Veritas NetBackup™ 52xx Appliance 初始配置指南

Last Published:
Product(s): Appliances (5.0)
Platform: NetBackup Appliance OS

使用 NetBackup Appliance 命令行操作界面对 52xx 介质服务器设备执行初始配置

安装、连接并打开所有的设备系统组件后,便可以配置服务器。

从版本 4.0 开始,初始配置过程要求您更改 adminmaintenancesysadmin (IPMI) 用户帐户的默认密码。默认的管理员密码仅对初始设备登录有效。当您输入 Main_Menu > Appliance 命令以设置设备角色时,会提示您更改默认密码。

从版本 3.2 开始,支持外部证书颁发机构证书。此功能是为了能够使用 NetBackup 证书颁发机构以外的备用方案实现主机验证和安全性。此过程包括部署这些证书所需的信息。有关安全证书的更多信息,请参见《NetBackup 安全和加密指南》中的“NetBackup 中的外部 CA 支持”一章。

如果打算将此设备配置为介质服务器,必须先在主服务器上完成以下任务,然后再开始执行初始配置。以下链接提供了有关如何完成必需任务的具体说明:

请参见配置主服务器,使其与设备介质服务器通信

  • 确保主服务器与此介质服务器的软件版本互相兼容。

  • 将此介质服务器的名称添加到要与其结合使用的主服务器上的 SERVERS 列表。

  • 如果主服务器与此介质服务器之间存在防火墙,请按照上述链接中所述打开相应的端口。

  • 确保此介质服务器的日期和时间与主服务器的日期和时间相匹配。

  • 如果计划在 NAT 网络中使用此介质服务器,请确保在主服务器上启用 DNAT 功能,同时将此介质服务器名称添加到主服务器上的 NAT 服务器列表中。

以下过程介绍了如何通过 NetBackup Appliance 命令行操作界面配置新的 52xx 介质服务器设备。

警告:

NetBackup Appliance 不支持配置属于同一子网的两个 IP 地址。设备在 Linux 操作系统上运行,并且此类型的网络是当前的一项限制。您所创建的每个结合必须使用属于不同子网的 IP 地址。

注意:

如果设备主机名解析为某个 IP 地址,则无法删除该 IP 地址。

使用 NetBackup Appliance 命令行操作界面对 52xx 介质服务器设备执行初始配置

  1. 在连接到 NIC1 设备端口的便携式计算机上,导航到“本地连接属性”对话框。

    “常规”选项卡上,选择“Internet 协议 (TCP/IP)”,确保其突出显示,然后单击“属性”

    Local Area Connection Properties dialog box

    “备用配置”选项卡上,执行以下任务:

    Internet Protocol Properties dialog box

    • 单击“用户配置”

    • “IP 地址”中,输入 192.168.229.nnn,其中 nnn 为 2-254 之间的任意数字,但 233 除外。

    • “子网掩码”中,输入 255.255.255.0

    • 单击“确定”

  2. 在连接到设备的便携式计算机上,打开连接至 192.168.229.233 的 SSH 会话,然后登录到设备。

    登录名为 admin,默认密码为 P@ssw0rd

    登录后,命令行操作界面中会出现欢迎消息,而且 Main_Menu 视图中会出现提示。

  3. Main_Menu > Network 视图中,输入以下命令来配置希望设备连接到的单个网络的 IP 地址。

    Configure IPAddressNetmaskGatewayIPAddress [InterfaceNames]

    其中,IPAddress 是新 IP 地址,Netmask 是网络掩码,而 GatewayIPAddress 是该接口的默认网关。[InterfaceNames] 选项是可选的。

    IP AddressGateway IP Address 可以为 IPv4 或 IPv6 地址。仅允许使用全局范围 IPv6 地址和唯一本地 IPv6 地址。

    请记住,您不应在同一个命令中同时使用 IPv4 和 IPv6 地址。例如,您不能使用 Configure 9ffe::9 255.255.255.0 1.1.1.1.。应使用 Configure 9ffe::46 64 9ffe::49 eth1

    请参见关于基于 IPv4 和 IPv6 的网络支持

    如果要配置多个网络,则必须先配置要添加的每个网络的 IP 地址,然后配置所添加的每个网络的网关地址。必须确保先添加默认网关地址。使用以下两个命令:

    配置每个网络的 IP 地址

    根据是为网络接口配置 IPv4 地址还是配置 IPv6 地址,使用以下命令之一:

    配置网络接口的 IPv4 地址:

    IPv4 IPAddressNetmask [InterfaceName]

    其中,IPAddress 是新的 IP 地址,Netmask 是网络掩码,而 [InterfaceName] 是可选的。对要添加的每个 IP 地址重复此命令。

    配置网络接口的 IPv6 地址:

    IPv6 <IP Address> <Prefix> [InterfaceNames]

    其中,IPAddress 是 IPv6 地址,Prefix 是前缀长度,而 [InterfaceName] 是可选的。

    配置所添加的每个网络的网关地址

    Gateway Add GatewayIPAddress [TargetNetworkIPAddress] [Netmask] [InterfaceName]

    其中,GatewayIPAddress 是接口的网关,TargetNetworkIPAddressNetmaskInterfaceName 是可选的。重复此命令将网关添加到所有目标网络。

    Gateway IP AddressTargetNetworkIPAddress 可以为 IPv4 或 IPv6 地址。

    请记住,您不应在同一个命令中同时使用 IPv4 和 IPv6 地址。例如,您不能使用 Gateway Add 9ffe::3 255.255.255.0 eth1。应使用 Gateway Add 9ffe::3 6ffe:: 64 eth1

  4. Main_Menu > Network 视图中,使用以下命令设置设备 DNS 域名。

    注意:

    如果您不使用 DNS,可以继续进行步骤 7

    DNS Domain Name

    其中,Name 是该设备的新域名。

  5. Main_Menu > Network 视图中,使用以下命令将 DNS 名称服务器添加到您的设备配置。

    DNS Add NameServer IPAddress

    其中,IPAddress 是 DNS 服务器的 IP 地址。

    此地址可以是 IPv4 或 IPv6。仅允许使用全局范围 IPv6 地址和唯一本地 IPv6 地址。

    请参见关于基于 IPv4 和 IPv6 的网络支持

    要添加多个 IP 地址,请使用逗号分隔每个地址,不要使用空格。

  6. Main_Menu > Network 视图中,使用以下命令将 DNS 搜索域添加到您的设备配置,这样设备可以解析不同域的主机名:

    DNS Add SearchDomain SearchDomain

    其中,SearchDomain 是要添加以进行搜索的目标域。

  7. 此步骤为可选步骤。此步骤可让您在设备主机文件中添加其他主机的 IP 地址。

    Main_Menu > Network 视图中,使用以下命令将主机条目添加到您设备上的主机文件中。

    Hosts Add IPAddressFQHNShortName

    其中,IPAddress 是 IPv4 或 IPv6 地址,FQHN 是完全限定的主机名,ShortName 是短主机名。

    请参见关于基于 IPv4 和 IPv6 的网络支持

  8. Main_Menu > Network 视图中,使用以下命令设置您设备的主机名。

    注意:

    如果计划在此设备上配置 Active Directory (AD) 身份验证,主机名必须在 15 个字符以内。否则,AD 配置可能会失败。

    Hostname Set Name

    其中 Name 是此设备的短主机名或完全限定域名 (FQDN)。

    除一些个例外,主机名应用于整个设备配置。短名称总是出现在以下位置:

    • NetBackup Appliance 命令行操作界面提示

    • 重复数据删除池目录库备份策略

    • 默认存储单元名称和磁盘池名称

    如果此设备已恢复出厂设置,而您要导入其先前的任何备份映像,则设备主机名必须满足以下规则之一:

    • 主机名必须与恢复出厂设置前使用的主机名完全相同。

    • 如果您要将主机名更改为 FQDN,则该名称必须包括恢复出厂设置前使用的短名称。例如,如果恢复出厂设置前使用的是 myhost,则使用 myhost.domainname.com 作为新的 FQDN。

    • 如果您要将主机名更改为短主机名,则该名称必须从恢复出厂设置前使用的 FQDN 派生而来。例如,如果恢复出厂设置前使用的是 myhost.domainname.com,则使用 myhost 作为新的短主机名。

    注意:

    域名后缀将附加到主机名且在初始配置完成后无法更改。如果需要更改后缀或稍后将设备移动到其他域,则必须先执行恢复出厂设置,然后再次执行初始配置。

    通过此步骤,NetBackup 得到重新配置,可以新主机名使用。完成此过程可能需要一些时间。

    要使 Hostname set 命令运行,至少需要一个 IPv4 地址。例如,您可能要将特定主机的主机名设置为 v46。要执行此操作,请首先确保特定主机至少有一个 IPv4 地址,然后运行以下命令。

    Main_Menu > Network > Hostname Set v46

  9. 除上述网络配置设置之外,您也可以使用 Main_Menu > 视图在设备网络的初始配置过程中创建结合以及标记 VLAN

    • 使用 Network > LinkAggregation Create 命令在两个或多个网络接口之间创建结合。

    • 使用 Network > VLAN Tag 命令为物理接口或结合接口标记 VLAN。

    有关 LinkAggregationVLAN 命令选项的详细信息,请参考《NetBackup Appliance 命令参考指南》。

  10. Main_Menu > Network 视图中,使用以下命令为此设备设置时区、日期和时间:

    • 通过输入下列命令设置时区:

      TimeZone Set

      从显示的列表中选择相应的时区。

    • 通过输入下列命令设置日期和时间:

      Date Set MonthDayHHMMSSYear

      其中 Month 是月份名。

      其中 Day 是某月份中的某一天,其范围是 0 到 31。

      其中 HHMMSS 是 24 小时格式的小时、分钟和秒。这些字段由分号分隔,例如,HH:MM:SS。

      其中 Year 是日历年,其范围是 1970 到 2037。

  11. Main_Menu > Settings > Alerts > Email 视图中,使用以下命令输入 SMTP 服务器名称和设备故障警报的电子邮件地址。

    输入 SMTP 服务器名称

    Email SMTP Add Server [Account] [Password]

    Server 变量是用于发送电子邮件的目标 SMTP 服务器的主机名。[Account] 选项标识用于向 SMTP 服务器进行身份验证的帐户的名称。[Password] 选项是用于向 SMTP 服务器进行身份验证的密码。

    输入电子邮件地址

    Email Software Add Addresses

    其中 Addresses 是用户的电子邮件地址。要定义多个电子邮件,请用分号分隔这些电子邮件。

  12. 如果计划在 NAT 网络中使用此介质服务器,设置设备角色之前请在关联的主服务器上执行以下任务:
  13. 将设备的角色设置为介质服务器。

    注意:

    将此设备配置为介质服务器前,必须将此设备的名称添加到必须与此设备配合使用的主服务器。

    Main_Menu > Appliance 视图中运行以下命令:

    Media PrimaryServer

    出现以下更改默认密码的提示:

    - [Info] Default password change is required for the following user(s): admin, maintenance, sysadmin

    按照提示更改每个用户帐户密码。

    在设置新密码前,请查看以下密码策略:

    • 密码必须至少包含八个字符。

    • 密码必须至少包含一个小写字母 (a-z) 和一个数字 (0-9)。

    • 字典中的单词被视为安全强度较弱的密码,且不可接受。

    • sysadmin (IPMI) 用户的密码不得超过 20 个字符。

    • 最近使用过的七个密码不能重复使用,且新密码不能类似于之前的密码。

    注意:

    如果对任意用户帐户连续输入 5 个无效密码,设备会自动中止初始配置过程。您必须重新开始初始配置过程。

    注意:

    完成初始配置后,如果启用 STIG 功能,系统可能提示您需要更改此处输入的新密码,才能满足 STIG 密码策略要求。

    从版本 5.0 开始,将执行自动通报设置测试。如果禁用了自动通报,则会出现一个启用自动通报的提示选项。如果启用了自动通报,则会执行自动通报测试。如果测试失败,可以启用代理服务器。将显示以下警告消息:

    警告:

    设备无法连接到 Veritas 自动通报服务器以上传硬件和软件遥测。向 Veritas 提供自动通报信息可以通过 NetInsights 控制台改善支持体验和建议。建议启用自动通报,并确保系统可以通过正确的名称解析或代理服务器设置访问 Veritas 自动通报服务器。

    您可以忽略此警告并继续下一步。

    其中,PrimaryServer 为独立主服务器、多宿主主服务器或群集主服务器。以下内容分别定义了这些情形:

    独立主服务器

    此情形将显示一个主服务器主机名。只要设备可以识别网络上的主服务器,此名称便无需为完全限定的名称。以下是该命令的用法示例。

    Media PrimaryServerName

    多宿主主服务器

    在此情形中,主服务器有多个与之关联的主机名。您必须使用逗号分隔各个主机名。以下是该命令的用法示例。

    Media PrimaryNet1Name,PrimaryNet2Name

    群集主服务器

    在此情形中,主服务器位于群集中。Veritas 建议先列出群集名称,接着是群集中的主动节点,最后是被动节点。此列表需要使用逗号分隔各个节点名称。以下是该命令的用法示例。

    Media PrimaryClusterName,ActiveNodeName,PassiveNodeName

    多宿主群集主服务器

    在此情形中,主服务器位于群集中,而且有多个与之关联的主机名。Veritas 建议先列出群集名称,接着是群集中的主动节点,最后是被动节点。此列表需要使用逗号分隔各个节点名称。以下是该命令的用法示例。

    Media PrimaryClusterName,ActiveNodeName,

    PassiveNodeName,PrimaryNet1Name,PrimaryNet2Name

    为防止日后出现问题,执行设备角色配置时,Veritas 建议提供所有关联的主服务器名称。

    证书配置

    证书吊销列表 (CRL)

    输入主服务器名称后,设备将对主服务器执行 ping 操作以了解证书颁发机构 (CA) 状态并显示结果。以下段落描述了各种可能的状态结果。按照适用状态结果下方显示的说明完成证书配置。

    如果主服务器具有已启用的外部 CA 签名证书,将显示以下内容:

    • The primary server <primary_server_name> has an enabled External CA-signed certificate. Do you want to import the External CA-signed certificate for this Media server now [yes,no](yes):

      Enter 继续执行操作。将出现以下消息:

      The following shares have been opened on the appliance for you to upload certificate files:

      NFS share <media_server_name>:/inst/share

      CIFS share \\<media_server_name>\general_share

      输入外部证书配置的以下详细信息:

      Enter the certificate file path:

      Enter the trust store file path:

      Enter the private key path:

      Enter the password for the passphrase file path or skip security configuration (default: NONE):

      使用 CRL 前请输入以下详细信息:

      Should a CRL be honored for the external certificate?

      1) Use the CRL defined in the certificate.

      2) Use the specific CRL directory.

      3) Do not use a CRL.

      q) Skip security configuration.

      CRL option: 输入 1、2、3 或 q。

      验证您输入的外部 CA 详细信息:

      Certificate file name:

      Trust store file name:

      Private key file name:

      CRL check level:(显示选定的 CRL 选项。)

      Do you want to use the above certificate files? [yes, no](yes):

      验证输入的信息是否正确后,按 Enter 继续并答复以下提示:

      Is this correct? [yes, no](yes):

      如果所有信息都正确,请按 Enter 继续。

      设备执行 ECA 运行状况检查,并显示每个验证检查的结果。运行状况检查成功完成后,将显示以下消息:

      ECA health check was successful.

      The external certificate has been registered successfully.

    • The primary server <primary_server_name> currently uses an external CA issued certificate and its own internal certificate. Would you like to proceed with the external CA issued certificate? [yes,no](yes):

      如果选择 no,将出现以下消息:

      This appliance will use a NetBackup issued certificate for secure communication.

      如果选择 yes,则输入外部证书配置的以下详细信息:

      Enter the certificate file path:

      Enter the trust store file path:

      Enter the private key path:

      Enter the password for the passphrase file path or skip security configuration (default: NONE):

      使用 CRL 前请输入以下详细信息:

      Should a CRL be honored for the external certificate?

      1) Use the CRL defined in the certificate.

      2) Use the specific CRL directory.

      3) Do not use a CRL.

      q) Skip security configuration.

      CRL option: 输入 1、2、3 或 q。

      验证您输入的外部 CA 详细信息:

      Certificate file name:

      Trust store file name:

      Private key file name:

      CRL check level:(显示选定的 CRL 选项。)

      Do you want to use the above certificate files? [yes, no](yes):

      验证输入的信息是否正确后,按 Enter 继续并答复以下提示:

      Is this correct? [yes, no](yes):

      如果所有信息都正确,请按 Enter 继续。

      设备执行 ECA 运行状况检查,并显示每个验证检查的结果。运行状况检查成功完成后,将显示以下消息:

      ECA health check was successful.

      The external certificate has been registered successfully.

    • 此设备将使用外部证书进行安全通信。

      如果主服务器具有已禁用的外部 CA 签名证书,将显示以下消息:

      The primary server <server_name> has a disabled External CA-signed certificate. Trust the certificate to continue the role configuration process.

      Do you trust the certificate? [yes, no], If you select yes, this appliance will continue to do storage configuration. If you select no, the role configuration will be aborted.

    • This appliance will use a NetBackup issued certificate for secure communication.

      无需进一步的证书配置。单击“下一步”继续

    有关安全证书的更多信息,请参考《NetBackup 安全和加密指南》中的“NetBackup 中的安全证书”一章。

    注意:

    如果主服务器的主机名是 FQDN,Veritas 建议您使用 FQDN 为介质服务器指定主服务器。

  14. 设置角色配置后,将显示 AdvancedDisk 和重复数据删除 (MSDP) 分区的磁盘存储提示。

    要配置存储分区,必须执行以下操作:

    • 输入存储池大小(以 GB 或 TB 为单位)。

      要跳过任意分区的存储池大小配置,请在提示输入大小时输入 0。要保留存储池的当前大小,请按 Enter

    • 输入磁盘池名称。

      对于 AdvancedDisk,默认名称是 dp_adv_<hostname>,对于重复数据删除,默认名称是 dp_disk_<hostname>。要保留默认名称,请按 Enter

    • 输入存储池名称。

      对于 AdvancedDisk,默认名称是 stu_adv_<hostname>,对于重复数据删除,默认名称是 stu_disk_<hostname>。要保留默认名称,请按 Enter

    将按以下顺序显示存储提示:

    AdvancedDisk partition size in GB/TB: (1 GB)
AdvancedDisk diskpool name:
AdvancedDisk storage unit name:
MSDP partition size in GB/TB: (5 GB)
MSDP diskpool name:
MSDP storage unit name:
MSDP Catalog partition size in GB/TB:

    配置存储分区后,将显示存储配置摘要并出现以下提示:

    Do you want to make changes to the storage configuration
shown above? [yes,no]:

    键入 yes 进行更改,或者键入 no 保留当前配置。

  15. NIC1 设备端口断开便携式计算机。

    注意:

    如果您的网络使用 192.168.x.x IP 地址范围,请参考以下主题以获取重要信息:

    请参见关于 NetBackup Appliance 上的 NIC1 (eth0) 端口用法

  16. 所有设备均已配置且正常运行后,便可在要备份的计算机上安装客户端软件。

    请参见将 NetBackup 客户端软件包从 NetBackup Appliance 下载到客户端

  17. 如果要配置用于 MSDP 云的设备,请以 nbasecadmin 用户身份登录 NetBackup Web UI,并配置 MSDP 云存储,如下所示:请参见 通过 NFS 共享安装 NetBackup 客户端软件

    • 创建磁盘池。

    • 创建存储单元。

      有关详细信息,请参见《NetBackup Web UI 管理指南》