nPartition 的远程和本地管理

可以使用增强的 nPartition 命令或分区管理器 2.0 版远程管理基于单元的服务器。

增强的 nPartition 命令和分区管理器 2.0 版也可在 nPartition 中运行，并管理该 nPartition 及所属的组合系统。

通过下列两种技术，可以对基于 HP sx1000 芯片组或 HP sx2000 芯片组的服务器进行远程管理：基于 Web 的企业管理基础结构 (WBEM) 和智能平台管理接口 (IPMI)。下面先简要介绍这两项技术，然后说明如何使用工具在本地或远程管理基于单元的服务器。

智能平台管理接口 (IPMI)

nPartition 管理工具可通过向服务处理器发送请求来执行自己的功能。这些请求要么是获取与服务器有关的信息，要么是使服务器更改生效。

在第一代基于单元的服务器（HP 9000 Superdome SD16000、SD32000、SD64000 型号、rp7405/rp7410 和 rp8400 服务器）中，系统提供了服务处理器的专用接口。该接口要依赖系统固件在 HP-UX 和服务处理器之间传送信息。这又要求在所管理组合系统的 nPartition 中运行 nPartition 管理工具。

所有基于 sx1000 或基于 sx2000 的服务器中的服务处理器均支持使用智能平台管理接口 (IPMI) 替代上面提到的专用接口。IPMI 是硬件管理方面的行业标准接口。此外，IPMI 还支持增值功能（如 HP 的 nPartition 和组合系统管理功能）。

所有基于 sx1000 或基于 sx2000 的服务器中的服务处理器均支持 IPMI 标准定义的两种通信路径：块传输 (Block Transfer) 路径和通过 LAN 使用 IPMI。下面几节介绍了每种通信路径的一些背景细节知识。有关如何使用及何时使用这些路径的说明，请参考随后的本地和远程管理介绍。

IPMI 块传输 (IPMI BT)

IPMI 块传输 (IPMI BT) 路径在每个单元上使用一个驱动程序（对于 HP-UX 11i v2 (B.11.23) 和 HP-UX 11i v3 (B.11.31)，为 /dev/ipmi）和一个硬件缓冲区，在操作系统和服务处理器之间提供通信。这样，在基于 sx1000 或基于 sx2000 的服务器中运行 HP-UX 11i v2 或 HP-UX 11i v3 的每个 nPartition，都有自己的专有路径通向服务处理器；在每个 nPartition 中，将使用核心单元上的块传输硬件。服务处理器始终准确知道请求来自哪个 nPartition。




	注释：目前，只有运行增强 nPartiton 命令的 nPartition 才支持 IPMI BT 路径。要使用 IPMI BT 接口，必须本地或远程访问在目标组合系统中运行的操作系统。有关详细信息，请参阅“使用 WBEM 进行远程管理”。

从管理员的角度看，IPMI BT 接口在很多方面与第一代基于单元的服务器中使用的专用接口类似。例如，nPartition 中具有超级用户权限的用户可管理整个组合系统，包括更改本地 nPartition 及组合系统中的其他 nPartition。

nPartition 配置权限

由于并不是始终需要让一个 nPartition 中的用户进行影响其他 nPartition 的更改，因此 HP 对基于 sx1000 或基于 sx2000 的服务器上提供了“nPartition 配置权限”。

使用服务处理器 Command 菜单中的 PARPERM 命令可控制 nPartition 配置权限。

nPartition 配置权限有两种：

不受限 – 缺省设置，允许上面介绍的行为。
受限 – 仅限使用 IPMI BT 接口的下列功能：
- 检索与服务器有关的信息。通常，由分区管理器和 parstatus 命令显示的一切内容仍可用。
- 更改本地 nPartition 的分区配置数据（本地和远程 nPartition 的详细信息稍后提供）。
- 操作任意警示指示灯 (LED)。
- 为属于本地 nPartition 的单元和 I/O 机箱加电或使其掉电。
限制 nPartition 配置权限不会限制跨 nPartition 边界重新分配处理器。

通过限制 nPartition 配置权限，可以限定 nPartition 中具有超级用户权限的用户仅执行影响该 nPartition 的操作。然而，如果 nPartition 配置权限是“受限”，部分更改只能在通过 LAN 使用 IPMI 的模式下借助 nPartition 管理工具实现。

通过 LAN 上的 IPMI

IPMI 请求可发送至服务处理器的 LAN 端口。这样，您便无须在服务器中包括任何 nPartition。

服务处理器的 IPMI LAN 访问可通过服务处理器 Command 菜单中的 SA 命令启用或禁用。

只有使用正确的口令完成 IPMI 请求，服务处理器才能通过自己的 LAN 端口接受该请求。要设置 IPMI 口令，请使用服务处理器 Command 菜单中的 SO 命令。

通过 LAN 上的 IPMI 实现的通信要借助 IPMI 规范定义的质询响应协议来验证。MD5 信息摘要算法 (RFC1321) 可对 IPMI 口令进行加密并确保验证服务器和客户端。所有 IPMI 消息都使用上述方法验证。除此之外，还可使用适当的方法防止重播攻击。

如果将 nPartition 配置权限设置为“受限”，通过 LAN 使用 IPMI 不受影响。一旦 IPMI BT 接口受到限制，组合系统的部分更改只能在通过 LAN 使用 IPMI 的模式下借助 nPartition 管理工具实现。

下面的列表说明了通过 LAN 使用 IPMI 可执行的全部操作。

检索与服务器有关的信息。
更改“稳定的组合系统配置数据”，包括单元本地内存设置和所有单元分配（即：创建 nPartition、将单元分配给 nPartition、取消分配 nPartition 中的单元、删除 nPartition）。
为服务器上的所有单元和 I/O 机箱加电或使其掉电，包括未分配的资源。
操作任意警示指示灯 (LED)。

基于 Web 的企业管理 (WBEM)

增强 nPartition 命令和分区管理器 2.0 版也是作为 WBEM 客户端应用程序实现的。

用于 HP-UX 和 Linux 的增强 nPartition 命令工具集还包括一个名为 nPartition Provider 的 WBEM 代理。

Windows 操作系统包括 Windows Management Instrumentation (WMI) 软件（即 Microsoft 对 WBEM 的实现）。为了支持 Windows 发行版的增强 nPartition 命令，HP 还为 Windows 系统提供了 WMI Mapper 和 WMI nPartition Provider 软件组件。针对 Windows 的基于 WMI 的 nPartition 工具组件可提供符合 WBEM 标准的解决方案。

与服务处理器之间的所有通信，无论是通过 IPMI BT 路径 [例如，在 HP-UX 11i v2 (B.11.23) 和 HP-UX 11i v3 (B.11.31) 中使用 /dev/ipmi] 还是通过 LAN 使用 IPMI，都是由 nPartition Provider 实现的。nPartition Provider 通过 nPartition 命令和分区管理器来响应发送给它的请求。

分区管理器使用 nPartition 命令来更改基于单元的服务器。分区管理器 2.0 版仅在检索有关服务器的信息时才直接使用 WBEM。

WBEM 的关键在于可启用分布式体系结构。应用程序（nPartition 管理工具）可以在一个系统中运行，并使用 WBEM 基础结构向其他系统发送请求。有关详细信息，请参阅“使用 WBEM 进行远程管理”。

本地管理

如前所述，增强 nPartition 命令和分区管理器 2.0 版可在一个 nPartition 中运行，以管理该 nPartition 及所属的组合系统。这是在 nPartition 中运行的工具的缺省行为。

此时，nPartition 管理工具可向在本地 nPartition（即工具所运行的 nPartition）中运行的 nPartition Provider 发送 WBEM 请求。nPartition Provider 则使用 /dev/ipmi 向本地组合系统中的服务处理器发送请求。

如果 nPartition 配置权限是“不受限”，则可通过任意 nPartition 来管理服务器，并可对组合系统中的其他 nPartition 进行更改。但是，如果将权限设置为“受限”，则只能在通过 LAN 使用 IPMI 的模式下借助工具实现某些特定操作（请参阅“通过 LAN 使用 IPMI 进行远程管理”）。

本地管理是早期的 nPartition 工具（原始 nPartition 命令和分区管理器 1.0 版）唯一支持的管理形式。此外，由于 nPartition 配置权限是基于 sx1000 或基于 sx2000 的服务器的一种功能，因此，如果用在基于 sx1000 或基于 sx2000 的服务器的 nPartition 中，早期的 nPartition 工具将受到影响；但如果用在第一代基于单元的服务器的 nPartition 中，这些工具将不受影响。

使用 WBEM 进行远程管理

WBEM 是一种远程管理 nPartition 组合系统的方式：即使用在某个系统中运行的 nPartition 管理工具（WBEM 客户端应用程序）与在待管理组合系统的 nPartition 中运行的 nPartition Provider（WBEM 代理）进行通信。

使用 WBEM 执行远程管理时可能遇到下列术语：

正在接受管理的组合系统称作“远程组合系统”，因为相对于运行该工具的系统而言它是远程的。
远程组合系统也称作“目标组合系统”，即受该工具所请求的更改内容影响的组合系统。
与该工具通信（使用 WBEM）的 nPartition 称作“远程 nPartition”，因为相对于运行该工具的系统而言它是远程的。
如果该工具用于检索目标组合系统中特定 nPartition 的相关信息或对其进行更改，该 nPartition 即为“目标 nPartition”。目标 nPartition 和远程 nPartition 可以相同，但这不是必需的。
例如，parmodify 命令可按如下方式使用：向目标组合系统中的某个 nPartition 发送请求，但同时使用 -p 选项标识要修改的另一个 nPartition。

下面各节说明了如何使用 WBEM 借助增强 nPartition 命令和分区管理器 2.0 版来远程管理 nPartition 组合系统。运行该工具的系统可以是 nPartition 或其他系统，但如果是执行 nPartition 组合系统的远程管理，该工具在何处运行并不重要。




	注释：使用 WBEM 实现的远程管理要依赖引导至多用户模式的目标组合系统中的 nPartition。必须配置远程 nPartition 接受远程 WBEM 请求。此外，使用 WBEM 实现的远程管理还要求在本地系统的“信任证书存储”文件中包含被管理系统 SSL 证书文件中服务器证书数据的副本。请参阅“WBEM 远程管理文件”。

WBEM 远程管理文件

WBEM 系统可在 SSL 验证过程中使用下列文件来提供安全的远程管理。这两个文件在所有已启用 WBEM 的系统中存在。

server.pem - WBEM SSL 证书文件 SSL 证书文件位于接受管理且包含本地服务器 PRIVATE KEY 和 CERTIFICATE 数据的系统中。
在 HP-UX B.11.23 系统中，SSL 证书文件是 /var/opt/wbem/server.pem 文件。
在 Windows 系统中，SSL 证书文件位于 %PEGASUS_HOME%\cimcerver_current.conf 文件指定的位置，该文件中的 sslCertificateFilePath 条目指定了 SSL 证书文件的位置。
client.pem - WBEM 信任证书存储文件 信任证书存储文件位于发出 WBEM 远程管理命令的系统中。
在 HP-UX B.11.23 系统中，信任证书存储文件是 /var/opt/wbem/client.pem 文件。
在 Windows 系统中，信任证书存储文件是 %HP_SSL_SHARE%\client.pem 文件，其中的 %HP_SSL_SHARE% 指定了该文件所在的目录。

要远程管理服务器，本地系统的信任证书存储文件 (client.pem) 必须包含远程服务器 SSL 证书文件 (server.pem) 中 CERTIFICATE 数据的副本。CERTIFICATE 数据包括了从“-----BEGIN CERTIFICATE-----”行开始一直到“-----END CERTIFICATE-----”行结束的所有文本。

在缺省情况下，信任证书存储文件包含本地系统 SSL 证书数据中 CERTIFICATE 数据的副本。

支持使用 WBEM 进行远程管理的 nPartition 命令

增强的 nPartition 命令有两个选项可支持使用 WBEM 进行远程管理。这两个选项是：

-u 用户名
-u 选项可指定远程 nPartition 中的有效用户名。
如果使用 parstatus 和 fruled 命令，可以使用远程 nPartition 中定义的任意用户；但如果使用其他命令，则要求用户具有远程 nPartition 的超级用户权限。
-h 主机名 | IP 地址
-h 选项可指定远程 nPartition 的主机名或 IP 地址。

如果使用 -u...-h...-h... 选项组，指定命令将向远程 nPartition 发送相应的 WBEM 请求。在远程 nPartition 中，该请求由 nPartition Provider 使用 /dev/ipmi 处理，从而与目标组合系统中的服务处理器通信。

支持使用 WBEM 进行远程管理的分区管理器功能

分区管理器 2.0 版支持通过下面两种方法使用 WBEM 进行远程管理。

在 nPartition 中运行分区管理器 2.0 版，然后在“工具”菜单中选择“切换组合系统”。在显示的对话框中，输入远程 nPartition 的主机名或 IP 地址，并提供用户名和该用户的口令。
如果仅须使用分区管理器显示目标组合系统的相关信息，可指定远程 nPartition 中定义的任意用户。
但是，如果要使用分区管理器更改目标组合系统，则必须指定在远程 nPartition 中具超级用户权限的用户。
在非 nPartition 的系统上运行分区管理器 2.0 版，分区管理器立即显示“切换组合系统”对话框。

图 1-1 分区管理器 2.0 版的“切换组合系统”对话框

通过 LAN 使用 IPMI 进行远程管理

通过 LAN 使用 IPMI 允许对 nPartition 组合系统实施第二种形式的远程管理：即使用在系统中运行的 nPartition 管理工具与要管理的组合系统的服务处理器直接通信（不通过 nPartition）。

通过 LAN 使用 IPMI 执行远程管理时可能遇到下列术语：

正在接受管理的组合系统称作“远程组合系统”，因为相对于运行该工具的系统而言它是远程的。
远程组合系统也称作“目标组合系统”，即受该工具请求的更改影响的组合系统。
如果该工具用于检索目标组合系统中特定 nPartition 的相关信息或对其进行更改，该 nPartition 即为“目标 nPartition”。

请注意，这里没有“远程 nPartition”这个概念。

下面各节说明了如何通过 LAN 使用 IPMI 借助 nPartition 命令和分区管理器来远程管理 nPartition 组合系统。

运行该工具的系统可以是 nPartition 或其他系统，但如果是执行 nPartition 组合系统的远程管理，该工具在何处运行并不重要。

支持通过 LAN 使用 IPMI 进行远程管理的 nPartition 命令

增强的 nPartition 命令有两个选项可支持通过 LAN 使用 IPMI 进行远程管理。这两个选项是：

-g [口令]
口令是服务处理器的 IPMI 口令。
-h 主机名 | IP 地址
-h 选项指定了目标组合系统中服务处理器的主机名或 IP 地址。

如果使用 -g...-h... 选项组，指定命令将向本地 nPartition Povider 发送相应的 WBEM 请求，然后再通过 LAN 使用 IPMI 与目标组合系统中的服务处理器通信。

支持通过 LAN 使用 IPMI 进行远程管理的分区管理器功能

在这种模式下，使用分区管理器 2.0 版有两种方法：

在 nPartition 中运行分区管理器，然后在“工具”菜单中选择“切换组合系统”。在显示的对话框中，输入目标组合系统中服务处理器的主机名或 IP 地址，并提供该服务处理器的 IPMI 口令。
在运行非 nPartition 的系统中运行分区管理器。此时，分区管理器立即显示“切换组合系统”对话框。