跳到内容 中国
HP.com 主页 产品与服务 支持及驱动程序 解决方案 如何购买
» 联系惠普
更多选项
HP.com 主页
 HP Integrity Virtual Machines Manager 3.5 入门指南 > 第 2 章 安装 VM Manager

设置安全信用凭证
» 

技术文档资料

完整的 PDF 手册
» 反馈
内容从此开始:

 » 目录

 » 词汇表

 » 索引

spacerspacerspacer
spacer
spacer
  		 
 

要在 VM Manager 中显示有关每个虚拟机的全部数据,您必须拥有 WBEM 可识别的 每个虚拟机的信用凭证。必须提供用户名和口令,才能收集资源利用率和其他数据(例如已安装的操作系统的状态)。该数据只能从 VM Host 或虚拟机上的 WBEM 提供程序获取。WBEM 提供程序是用来收集虚拟机和 VM Host 数据的工具。用户界面使用此信息来显示各种系统状态。

通过为任一虚拟机或所有虚拟机指定缺省的用户名和口令组合,可以设置信用凭证。根据不同的具体情况,您也可以覆盖缺省的用户名和口令。

注释:

  • 如果没有为指定的虚拟机设置用户名或口令,则使用缺省的用户名和口令。

  • 如果已指定口令,但没有指定用户名,则使用缺省的用户名以及指定的替代口令。这样,系统管理员便可对每个虚拟机使用相同的用户名和不同的口令。

在 HP SIM 下运行 VM Manager 时,HP SIM 负责管理在 VM Host 和虚拟机上使用 WBEM 提供程序所需的信用凭证。在 HP SMH 下运行 VM Manager 时,HP SMH 管理信用凭证以及对正在运行 HP SMH 的 VM Host 的访问;VM Manager 管理每个虚拟机的信用凭证。

设置 WBEM 信用凭证的方法取决于所使用的是 HP SIM 还是 HP SMH。

在 HP SIM 中设置 WBEM 信用凭证

非受管节点的所有虚拟机均没有信用凭证,因此,VM Manager 无法与这些虚拟机进行通信。这些虚拟机会正常显示,但是,可以从受管节点收集的部分信息对于非受管节点却无法显示。

可以在 HP SIM 中选择选项->协议设置全局协议设置... 来为多个系统的某个全局配置设置信用凭证;或者选择选项->协议设置系统协议设置... 来为单一受管节点设置信用凭证。VM Manager 要求在这些选项页上设置正确的 WBEM 信用凭证(有效的用户名和口令)。如果未安装 WBEM,则 Virtualization Manager 和 HP Capacity Advisor 功能将不可用;只有 HP Global Workload Manager (gWLM) 能正常运行。

可以在安装 HP SIM 后并首次启动 HP SIM 时使用 HP SIM“首次配置向导”设置信用凭证。有关设置信用凭证的信息,请参阅《适用于 HP-UX 的 VSE 管理软件 4.0 安装与更新指南》

在 HP SMH 中设置 WBEM 信用凭证

在 HP SMH 中,必须为虚拟机设置 WBEM 信用凭证。这样,VM Manager 就可以收集虚拟机上的利用率数据和操作系统信息。存储的信用凭证专用于登录到 HP SMH 的用户。使用不同用户名登录的两个用户不能共享信用凭证。

登录到 SMH 时,如果尚未设置 WBEM 信用凭证并将其保存在文件系统中,则将显示 Set WBEM Credentials for Virtual Machines 页。创建新虚拟机时,必须通过从 VM Manager 菜单栏中选择 Modify-> WBEM Credentials... 添加该虚拟机的信用凭证。图 2-1 显示了 Set WBEM Credentials for Virtual Machines 页面的一个示例。

图 2-1 HP SMH:设置 WBEM 信用凭证页面

HP SMH:设置 WBEM 信用凭证页面

在该页上,可以为所有虚拟机设置一个用户名和口令组合,也可以为一个或多个虚拟机分别设置用户名和口令组合。如果为某些单独系统而不是所有单独系统设置信用凭证,则 VM Manager 不收集被排除的系统的利用率数据和操作系统信息。

也可以在文件系统中使用隐藏格式保存用户名和口令条目。这样,在每次通过 HP SMH 进入 VM Manager 时,便可使用相同的设置。要保存这些条目,请选中 Save user name and password settings in the file system 复选框,然后单击 OK

如果不希望提供当前会话的该安全信息,请单击 Cancel。VM Manager 将继续运行,但不收集该数据。如果不希望在以后使用 VM Manager 时提供这些附加数据,也不希望在每次进入 VM Manager 时出现该提示,请确保该页上的所有条目均为空白,并选中用于将信用凭证保存到文件的复选框,然后单击 OK。这样会存储空的信用凭证,并且可防止在以后进入 VM Manager 时显示 WBEM 信用凭证页。

如果需要通过证书验证来提供更强的安全性,可选中 Require trusted certificates 复选框来启用证书验证功能。如果选中该框,则必须将虚拟机的有效证书存储在 VM Host 上的密钥存储区中,以指示信任与这些虚拟机的连接;否则,VM Manager 将不显示某些信息。例如,利用率度量工具会被标记为“No Comm”。有关受信任的证书以及如何将其存储在 VM Host 上的密钥存储区中的详细信息,请参阅“受信任的证书”

在不需要将用户信用凭证或配置数据透露给本地网络的情况下,就可以使用在 HP SMH 下运行的 VM Manager 的基本功能。在这种情况下,将显示 VM Manager 可以显示的潜在信息的子集。要显示所有数据,必须执行下列步骤。

注释:如果显示有关虚拟机配置的所有信息,将需要透露所连接的用户的信用凭证。

  1. 在 VM Manager 可能连接的每个虚拟机上,创建一个非登录的非特权帐户,其信用凭证可以在网络上被截获。尽管这些信用凭证仅限于非登录功能,但仍可使用它们来访问由 WBEM 和其他非登录服务(包括在系统上注册的其他提供程序)提供的其他数据或操作。

  2. 可选,出于增强安全性的目的:如果本地策略是避免在网络上透露任何帐户信用凭证,或者如果不希望透露虚拟机配置数据,请使用端口 5989(HP WBEM 服务)来配置从 VM Host 系统到每个虚拟机的 SSH 或 IPSec 通道。

下列类型的信息要求使用要收集其信息的每个虚拟机的信用凭证:

  • 操作系统:如果没有为虚拟机设置必需的信用凭证,则 VM Manager 无法与该虚拟机进行通信。VM Manager 会显示预定的操作系统(如果在配置虚拟机的过程中设置了操作系统,或者如果已引导虚拟机上的 guest 虚拟机操作系统)。如果已设置信用凭证且虚拟机正在运行正确的 VM Provider,则 VM Manager 会显示操作系统和版本号。

  • 利用率:如果没有为虚拟机设置必需的信用凭证,则虚拟机专用的利用率度量工具会变暗(虚拟机专用的度量工具位于诸如 VM Host Virtual Machines 标签、Virtual Machine (VM Properties) NetworkStorage 标签以及 VM Properties General 标签之类的 VM Manager 页上。有关这些标签的详细信息,请参阅第 3 章)。如果 VM Host 的利用率 WBEM 提供程序正在运行,则用于 VM Host 和主机资源的度量工具仍然可用。

    利用率信息是 5 分钟的数据平均值,它是以 5 分钟为间隔进行计算和更新的。

    当利用率度量工具变暗时,该度量工具旁边的标签会指示可能的原因。“利用率度量工具的状态和(或)错误信息”中介绍了这些标签和状态指示器。

    VM Properties 的 Network 标签上的虚拟 LAN 接口 I/O 利用率:对于具有无效的信用凭证的虚拟机而言,在度量工具旁边会显示 No Perm.No Data 标签。该页仍会显示来自 VM Host 的任何信息,例如,虚拟 LAN 接口的状态和总线、设备及功能编号。对于具有有效信用凭证的虚拟机,VM Manager 会显示每个虚拟 LAN 接口和 VM 聚合 LAN 接口的 I/O 利用率数据。

    VM Properties 的 Storage 标签上的虚拟存储设备 I/O 利用率:对于具有无效的信用凭证的虚拟机而言,在度量工具旁边会显示 No Perm.No Data 标签。该页仍会显示来自 VM Host 的任何信息,例如,虚拟存储设备的虚拟设备类型和总线、设备及目标编号。对于具有有效信用凭证的虚拟机,VM Manager 会显示每个虚拟存储设备和 VM 聚合存储接口的 I/O 利用率数据。

  • VM Properties 的 Network 标签上的虚拟 LAN 接口 (VLAN) 名称及状态:对于具有有效信用凭证的虚拟机而言,会显示此状态,而无效的信用凭证将返回未知的 LAN 状态和利用率。它可能会显示任何已有的信息,例如,该 LAN 接口的 busdevfcn 编号。

要更改虚拟机的 WBEM 信用凭证设置,请通过选择 Modify->WBEM Credentials... 返回到 Set WBEM Credentials for Virtual Machines 页。在设置信用凭证之前不需要选择虚拟机。

重要信息:输入数据后,请单击 OK 保存数据。否则,会话结束时数据将会被清除。

受信任的证书

如果需要通过证书验证功能来提供更强的安全性,可选中 VM Manager 的 Set WBEM Credentials for Virtual Machines 页中的 Require trusted certificates 复选框来启用 SSL 证书验证功能。启用该设置后,客户端的证书信任存储区必须包括虚拟机的服务器证书;否则,VM Manager 无法从虚拟机获取某些信息。如果您的环境不需要通过证书验证来提供更高的安全性,可关闭证书验证功能。

要启用 VM Manager 中的 SSL 证书验证,必须从虚拟机上的 WBEM 服务提供程序导出服务器证书,并将这些证书导入到正在运行 VM Manager 的 VM Host 上的密钥存储区中。该密钥存储区在分区管理器和 VM Manager 之间共享。该密钥存储区中的证书受分区管理器和 VM Manager 的信任。

要从 WBEM 服务提供程序获取证书文件,请执行下列步骤:

  1. 在要连接的虚拟机上查找 WBEM 服务提供程序证书文件 (cert.pem)。要查找正确的文件,请从以下位置打开 WBEM 服务提供程序配置文件:

    • 对于 Windows:

      %PEGASUS_HOME%\cimserver_current.conf

    • 对于 HP-UX:

      $PEGASUS_HOME/cimserver_current.conf

      (在 HP-UX 上 PEGASUS_HOME 的缺省值为 /var/opt/wbem)。

    服务器证书文件的位置是通过 sslCertificateFilePath 配置的。如果未在配置文件中设置该值,则缺省值如下:

    • 对于 Windows:

      %PEGASUS_HOME%\server.pem

    • 对于 HP-UX:

      /etc/opt/hp/sslshare/cert.pem

  2. 将证书文件(cert.pemserver.pem)复制到正在运行 VM Manager 的 VM Host 上。

    注释:将证书文件复制到 VM Host 上的临时目录(而不是 sslshare 目录)。不要覆盖 VM Host 的 sslshare 目录下的现有 cert.pemserver.pem 文件。

  3. 要导入证书文件,请在 VM Host 上输入以下命令:

    $ JAVA_HOME/bin/keytool -import -alias server_hostname \
-file cert.pem \ -keystore /etc/opt/hp/sslshare/parmgr.keystore

在设置新的 WBEM 信用凭证时发现数据

通过 VM Manager Modify 菜单设置了新的 WBEM 信用凭证并单击 OK 后,返回到的页面将使用新的信用凭证进行更新。但是,尤其当 VM Manager 必须从大量的虚拟机检索数据时,页面完整显示时某些数据可能尚未更新(而是仍显示旧数据)。除利用率度量工具显示的数据之外,在重新刷新页面之前,看不到新数据(例如,guest 虚拟机操作系统版本)。在 VM Manager 检索利用率数据之后,利用率度量工具会立即更新;更新此类数据无需刷新页面。



许可要求
  		 


第 3 章 使用 VM Manager  
打印版本
保密声明 使用本网站表示您同意其使用条件
© 2006–2008 Hewlett-Packard Development Company, L.P.