D 服务处理器过程
本附录介绍您可在 KMA 的服务处理器上执行的功能。Sun Fire X2100 M2 或 Sun Fire X2200 M2 系统上的服务处理器是 Embedded Lights Out Manager (ELOM)。Netra SPARC T4-1 系统或 Sun Fire X4170 M2 系统上的服务处理器是 Integrated Lights Out Manager (ILOM)。
本附录讲解以下服务处理器过程和主题:
-
配置 ELOM-X2100 M2 或 X2200 M2 服务器("配置 ELOM-X2100 M2 或 X2200 M2 服务器")
-
验证 ELOM 和 BIOS 级别("验证 ELOM 和 BIOS 级别")
-
升级 ELOM 服务器固件("升级 ELOM 服务器固件")
-
从 ELOM 启动 BIOS 设置实用程序("从 ELOM 启动 BIOS 设置实用程序")
-
配置 ILOM-Netra SPARC T4-1 和 X4170 M2 服务器("配置 ILOM-Netra SPARC T4-1 和 X4170 M2 服务器")
-
验证 ILOM 和 BIOS 级别("验证 ILOM 和 BIOS 级别-仅限 X4170 M2")
-
升级 ILOM 3.0 服务器固件("升级 ILOM 3.0 服务器固件")
-
升级 ILOM 3.2 服务器固件("升级 ILOM 3.2 服务器固件")
-
从 ILOM 启动 BIOS 设置实用程序("从 ILOM 启动 BIOS 设置实用程序-仅限 X4170 M2")
-
ILOM 安全强化("ILOM 安全强化")
-
配置 BIOS("配置 BIOS-仅限 X4170 M2")
-
KMA 的键盘和监视器附件("KMA 的键盘和监视器附件")
ELOM 过程
以下几节讨论这些过程:
ELOM 升级概述
基于 Sun Fire X2100 M2 或 X2200 M2 服务器的 KMA 是为早期的 KMS 发行版制造的,达到了当时最新的 BIOS 和 ELOM 固件级别。制造它们时,为了限制对它们的访问,定义了一些 BIOS 设置。更新的 Sun Fire 服务器固件不时地推出,建议您进行升级。
本附录介绍应与《Embedded Lights Out Manager (ELOM) Administration Guide for the Sun Fire™ X2200 M2 and Sun Fire X2100 M2 Servers》中记录的固件升级结合使用的过程。
KMA 具有特定的非默认 BIOS 设置,可防止可能会损害安全性的 BIOS 更改。这些设置保存在互补金属氧化物半导体 (Complementary metal-oxide semiconductor, CMOS) 中。在默认的 CMOS 配置中,远程用户可使用 ELOM 更改 BIOS 设置,然后从网络设备引导 KMA。为了最大限度地降低这种安全风险,必须限制对 BIOS 设置的访问。遵循本文档中的过程可确保保留这些设置。
本附录假设您已熟悉 Oracle Key Manager 解决方案,尤其是"关闭 KMA"过程,并熟悉基于 Web 的 ELOM 界面和 BIOS 设置实用程序。
相关文档
《嵌入式无人职守管理器管理指南-适用于 Sun Fire™ X2200 M2 和 Sun Fire X2100 M2 服务器》
http://docs.oracle.com/cd/E19121-01/sf.x2100m2/819-7542-11/819-7542-11.pdf
《Sun Fire™ X2200 M2 Server Product Notes》
http://docs.oracle.com/cd/E19121-01/sf.x2200m2/819-6601-22/819-6601-22.pdf
《Sun Fire™ X2100 M2 Server Product Notes》
http://docs.oracle.com/cd/E19121-01/sf.x2100m2/819-6594-17/819-6594-17.pdf
配置 ELOM-X2100 M2 或 X2200 M2 服务器
X2100 M2 和 X2200 M2 服务器的 ELOM 包含一个独立于主服务器的处理器。一旦接通服务器电源(通过将服务器插入电源),在一两分钟的引导期间过后,ELOM 便会为控制台提供远程连接。
注:
本节包含一些用于配置服务器的基本 ELOM 命令。有关更多信息,请参阅《嵌入式无人职守管理器管理指南》(PN:819-7542-xx)。使用以下两项之一通过 Embedded Lights Out Manager 连接到 KMA:
-
网络连接-LAN 1 NET MGT ELOM 接口(推荐)。请参见"使用网络连接-ELOM"。
-
连接到 KMA 的键盘和监视器。请参见"KMA 的键盘和监视器附件"。
注:
弹出窗口阻止程序可阻止在以下过程中启动窗口。请先禁用弹出窗口阻止程序,然后再继续。如果出现了窗口,但是未出现控制台窗口,表明 Web 浏览器或 Java 版本不兼容。请升级到最新版本的浏览器和 Java。
ELOM 配置过程
要为密钥管理设备 (key management appliance, KMA) 配置 ELOM:
-
获取 LAN 1 的 IP 地址:
重要提示:请勿连接电源线。等待直到按照步骤 0 中的说明进行操作
-
使用表 D-1 作为参考,根据需要连接所有电缆。
表 D-1 KMA 网络连接-Sun Fire X2100 M2 和 X2200 M2 服务器
端口 描述 LAN 0
这是必需连接。
该网络称为“管理网络”,连接到 Oracle Key Manager (OKM)、图形用户界面 (graphical user interface, GUI) 和群集中的 KMA。该网络可以是本地网络、远程网络,也可以是两者的组合。
注-客户应该提供管理网络。
LAN 1*
这是 ELOM 的网络连接。
LAN 2
这通常是磁带机的必需连接。
该网络称为“服务网络”,直接连接到磁带机或者通过以太网交换机连接到磁带机来创建网络。
LAN 3
这是与 Oracle Key Manager 的可选连接。
这是与 NET 2 或 LAN 2 的“聚合网络”连接。
聚合或 IEEE 802.1AX-2008 是一个网络术语,描述并行使用多个网络电缆和端口来提高链路速率和冗余,以实现更高的可用性。
注:
ELOM IP 地址使用串行连接配置最简单。将 DB9 到 DB9 串行空调制解调器电缆从膝上型 PC 串行端口连接到服务器上的串行端口。这是初始配置的一次性连接。 -
将空调制解调器串行电缆连接到 DB-9 连接器(标注 7)。将另一端连接到膝上型 PC 串行端口。
1-电源接口
2-以太网接口 (2),上方 = 管理网络 (LAN 0),下方 = ELOM (LAN 1)
3-系统标识 LED 指示灯
4-故障 LED 指示灯
5-电源 LED 指示灯
6-以太网连接 (2),左侧 = 服务网络 (LAN 2),右侧 = 聚合网络 (LAN 3)
7-串行端口(DB9,RS232)
8-PCIe 插槽,顶部 = SCA 6000 卡(未显示),底部 = 空白(空)
9-VGA 接口
10-USB 2.0 端口 (4)
-
在膝上型电脑上启动 HyperTerminal 会话。这样可让您查看引导过程。
-
验证默认设置是:
-
8 位
-
无奇偶校验
-
1 个停止位
-
9600 波特率
-
-
禁用硬件 (CTS/RTS) 和软件 (XON/XOFF) 流量控制。
-
将服务器电源线连接到电源上。
重要提示:请勿打开服务器电源。一旦连接电源,即使服务器已关闭电源,ELOM 也会启动。这就是在接通电源之前准备和连接 PC 的原因。
-
引导完成后,会显示 ELOM 登录提示。
-
按 [Enter] 键几次获取 ELOM 登录提示。
-
使用以下信息登录:
-
用户 ID = root
-
密码 = changeme
-
-
使用下表作为参考,配置 ELOM IP 地址。
-
输入以下命令。
注:
这些命令区分大小写。set /SP/AgentInfo DhcpConfigured=disable set /SP/AgentInfo IpAddress=ipaddress set /SP/AgentInfo NetMask=netmask set /SP/AgentInfo Gateway=gateway reset
您可以使用的信息性命令是:show /SP/SystemInfo/CtrlInfo。
-
从 ELOM 注销并退出。
-
转至"使用网络连接-ELOM"继续安装。
验证 ELOM 和 BIOS 级别
登录到 ELOM 并验证您拥有的 KMA 类型,以及与为您的服务器类型记录的最新级别匹配的级别。每种服务器类型的服务器产品说明中记录了各种 ELOM 服务处理器和 BIOS 固件级别。ELOM 和 BIOS 固件打包在一起作为“服务器软件”。
表 D-2 中显示的固件版本可用于确定使用 ELOM 连接到的 KMA 服务器类型。要在基于 Web 的 ELOM 界面上查看固件级别,请选择 "System Information" > "Version" > "SP Board Information" > "Server Board Information"。
| 服务器类型 | 服务器软件 | BIOS 级别 | ELOM 级别 | 产品说明 |
|---|---|---|---|---|
|
X2100 M2 |
1.8 |
3A21 |
3.24 |
Sun Fire X2100 M2 产品说明 |
|
X2200 M2 |
2.2.1 |
3D16 |
3.23 |
Sun Fire X2200 M2 产品说明 |
|
注意:产品说明可在 http://docs.oracle.com/cd/E19121-01/index.html 上找到,服务器软件可从 My Oracle Support 站点 (http://support.oracle.com) 上下载。 |
||||
如果固件级别正确,则无需执行任何操作。如果固件级别较低,请按照以下说明继续操作,建议进行升级。
提示:升级所需的固件文件可在位于以上 URL 的 remoteflash_x.y.zip 文件中找到,其中 x.y 是指相应产品说明中记录的工具和驱动器发行版号。
升级 ELOM 服务器固件
以下过程要用大约 10 分钟才能完成,应该妥善安排,因为要升级的 KMA 需要与群集断开连接。
-
使用基于 Web 的界面登录到 ELOM。您必须具有管理员特权才能执行固件升级。
-
为了避免服务处理器可能处于错误状态的麻烦,请首先重置服务处理器。
-
依次单击 "Maintenance" 选项卡、"Reset SP" 选项卡和 "Reset SP" 按钮。
-
注销,然后重新登录到基于 Web 的 ELOM 界面。如有必要,可使用串行接口和 CLI 对 ELOM 执行重置,然后重新登录到基于 Web 的 ELOM 界面。
-
-
禁用会话超时("System Information" 选项卡 > "Session Time-Out" 选项卡)。
-
对于新安装或 FRU 情况,在 QuickStart 之前,您应该使用 ELOM Web 界面的 "Remote Control" 选项卡关闭电源。
-
选择 "Remote Power Control" 选项卡,然后选择操作 "Graceful Shutdown"。保存该选择以关闭服务器。
-
对于已配置的 KMA(QuickStart 过程),请以操作员身份登录到 OKM 控制台,然后选择 "Shutdown KMA" 菜单选项来关闭 KMA。
按照《ELOM Administration Guide》中关于固件升级的过程在基于 Web 的界面上执行操作,在第 4 步中选择选项 B。
请勿使用《ELOM Administration Guide》中记录的 CLI 过程,因为默认情况下使用选项 A,BIOS 设置将恢复为默认值,从而使 KMA 面临与 BIOS 相关的攻击。
重要提示:
以下是从服务器产品说明中提取的内容。未注意这些警告可能会损坏 BIOS:
SP 闪存进程结束时,SP/BIOS 闪存进程会显示 "Update Successful" 消息。此消息仅表明 SP 闪存活动结束。在进程中的这一时刻,BIOS 未闪存,中断进程可能会损坏 BIOS。
为了避免损坏 BIOS,请查看以下闪存序列:
-
SP 开始闪存进程。
-
SP 完成闪存进程。
-
CLI 返回 "Update Successful" 消息。
-
系统重新引导,BIOS 开始闪存进程。
-
-
从 ELOM 注销,然后重新登录,并验证 SP 和 BIOS 固件级别是否正确("System Information" 选项卡 > "Version" 选项卡)。
升级 ELOM 固件时,BIOS 设置将恢复为默认值。您应该启动 BIOS 设置实用程序并更改某些 BIOS 设置来限制对 KMA 的访问。请参见"从 ELOM 启动 BIOS 设置实用程序"和"ILOM 配置和安全强化"。
从 ELOM 启动 BIOS 设置实用程序
-
登录到基于 Web 的 ELOM 界面,并按如下方式进行导航:
Remote Control tab > Remote Power Control tab > Boot option: BIOS Setup
-
保存该选择以引导服务器。在引导过程中,控制台上会显示正常引导消息,随后启动 BIOS 设置实用程序。继续按照"配置 BIOS-仅限 X4170 M2"中的说明进行操作,以验证并更新 BIOS 设置。
如果显示更改超级用户密码的功能(如下所示),表明 BIOS 默认设置已生效,您应该遵循以下故障排除过程。
ILOM 过程
以下几节讨论这些过程:
ILOM 升级概述
基于 Netra SPARC T4-1 和 Sun Fire X4170 M2 服务器的 KMA 以当时最高级别的 ILOM 固件制造而成。更新的 Sun Fire 服务器固件不时地推出,建议您进行升级。
注:
X4170 M2 KMA 运行 ILOM 3.0 或更高版本,而 Netra SPARC T4-1 KMA 运行 ILOM 3.2 或更高版本。ILOM 3.2 包括在服务器固件 8.3 或更高版本中。您可以从 ILOM 中查看当前的服务器固件。检查最初交付时的服务器固件级别 OKM 3.0 KMA。如果不是 8.3 或更高版本,请在启动系统前将其升级到 8.3。该信息描述应与以下文档中记录的固件升级过程结合使用的过程:
-
对于 X4170 M2 服务器:《Oracle Integrated Lights Out Manager (ILOM) 3.0 维护和诊断-CLI 和 Web 指南》
-
对于 Netra SPARC T4-1 服务器:《Oracle ILOM Administrator’s Guide for Configuration and Maintenance Firmware Release 3.2》
KMA 具有特定的非默认 BIOS 设置,可防止可能会损害安全性的 BIOS 更改。这些设置保存在 CMOS 中。在默认的 CMOS 配置中,远程用户可使用 ILOM 更改 BIOS 设置,然后从网络设备引导 KMA。为了最大限度地降低这种安全风险,必须限制对 BIOS 设置的访问。遵循本文档中的过程可确保保留这些设置。
注:
Netra SPARC T4-1 服务器不包括 BIOS;没有 BIOS 过程可供用户遵循。本附录假设您已熟悉 Oracle Key Manager 解决方案,尤其是"关闭 KMA"过程,并熟悉基于 Web 的 ILOM 界面和 BIOS 设置实用程序。
相关文档
以下文档与 Netra SPARC T4-1 服务器 (ILOM 3.2) 或 Sun Fire X4170 M2 服务器 (ILOM 3.0) 所需的 ILOM 版本有关。
ILOM 3.2
《Oracle ILOM Administrator’s Guide for Configuration and Maintenance Firmware Release 3.2》
http://docs.oracle.com/cd/E37444_01/pdf/E37446.pdf
《Oracle ILOM User’s Guide for System Monitoring and Diagnostics Firmware Release 3.2.1》
http://docs.oracle.com/cd/E37444_01/pdf/E37447.pdf
《Oracle ILOM Quick Reference for CLI Commands Firmware Release 3.2.1》
Netra SPARC T4-1
《Oracle ILOM Feature Updates and Release Notes Firmware Release 3.2》
http://docs.oracle.com/cd/E37444_01/pdf/E37450.pdf
《Oracle Netra SPARC T4-1 Server Product Notes》
http://docs.oracle.com/cd/E23203_01/pdf/E23208.pdf
《Oracle Netra SPARC T4-1 Server Installation Guide》
Sun Fire X4170 M2
《Sun Fire™ X4170 M2 and X4270 M2 Servers Product Notes》
http://docs.oracle.com/cd/E19762-01/E22382/E22382.pdf
《Sun Fire™ X4170, X4270, and X4275 Servers Service Manual》
http://docs.oracle.com/cd/E19477-01/820-5830-13/820-5830-13.pdf
配置 ILOM-Netra SPARC T4-1 和 X4170 M2 服务器
Netra SPARC T4-1 和 X4170 M2 服务器的 ILOM 包含一个独立于主服务器的处理器。一旦接通服务器电源(通过将服务器插入电源),在一两分钟的引导期间过后,ILOM 便会为控制台提供远程连接。
注:
本节包含一些用于配置服务器的基本 ILOM 命令。有关更多信息,请参阅《集成无人职守管理器 (ILOM)™ 管理指南》(PN:819-6794-10)。使用以下两项之一通过 Integrated Lights Out Manager 连接到 KMA:
-
网络连接-NET MGT ILOM 接口(推荐)。请参见"使用网络连接-ILOM"。
-
连接到 KMA 的键盘和监视器。请参见"KMA 的键盘和监视器附件"。
注:
弹出窗口阻止程序可阻止在以下过程中启动窗口。请先禁用弹出窗口阻止程序,然后再继续。
如果出现了窗口,但是未出现控制台窗口,表明 Web 浏览器或 Java 版本不兼容。请升级到最新版本的浏览器和 Java。
ILOM 配置过程
要为密钥管理设备 (key management appliance, KMA) 配置 ILOM:
-
获取 ILOM 的 IP 地址。
-
使用下表,根据需要连接所有电缆。重要提示:请勿连接电源线。等待直到按照步骤 6 中的说明进行操作。
表 D-3 KMA 网络连接-Netra SPARC T4-1 和 Sun Fire X4170 M2 服务器
端口 描述 SER MGT
SER MGT RJ-45 端口提供到 ILOM 的串行连接。ILOM IP 地址使用该串行连接配置最简单。
NET MGT
NET MGT RJ-45 端口提供到 ILOM 的可选以太网连接。在您配置 ILOM IP 地址之前,该端口不可用。
NET 0
NET 0 RJ-45 端口是管理网络的必需连接。该网络将服务器连接到 Oracle Key Manager GUI 以及群集中的其他 KMA。管理网络可以是本地网络、远程网络,也可以是两者的组合。
注-客户应该提供管理网络。
NET 2
NET 2 RJ-45 端口是服务网络的必需连接。该网络将服务器直接连接到磁带机或者通过以太网交换机连接到磁带机来创建网络。
NET 3
NET 3 RJ-45 端口是聚合网络的可选连接,与 NET 2 提供聚合。聚合或 IEEE 802.1AX-2008 是一个网络术语,描述并行使用多个网络电缆和端口来提高链路速率和冗余,以实现更高的可用性。
-
将空调制解调器串行电缆连接到 SER MGT 端口(对于 Sun Fire X4170 M2 服务器,见标注 2;对于 Netra SPARC T4-1 服务器,见标注 10)。将另一端连接到膝上型 PC 串行端口。
1-交流电源接口
2-串行管理 (SER MGT) RJ-45 串行端口
3-服务处理器 (NET MGT) 端口(又称为 ILOM,对应于 SunFire X2100 或 X2200 服务器上的 LAN1)
4-以太网端口 (0, 1, 2, 3),从左到右标记为 Net0 到 Net3
5-USB 端口 (0, 1)
6-视频连接器 (VGA)
1-电源(从顶部到底部 PS1-PS0)(显示的是交流电源)
2-电源状态 LED 指示灯:
-
正常(输出):绿色
-
需要维修操作:琥珀色
-
交流或直流(输入电源):绿色
3-报警端口
4-扩展插槽 0(PCIe 2.0 x8 或 XAUI)
5-扩展插槽 3 (PCIe 2.0 x8)
6-扩展插槽 1(PCIe 2.0 x8 或 XAUI)
7-扩展插槽 4 (PCIe 2.0 x8)
8-扩展插槽 2 (PCIe 2.0 x8)
9-维修 LED 指示灯:
-
定位 LED 指示灯/定位按钮:白色
-
需要维修操作 LED 指示灯:琥珀色
-
主电源/正常 LED 指示灯:绿色
10-SER MGT RJ-45 串行端口
11-NET MGT RJ-45 网络端口
12-主机的网络 10/100/1000 端口(NET0 到 NET3)
13-实际存在按钮检查孔
14-USB 2.0 端口 (USB 0, USB 1)
15-视频连接器 (HD-15)
16-接地螺柱
注:
初始配置服务器时,必须与 NET MGT 接口建立连接。 -
-
在膝上型电脑上启动 HyperTerminal 会话。这样可让您查看引导过程。
-
验证默认设置是:
-
8 位
-
无奇偶校验
-
1 个停止位
-
9600 波特率
-
禁用硬件 (CTS/RTS) 和软件 (XON/XOFF) 流量控制
-
-
将服务器电源线连接到电源上。
重要提示:请勿打开服务器电源。
一旦连接电源,即使服务器已关闭电源,ILOM 也会启动。这就是在接通电源之前准备和连接 PC 的原因。
-
引导完成后,会显示 ILOM 登录提示。
-
按 [Enter] 键几次获取 ILOM 登录提示。
-
使用以下信息登录:
-
用户 ID = root
-
密码 = changeme
-
-
使用图 D-4, "ILOM 初始配置设置"作为参考,配置 ILOM IP 地址。
-
输入以下命令。
注:
这些命令区分大小写。show /SP/networkset /SP/network/ pendingipdiscovery=staticset /SP/network/ pendingipaddress=ipaddressset /SP/network/ pendingipnetmask=netmaskset /SP/network/ pendingipgateway=gatewayset /SP/network/ commitpending=true
-
在 Netra SPARC T4-1 服务器上,输入以下命令来设置 auto-boot 属性:
注:
在以下示例中,问号后面有一个空格,但是前面没有。这些命令区分大小写。show /HOST/bootmodeset /HOST/bootmode script="setenv auto-boot? true"show /HOST/bootmode
-
从 ILOM 注销并退出。
-
转至"使用网络连接-ILOM"继续安装。
验证 ILOM 和 BIOS 级别-仅限 X4170 M2
登录到 ILOM 并验证您拥有的 KMA 类型,以及与为您的服务器类型记录的最新级别匹配的级别。这些固件版本可用于确定通过 ILOM 连接到的 KMA 服务器类型。要在基于 Web 的 ILOM 界面上查看固件级别,请选择 "System Information" > "Overview"。
注:
Netra SPARC T4-1 服务器没有 BIOS;没有 BIOS 过程可供用户遵循。不同 OKM 发行版的预期 ILOM 和 BIOS 固件级别不同,如下表中所示。
| 服务器固件 |
ILOM 固件级别 | BIOS 固件级别 | OKM 发行版 |
|---|---|---|---|
|
8.3.0.c (Netra SPARC T4-1) 1.7.1 (X4170 M2) |
3.2.1.1.c (Netra SPARC T4-1) 3.1.2.20.a (X4170 M2) |
NA 08.14.01.03(仅限 X4170 M2) |
3.0 |
|
1.6.1 |
3.0.16.10.d |
08.12.01.04 |
2.5.x |
|
1.3 |
3.0.14.11.a |
08.06.01.08 |
2.3.1, 2.4, 2.5 |
|
1.2 |
3.0.9.27 |
08.04.01.10 |
2.3 |
如果 ILOM 和 BIOS 固件级别正确(例如,服务器固件 1.6.1 与 OKM 2.5.x 的 ILOM 和 BIOS 固件级别),则您无需执行任何操作。如果不正确,请按照以下说明继续操作;如果固件级别较低,您需要进行升级。
按照以下过程从 My Oracle Support 下载 Netra SPARC T4-1 和 Sun Fire X4170 M2 固件:
-
转至 My Oracle Support(位于 http://support.oracle.com)并登录。
-
单击 "Patches & Updates"(补丁程序和更新程序)选项卡。
-
单击 "Product or Family (Advanced)"(产品或系列 (高级))。
-
在 "Start Typing..."(开始键入...)字段中,键入产品信息(例如,"Netra" 或 "X4170"),然后单击 "Search"(搜索)查看各个发行版的最新固件。
固件分发文件打包为 .zip 文件。下载该文件后,将其解压缩,然后解压缩它包含的固件软件包 .zip 文件(如果有)。固件软件包在 .pkg 文件中。您将在下述升级过程中上载该文件。
升级 ILOM 3.0 服务器固件
以下过程要用大约 10 分钟才能完成,应该妥善安排,因为要升级的 KMA 将与群集断开连接。
-
使用基于 Web 的界面登录到 ILOM。您必须具有管理员特权才能执行固件升级。
-
为了避免服务处理器可能处于错误状态的麻烦,请首先重置服务处理器。
-
依次单击 "Maintenance" 选项卡、"Reset SP" 选项卡和 "Reset SP" 按钮。
-
注销,然后重新登录到基于 Web 的 ILOM 界面。如有必要,可使用串行接口和 CLI 对 ILOM 执行重置,然后重新登录到基于 Web 的 ILOM 界面。
-
-
将 "Session Time-out" 值设置为 3 小时(单击 "System Information" 选项卡,然后单击 "Session Timeout" 选项卡)。
-
关闭服务器。
-
对于新安装或 FRU 情况,在 QuickStart 之前,您应该使用 ILOM Web 界面的 "Remote Control" 选项卡关闭电源:选择 "Remote Power Control" 选项卡,然后选择 "Graceful Shutdown and Power Off" 操作。保存该选择以关闭服务器。
-
对于已配置的 KMA(QuickStart 过程),请以操作员身份登录到 OKM 控制台,然后选择 "Shutdown KMA" 菜单选项来关闭 KMA。
-
-
按照《Oracle Integrated Lights Out Manager (ILOM) 3.0 维护和诊断-CLI 和 Web 指南》的“更新固件”一章中的过程进行操作。在第 6 步中,设置 "Preserve Configuration" 选项以保留网络配置和其他 ILOM 设置,并清除 "Delay BIOS upgrade until next server poweroff" 选项。
-
从 ILOM 注销,然后重新登录。验证 SP 和 BIOS 固件级别是否正确(单击 "System Information" 选项卡,然后单击 "Overview" 选项卡)。如果 BIOS 级别仍显示在上一个级别,请按照第 4 步中的说明关闭 KMA,然后通过从 "Remote Power Control" 选项卡中选择 "Power On" 操作再次将其启动。
-
再次选择 BIOS 固件级别("System Information" 选项卡 > "Overview" 选项卡)。
升级 ILOM 固件时,BIOS 设置将恢复为默认值。您应该启动 BIOS 设置实用程序并更改某些 BIOS 设置来限制对 KMA 的访问。请参见"从 ILOM 启动 BIOS 设置实用程序-仅限 X4170 M2"和"ILOM 配置和安全强化"。
升级 ILOM 3.2 服务器固件
固件更新过程需要几分钟才能完成。在此期间,请勿执行其他任何 ILOM 任务。完成固件更新过程后,系统会重新引导。
确保满足升级的初始要求。请参阅《Oracle ILOM 配置和维护管理员指南》中的“开始固件更新之前”。
-
使用基于 Web 的界面登录到 ILOM。您必须具有管理员特权才能执行固件升级。
-
为了避免服务处理器可能处于错误状态的麻烦,请首先重置服务处理器。
-
单击 "ILOM Administration" > "Maintenance" > "Reset SP",然后单击 "Reset SP" 按钮。
-
注销,然后重新登录到基于 Web 的 ILOM 界面。如有必要,可使用串行接口和 CLI 对 ILOM 执行重置,然后重新登录到基于 Web 的 ILOM 界面。
-
-
将 "Session Time-out" 值设置为 3 小时(单击 "System Information" 选项卡,然后单击 "Session Timeout" 选项卡)。
-
关闭服务器。
对于新安装或 FRU 情况,在 QuickStart 之前,您应该使用 ILOM Web 界面的 "Remote Control" 选项卡关闭电源:选择 "Remote Power Control" 选项卡,然后选择 "Graceful Shutdown and Power Off" 操作。保存该选择以关闭服务器。
对于已配置的 KMA(QuickStart 过程),请以操作员身份登录到 OKM 控制台,然后选择 "Shutdown KMA" 菜单选项来关闭 KMA。
注:
升级固件的过程在《Oracle ILOM 配置和维护管理员指南》中的“更新服务器 SP 或 CMM 固件映像”中进行了详细讨论。 -
单击 "ILOM Administration" > "Maintenance" > "Firmware Upgrade"。
-
单击 Enter Firmware Upgrade Mode 按钮,然后在升级确认对话框中单击 OK 以继续。
-
在 "Firmware Upgrade" 页面中,单击 Browse 指定要上载的固件,或者输入 URL 以上载固件。
-
单击 Upload。
-
在 "Firmware Verification" 页面中,启用 "Preserve Configuration" 选项。
-
单击 Start。
-
单击 OK 继续完成一系列提示操作。此时将显示 "Update Status" 页面。
当更新状态为 100% 完成时,系统会自动重新引导。
-
如果您要验证是否已安装更新的固件,请单击 System Information > Firmware。
从 ILOM 启动 BIOS 设置实用程序-仅限 X4170 M2
注:
Netra SPARC T4-1 服务器不包括 BIOS;没有 BIOS 过程可供用户遵循。-
登录到基于 Web 的 ILOM 界面。前进(导航)到:
Remote Control > Redirection
并单击 "Launch Redirection" 启动远程控制台。
-
前进(导航)到
Remote Control > Remote Power Control
选择 "Power Up",然后单击 "SAVE" 重新引导系统。
-
在远程控制台中,监视正常引导消息。当出现 "American Megatrends" 屏幕时,按 F2 键启动 BIOS 设置实用程序。
当您要强化 ILOM 时,请参阅"ILOM 安全强化"。下表的组织方式与 ILOM Web 界面中的显示相同,使用“:”分隔 ILOM Web 界面所呈现的选项卡名称。
ILOM 安全强化
为了进一步保护 KMA 的安全,客户可能选择更新某些 ILOM 设置。表 D-5 列出了基于 Web 的 ILOM 界面中的各个导航点,并指明了建议在相应屏幕中所做的任何更改。表 D-6 显示了安全强化的其他注意事项。
| 导航点 | 建议的更改 |
|---|---|
|
System Information:Overview |
不指定任何内容,因为这不是配置屏幕。 |
|
System Information:Components |
不指定任何内容,因为这不是配置屏幕。 |
|
System Information:Fault Management |
不指定任何内容,因为这不是配置屏幕。 |
|
System Information:Identification Information |
SP System Identifier-按照客户策略分配有意义的名称。 SP Contact-客户联系信息 SP Location-用于定位服务器的物理机架或其他组件。 应该启用 "Physical Presence Check"(默认设置)。 |
|
System Information:Banner Messages |
建议将标题设置更改为包含产品名称,以便 ILOM 用户知道密钥管理设备不是通用 Sun Fire X4170 M2 服务器。 添加连接消息,例如: "Oracle Key Manager ILOM Connect" 添加登录消息,例如: "Oracle Key Manager ILOM" |
|
System Information:Session Timeout |
不指定任何内容,因为该设置仅适用于当前会话。 |
|
System Information:Versions |
不指定任何内容,因为这不是配置屏幕。 |
|
System Monitoring:Sensor Readings、Indicators 和 Event Logs |
不指定任何内容,因为这些不是配置屏幕。 |
|
Power Management:Consumption |
不建议对 KMA 进行任何特定更改。 |
|
Power Management:Limit |
OKM 只用默认电源策略进行了测试,所以不建议对 KMA 进行任何特定更改。 |
|
Power Management:Allocation |
不指定任何内容,因为这不是配置屏幕。 |
|
Power Management:History |
不指定任何内容,因为这不是配置屏幕。 |
|
Storage |
不指定任何内容,因为这不是配置屏幕,KMA 不附带 RAID 控制器。 |
|
Configuration:System Management Access:Web Server |
尽管安全性最佳做法是更改 HTTPS 的默认端口号,但不建议对 KMA 进行任何特定更改。 |
|
Configuration:System Management Access:SSL Certificates |
ILOM 使用默认证书,但是支持装入备用证书及其相应的私钥,以增强验证。 |
|
Configuration:System Management Access:SNMP Management |
对于 "Settings",建议使用 SNMPv3 协议(可禁用 v1 和 v2c),并且可禁用 "Set Requests",以防止通过 SNMP 更改配置。 有关详细信息,请参阅 Oracle Integrated Lights Out Manager 管理协议参考指南。 |
|
Configuration:System Management Access:SSH Server Settings |
不建议对 KMA 进行任何特定更改。 |
|
Configuration:System Management Access:IPMI |
如果不计划使用 IPMI,应该禁用该服务。将该接口保持打开状态会使 KMA 在熟悉 IPMI 的攻击者发起攻击时重新引导,即拒绝服务。 |
|
Configuration:System Management Access:CLI |
将会话超时配置为默认值允许 CLI 会话无限期地保持打开状态。 |
|
Configuration:System Management Access:WS-Man |
如果不计划使用 WS-Management 和 CIM,可禁用该服务。将该接口保持打开状态会使 KMA 遭到熟悉 WS-Management 协议的攻击者的攻击。 |
|
Configuration:Alert Management |
不指定任何 KMA 特定更改。 |
|
Configuration:Network |
不指定任何 KMA 特定更改。 注:尚未使用 ILOM 边带管理测试 OKM。边带管理的配置在《Oracle ILOM 3.0 补充资料(适用于 X4170 M2 和 X4270 M2 服务器)》中进行了介绍。 |
|
Configuration:DNS |
不指定任何 KMA 特定更改。 如果不计划使用采用 DHCP 的自动 DNS,可将其禁用。 |
|
Configuration:Serial Port |
不指定任何 KMA 特定更改。 |
|
Configuration:Clock |
ILOM SP 时钟与 Sun Fire X4170 M2 服务器上的主机时钟不同步。所以,ILOM 事件可与服务器事件相关联,ILOM 日期和时间应手动设置为 UTC/GMT 时间,或配置为与外部 NTP 服务器同步,最好是 QuickStart 期间用于 KMA 服务器的相同 NTP 服务器。请参阅 Oracle Key Manager 管理指南。 |
|
Configuration:Timezone |
ILOM 时区应该为 "GMT"。 |
|
Configuration:Syslog |
ILOM 系统日志转发与 ILOM 警报的转发有关,而与 KMA 服务器的系统日志事件无关。KMA(即 ILOM 文档中的服务器)系统日志工具不可配置。但是,检查 KMA 系统转储时,可查看 KMA 系统日志事件。有关检索系统转储的信息,请参阅 Oracle Key Manager 管理指南。 |
|
Configuration:SMTP Client |
不指定任何 KMA 特定更改。 |
|
Configuration:Policy |
这两项策略都应该采用默认值,即禁用。 |
|
User Management:Active Sessions |
不指定任何 KMA 特定更改,因为这不是配置屏幕。 |
|
User Management:User Accounts |
建议使用用户帐户和角色,而不是仅使用默认 root 帐户。请参阅《Oracle ILOM 3.0 概念指南》中的“用户帐户管理”一节。 |
|
User Management:LDAP、LDAP/SSL、RADIUS 和 Active Directory |
不指定任何 KMA 特定更改。这些服务可全部保持禁用状态。 |
|
Remote Control:Redirection |
Launch Remote Console-这是访问 KMA 控制台的典型方法。控制台启动后,应使用默认的设备、键盘和视频设置。Storage Redirection-不指定任何 KMA 特定使用建议。 |
|
Remote Control:KVMS |
KVMS Settings-使用默认设置 Host Lock Settings-保持禁用状态。 |
|
Remote Control: Remote Power Control |
Reset-只要可能,最好使用相应的 OKM 控制台选项重新引导 KMA,因为这样做可以提供 OKM 审计条目 Immediate Power Off-尽可能避免使用。 Graceful Shutdown and Power Off-只要可能,最好使用相应的 OKM 控制台选项关闭 KMA,因为这样做可以提供 OKM 审计条目。 Power On-根据需要使用 Power Cycle-根据需要使用。在某些情况下,需要执行关开机循环来恢复 KMA 的 SCA 6000 卡。 |
|
Remote Control: Diagnostics |
Run Diagnostics On Boot-除非对服务器硬件问题进行故障排除,否则请使用默认值(禁用)。 Generate NMI-不必要,但是应该对 KMA 没有明显的影响。 |
|
Remote Control: Host Control |
"Next Boot Device" 的设置应该为 "Default (Use BIOS Settings)"。不建议对 KMA 采用其他设置。 |
|
Maintenance: Firmware Upgrade |
ILOM 固件应该保持最新,并按照《Oracle ILOM 3.0 概念指南》、《Oracle ILOM 3.0 入门指南》、《Oracle ILOM 3.0 CLI 过程指南》或《Oracle ILOM 3.0 Web 界面过程指南》中的说明进行更新。作为一项预防措施,应该在升级 ILOM 固件之前关闭 KMA。 客户应制定一项用于定期验证 ILOM 固件并在系统维护期间升级的策略。 |
|
Maintenance: Backup/Restore |
ILOM 3.0 支持备份和恢复 ILOM 配置。最佳做法是为所有 KMA 上的 ILOM 配置相似的设置,并在获得合适的配置后创建备份。请参阅《Oracle ILOM 3.0 概念指南》中的“配置管理任务”一节。 |
|
Maintenance: Reset SP |
不指定任何内容,因为这不是配置屏幕。 |
|
Maintenance: Configuration Management |
仅在有必要将 ILOM 重置为默认值时使用。请参阅《Oracle ILOM 3.0 概念指南》中的“重置为默认值功能”一节。 |
|
Maintenance: Snapshot |
按照 Oracle 服务的要求使用快照工具。 |
| 导航点 | 注意事项 |
|---|---|
|
SSL v2, SSL v3 and TLS 1.0 |
当前不可能禁止使用 SSLv2,所以安全性扫描工具会报告这是漏洞。 |
|
Monitoring |
ILOM 具有多种监视功能。建议用户考虑使用最合适的工具来监视源自 KMA 的 ILOM 服务处理器的警报。请参阅《Oracle ILOM 3.0 概念指南》中的“系统监视和警报管理”一节。为了及时了解可能会影响 KMA 可用性的硬件和软件事件,建议将 ILOM 系统监视与 KMA 的 SNMP 审计事件结合使用。 |
|
BIOS Upgrades |
只要升级 ILOM SP 固件,就会升级 BIOS 固件。这仅适用于 Sun Fire X4170 M2 服务器。请参阅《Sun Fire X4170 M2 Server Service Manual》。 |
|
Interoperability with Oracle Management Tools and 3rd Party Tools |
《Sun Fire 4170 M2 Installation Guide》中的 "Managing Your Server" 一节和《Oracle ILOM 3.0 概念指南》中的“概述”一节都提及了 Oracle 和第三方管理工具的集成。指出了以下免责声明: 尽管 ILOM 固件升级和系统监视可能会通过 Oracle Enterprise Manager Ops Center(又称为 Sun xVM Ops Center)执行,但是 OKM 尚未与该工具集成。 尚未执行与 Sun Management Center 的互操作性测试。Sun Server Hardware Management Pack 不受支持,也未预安装在 KMA 上。因此,通过该工具提供的组件不可用于系统监视。《Oracle ILOM 3.0 补充资料(适用于 X4170 M2 和 X4270 M2 服务器》中也提及了该工具。 Sun Installation Assistant-X4170 M2 服务器不受支持,也未经过测试,所以不能用作在 KMA 上更新 ILOM 或 BIOS 固件的工具。 http://www.sun.com/systemmanagement/tools.jsp 上列出的第三方工具尚未与 OKM 进行测试。 |
|
ILOM Troubleshooting |
Remote Console Hang-如果远程控制台对键盘输入无响应,应首先尝试重置 SP。如果这样做不起作用,重新引导服务器可以消除这种情况。 如果您怀疑 ILOM 配置更改导致了问题,可按照《Sun Fire X4170 M2 Server Service Manual》中的说明,参阅 "Troubleshooting the Server and Restoring ILOM Defaults",将 ILOM 设置恢复为默认值。 |
配置 BIOS-仅限 X4170 M2
注:
Netra SPARC T4-1 服务器不包括 BIOS;没有 BIOS 过程可供用户遵循。为了限制对 KMA 的访问,您应该确保为 BIOS 定义特定的设置。启动 BIOS 设置实用程序并检查以下设置:
-
当您部署是 Sun Fire X4170 M2 服务器的 KMA 时
-
无论何时在 KMA 上升级 ELOM 或 ILOM 固件时。
注:Netra SPARC T4-1 服务器不包括 BIOS;没有 BIOS 过程可供用户遵循。:
如果您需要为 KMA 配置 BIOS,请执行以下过程。有关更多信息,请参阅 KMA 服务器类型对应的《Sun Fire X4170 M2 Server Service Manual》、《Sun Fire X2100 M2 Server Product Notes》或《Sun Fire X2200 M2 Server Product Notes》。
当您启动 BIOS 设置实用程序时,如果已经定义了密码,会出现密码提示。
-
如果出现该提示,您应该输入 BIOS 密码(如果知道)。
-
如果您不知道密码,只需按 Enter 键以有限的特权进入 BIOS 设置实用程序。
如果未出现该提示,您会看到 BIOS 设置实用程序的主菜单。
按如下方式验证 BIOS 设置:
如果这些都正确,请执行第 2 步和第 11 步到第 14 步。
-
导航到主菜单。
-
设置 BIOS 超级用户密码。导航到 "Security" 菜单。
-
导航到 "Security" 菜单。
如果您未在密码提示下输入密码,则不会出现 "Change Supervisor password" 字段。
-
导航到 "Boot" 菜单。
-
使用向上和向下箭头键选择 "Boot Device Priority",然后按 Enter 键。
对于 KMA 的单磁盘设备,例如:
HDD:P0-SEAGATE ST95000NSSUN500G102.
列出的其他所有设备都应该使用箭头键分别选择并禁用。
-
导航到 "Boot" 菜单。
-
使用向上和向下箭头键选择 "Option ROM Enable",然后按 Enter 键。
-
使用向上和向下箭头键选择每个 "Net Option ROM" 设备(有 4 个,编号为 Net0 到 Net3),然后按 Enter 键。
-
通过选择 "Disable" 禁用从该设备引导的功能,然后按 Enter 键。
-
可选:为 3 个 PCI-E 插槽中的每一个禁用 "PCI-E Option ROM",可减小从 PCI-E 设备引导的可能性。KMA 不附带任何支持引导的 PCI-E 设备,所以做出这项更改的好处很小。
-
保存 BIOS 更改。
-
导航到 "Exit" 菜单。
-
验证系统是否正确引导以及使用超级用户密码是否能够重新进入 BIOS 设置实用程序。
-
转至 "Using a Network Connection" 继续安装。
请参阅适用于 ILOM 的《Sun Fire X2100 M2 Server Product Notes》和《Sun Fire X2200 M2 Server Product Notes》,或 KMA 服务器类型对应的《Sun Fire X4170 M2 和 X4270 M2 服务器安装指南》。
注:
初始配置服务器时,必须与 LAN 1 NET MGT 接口建立连接。在 KMA 快速启动后,决不能使用手动过程清除 CMOS NVRAM,因为这样做会重置时钟。
