Компания IBM
Опубликован: 01.02.2008 | Доступ: свободный | Студентов: 540 / 20 | Оценка: 4.60 / 4.40 | Длительность: 43:55:00
Специальности: Разработчик аппаратуры

Лекция 10: Динамические LPAR (DLPAR) и виртуализация (VIO)

Конфигурирование DLPAR в HACMP

Следующие сведения частично взяты из существующего официального документа (whitepaper), созданного перед интеграцией DLPAR с HACMP. Этот документ был посвящен настройке скриптов событий HACMP для использования DLPAR. Однако он также включал и другие основные этапы подготовки. Этот документ был предназначен для внутреннего пользования компанией IBM и ее бизнес-партнерами.

Мы рассмотрим следующие этапы конфигурирования DLPAR в кластере HACMP:

  • разрешение имен;
  • установка ssh на узлах HACMP;
  • конфигурирование доступа к HMC через ssh;
  • определение HMC и управляемых систем в HACMP;
  • определение ресурсов DLPAR в HACMP (т. е. настройка обеспечения приложений ресурсами).

Разрешение имен

Одна из распространенных проблем состоит в несогласованности разрешения имен между всеми системами. Если разрешение имен не сконфигурировано корректно, функцию DLPAR использовать нельзя. Базовая инфраструктура RSCT (Reliable Scalable Cluster Technology) предполагает использование одинакового разрешения имен хостов на всех участвующих узлах. В противном случае RSCT не сможет осуществлять обмен данными должным образом.

Убедитесь в том, что все узлы и HMC настроены одинаково, просмотрев следующий список. Словосочетание "все системы" включает все узлы HACMP и HMC.

  • Все системы должны выполнять разрешение имен и IP-адресов участвующих хостов идентичным образом. Это относится и к обратному разрешению имен.
  • Все системы должны использовать один и тот же способ разрешения имен, либо короткое, либо длинное разрешение имен.
  • Все системы должны использовать один порядок разрешения имен, либо локальный, либо удаленный. Для этого следует просмотреть следующие файлы:
    • /etc/hosts на всех системах;
    • /etc/netsvc.conf на всех узлах AIX;
    • /etc/host.conf на HMC.

Просмотр файлов на системах AIX не представляет сложности. Однако выполнение этой операции в HMC требует дополнительного рассмотрения.

Убедитесь в том, что HMC видит LPAR хоста. Имена и IP-адреса хостов должны быть указаны в списке хостов HMC. Мы рекомендуем конфигурировать информацию хостов через консоль HMC, так как каждая версия кода HMC ограничивает опции командной строки. В Power4 HMC проверка включает следующие действия: HMC Maintenance (Обслуживание HMC) -> System Configuration (Конфигурирование системы) -> Customize Network Settings (Настройка параметров сети) -> Hosts (Узлы). Если адреса и имена не указаны, их можно добавить, щелкнув по кнопке New (Новый). Конфигурация нашего файла узлов HMC представлена на рис. 10.2.

Примечание. При использовании Power5 HMC нужно выбрать HMC Management (Управление HMC) -> HMC Configuration (Конфигурирование HMC) -> Customize Network Settings (Настройка параметров сети).
Узлы HMC

Рис. 10.2. Узлы HMC

Установка и конфигурирование SSH на узлах HACMP

Для использования операций удаленного выполнения команд в HMC нужно, чтобы на узлах HACMP был установлен SSH. HMC должен быть сконфигурирован таким образом, чтобы разрешать доступ из этих разделов.

В этом разделе мы рассмотрим установку пакетов ssh, включая порядок их установки. Важно соблюдать порядок установки этих пакетов. В большинстве случаев при нарушении порядка установки выдается сообщение об ошибке, указывающее, какой пакет следует установить в первую очередь.

Для каждой версии SSH и HMC эти этапы могут несколько различаться. Мы описали процессы, которые мы использовали при успешной реализации своей среды. Информацию по установке SSH в каждой версии AIX можно найти по адресу http://www-1.ibm.com/support/docview.wss?uid=isg1pTechnote0707

Установка SSH

В разделе "Требования" мы рассмотрели, какие пакеты необходимы и где их можно получить. Перечисленные ниже действия предполагают, что эти пакеты уже были скопированы на узлы HACMP. Мы решили поместить все свои образы в общий каталог установки /usr/sys/inst.images.

Пакет rpm.rte должен быть установлен до установки дополнительных пакетов rpm. Для его установки можно использовать либо installp, либо smit install_all. Успешность его установки можно проверить командой lslpp -l rpm.rte ( пример 10.1 ).

Jordan / > lslpp -l rpm.rte
Fileset Level State Description
--------------------------------------------------------------------Path: /usr/lib/objrepos
rpm.rte 3.0.5.36 COMMITTED RPM Package Manager
Path: /etc/objrepos
rpm.rte 3.0.5.36 COMMITTED RPM Package Manager
Пример 10.1. Проверка установки rpm

Теперь можно установить остальные необходимые пакеты с использованием команды rpm. Мы установили эти пакеты, как показано в примере 10.2 .

rpm -i zlib-1.2.1-2.aix5.1.ppc.rpm
rpm -i prngd-0.9.23-3.aix4.3.ppc.rpm
rpm -i openssl-0.9.7d-2.aix5.1.ppc.rpm
rpm -i openssl-devel-0.9.7d-2.aix5.1.ppc.rpm
rpm -i openssl-doc-0.9.7d-2.aix5.1.ppc.rpm
Пример 10.2. Установка пакетов, необходимых для работы openSSH

Это выполняет требования, необходимые для установки SSH. В AIX 5.1 и более поздних версиях пакет openSSH имеет формат installp. Если образ был извлечен из tar-пакета, можно теперь его установить с использованием smitty install_all. Необходимо установить три основных набора файлов. Эти наборы файлов и результаты нашей установки представлены в примере 10.3 .

smitty install_all
> openssh.base ALL ¦
¦ + 3.8.0.5202 Open Secure Shell Commands ¦
¦ + 3.8.0.5202 Open Secure Shell Server ¦
¦ > openssh.license ALL ¦
¦ + 3.8.0.5202 Open Secure Shell License ¦
¦ ¦
¦ > openssh.man.en_US ALL ¦
¦ + 3.8.0.5202 Open Secure Shell Documentation - U.S. English ¦
Name Level Part Event Result
--------------------------------------------------------------------openssh.license 3.8.0.5202 USR APPLY SUCCESS
openssh.base.client 3.8.0.5202 USR APPLY SUCCESS
openssh.base.server 3.8.0.5202 USR APPLY SUCCESS
openssh.base.client 3.8.0.5202 ROOT APPLY SUCCESS
openssh.base.server 3.8.0.5202 ROOT APPLY SUCCESS
openssh.man.en_US 3.8.0.5202 USR APPLY SUCCESS
Пример 10.3.
Замечание. Необходимо выбрать Yes в поле принятия лицензионного соглашения.

После установки SSH необходимо выполнить конфигурирование узлов HACMP для доступа к HMC без паролей для выполнения удаленных операций DLPAR.

Конфигурирование доступа к HMC через SSH

Документ "Managing the Hardware Management Console" ("Управление консолью управления оборудованием") содержит раздел, описывающий этапы настройки доступа к Remote Secure Shell. Это руководство можно скопировать с веб-сайта IBM по адресу http://publib.boulder.ibm.com/infocenter/iseries/v1r2s/en_US/info/iphai/iphai.pdf Ниже приведены действия, выполнявшиеся нами при настройке для включения доступа к SSH с узлов HACMP.

  • Включение доступа к HMC через SSH.
  • Генерирование ключей SSH на узлах HACMP.
  • Включение беспарольного доступа к HMC через файл authorized_keys2.

Во-первых, следует убедиться в том, что консоль HMC настроена на выполнение удаленных операций; для этого нужно выполнить следующие действия:

  1. В зоне навигации выберите HMC Maintenance (Обслуживание HMC).
  2. В зоне навигации выберите System Configuration (Конфигурирование системы).
  3. В зоне содержания выберите Enable/Disable Remote Command Execution (Включение-отключение удаленного выполнения команд).
  4. Установите флажок включения ssh.
Примечание. Обычно рекомендуется создать отдельного пользователя HMC для удаленного выполнения команд, однако HACMP использует hscroot.

Необходимо создать каталог $HOME/.ssh для пользователя root, чтобы хранить ключи аутентификации. HACMP будет выполнять удаленные операции DLPAR ssh под учетной записью root. По умолчанию создается каталог с именем /.ssh, которые мы и применили.

Для генерирования открытых и закрытых ключей следует выполнить на каждом узле HACMP команду

/usr/bin/ssh-keygen -t rsa

При этом в каталоге /.ssh будут созданы следующие файлы:

закрытый ключ: id_rsa
открытый ключ: id_rsa.pub

Биты записи для группы и остальных пользователей отключаются. Убедитесь в том, что закрытый ключ имеет разрешение 600.

Открытый ключ HMC должен быть записан в файл known_hosts на каждом узле HACMP, и наоборот. Это легко делается путем выполнения ssh на HMC с каждого узла HACMP. При первом выполнении выводится запрос на вставку ключа в файл. Ответьте Yes (Да) для продолжения, после чего система запросит ввод пароля. Это связано с тем, что настройка беспарольного доступа к ssh еще не завершена ( пример 10.4 ).

Jordan /tmp > ssh -l hscroot 192.168.100.69
The authenticity of host '192.168.100.69 (192.168.100.69)' can't be
established.
RSA key fingerprint is 2d:50:3f:03:d3:51:96:27:5a:5e:94:f4:e3:9b:e7:78
Are you sure you want to continue connecting (yes/no)?yes
Warning: Permanently added '192.168.100.69' (RSA) to the list of known
hosts.
Пример 10.4. SSH в HMC

При использовании двух консолей HMC, как в нашей тестовой конфигурации, необходимо повторить этот процесс для каждой консоли HMC. Также может потребоваться сделать это для всех узлов-участников, чтобы обеспечить выполнение операций ssh между ними (т. е. scp, sftp и ssh).

Чтобы обеспечить беспарольный доступ к ssh, нужно поместить открытые ключи каждого узла HACMP в файл authorized_keys2 в HMC. Это можно сделать несколькими способами, однако ниже мы приведем действия, которые предприняли мы.

  1. Создание файла authorized_keys2 в консоли HMC.
  2. Копирование (с использованием scp) открытого ключа со всех узлов на один компьютер.
  3. Объединение ( cat ) всех файлов ключей в файл authorized_keys2.
  4. Копирование ( scp ) объединенного файла через HMC /home/hscrtoot/.ssh.

На первом этапе мы вручную создали файл authorized_keys2. Это можно сделать как из командной строки в HMC, так и удаленно с клиента. Мы выполнили эту операцию удаленно с клиента. Мы решили сначала создать файл-макет (dummy file), после чего скопировать (scp) содержимое объединенных файлов ключей в HMC, заменяя, таким образом, наш файл-макет. Чтобы создать файл-макет мы выполнили с одного клиента следующую команду:

ssh hscroot@hmc "mkauthkeys --add '*' "

В консоли HMC убедитесь, что файл authorized_keys2 существует в каталоге .ssh. Для этого мы выполнили с клиента следующую команду:

ssh hscroot@hmc "ls -al .ssh/"
Примечание. Можно выполнить команду mkauthkeys через ssh с каждого клиента AIX и добавлять по одному ключу зараз, как описано в руководстве Managing the Hardware Management Console. Однако с точки зрения синтаксиса это требует добавления строки ключа вручную. Мы считаем это обременительным, особенно при выполнении на нескольких системах.

Затем из каталога /.ssh в LPAR AIX мы создали копию открытого ключа и переименовали ее таким образом, чтобы имя файла включало имя локального узла. После этого мы скопировали (с использованием scp) открытый ключ каждого компьютера (Jessica и Alexis) на один узел (Jordan). Затем мы выполнили команду cat для создания файла authorized_keys2, содержащего информацию об открытых ключах для всех узлов HACMP. Команды, выполняемые на каждом узле, представлены в примере 10.5 :

Alexis /.ssh > cp id_rsa.pub id_rsa.pub.alexis
Alexis /.ssh > scp id_rsa.pub.alexis jordan:/.ssh/id_rsa.pub.alexis
Jessica /.ssh > cp id_rsa.pub id_rsa.pub.jessica
Jessica /.ssh > scp id_rsa.pub.jessica jordan:/.ssh/id_rsa.pub.jessica
Jordan /.ssh > cp id_rsa.pub id_rsa.pub.jordan
Jordan /.ssh > cat id_rsa.pub.alexis id_rsa.pub.jessica id_rsa.pub.jordan
>authorized_keys2
Jordan /.ssh > ls -al
total 64
drwx------ 2 root system 256 Jul 18 22:27 .
drwxr-xr-x 21 root system 4096 Jul 14 02:11 ..
-rw-r--r-- 1 root system 664 Jun 16 16:31 authorized.keys2
-rw------- 1 root system 883 Jun 16 14:12 id_rsa
-rw-r--r-- 1 root system 221 Jun 16 14:12 id_rsa.pub
-rw-r--r-- 1 root system 221 Jun 16 16:30 id_rsa.pub.alexis
-rw-r--r-- 1 root system 222 Jun 16 15:20 id_rsa.pub.jessica
-rw-r--r-- 1 root system 221 Jun 16 16:27 id_rsa.pub.jordan
-rw-r--r-- 1 root system 1795 Jul 14 04:08 known_hosts
Jordan/.ssh > scp authorized.keys2 hscroot@192.168.100.69:.ssh/authorized_keys2
hscroot@192.168.100.69's password:
authorized_keys2 100% 664 0.7KB/s 00:00
Пример 10.5. Защищенное копирование файла authorized_keys2 в HMC

При выполнении команды копирования (scp) в консоль HMC система запрашивает пароль пользователя hscroot. После его ввода происходит копирование файла authorized_ key2. Затем можно протестировать, работает ли беспарольный доступ с каждого узла путем выполнения команды ssh, как было показано в примере 10.4 . Однако на этот раз вы должны будете попасть в приглашение командной строки оболочки HMC, как показано в примере 10.6 .

Alexis /.ssh > ssh -l hscroot 192.168.100.
Last login:Thur Jun 16 22:46:51 2005 from 192.168.100.61
hscroot@hmcitso:~>
Пример 10.6. Тестирование беспарольного доступа в ssh

После проверки беспарольного доступа в HMC путем выполнения команды ssh этот этап завершается и верификация подключений к HMC в HACMP должна пройти успешно.

Динар Валеев
Динар Валеев
Россия
Lichodedov Andrej
Lichodedov Andrej
Литва