配置支持辅助

您可以使用管理 GUI 或命令行界面配置支持辅助。

支持辅助使支持人员能够访问系统以完成故障诊断和维护任务。 您可以配置本地支持辅助(支持人员亲临现场解决系统问题)或者本地和远程支持辅助。远程支持辅助允许支持人员从支持中心远程访问系统。本地和远程支持辅助均使用安全连接来保护支持中心和系统之间的数据交换。将记录通过远程支持辅助完成的所有操作以用于审计。在启用远程支持辅助之前,必须配置本地支持辅助。

先决条件

如果配置远程支持辅助,那么所有配置都需要满足以下先决条件:
  • 必须使用有效的电子邮件服务器配置回拨并使其正常运行。要配置回拨,请在管理 GUI 中选择设置 > 通知 > 电子邮件,或者通过系统设置进行配置。
  • 必须在系统的每个节点上配置服务 IP 地址。要配置服务 IP 地址,请在管理 GUI 中选择设置 > 网络 > 服务 IP
  • 必须在系统上配置 DNS 服务器。要配置 DNS 服务器,请在管理 GUI 中选择设置 > 系统 > DNS
  • (可选)可以将代理服务器配置为整合来自多个存储系统的防火墙流量。无法通过代理服务器完成远程升级。
需要 IBM 和系统之间的以下网络连接才能启用支持辅助:
esupport.ibm.com
esupport.ibm.com 网络连接用于将日志上载到 IBM Enhanced Customer Data Repository (ECUREP)。如果配置了 Storage Insights,那么 esupport.ibm.com 防火墙规则不是必需的,因为 Storage Insights 提供了用于上载日志的功能。但是,仍然建议使用 esupport.ibm.com 防火墙规则,因为使用云服务的回拨将使用相同端口。
注: esupport.ibm.com 网络连接经充分认证,可安全地为 Blue Diamond (HIPPA) 用户和受“通用数据保护条例”(GDPR) 保护的用户传输数据。
使用以下信息来配置防火墙规则:
目标 端口 协议 方向
系统中每个节点或节点容器的服务 IP 地址。 esupport.ibm.com 443 https 仅出站

如果在管理网络中提供透明代理服务,那么 esupport.ibm.com 不需要任何防火墙规则。如果无法使用域名来配置防火墙规则,那么可以使用以下 IP 地址:129.42.56.189、129.42.54.189 和 129.42.60.189。

FixCentral
可使用 FixCentral 网络连接将软件升级包下载到系统上。使用以下信息来配置防火墙规则:
目标 端口 协议 方向
管理 IP 地址(仅限端口 1) delivery04.dhe.ibm.com 22 SFTP (FTP over SSH) 仅出站

如果无法使用域名来配置防火墙规则,那么可以使用以下 IP 地址:170.225.15.105、170.225.15.104、170.225.15.107、129.35.224.105、129.35.224.104 和 129.35.224.107

远程访问
IBM 可以远程连接到系统,以使用远程访问来执行维护操作。远程访问可以永久启用,也可以根据需要来启用。
建议安装并配置远程支持代理服务以简化防火墙配置。一个代理可供多个系统以及其他 IBM 存储产品使用。 在安装并配置代理后,使用以下信息来配置防火墙规则:
目标 端口 协议 方向
代理服务器的 IP 地址 129.33.206.139 和 204.146.30.139 22 ssh 仅出站
您还需要向系统配置远程支持代理的 IP 地址。
如果未安装和配置远程支持代理服务,请使用以下信息来配置防火墙规则:
目标 端口 协议 方向
系统中每个节点或节点容器的服务 IP 地址(最多 8 个 IP 地址)。 129.33.206.139 和 204.146.30.139 22 ssh 仅出站

使用管理 GUI

要配置支持辅助,请完成以下步骤:
  1. 在管理 GUI 中,选择设置 > 支持 > 支持辅助 > 设置支持辅助
  2. 选择以下选项之一:
    我希望支持人员仅在现场工作
    选择此选项以配置本地支持辅助。如果系统具有要求现场维护的特定限制,请使用此选项。如果选择此选项,请单击完成以设置本地支持辅助。
    我希望支持人员在现场和远程访问我的系统
    选择此选项以配置远程支持辅助。使用此选项以允许支持人员通过支持中心的安全连接访问您的系统。如果内部网络受防火墙的保护,那么安全远程帮助需要有效的服务 IP 地址、回拨功能和(可选)代理服务器。如果选择该选项,单击下一步来指定支持中心和可选代理服务器的 IP 地址。
  3. 如果选择了同时配置本地和远程支持辅助,请验证预先配置的支持中心。可以选择在远程支持中心页面上输入代理服务器的名称、IP 地址和端口。在系统无法直接访问因特网,或者将流量从多个存储系统路由至同一位置的情况下,使用代理服务器。
  4. 远程支持访问设置页面中,选择以下选项之一,以控制支持人员可以访问系统以执行维护和修复问题的时间:
    随时
    支持人员可以随时访问系统。对于该选项,远程支持会话无需手动启动,会话将一直保持打开。
    仅在许可时
    支持人员必须在获得系统管理员的许可后才可以访问系统。对于该选项,远程支持会话需要手动启动,并且您可以指定在自动关闭会话前会话保持空闲状态的最长时间。
  5. 单击完成
  6. 在配置“仅在许可时”才提供的远程支持辅助后,可以在支持中心和系统之间启动会话。在支持辅助页面上,选择启动新会话并指定在支持用户从系统注销后会话可以保持空闲的分钟数。

使用命令行界面

要配置本地支持辅助,请输入以下命令:
chsra -enable
要在配置本地支持辅助后启用远程支持辅助,请输入以下命令:
chsra -remotesupport enable