选择“TAM”页签,如下图所示,可配置如下参数,如下图所示。
图33 TAM参数配置
¡ 节点绑定(可选):当集群节点数量大于3时,可启用绑定节点部署功能,进行节点绑定操作。
¡ 外置数据库配置(可选):如果需要使用指定类型的外置数据库,可以启用外置数据库配置。选择数据库类型,并填写相应的IP地址、端口、用户名、密码等详细信息,单击<应用>按钮,完成配置。
¡ 端口配置(可选):可以配置各业务的端口,配置完成后单击<应用>按钮。
- 端口配置:“默认端口”为系统当前内置的默认端口;选择“自定义”时,所有输入框会自动填入各端口的缺省值,预填后用户仍可自行修改。
- TACACS认证端口:用于TACACS+协议的认证报文交互,默认端口为49。
- TACACS探测端口:用于TACACS业务可用性/连通性探测的端口,默认端口为1890。
(4) 选择“EAD”页签,如下图所示,可配置EAD终端合规管理模块参数,如下图所示。
图34 EAD参数配置
¡ 节点绑定(可选):当集群节点数量大于3时,可启用绑定节点部署功能,进行节点绑定操作。
¡ 外置数据库配置(可选):如果需要使用指定类型的外置数据库,可以启用外置数据库配置。选择数据库类型,并填写相应的IP地址、端口、用户名、密码等详细信息,单击<应用>按钮,完成配置。
¡ 端口配置(可选):可以配置各业务的端口,配置完成后单击<应用>按钮。
- 端口配置:“默认端口”为系统当前内置的默认端口;选择“自定义”时,所有输入框会自动填入各端口的缺省值,预填后用户仍可自行修改。
- IPsec文件下载端口:用于提供IPsec相关配置等文件下载的端口,默认端口为49。
- ESM防病毒日志监听端口:用于接收并监听ESM防病毒日志的端口,默认端口为1890。
- USB白名单获取端口:用于客户端获取USB设备白名单信息的端口,默认端口为21300。
(5) 选择“EPS”页签,如下图所示,可配置EAD鹰视端点探测模块参数,如下图所示。
图35 EPS参数配置
¡ 节点绑定(可选):当集群节点数量大于3时,可启用绑定节点部署功能,进行节点绑定操作。
¡ 外置数据库配置(可选):如果需要使用指定类型的外置数据库,可以启用外置数据库配置。选择数据库类型,并填写相应的IP地址、端口、用户名、密码等详细信息,单击<应用>按钮,完成配置。
¡ 端口配置(可选):可以配置各业务的端口,配置完成后单击<应用>按钮。
- 端口配置:“默认端口”为系统当前内置的默认端口;选择“自定义”时,所有输入框会自动填入各端口的缺省值,预填后用户仍可自行修改。
- 扫描器引擎端口:用于与iNode扫描器进行通信的端口,默认端口为36064。
- UDP消息接收端口:用于监听并接收EIA上下线消息、EAD安全日志及未识别用户Syslog信息的端口,默认端口为21200。
(6) 选择“EBM”页签,如下图所示,可配置EAD终端行为审计模块参数,如下图所示。
图36 EBM参数配置
¡ 节点绑定(可选):当集群节点数量大于3时,可启用绑定节点部署功能,进行节点绑定操作。
¡ 外置数据库配置(可选):如果需要使用指定类型的外置数据库,可以启用外置数据库配置。选择数据库类型,并填写相应的IP地址、端口、用户名、密码等详细信息,单击<应用>按钮,完成配置。
(7) 选择“EDM”页签,如下图所示,可配置EAD终端数据管理模块参数,如下图所示。
图37 EDM参数配置
¡ 节点绑定(可选):当集群节点数量大于3时,可启用绑定节点部署功能,进行节点绑定操作。
¡ 外置数据库配置(可选):如果需要使用指定类型的外置数据库,可以启用外置数据库配置。选择数据库类型,并填写相应的IP地址、端口、用户名、密码等详细信息,单击<应用>按钮,完成配置。
(1) 单击<部署>按钮,进入参数确认页面,如下图所示。
图38 参数确认
(2) 参数确认无误后,单击<确定>按钮,进入部署页面,以单机模式的小档资源配置为例,部署EAD组件耗时大约为12.5分钟。
图39 部署
(3) 部署完成后,在部署管理页面,可以看到已部署的组件。
图40 部署完成
本章节适用于已安装EAD鹰视端点探测模块的用户,未安装该模块可跳过本章节。
为确保EPS扫描器在Windows系统上顺利安装,请在安装期间暂时关闭或卸载360、火绒等杀毒软件,以防止这些程序误删或拦截关键安装文件,导致功能异常。
安装扫描器前,如果Windows系统中已有WinPcap软件,需先删除该软件并重启系统,才能成功安装扫描器。在PC上首次安装扫描器时,安装完成后必须重启PC才可正常使用,再次安装可不重启。
(1) 获取版本包H3C_EPS_version_X86.zip,解压该压缩包,解压后的目录EPS\tools\Windows下EPSScanner version.exe为Windows扫描器安装包,其中version为版本号。
(2) 双击扫描器安装程序EPSScanner version.exe,初始界面如下图所示。
(3) 单击<确定>按钮,进入选择安装位置页面。
图42 扫描器安装目录选择
(4) 选择需要安装的目录,然后单击<下一步>按钮,选择开始菜单目录(可选)。
图43 选择开始菜单目录
(5) 选择好开始菜单文件夹后再单击<下一步>按钮,选择附加任务,包括是否创建桌面图标等。
图44 选择附加任务
(6) 选择完附加任务后,单击<下一步>按钮,确认安装信息。
图45 确认安装信息
(7) 单击<安装>按钮,开始安装扫描器。
¡ 如果本机没有安装VC2010的运行库则会弹出安装窗口,按照以下2个窗口安装即可。如果已经安装了该运行库则不会弹出安装窗口。
图46 VC2010运行库安装
图47 VC2010运行库安装完毕
¡ 如果本机没有安装VC2013的运行库则会弹出安装窗口,按照以下2个窗口安装即可。如果已经安装了该运行库则不会弹出安装窗口。
图48 VC2013运行库安装
图49 VC2013 运行库安装完毕
¡ 如果本机没有安装WinPcap则会弹出安装窗口,按照以下4个窗口安装即可。如果已经安装了该运行库则不会弹出安装窗口。
图50 WinPcap 4.1.3 安装
图51 WinPcap安装协议
图52 WinPcap启动设置
图53 WinPcap安装完成
(8) 扫描器安装成功,单击<结束>按钮即退出扫描器安装程序。
图54 扫描器安装完成
(9) 扫描器安装成功后,双击桌面上的扫描器图标即可打开扫描器界面。
图55 扫描器界面
(10) 修改主服务器IP、服务器端口、日志等级、日志保存天数等信息之后,需要单击<保存配置>按钮进行保存。
¡ 服务器IP:统一数字底盘北向业务虚IP地址
¡ 服务器端口:默认为30000,和统一数字底盘访问端口保持统一
¡ 日志等级:默认为“调试”级别
¡ 自动删除之前的扫描结果和日志(天):日志保存天数,默认为10天,按需修改
(11) 打开扫描器配置界面,单击<高级配置>,填写统一数字底盘用户名、密码,如果使用HTTPS访问,那么需要勾选“使用HTTPS”,如下图所示。服务器密钥保持默认,不需修改。
图56 高级配置
配置用户名和密码是为了获取HTTP接口通信认证的token。如果统一数字底盘用户密码变化,则需同步修改扫描器高级配置中的用户密码。
安装Linux扫描器时,必须以root身份登录Linux系统。Linux扫描器不能直接升级,必须将系统中已经安装过的Linux扫描器彻底卸载才能再次安装。
(1) 将Linux扫描器EPSScanner version.tar.gz拷贝到/usr/local目录下:
cp EPSScanner version.tar.gz /usr/local/
(2) 使用如下命令解压Linux扫描器压缩文件:
tar -xvzf EPSScanner version.tar.gz
图57 拷贝扫描器版本
(3) 解压的文件会放在本级目录下的EScan文件夹中(EScan文件夹是在解压的过程中自动创建的),如下图所示。
(4) 为使安装文件被正确执行,进入/EScan/conf,对WorkerConf.xml文件内容进行修改。
a. 输入下述命令打开WorkerConf.xml文件:
vi WorkerConf.xml
b. 如下图所示,进行如下操作:
- ServerIP:修改为统一数字底盘北向业务虚IP地址
- ServerPort:默认为30000,和统一数字底盘访问端口保持统一
- PortalUserName:统一数字底盘用户名
- PortalPswd:统一数字底盘密码
- isSSL:是否使用HTTPS,0代表不使用,1代表使用。
- LogLevel:默认为4,日志等级为调试。
c. 保存并退出。
(5) 进入Escan/目录,执行如下命令:
./install.sh
执行install脚本后,将进行扫描器安装,如下图所示。
(6) 安装过程中会提示是否安装被动扫描器:
¡ 选择n:不安装被动扫描器,扫描器安装完成。
¡ 选择y:继续安装被动扫描器,详细的安装步骤查看“被动扫描器安装步骤”章节。
(7) 安装完成后,需要查看扫描器状态,确认是否正确安装。查看扫描器服务状态,输入命令:
service EScanService status
如下图所示,running表示运行正常。
(8) 安装成功后,打开操作界面。在安装目录下,输入如下命令可打开操作界面:
./EScanUI
如需更改配置,可以在操作界面中对服务器IP等配置信息进行修改,如下图所示。
图62 查看扫描器配置信息
如果使用Linux被动扫描器,必须先完成主动扫描器的安装。
被动扫描器安装在Linux系统上,必须以root身份登录Linux系统。可以在安装主动扫描器时,选择安装被动扫描器,也可以在主动扫描器安装完成后,单独安装被动扫描器。
(1) 将Linux扫描器EPSScanner version.tar.gz拷贝到/usr/local目录下并解压,进入/usr/local/EScan/pscan,执行安装命令:
sh install_psvscan.sh
(2) 选择安装pscancatcher和pscanparser,如下图所示。
(3) 选择安装路径,默认为/usr/local,如下图所示。
(4) 配置监听端口,默认为7890,如下图所示。
(5) 设置被动扫描器抓包的网卡接口,可以添加多个接口,如需添加多个接口,选择y,如下图所示。
(6) 输入主动扫描器的IP地址,如下图所示。
(7) 安装成功后,重启操作系统,如下图所示。
建议EAD终端智能接入模块安装完成后,再安装EAC。
(1) 准备一台服务器,服务器的具体规格要求如EAC Client配置要求中表所示。
(2) 选取镜像网口(至少10GB网口)连接至交换机的镜像口,然后在交换机上配置流量镜像,将关键端口的流量复制到EAC设备,用于分析和控制。
[Switch] mirroring-group 1 local #创建一个本地镜像组,编号为1
[Switch] interface GigabitEthernet 1/0/1 #配置镜像源端口,其流量将被镜像到镜像组1中
[Switch-GigabitEthernet1/0/1] mirroring-group 1 monitor-port
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface GigabitEthernet 1/0/2 #配置镜像目的端口,流量将从这里转发到EAC设备
[Switch-GigabitEthernet1/0/2] mirroring-group 1 mirroring-port both
[Switch-GigabitEthernet1/0/2] quit
(3) 配置完成后,通过抓包验证。
服务器配置完成后,在服务器上安装EAC软件。
(1) 上传EAC安装包EacClient.tar.gz
(2) 解压安装包
tar -xzvf EacClient.tar.gz
图69 解压安装包
(3) 执行安装脚本
sh install_psvscan.sh
(4) 选择安装目录(若无特殊需求,使用默认目录即可)
Please input install path [default:/usr/local/]:
#安装脚本询问用户是否要指定安装路径,若不输入任何内容,将使用默认路径/usr/local/
(5) 配置是否安装EAC客户端
Do you want to enable the admission control function? [y/n, default:n]:y
#询问用户是否要启用系统中的准入控制功能。输入y,表示启用此功能
(6) 配置绑定的EAD终端智能接入模块服务器地址
Please enter the EIA server IP address: 172.10.51.183
#输入的EAD终端智能接入模块服务器的IP地址。当EAC设备安装并配置服务器IP后,会与EAD终端智能接入模块服务器建立通信,通信建立之后EAD终端智能接入模块即可监控EAC设备。
(7) 配置流量卡信息(此处选择的网卡务必跟物理网卡对应起来,因为涉及连接网线)
Please select a NIC for packet capture:
#列出可用的网络接口,供用户选择用于数据包捕获的接口
……
Please enter the name of a NIC (for example, 0000:13:00.0): 0000:5e:00.0
#应选择10GB的网卡,本例选择0000:5e:00.0作为数据包捕获的网络接口
(8) 配置发包卡信息
Please select a NIC for packet send:
#列出可用的网络接口,供用户选择用于数据包发送的接口
……
Please enter the name of a NIC (for example, 0000:13:00.0): 0000:5e:00.1
#发包卡应为普通网卡,且流量卡和发包卡不要选择同一个网络接口,本例选择0000:5e:00.1作为数据包发送的网络接口
(9) 配置驱动模块
Bind NIC 0000:5e:00.1 to the follow module? [default 1. vfio-pci] #询问用户是否要将网络接口绑定到特定的驱动模块
1. vfio-pci
2. vfio-pci (iommu=on)
3. uio_pci_generic
Please input your choice [1, 2, 3]: 1 #本例输入1,选择vfio-pci模块.若无特殊需求,均选择1
After you bind NIC 0000:5e:00.1 to the vfio-pci module, other applications cannot use this NIC. Do you want to bind it? [y/n, default y]: y #若将发包卡绑定到vfio-pci模块,则不能作为网络通信使用。本例输入y,表示同意绑定
(10) 配置发包卡的IP地址,选择此网卡对端接口所属网段内的一个可用IP地址,配置后能够与其网关通信,且需要保证和被管控的终端网络能通信。
Please enter the IP address for NIC 0000:5e:00.0: 39.39.39.200
#本例为网络接口配置了IP地址39.39.39.200
(11) 配置是否需要安装被动扫描器
The EAC component has been installed. Do you want to enable the passive scanner function? [y/n, default n]: n
#输入n,表示不安装
图70 安装过程
(1) 执行以下命令,检查EAC相关进程是否正在运行,如图71所示。
ps -ef | grep eac
图71 检查EAC相关进程
(2) 进入[自动化>网络准入>准入管理>接入设备>EAC设备]页面,查看EAC设备的连接状态是否为“在线”。
(1) 在浏览器中输入统一数字底盘的登录地址“http://ip_address:30000”,其中“ip_address”为统一数字底盘所在的集群北向业务虚IP,进入如下图所示登录页面。
图72 登录已部署组件页面
(2) 输入操作员名称和密码(默认用户名为admin,密码为Pwd@12345,若安装时设置过密码,则按之前设置的填写),单击<登录>按钮,进入已部署组件的主页面,首次登录页面后需要修改密码。
(3) 若在统一数字底盘上安装了多个场景,可通过单击首页右上角的
,在下拉框中单击“切换视图”切换场景视图,切换后仅展示对应场景的菜单项。缺省情况下“universe”为默认视图,展示所有场景的菜单项。
各组件产品对预授权的支持情况不同,详细请参见《H3C 智能管理与运维产品License支持情况说明》。
已购买产品License的用户,请使用软件授权函中的授权码进行后续注册流程。如果是项目试用,请联系H3C相关市场人员进行试用授权申请获取相关授权。
关于授权的申请和安装的详细过程,请参见《H3C软件产品远程授权License使用指南》。
在License Server上安装产品的授权后,只需在产品的License管理页面与License Server建立连接即可获取授权,操作步骤如下:
(1) 登录部署的组件页面。
(2) 单击“系统”页签,在导航树中单击[License管理>License信息]菜单项,进入License信息页面,如下图所示。
图73 License信息页面
(3) 配置如下信息:
¡ IP地址:License Server所在服务器的IP地址。
¡ 端口号:缺省值为“5555”,与License Server授权服务端口号保持一致。
¡ 客户端名:License Server中配置的客户端名称。
¡ 客户端密码:License Server中配置的客户端名称对应的密码。
(4) 配置完成后单击<连接>按钮,与License Server建立连接,连接成功后可自动获取授权信息。
· 卸载模块或单个应用包会导致相关数据被删除,卸载前需确认该模块或应用是否正在被使用,请谨慎执行卸载操作。
· 如果选择卸载一个被其他应用依赖的关键应用,那么依赖该关键应用的所有应用也会被自动勾选。
(1) 登录Matrix,进入[部署>应用]页面。
(2) 勾选需要卸载的组件,单击<卸载>按钮,以E7401版本为例,确认将要卸载的应用信息后,单击<确定>按钮,可卸载指定的组件。
图74 卸载信息确认
在Windows开始菜单中,找到EPSScanner文件目录中的卸载EPSScanner程序,运行程序即可卸载Windows扫描器。
图75 卸载EPSScanner
被动扫描器需要单独进行卸载,在卸载主动扫描器的时候不会自动卸载被动扫描器。
(1) 进入被动扫描器的安装路径,默认是/usr/local/psvscan目录,如下图所示。
cd /usr/local/psvscan/
(2) 执行卸载命令,如下图所示。
sh uninstall_psvscan.sh
进入Linux扫描器安装目录,默认是/usr/local/EScan目录,执行sh uninstall.sh脚本,即可卸载Linux扫描器。
(1) 登录Matrix,进入[部署>应用]页面。
(2) 单击园区网络场景左侧的
图标,展开信息。
(3) 单击指定组件对应操作列的升级图标
,进入升级页面。
图79 单击升级按钮
(4) EAD支持单个组件升级或多个组件批量升级。以单个组件升级为例,单击<上传>按钮,在弹出的对话框中单击<选择文件>按钮,选择待升级的安装包,选择完成后单击<上传>按钮。
图80 上传安装包
(5) 勾选待升级的安装包后,单击<升级>按钮,完成组件升级。
(6) 选择批量升级页面,勾选多个组件,单击<批量升级>按钮可进行批量升级。
图81 批量升级
单机扩容集群前,请确保系统中存在已安装模块的安装包文件。如果扩容前这些安装包文件已经被删除,会导致单机扩容集群失败,需要将这些安装包上传后重新进行单机扩容集群。
EAD所有模块均支持单机扩展至集群的能力,有关具体支持的版本信息,请参见版本说明书,下面以EAD终端智能接入模块为例进行介绍。
此种模式下,需在Matrix上同时增加两个Master节点并与原Master节点组成三机集群,然后依次扩容统一数字底盘和EAD终端智能接入模块。
具体配置步骤请参见《H3C统一数字底盘安装部署指导》。
具体配置步骤请参见《H3C统一数字底盘安装部署指导》。
(1) 登录Matrix,进入[部署>融合部署]页面。
(2) 单击<扩容>按钮,进入扩容页面。
(3) 根据需求配置扩容参数,配置完成后单击页面右下角的<扩容>按钮,在弹出的对话框中进行扩容确认。
(4) 单击<确定>按钮开始扩容。
此种模式下,需在Matrix上增加Worker节点,部署集群,具体步骤请参见《H3C统一数字底盘部署指导》,扩容完Matrix即完成EAD集群部署模式扩容。
组件在部署或升级过程中可能因为超时导致部署或升级失败,建议重试或终止升级后重试。若重试依旧失败,需要联系技术服务人员协助定位问题。
集群各节点/opt/matrix/config/navigator_config.json中的配置必须保持一致,否则会影响集群稳定性。
(1) 登录集群中所有Master节点后台。
(2) 在navigator_config.json配置文件中,修改matrixLeaderLeaseDuration和matrixLeaderRetryPeriod参数取值。请确保集群中所有Master节点的参数配置相同。若配置文件中无上述两个参数,请手动增加。
下面以matrixLeaderRetryPeriod为2,matrixLeaderLeaseDuration为30为例进行修改。
[root@matrix01 ~]# vim /opt/matrix/config/navigator_config.json
{
…
"matrixLeaderLeaseDuration": 30,
"matrixLeaderRetryPeriod": 2,
…
}
(3) 修改完之后,重启集群服务。
[root@matrix01 ~]# systemctl restart matrix
· matrixLeaderLeaseDuration:用于配置集群主老化时间,取值为正整数,且大于等于matrixLeaderRetryPeriod * 10。
· matrixLeaderRetryPeriod:用于配置集群刷新主节点时锁的间隔时间,取值为正整数。
若扩容Matrix过程中长时间没有成功,可通过集群部署页面单击扩容节点的日志查看,是否是因为在ETCDINSTALL阶段停留时间过长(ETCDINSTALL-PENDING距离当前系统时间十五分钟以上视为停留过长),登录原单机环境后台执行etcdctl member list命令返回失败,则可通过如下方式将环境恢复至扩容前的状态,然后再次进行扩容:
(1) 登录原单机环境后台。
(2) 执行cp -f /opt/matrix/k8s/deployenv.sh.bk /opt/matrix/k8s/deployenv.sh命令还原deployenv.sh脚本。
(3) root用户通过systemctl stop matrix停止节点上Matrix服务。使用命令systemctl status matrix验证Matrix服务是否已经停止。若停止成功,则将在Active字段后显示运行信息为inactive (dead)。
[root@master1 ~]# systemctl stop matrix
非root用户通过sudo /bin/bash -c "systemctl stop matrix"停止节点上Matrix服务
[admin@node4 ~]$ sudo /bin/bash -c "systemctl stop matrix"
(4) 通过mv /etc/kubernetes/manifests/kube-apiserver.yaml /opt/matrix停止kube-apiserver。使用命令docker ps | grep kube-apiserver验证kube-apiserver服务是否已经停止。若无回显表示服务已停止。
[root@master1 ~]# mv /etc/kubernetes/manifests/kube-apiserver.yaml /opt/matrix
[root@master1 ~]# docker ps | grep kube-apiserver //查询是否已停止kube-apiserver
[root@master1 ~]# //无回显表示服务已停止
(5) root用户通过systemctl stop etcd完全停止etcd服务,使用命令systemctl status etcd验证etcd服务是否已经停止。若停止成功,则将在Active字段后显示运行信息为inactive (dead)。通过命令rm -rf /var/lib/etcd/default.etcd/删除etcd数据目录,确保/var/lib/etcd下面没有数据目录。
[root@master1 ~]# systemctl stop etcd
[root@master1 ~]# rm -rf /var/lib/etcd/default.etcd/
[root@master1 ~]# ll /var/lib/etcd/
非root用户通过sudo /bin/bash -c "systemctl stop etcd"完全停止etcd服务,并且通过命令sudo /bin/bash -c "rm -rf /var/lib/etcd/default.etcd/"删除etcd数据目录,确保/var/lib/etcd下面没有数据目录
[admin@node4 ~]$ sudo /bin/bash -c "systemctl stop etcd"
[admin@node4 ~]$ sudo /bin/bash -c "rm -rf /var/lib/etcd/default.etcd/"
[admin@node4 ~]$ ll /var/lib/etcd/
(6) 进入ETCD恢复脚本目录。
[root@master1 ~]# cd /opt/matrix/k8s/disaster-recovery/
(7) 执行etcd恢复脚本前,在etcd备份目录/opt/matrix/backup/etcd_backup_snapshot/找到最新的备份数据文件Etcd_Snapshot_Before_Scale.db。
root用户执行恢复操作命令如下
[root@master1 ~]# bash etcd_restore.sh Etcd_Snapshot_Before_Scale.db
非root用户执行恢复操作命令如下
[admin@node4 ~]$ sudo bash etcd_restore.sh Etcd_Snapshot_Before_Scale.db
(8) root用户通过systemctl restart etcd重启etcd服务
[root@master1 ~]# systemctl restart etcd
非root用户通过sudo /bin/bash -c "systemctl restart etcd"重启etcd服务
[admin@node4 ~]$ sudo /bin/bash -c "systemctl restart etcd"
(9) root用户通过systemctl restart matrix重启matrix服务
[root@master1 ~]# systemctl restart matrix
非root用户通过sudo /bin/bash -c "systemctl restart matrix"重启matrix服务
[admin@node4 ~]$ sudo /bin/bash -c "systemctl restart matrix"
(10) 恢复kube-apiserver
[root@master1 ~]# mv /opt/matrix/kube-apiserver.yaml /etc/kubernetes/manifests/
(11) 故障恢复完成后,登录Matrix集群部署页面,单击<开始部署>按钮再次扩容。
(1) 执行rm -rf /opt/matrix/data/ && systemctl restart matrix.service命令尝试恢复。
(2) 若该操作无法恢复,请手动上传Matrix安装包并解压,然后先后执行uninstall.sh和install.sh脚本卸载重装Matrix服务。
(3) 若依然无法恢复,请联系技术支持。
当在Matrix中添加节点失败,并且在/var/log/matrix-diag/Matrix/Matrix/matrix.log日志中报错“java.lang.NoClassDefFoundError”时,可执行以下操作解决:
(1) 执行rm -rf /opt/matrix/data/ && systemctl restart matrix.service命令尝试恢复。
(2) 若该操作无法恢复,请手动上传Matrix安装包并解压,然后先后执行uninstall.sh和install.sh脚本卸载重装Matrix服务。
(3) 若依然无法恢复,请联系技术支持。
当Matrix部署失败时,查看日志“phase IMAGE_INSTALL end. cname=ImageInstallPhase, phaseResult=false”则表示是在K8S阶段部署失败,可执行如下操作解决:
(1) 执行rm -rf /opt/matrix/data/ && systemctl restart matrix.service命令尝试恢复。
(2) 若该操作无法恢复,请手动上传Matrix安装包并解压,然后先后执行uninstall.sh和install.sh脚本卸载重装Matrix服务。
(3) 若依然无法恢复,请联系技术支持。
(1) 登录Matrix页面,进入[部署>集群>集群参数]页面。
(2) 单击<修改>按钮,将“开启双栈”置于启用状态后单击<确定>按钮。
(3) IPv4切换双栈:分别输入节点的IPv6地址和北向业务虚IP的IPv6地址。其中,节点的IPv6地址需要提前配置,可参考《H3C 统一数字底盘操作系统安装指导》的“网络和主机名”配置步骤,若操作系统已安装完成,可参考《H3C 统一数字底盘操作系统安装指导》的“操作系统安装完成后,在原网卡上配置IPv6地址”配置步骤进行配置。
(4) IPv6切换双栈:分别输入节点的IPv4地址和北向业务虚IP的IPv4地址。其中,节点的IPv4地址需要提前配置,可参考《H3C 统一数字底盘操作系统安装指导》的“网络和主机名”配置步骤,若操作系统已安装完成,可参考《H3C 统一数字底盘操作系统安装指导》的“操作系统安装完成后,在原网卡上配置IPv6地址”配置步骤进行配置。
(1) 登录Matrix页面,进入[观测>监控>应用监控]页面。
(2) 展开组件可以查看组件下的应用服务状态。
(3) 单击“操作列”的
/
可以启用/关闭应用服务。
图82 查看应用服务
集群各节点/opt/matrix/config/navigator_config.json中的配置必须保持一致,否则会影响集群稳定性。
Matrix支持外部浏览器通过映射后的节点IP和虚IP访问Web页面,支持NAT映射和域名映射,不支持端口映射,必须使用8443端口。
如需使用映射IP访问Matrix页面,需在集群内各节点上进行以下操作:
(1) 将映射后的IP(或域名)加入到/opt/matrix/config/navigator_config.json的“httpHeaderHost”属性值中(若无该属性请手动补充,多个IP或域名使用英文逗号分隔),示例:"httpHeaderHost":"10.10.10.2,10.10.10.3"。
(2) 配置完后可以通过cat /opt/matrix/config/navigator_config.json | jq命令检查配置格式是否正确。
(3) 修改后需要通过service matrix restart重启服务生效,集群各节点配置需要保持一致。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
