Veritas NetBackup™ 53xx Appliance 初始配置指南
从 NetBackup Appliance 命令行操作界面对 NetBackup 53xx 系列设备执行初始配置
本主题介绍如何配置新的或重置为出厂默认设置(恢复出厂设置)的 NetBackup 53xx 系列设备。
此方法要求将便携式计算机直接连接到设备端口 NIC1 (eth0)。NetBackup 53xx 系列设备只能配置为介质服务器。
从 NetBackup Appliance 版本 4.0 开始,初始配置过程要求您更改 admin、maintenance 和 sysadmin (IPMI) 用户帐户的默认密码。默认的管理员密码仅对初始设备登录有效。当您输入 > 命令以设置设备角色时,会提示您更改默认密码。
从版本 3.2 开始,支持外部证书颁发机构证书。此功能是为了能够使用 NetBackup 证书颁发机构以外的备用方案实现主机验证和安全性。此过程包括部署这些证书所需的信息。有关安全证书的更多信息,请参见《NetBackup 安全和加密指南》中的“NetBackup 中的外部 CA 支持”一章。
对于高可用性配置,使用此过程配置用于执行设置过程的节点。此设备(计算节点)配置完成后,请参见步骤 18,以获取继续操作并完成高可用性配置的详细信息。
对该介质服务器执行初始配置之前,请验证是否已执行了以下任务:
已验证主服务器与此介质服务器的软件版本互相兼容。
已将此介质服务器的主机名添加到计划与其一起使用的主服务器上的
SERVERS列表。对于高可用性配置,已添加用于执行设置过程的节点的主机名。
主服务器与此介质服务器之间存在防火墙时已打开了主服务器上的相应端口。
如果计划在 NAT 网络中使用此介质服务器,请确保在主服务器上启用 DNAT 功能,同时将此介质服务器名称添加到主服务器上的 NAT 服务器列表中。
以下链接提供了有关如何完成上述任务的具体说明:
小心:
设备使用 Maintenance 用户帐户的已知默认密码进行配置。应在初始配置之前或之后立即更改此密码,以防止对设备维护模式进行未经授权的访问。请注意,如果设备需要故障排除服务,则必须向 Veritas 技术支持提供 Maintenance 用户密码。以下过程中的步骤 17 介绍了如何更改 Maintenance 用户密码。
从 NetBackup Appliance 命令行操作界面对 NetBackup 53xx 介质服务器设备执行初始配置
- 将便携式计算机连接到设备端口 NIC1。接下来导航到“本地连接属性”对话框。
在“常规”选项卡上,选择“Internet 协议 (TCP/IP)”,确保其突出显示,然后单击“属性”。
在“备用配置”选项卡上,执行以下任务:
单击“用户配置”。
在“IP 地址”中,输入 192.168.229.nnn,其中 nnn 为 2-254 之间的任意数字,但 233 除外。
在“子网掩码”中,输入 255.255.255.0。
单击“确定”。
- 在连接到设备的便携式计算机上,打开与 192.168.229.233 的 SSH 会话。
- 使用默认凭据登录到设备,如下所示:
命令行操作界面中会出现欢迎消息,而且 Main_Menu 视图中会出现提示。
注意:
要继续执行初始配置,则不需更改默认密码。但是,为了提高环境安全性,Veritas 建议您定期更改密码。确保将当前密码记录在安全的位置。要在登录 NetBackup Appliance 命令行操作界面后更改密码,请在 Main_Menu 视图中输入 Settings > Password。
- 开始初始配置前,通过输入以下命令检查并验证已连接的硬件组件的状态:
Support > Test Hardware
“警告”表示可以稍后解决的问题,并允许您继续初始配置。但是,这样的问题会导致无法访问受影响的设备。
“错误”表示需要立即解决的严重问题,否则无法继续执行初始配置。
如果命令输出确定存在任何问题,请检查以下项:
验证所有电缆均已正确连接并固定好。
验证所有磁盘驱动器均已安装并正确就位。
验证是否所有单元均已打开并完全启动。
验证是否已检查硬件检查列表上的所有项。
验证以上各项之后,请重新运行命令。警告或错误图标消失即表示问题已解决。Veritas 建议您先解决所有问题,然后再开始初始配置。
注意:
如果验证以上各项并重新运行命令后无法解决“错误”问题,请停止此处的配置并与 Veritas 技术支持联系。
- 在 Main_Menu > Network 视图中,输入以下命令来配置希望设备连接到的单个网络的 IP 地址。
Configure IPAddressNetmaskGatewayIPAddress [InterfaceNames]
其中,IPAddress 是新 IP 地址,Netmask 是网络掩码,而 GatewayIPAddress 是该接口的默认网关。[InterfaceNames] 选项是可选的。
IP Address 或 Gateway IP Address 可以为 IPv4 或 IPv6 地址。仅允许使用全局范围 IPv6 地址和唯一本地 IPv6 地址。
请记住,您不应在同一个命令中同时使用 IPv4 和 IPv6 地址。例如,您不能使用 Configure 9ffe::9 255.255.255.0 1.1.1.1.。应使用 Configure 9ffe::46 64 9ffe::49 eth1
如果要配置多个网络,则必须先配置要添加的每个网络的 IP 地址,然后配置所添加的每个网络的网关地址。必须确保先添加默认网关地址。使用以下两个命令:
根据是为网络接口配置 IPv4 地址还是配置 IPv6 地址,使用以下命令之一:
配置网络接口的 IPv4 地址:
IPv4 IPAddressNetmask [InterfaceName]
其中,IPAddress 是新的 IP 地址,Netmask 是网络掩码,而 [InterfaceName] 是可选的。对要添加的每个 IP 地址重复此命令。
配置网络接口的 IPv6 地址:
IPv6 <IP Address> <Prefix> [InterfaceNames]
其中,IPAddress 是 IPv6 地址,Prefix 是前缀长度,而 [InterfaceName] 是可选的。
Gateway Add GatewayIPAddress [TargetNetworkIPAddress] [Netmask] [InterfaceName]
其中,GatewayIPAddress 是接口的网关,TargetNetworkIPAddress、Netmask 和 InterfaceName 是可选的。重复此命令将网关添加到所有目标网络。
Gateway IP Address 或 TargetNetworkIPAddress 可以为 IPv4 或 IPv6 地址。
请记住,您不应在同一个命令中同时使用 IPv4 和 IPv6 地址。例如,您不能使用 Gateway Add 9ffe::3 255.255.255.0 eth1。应使用 Gateway Add 9ffe::3 6ffe:: 64 eth1。
- 从 Main_Menu > Network 视图中,使用以下命令设置设备 DNS 域名。
注意:
如果您不使用 DNS,可以继续进行步骤 9。
DNS Domain Name
其中,Name 是该设备的新域名。
- 在 Main_Menu > Network 视图中,使用以下命令将 DNS 名称服务器添加到您的设备配置。
DNS Add NameServer IPAddress
其中,IPAddress 是 DNS 服务器的 IP 地址。
此地址可以是 IPv4 或 IPv6。仅允许使用全局范围 IPv6 地址和唯一本地 IPv6 地址。
要添加多个 IP 地址,请使用逗号分隔每个地址,不要使用空格。
- 从 Main_Menu > Network 视图中,使用以下命令将 DNS 搜索域添加到您的设备配置,这样设备可以解析不同域的主机名:
DNS Add SearchDomain SearchDomain
其中,SearchDomain 是要添加以进行搜索的目标域。
- 此步骤为可选步骤。此步骤可让您在设备主机文件中添加其他主机的 IP 地址。
从 Main_Menu > Network 视图中,使用以下命令将主机条目添加到您设备上的主机文件中。
Hosts Add IPAddressFQHNShortName
其中,IPAddress 是 IPv4 或 IPv6 地址,FQHN 是完全限定的主机名,ShortName 是短主机名。
- 从 Main_Menu > Network 视图中,使用以下命令设置您设备的主机名。
Hostname Set Name
其中 Name 是此设备的短主机名或完全限定域名 (FQDN)。
除一些个例外,主机名应用于整个设备配置。短名称总是出现在以下位置:
NetBackup Appliance 命令行操作界面提示
重复数据删除池目录库备份策略
默认存储单元名称和磁盘池名称
如果此设备已恢复出厂设置,而您要导入其先前的任何备份映像,则设备主机名必须满足以下规则之一:
主机名必须与恢复出厂设置前使用的主机名完全相同。
如果您要将主机名更改为 FQDN,则该名称必须包括恢复出厂设置前使用的短名称。例如,如果恢复出厂设置前使用的是 myhost,则使用 myhost.domainname.com 作为新的 FQDN。
如果您要将主机名更改为短主机名,则该名称必须从恢复出厂设置前使用的 FQDN 派生而来。例如,如果恢复出厂设置前使用的是“myhost.domainname.com”,则使用“myhost”作为新的短主机名。
注意:
域名后缀将附加到主机名且在初始配置完成后无法更改。如果需要更改后缀或稍后将设备移动到其他域,则必须先执行恢复出厂设置,然后再次执行初始配置。
通过此步骤,NetBackup 得到重新配置,可以新主机名使用。完成此过程可能需要一些时间。
要使 Hostname set 命令运行,至少需要一个 IPv4 地址。例如,您可能要将特定主机的主机名设置为 v46。要执行此操作,请首先确保特定主机至少有一个 IPv4 地址,然后运行以下命令。
Main_Menu > Network > Hostname set v46
- 除上述网络配置设置之外,您也可以使用 Main_Menu > Network 视图在设备的初始配置过程中创建结合与标记 VLAN。
有关 LinkAggregation 和 VLAN 命令选项的详细信息,请参考《NetBackup Appliance 命令参考指南》。
- 从 Main_Menu > Network 视图中,使用以下命令为此设备设置时区、日期和时间:
- 从 Main_Menu > Settings 视图中,使用以下命令输入 SMTP 服务器名称和设备故障警报的电子邮件地址。
- 如果计划在 NAT 网络中使用此介质服务器,设置设备角色之前请在关联的主服务器上执行以下任务:
在主服务器上启用 DNAT 功能。
将此介质服务器的名称添加到主服务器上的 NetBackup 服务器列表。
- 确定要与此介质服务器一起使用的主服务器。
注意:
在继续之前,请确保您已将此介质服务器名称添加到主服务器。请参见将主服务器配置为与设备介质服务器进行通信。
从 Main_Menu > Appliance 视图中运行以下命令:
Media MasterServer
出现以下更改默认密码的提示:
- [Info] Default password change is required for the following user(s): admin, maintenance, sysadmin
按照提示更改每个用户帐户密码。
在设置新密码前,请查看以下密码策略:
密码必须至少包含八个字符。
密码必须至少包含一个小写字母 (a-z) 和一个数字 (0-9)。
字典中的单词被视为安全强度较弱的密码,且不可接受。
sysadmin (IPMI) 用户的密码不得超过 20 个字符。
最近使用过的七个密码不能重复使用,且新密码不能类似于之前的密码。
注意:
如果对任意用户帐户连续输入 5 个无效密码,设备会自动中止初始配置过程。您必须重新开始初始配置过程。
注意:
完成初始配置后,如果启用 STIG 功能,系统可能提示您需要更改此处输入的新密码,才能满足 STIG 密码策略要求。
其中,MasterServer 为独立主服务器、多宿主主服务器或群集主服务器。以下内容分别定义了这些情形:
独立主服务器
此情形将显示一个主服务器主机名。只要设备可以识别网络上的主服务器,此名称便无需为完全限定的名称。以下是该命令的用法示例。
Media MasterServerName
多宿主主服务器
在此情形中,主服务器有多个与之关联的主机名。您必须使用逗号分隔各个主机名。以下是该命令的用法示例。
Media MasterNet1Name,MasterNet2Name
群集主服务器
在此情形中,主服务器位于群集中。Veritas 建议先列出群集名称,接着是群集中的主动节点,最后是被动节点。此列表需要使用逗号分隔各个节点名称。以下是该命令的用法示例。
Media MasterClusterName,ActiveNodeName,PassiveNodeName
多宿主群集主服务器
在此情形中,主服务器位于群集中,而且有多个与之关联的主机名。Veritas 建议先列出群集名称,接着是群集中的主动节点,最后是被动节点。此列表需要使用逗号分隔各个节点名称。以下是该命令的用法示例。
Media MasterClusterName,ActiveNodeName,
PassiveNodeName,MasterNet1Name,MasterNet2Name
为防止以后出现问题,执行设备角色配置时,Veritas 建议提供所有关联的主服务器名称。
证书配置
证书吊销列表 (CRL)
输入主服务器名称后,设备将对主服务器执行 ping 操作以了解证书颁发机构 (CA) 状态并显示结果。以下段落描述了各种可能的状态结果。按照适用状态结果下方显示的说明完成证书配置。
The master server <master_server_name> has an enabled External CA-signed certificate. Do you want to import the External CA-signed certificate for this Media server now [yes,no](yes):
按 Enter 继续执行操作。将出现以下消息:
The following shares have been opened on the appliance for you to upload certificate files:
NFS share <media_server_name>:/inst/shareCIFS share \\<media_server_name>\general_share输入外部证书配置的以下详细信息:
Enter the certificate file path:
Enter the trust store file path:
Enter the private key path:
Enter the password for the passphrase file path or skip security configuration (default: NONE):
使用 CRL 前请输入以下详细信息:
Should a CRL be honored for the external certificate?
1) Use the CRL defined in the certificate.
2) Use the specific CRL directory.
3) Do not use a CRL.
q) Skip security configuration.
CRL option: 输入 1、2、3 或 q。
验证您输入的外部 CA 详细信息:
Certificate file name:
Trust store file name:
Private key file name:
CRL check level:(显示选定的 CRL 选项。)
Do you want to use the above certificate files? [yes, no](yes):
验证输入的信息是否正确后,按 Enter 继续并答复以下提示:
Is this correct? [yes, no](yes):
如果所有信息都正确,请按 Enter 继续。
设备执行 ECA 运行状况检查,并显示每个验证检查的结果。运行状况检查成功完成后,将显示以下消息:
ECA health check was successful.
The external certificate has been registered successfully.
The master server <master_server_name> currently uses an external CA issued certificate and its own internal certificate. Would you like to proceed with the external CA issued certificate? [yes,no](yes):
如果选择 no,将出现以下消息:
This appliance will use a NetBackup issued certificate for secure communication.
如果选择 yes,则输入外部证书配置的以下详细信息:
Enter the certificate file path:
Enter the trust store file path:
Enter the private key path:
Enter the password for the passphrase file path or skip security configuration (default: NONE):
使用 CRL 前请输入以下详细信息:
Should a CRL be honored for the external certificate?
1) Use the CRL defined in the certificate.
2) Use the specific CRL directory.
3) Do not use a CRL.
q) Skip security configuration.
CRL option: 输入 1、2、3 或 q。
验证您输入的外部 CA 详细信息:
Certificate file name:
Trust store file name:
Private key file name:
CRL check level:(显示选定的 CRL 选项。)
Do you want to use the above certificate files? [yes, no](yes):
验证输入的信息是否正确后,按 Enter 继续并答复以下提示:
Is this correct? [yes, no](yes):
如果所有信息都正确,请按 Enter 继续。
设备执行 ECA 运行状况检查,并显示每个验证检查的结果。运行状况检查成功完成后,将显示以下消息:
ECA health check was successful.
The external certificate has been registered successfully.
This appliance will use a NetBackup issued certificate for secure communication.
无需进一步的证书配置。单击“下一步”继续。
有关安全证书的更多信息,请参考《NetBackup 安全和加密指南》中的“NetBackup 中的安全证书”一章。
注意:
如果主服务器的主机名是 FQDN,则 Veritas 建议您使用 FQDN 指定介质服务器的主服务器。
注意:
角色配置完成后,将开始存储初始化过程。存储初始化可能需要花费长达 46 个小时才能完成,具体取决于系统中的磁盘驱动器数。因此,在存储初始化过程完成之前,设备备份和还原性能会降级。
- 存储初始化过程开始时,将显示 AdvancedDisk 和重复数据删除 (MSDP) 分区的磁盘存储提示。
要配置存储分区,必须执行以下操作:
将按以下顺序显示存储提示:
AdvancedDisk storage pool size in GB/TB [default size]: AdvancedDisk diskpool name: AdvancedDisk storage unit name: MSDP storage pool size in GB/TB [default size]: MSDP diskpool name: MSDP storage unit name:
配置存储分区后,将显示存储配置摘要并出现以下提示:
Do you want to edit the storage configuration? [yes, no]
键入 yes 进行更改,或者键入 no 保留当前配置。
- 更改 Maintenance 用户的默认密码,如下所示:
输入 Main_Menu > Support > Maintenance 命令。
在密码提示符处,输入默认的 Maintenance 用户密码 (P@ssw0rd)。
在 Maintenance shell 提示符处,输入 passwd 命令以更改密码。
键入 Exit 以返回到 NetBackup Appliance 命令行操作界面。
有关使用 Support > Maintenance 命令的完整信息,请参见《NetBackup Appliance 命令参考指南》。
- 对于高可用性解决方案,必须在配置的设备(计算节点)上设置高可用性配置,然后才能在合作伙伴节点上执行初始配置。要继续操作并完成高可用性配置,请按所示顺序执行以下任务:
- 所有设备均已配置且正常运行后,便可在要备份的计算机上安装客户端软件。
- 如果要配置用于 MSDP 云的设备,请以 nbasecadmin 用户身份登录 NetBackup Web UI,并配置 MSDP 云存储,如下所示:
创建磁盘池。
创建存储单元。
有关详细信息,请参见《NetBackup Web UI 管理指南》。
