Veritas NetBackup™ 53xx Appliance 初始配置指南

Last Published:
Product(s): Appliances (4.0)
Platform: NetBackup Appliance OS

将合作伙伴节点添加到 NetBackup 53xx 高可用性配置

合作伙伴节点配置完成后,使用此过程按如下所述完成 HA 设置:

  • 将合作伙伴节点添加到 HA 设置

    可以通过使用 NetBackup Appliance 网页操作界面或 NetBackup Appliance 命令行操作界面添加合作伙伴节点。

  • 批准主机名映射

    从版本 3.1.2 开始,要完成 HA 设置,必须在关联的主服务器上的 NetBackup 管理控制台中批准所有主机名映射。如果未批准这些映射,MSDP 服务在转换后不会联机。每个过程中的最后一个步骤介绍了如何批准映射。

  • 将适当的 CA 证书部署到合作伙伴节点

    NetBackup Appliance 版本 3.2 引入了对外部证书颁发机构证书的支持。此功能是为了能够使用 NetBackup 证书颁发机构以外的备用方案实现主机验证和安全性。此过程包括部署这些证书所需的信息。有关安全证书的更多信息,请参考《NetBackup 安全和加密指南》中的“NetBackup 中的外部 CA 支持”一章

    注意:

    仅支持通过 NetBackup Appliance 命令行操作界面在合作伙伴节点上部署外部 CA。

  • 从版本 4.0 开始,需要更改 admin、maintenance 和 sysadmin (IPMI) 用户帐户的默认密码。执行此过程之前,如果未在合作伙伴节点上更改这些用户帐户的密码,将显示提示,引导您完成此过程。

添加合作伙伴节点后,合作伙伴节点的网络信息将自动添加到主服务器上的附加服务器列表中。HA 设置中每个节点和共享主存储扩展架的固件将自动附加上相同的资产标签。

警告:

HA 设置完成后,请勿更改两个节点上的时间和日期设置。

验证 NetBackup 进程是否正在运行

在添加合作伙伴节点以完成设备 HA 设置之前,必须先验证所有 NetBackup 进程是否正在主服务器和两个 HA 节点上运行。

  • 主服务器

    如果主服务器是设备,请登录到 Appliance 命令行操作界面并输入以下命令:

    Support > Processes > NetBackup Show

    如果主服务器不是设备,请登录到 NetBackup 命令行并输入以下命令:

    /usr/openv/netbackup/bin/goodies/netbackup show

  • 介质服务器节点

    在要添加的计算节点和合作伙伴节点上,登录到 Appliance 命令行操作界面并输入以下命令:

    Support > Processes > NetBackup Show

如果在主服务器或节点上未运行任何进程,则添加合作伙伴节点将失败。为了防止出现此失败,必须先停止所有 NetBackup 进程,然后按如下所示重新启动它们:

  • 停止 NetBackup 进程

    对于主服务器设备和两个设备节点,请输入以下命令:

    Support > Processes > NetBackup Stop

    如果主服务器不是设备,请输入以下命令:

    /usr/openv/netbackup/bin/goodies/netbackup stop

    要验证所有进程是否都已停止,请输入以下命令:

    /usr/openv/netbackup/bin/bpps -x

    如果有任何进程仍在运行(nbftsrvr/nbfdrv64 除外),请重新输入 stop 命令:

    /usr/openv/netbackup/bin/goodies/netbackup stop

    要停止 nbftsrvr/nbfdrv64 进程,请输入以下命令:

    /usr/openv/netbackup/bin/goodies/nbftserver stop

    注意:

    此进程可能不会立即停止。请确保等待,直到命令结果显示它已停止。

  • 重新启动 NetBackup 进程

    对于主服务器设备和两个设备节点,请输入以下命令:

    Support > Processes > NetBackup Start

    如果主服务器不是设备,请按显示顺序输入以下命令:

    /usr/openv/netbackup/bin/goodies/netbackup start

    /usr/openv/netbackup/bin/goodies/nbftserver start

添加合作伙伴节点

可使用以下过程之一将合作伙伴节点添加到 HA 设置中。

通过 NetBackup Appliance 网页操作界面添加合作伙伴节点

注意:

如果需要部署外部 CA 证书,则必须按照后续过程中所述从 NetBackup Appliance 命令行操作界面添加合作伙伴节点。

  1. 在用于设置 HA 配置的节点上,以 admin 身份登录到 NetBackup Appliance 网页操作界面。
  2. “欢迎使用 Veritas NetBackup Appliance 网页操作界面”页面上,单击“管理”>“高可用性”
  3. “高可用性”页面上,HA 配置的当前状态标识为“未完成”。单击“添加合作伙伴”
  4. “添加合作伙伴节点”对话框中,输入已配置的合作伙伴节点的主机名,然后单击“添加”
  5. 如果指纹值匹配,请单击“下一步”
  6. 输入合作伙伴节点的 admin 用户密码,然后单击“下一步”。当显示“是否要继续?”消息时,单击“继续”
  7. 如果要添加的合作伙伴节点仍包含 admin、maintenance 和 sysadmin (IPMI) 用户帐户的默认密码,请按照提示更改密码。
  8. 如果出现“证书验证”对话框,请输入授权令牌或重新发布令牌,然后单击“部署证书”
  9. 当消息显示该过程已成功时,单击“关闭”
  10. 要完成 HA 设置,请在关联的主服务器上批准主机名映射。

    • 在关联的主服务器上,登录到 NetBackup 管理控制台。

    • 在左窗格中,单击“安全管理”以展开其属性,然后单击“主机管理”

    • 在右窗格的左下方,单击“待审批映射”

    • 在右窗格的顶部,单击待审批的任何主机映射。显示提示进行审批的“批准映射”对话框时,请单击“是”。针对待审批的每个主机映射重复此任务。

通过 NetBackup Appliance 命令行操作界面添加合作伙伴节点

  1. 在设置 HA 配置的节点上,以 admin 身份登录到 NetBackup Appliance 命令行操作界面。
  2. 转到 Main > Manage > HighAvailability
  3. 通过输入以下命令添加合作伙伴节点,以完成 HA 配置:

    AddNode hostname

    其中,hostname 是合作伙伴节点的短主机名或完全限定域名 (FQDN)。

  4. 出现以下消息时,请确保已直接在合作伙伴节点上对 SSH ECDSA 指纹进行了检查:

    Do the fingerprint values match? [yes, no] (no)

    为确保网络安全,必须确认合作伙伴节点的 SSH ECDSA 指纹正确无误。有关如何检查设备标识的说明,请参考《NetBackup Appliance 命令参考指南》。

    如果值匹配,则输入 yes

  5. 如果要添加的合作伙伴节点仍包含 admin、maintenance 和 sysadmin (IPMI) 用户帐户的默认密码,请按照提示更改密码。
  6. 预检查通过后,出现以下任一消息时,输入颁发机构令牌或重新发布令牌,以信任基于主机 ID 的证书:

    Authorization token is mandatory. Enter an authorization token. For more information about the authorization token, refer to the NetBackup Security and Encryption Guide.

    Enter token:

    Reissue token is mandatory. Enter the reissue token for the required host to obtain a host-ID based certificate. For more information about the reissue token, refer to the NetBackup Security and Encryption Guide.

    Enter token:

    有关安全证书的更多信息,请参考《NetBackup 安全和加密指南》中的“NetBackup 中的安全证书”一章。

  7. 出现以下消息时,输入 yes 以继续:

    >> Do you want to continue? [yes, no] (no)

    设备将对主服务器执行 ping 操作以了解证书颁发机构 (CA) 状态并显示结果。以下段落描述了各种可能的状态结果。按照适用状态结果下方显示的说明完成证书配置。

    • The master server <master_server_name> currently uses an External CA-signed certificate. You are required to configure this appliance with a certificate issued by the same external CA. Do you want to import the External CA-signed certificate for this Media server now [yes,no](yes):

      Enter 继续执行操作。将出现以下消息:

      To configure the HA partner node, the External CA-signed certificate must include the vip hostname and FQDN DNS information in the Subject Alternative Name.

      The following shares have been opened on the appliance for you to upload certificate files:

      NFS share <media_server_name>:/inst/share

      CIFS share \\<media_server_name>\general_share

      输入外部证书配置的以下详细信息:

      Enter the certificate file path:

      Enter the trust store file path:

      Enter the private key path:

      Enter the password for the passphrase file path or skip security configuration (default: NONE):

      使用 CRL 前请输入以下详细信息:

      Should a CRL be honored for the external certificate?

      1) Use the CRL defined in the certificate.

      2) Use the specific CRL directory.

      3) Do not use a CRL.

      q) Skip security configuration.

      CRL option: 输入 1、2、3 或 q。

      Verify the External CA details that you entered:

      Certificate file name:

      Trust store file name:

      Private key file name:

      CRL check level:(显示选定的 CRL 选项。)

      Do you want to use the above certificate files? [yes, no](yes):

      验证输入的信息是否正确后,按 Enter 继续并答复以下提示:

      Is this correct? [yes, no](yes):

      如果所有信息都正确,请按 Enter 继续。

      设备执行 ECA 运行状况检查,并显示每个验证检查的结果。运行状况检查成功完成后,将显示以下消息:

      ECA health check was successful.

      The external certificate has been registered successfully.

    • The master server <master_server_name> currently uses an external CA issued certificate and its own internal certificate. Would you like to proceed with the external CA issued certificate? [yes,no](yes):

      如果选择 no,将出现以下消息:

      This appliance will use a NetBackup issued certificate for secure communication.

      如果选择 yes,将出现以下消息:

      To configure the HA partner node, the External CA-signed certificate must include the vip hostname and FQDN DNS information in the Subject Alternative Name.

      The following shares have been opened on the appliance for you to upload certificate files:

      NFS share <media_server_name>:/inst/share

      CIFS share \\<media_server_name>\general_share

      输入外部证书配置的以下详细信息:

      Enter the certificate file path:

      Enter the trust store file path:

      Enter the private key path:

      Enter the password for the passphrase file path or skip security configuration (default: NONE):

      使用 CRL 前请输入以下详细信息:

      Should a CRL be honored for the external certificate?

      1) Use the CRL defined in the certificate.

      2) Use the specific CRL directory.

      3) Do not use a CRL.

      q) Skip security configuration.

      CRL option: 输入 1、2、3 或 q。

      验证您输入的外部 CA 详细信息:

      Certificate file name:

      Trust store file name:

      Private key file name:

      CRL check level:(显示选定的 CRL 选项。)

      Do you want to use the above certificate files? [yes, no](yes):

      验证输入的信息是否正确后,按 Enter 继续并答复以下提示:

      Is this correct? [yes, no](yes):

      如果所有信息都正确,请按 Enter 继续。

      设备执行 ECA 运行状况检查,并显示每个验证检查的结果。运行状况检查成功完成后,将显示以下消息:

      ECA health check was successful.

      The external certificate has been registered successfully.

    • This appliance will use a NetBackup issued certificate for secure communication.

      无需进一步的证书配置。单击“下一步”继续。

    应出现显示该过程已成功的消息。

  8. 按如下所述批准主机名映射:

    • 在关联的主服务器上,登录到 NetBackup 管理控制台。

    • 在左窗格中,单击“安全管理”以展开其属性,然后单击“主机管理”

    • 在右窗格的左下方,单击“待审批映射”

    • 在右窗格的顶部,单击待审批的任何主机映射。显示提示进行审批的“批准映射”对话框时,请单击“是”。针对待审批的每个主机映射重复此任务。