В этой заметке мы рассмотрим пример настройки мониторинга оптических коммутаторов фирмы Brocade с помощью Microsoft System Center 2012 R2 Operations Manager (SCOM).
Предлагаемая Brocade архитектура мониторинга коммутаторов такова, что нам потребуется на выделенном сервере установить и настроить ПО Brocade Network Advisor, подключить к этому ПО наши коммутаторы, и затем интегрировать пакет управления (Management Pack), поставляемый в комплекте с этим ПО, c одним из наших сервером управления SCOM. Таким образом, агент SCOM, установленный на этом выделенном сервере будет отчитываться перед сервером управления SCOM исходя из информации, получаемой из Brocade Network Advisor.
В моём примере коммутаторы Brocade представлены в виде ребрендинговых моделей Hewlett-Packard StorageWorks, поэтому вместо нативного пакета Brocade Network Advisor я буду использовать предлагаемый компанией Hewlett-Packard пакет HP B-series SAN Network Advisor. Как я понял, эти два пакета с технической точки зрения ничем принципиальным друг от друга не отличаются (HP добавляет в нативный пакет Brocade своё лицензионное соглашение).
Сразу хочу отметить тот факт, что HP B-series SAN Network Advisor существует как в виде платной лицензируемой редакции, так и в виде бесплатной редакции, имеющей ряд ограничений. Одним из таких ограничений, весьма существенным в контексте темы этой заметки, является отсутствие возможности использования процедуры интеграции Network Advisor с SCOM. Именно поэтому нам придётся использовать пробную полнофункциональную 120-дневную версию (Trial) HP B-series SAN Network Advisor.
Загрузить актуальную версию Network Advisor можно по ссылке HP B-series SAN Network Advisor Software. На момент написания этой заметки текущая версия HP B-series SAN Network Advisor - 12.4.1. В архиве с дистрибутивом мы сможем найти документацию, в частности документ SAN_Manual.pdf, в котором на 467 странице можно найти раздел Microsoft System Center Operations Manager plug-in, где буквально на трёх страницах описаны системные требования и сама процедура интеграции с SCOM. Ответы на некоторые другие вопросы можно получить из документа Brocade Network Advisor Frequently Asked Questions.
Для развёртывания Network Advisor я подготовил отдельный виртуальный сервер с ОС Windows Server 2012 R2 и конфигурацией RAM 6GB / CPU 2-Core / HVDX 40GB. На сервер установлены все актуальные обновления Windows Update, после чего сервер введён в домен Active Directory.
Устанавливаем HP B-series SAN Network Advisor
Приступим к процессу установки HP B-series SAN Network Advisor. Распакуем архив с дистрибутивом и из папки \Windows запустим с правами Администратора инсталлятор install.exe. По завершению работы инсталлятора оставим включённой галочку Launch HP B-series SAN Network Advisor Configuration…
Запустившийся мастер конфигурации покажет какие шаги настройки нам предстоит выполнить.
На первом этапе Migration of Data and Settings выберем No, don't copy any data and settings, чтобы отказаться от миграции, так как выполняется первая чистая установка ПО.
На шаге Package выберем вариант SAN with SMI Agent, чтобы установить полный комплект ПО.
На шаге Installation Type выберем HP B-series SAN Network Advisor – 120 days Trial, чтобы установить полнофункциональную пробную версию.
Далее укажем то, каким образом будет использоваться служба FTP Server, которая может потребоваться в дальнейшем, например для обновления прошивок коммутаторов. В нашем случае можно оставить использование встроенного функционала - Built-in FTP server
На шаге Database Administrator Password (dcmadmin) зададим пароль для учётной записи, которая будет использоваться ПО для доступа к своей БД.
Настройки Server IP Configuration можем оставить предложенными по умолчанию.
Настройки портов также оставляем в конфигурации по умолчанию, если на их изменение нет определённых причин..
SMI Agent в контексте нашей задачи не важен, поэтому отключаем его.
На шаге SAN Network Size выбираем подходящий нам размер инфраструктуры SAN.
На шаге Server Configuration Summary просматриваем все заданные настройки и обращаем внимание на дату окончания (Expiration) пробного периода использования ПО.
Запускаем сервер Network Advisor с заданными настройками кнопкой Finish
Дожидаемся окончания процесса инициализации базы данных и запуска служб Network Advisor.
А пока выполняется настройка, мы расширим правила Windows Firewall, для того чтобы компоненты и службы Network Advisor были доступны нам по сети (исходя из ранее заданных значений портов):
New-NetFirewallRule -DisplayName "Brocade Network Advisor - FTP Server (Data)" -Direction "Inbound" -Protocol "TCP" -Action "Allow" -LocalPort "21" New-NetFirewallRule -DisplayName "Brocade Network Advisor - SSH Server" -Direction "Inbound" -Protocol "TCP" -Action "Allow" -LocalPort "22" New-NetFirewallRule -DisplayName "Brocade Network Advisor - TFTP Server" -Direction "Inbound" -Protocol "UDP" -Action "Allow" -LocalPort "69" New-NetFirewallRule -DisplayName "Brocade Network Advisor - SNMP Trap Listener" -Direction "Inbound" -Protocol "UDP" -Action "Allow" -LocalPort "162" New-NetFirewallRule -DisplayName "Brocade Network Advisor - Syslog Server" -Direction "Inbound" -Protocol "UDP" -Action "Allow" -LocalPort "514" New-NetFirewallRule -DisplayName "Brocade Network Advisor - HTTP Server" -Direction "Inbound" -Protocol "TCP" -Action "Allow" -LocalPort "80" New-NetFirewallRule -DisplayName "Brocade Network Advisor - HTTPS Server" -Direction "Inbound" -Protocol "TCP" -Action "Allow" -LocalPort "443"
После первичной инициализации автоматически будет запущена клиентская часть Network Advisor. При этом мы получим предупреждение встроенной системы безопасности о том, что сертификат сервера подписан недоверенным центром сертификации. Это происходит из-за само-подписанного сертификата Network Advisor, который мы позже заменим, чтобы избежать подобных предупреждений.
В диалоговой форме клиенткой части Network Advisor для подключения к серверу укажем учётные данные по умолчанию: идентификатор пользователя – Administrator и пароль – password.
Меняем административный пароль
Первое, что мы сделаем подключившись к серверу, - изменим пароль учётной записи администратора. Меню Server > Users > в открывшейся диалоговой форме на закладке Users.
Настраиваем доменную аутентификацию и авторизацию
Учитывая то обстоятельство, что сервер Network Advisor в нашем случае работает в доменной инфраструктуре Active Directory, для повышения удобства подключения мы можем настроить доменную аутентификацию и авторизацию пользователей.
Для целей авторизации создадим в домене локальную группу безопасности, например KOM-SAN-Administrators, и включим в эту группу доступа административные учетные записи доменных пользователей которым мы хотим предоставить доступ к Network Advisor. Дополнительно, для так называемого “лукапа” AD, создадим в домене служебную учетную запись пользователя, например s-BNA-User. В меню Server > Users > в открывшейся диалоговой форме на закладке Authentication Server Groups используем кнопку Fetch, чтобы добавить информацию о доменной группе доступа.
В открывшейся диалоговой форме укажем имя контроллера домена, порт (636 для LDAP over TLS), имя и пароль лукап-пользователя, а также имя доменной группы безопасности, которую мы создали ранее.
Далее назначим для добавленной доменной группы доступа область действия прав доступа (AOR) и роли (Roles), описание которых можно найти в упомянутом ранее документе находящемся а архиве с дистрибутивом Network Advisor. В нашем случае производится настройка прав доступа для администраторов SAN, поэтому права соответственно назначаются полные.
Далее, для настройки Network Advisor для целей доменной аутентификации откроем консоль Server Management Console и перейдём на закладку AAA Settings. Здесь мы можем настроить Network Advisor на использование как минимум двух вариантов аутентификации и режим переключения между ними. Разумеется в качестве первичной аутентификации мы будем использовать доменную, а в исключительном случае, локальную БД пользователей Network Advisor.
При выборе разных вариантов аутентификации, у меня конечно же сразу появилось желание использовать в качестве первичной Windows Domain. Однако практические опыты показали, что Windows Domain работает “через пень-колоду”, в частности у меня так и не получилось использовать для авторизации указанную ранее доменную группу безопасности (то есть между настройками аутентификации и авторизации как бы нет логической связи). И, судя по веткам форума поддержки Brocade LDAP/AD Authentications in Network Advisor и Brocade Network Advisor 12.0, эта проблема имеет давние корни и не имеет решения до сих пор. Поэтому, в качестве работоспособной альтернативы, для первичного вида аутентификации будем использовать LDAP Server.
Здесь же снова укажем информацию о контроллере домена и с помощью кнопки Test сможем проверить работоспособность аутентификации, введя учётные данные доменного пользователя, включённого в доменную группу доступа, которую мы ранее указали в настройках. Если тест аутентификации и авторизации проходит успешно, то мы получим следующее сообщение.
Чтобы сохранить сделанные изменения в Server Management Console нажмём кнопку Apply, после чего у нас запросят учётную запись локального администратора Network Advisor, пароль которого мы сменили ранее.
Теперь можно снова запустить клиентскую оболочку Network Advisor и для входа использовать доменную учётную запись (без указания имени домена, как это показано на скриншоте):
Успешно подключившись к серверу Network Advisor зададим ещё некоторые настройки, проверив параллельно отсутствие проблем с доступом, например в меню Server > Options:
- настроим количество дней хранения событий;
- запретим сохранение учётных данных;
- настроим учётные данные для доступа к FTP и т.д.
Устанавливаем доверенный сертификат сервера
Чтобы избежать предупреждений системы безопасности Network Advisor, о которых упоминалось ранее, заменим само-подписанный сертификат на сертификат, полученный от местного доверенного центра сертификации. Для этого перейдём на сервер Network Advisor и создадим файл запроса сертификата C:\Temp\RequestConfigNA.inf:
[Version] Signature="$Windows NT$" [NewRequest] Subject = "CN=KOM-AD01-HPMS02.holding.com" Exportable = TRUE; Private key is exportable KeyLength = 2048 KeySpec = 1; Key Exchange – Required for encryption KeyUsage = 0xA0; Digital Signature, Key Encipherment MachineKeySet = TRUE ProviderName = "Microsoft RSA SChannel Cryptographic Provider" RequestType = PKCS10 [RequestAttributes] SAN = "dns=KOM-AD01-HPMS02.holding.com&" _continue_ = "dns=KOM-AD01-HPMS02&"
Теперь с правами администратора выполним последовательно команды генерации бинарного запроса, отправки запроса в ЦС и установки готово полученного сертификата в систему:
cd /d "C:\Temp" certreq -new -f "RequestConfigNA.inf" "RequestConfigNA.bin" certreq -submit -f -config "kom-ad01-ca01.holding.com\KOMI CA" "RequestConfigNA.bin" "CertificateNA.cer" certreq -accept "CertificateNA.cer" certutil -f -config "kom-ad01-ca01.holding.com\KOMI CA" -ca.cert CertificateRootCA.cer
Последней командой в локальную папку будет скопирован корневой сертификат нашего ЦС.
Откроем оснастку управления сертификатами, подключимся к хранилищу сертификатов Local Computer и убедимся в том, что наш новый сертификат (в паре с закрытым ключом) доступен в разделе Personal
Теперь нам нужно экспортировать этот сертификат вместе с закрытым ключом для дальнейшего импорта в Network Advisor. Сделать этом можно здесь-же, в оснастке управления сертификатами, а можно и с помощью инструментов командной строки. Для этого сначала узнаем серийный номер сертификата по выводу команды:
certutil -store my
Затем экспортируем сертификат с закрытым ключом указав его серийный номер командой:
certutil -exportPFX -p "P@Z$w0rd" my 13000000defda3795c8b186bd90001000000de CertificateNA.pfx
Переходим в клиентскую оболочку Network Advisor и в меню Server > Options , там переходим в раздел Certificates, жмём кнопку Keystore Certificate, выбираем из выпадающего меню Replace. В открывшейся диалоговой форме укажем путь к экспортированному ранее сертификату сервера (CertificateNA.pfx) в паре с закрытым ключом а также пароль, использованный нами ранее при экспорте сертификата (P@Z$w0rd).
После этого жмём Apply в главном окне опций и нас сразу предупреждают о том, изменения вступят в силу только после перезагрузки сервера Network Advisor.
Сертификат самого сервера мы заменили, осталось добавить корневой сертификат нашего ЦС в список доверенных в базе Network Advisor. Здесь же, в меню Server > Options в разделе Certificates, рядом с таблицей Truststore Certificates жмём кнопку Import. В открывшейся форме указываем путь к загруженному ранее корневому сертификату нашего ЦС (CertificateRootCA.cer) и задаём ему любое понятное для нас имя.
После этого жмём Apply в главном окне опций и выполняем перезагрузку сервера, чтобы все сделанные изменения вступили в силу. После перезагрузки снова пробуем подключиться к Network Advisor и убеждаемся в том, что теперь предупреждения безопасности о недоверенном сертификате нет.
Добавляем FC коммутаторы в Network Advisor
Процедура добавления устройств управления, то есть самих оптических коммутаторов Brocade, в Network Advisor ничего сложного из себя не представляет и выполняется через функцию обнаружения в меню Discover > Fabrics
Отдельно останавливаться на этой процедуре мы не будем, а поговорим о проблеме которая может возникнуть уже после добавления устройств. Так как данная консоль позиционируется как инструмент централизованного управления несколькими оптическими фабриками, то предполагается иметь из консоли удобный прямой доступ к любому из коммутаторов той или иной фабрики. Однако при попытке подключения из консоли Network Advisor к тому или иному коммутатору мы можем получить сообщение Java “Application Blocked by Security Settings”:
После чего запуск Java-консоли управления коммутатором прекращается. Решение данной проблемы зависит от версии прошивки коммутаторов Fabric OS (FOS) и версии JRE. В моём распоряжении есть коммутаторы на FOS 7-ой и 6-ой веток. Для FOS 7-ой ветки для решения проблемы достаточно обновить FOS до версии не ниже 7.4.0a. Для FOS 6-ой ветки, судя по некоторой информации, проблема решена в версии 6.4.3g1, которой, не имея сервисных контрактов Brocade, найти в открытом доступе я не смог. Однако есть некоторое обходное решение – понижение уровня безопасности JRE на клиентской системе, с которой выполняется запуск веб-апплетов управления коммутатором. Для Java 7 Update 80 в панели управления Windows есть апплет Java Control Panel, в котором на закладке Security можно понизить уровень безопасности до значения Medium.
Для любителей острых ощущений можно поиграться напрямую с настроечными файлами Java.
Интеграция Network Advisor в SCOM
В каталоге установки Network Advisor (по умолчанию C:\Program Files\HP B-series SAN Network Advisor 12.4.1) найдём файл с пакетом управления SCOM:
\scom\HPBseriesSANNetworkAdvisor.FabricView.xml
Импортируем его в консоль Operations Manager Console штатным образом на вкладке Administration > Management Packs > Import Management Packs
Убедимся в том, что на сервере Network Advisor установлен агент SCOM и консоль Operations Manager Console.
В клиентской оболочке Network Advisor перейдём в меню Tools > Plug-in for SCOM. В открывшейся диалоговой форме нажмём Add, чтобы добавить информацию о сервере SCOM. Укажем FQDN имя сервера SCOM и учётные данные пользователя имеющего административные права доступа к группе управления SCOM.
Сервер SCOM здесь можно добавить только один. Не знаю почему “так задумано”.
В процессе регистрации сервера SCOM в плагине Network Advisor в консоли SCOM на вкладке Monitoring во вьюшке HP B-series SAN Network Advisor Management Pack появится папка с именем сервера Network Advisor, в которую будет добавлена общая сводная информация о текущем статусе фабрик зарегистрированных в этом экземпляре Network Advisor.
Во вьюшке HP B-series SAN Network Advisor Service отображается текущий статус экземпляра службы “HP B-series SAN Network Advisor” (dcm-service) на нашем сервере Network Advisor.
Во вьюшке HP B-series SAN Network Advisor Alerts будут отображаться события транслированные в SCOM с сервера Network Advisor. Правила такой трансляции можно настроить на сервере Network Advisor в файле \conf\scom.conf расположенном в каталоге установки (C:\Program Files\HP B-series SAN Network Advisor 12.4.1). В конфигурации по умолчанию этот файл имеет следующие настройки:
scom.forward.events.callhome=TRUE scom.forward.events.severity=ERROR scom.forward.events.notes.include=true
Все возможные параметры и их значения описаны в закомментированных строках в этом же файле. После внесения изменений в этот файл лучше перезагружать сервер Network Advisor для отражения изменений в SCOM.
Имитация проблемы для проверки
Для того, чтобы проверить работоспособность всей построенной цепочки и убедиться в том, что с случае возникновения проблем на коммутаторах в SCOM действительно регистрируется соответствующее событие, попытаемся сымитировать проблему. Например, если коммутатор имеет два блока питания, то можно на время обесточить один из них…
В результате нашего деструктивного действия видим то, что события регистрируются в логе Network Advisor…
И спустя несколько секунд соответствующие алерты появляются в консоли SCOM на вьюшке HP B-series SAN Network Advisor Alerts
Ну и как финальный итог, в случае, если в SCOM уже настроен механизм оповещения, получаем оповещение на электронную почту сотрудника ответственного за мониторинг устройства…
На этом всё. В следующей заметке мы рассмотрим процедуру обновления Network Advisor с рассмотренной здесь версии 12.4.1 на более новую.
А можно пакетик куда нибудь выложить отдельно?
:)
Отдельно сам по себе этот "пакетик" работать не будет. Для его работы и устанавливается Network Advisor.
Я имел в виду именно пакет на посмотреть, Network Advisor мне не нужен...
Огромное спасибо! Помогло!