配置网管注册
前提条件
- 配置系统时间,确保设备与FusionDirector的系统时间保持一致,否则可能导致设备与FusionDirector对接失败。
- 配置厂商信息和产品型号,配置方法请参见配置厂商信息和产品型号(仅Atlas 200 AI加速模块(RC场景)、Atlas 300I 推理卡(型号:3010)涉及该配置)。
- 若设备安装的AtlasEdge为2.0.4及其以上版本,那么需要配套FusionDirector 1.7.2及其以上版本使用,否则可能导致纳管到FusionDirector后动态信息、静态信息上报不全。
- 如果网管模式从IEF切换为其他网管,则需要在IEF上删除已经纳管的对应边缘节点。
- IEF删除边缘节点的操作请参考智能边缘平台IEF的指导说明。
- 在配置FusionDirector网管注册前,请确认该设备是否已被该FusionDirector纳管过,如果纳管过,则需要用户先到该FusionDirector上删除该设备,然后在该设备上将对接帐号配置成该FusionDirector的IP地址,并使用在FusionDirector上配置的密码重新纳管。
- 如果同一网卡上或者多个网卡上配置了多个IP地址,纳管到FusionDirector上显示的IP是随机的,无法确定是哪个设备。如果想要指定纳管到FusionDirector上的IP地址,可以通过绑定出口路由的方式实现。例如:假设FusionDirector的IP地址为192.168.100.15,设备上同一网卡上有2个IP地址192.168.1.100和192.168.1.101,如果要指定192.168.1.100纳管到FusionDirector上,则通过命令ip route add 192.168.100.15 via 192.168.1.1 src 192.168.1.100配置即可实现。
- 在AtlasEdge程序运行过程中,不建议修改以下配置,避免造成冲突。如果需要修改,建议先执行./run.sh stop命令关闭AtlasEdge程序,修改完成后再开启AtlasEdge程序。
- 参数配置,支持唯一前缀匹配机制,例如--fd_us=xxx将自动匹配为--fd_user=xxx,即如果通过前缀能匹配到唯一的参数,将自动补全匹配。
操作步骤
- 执行以下命令进入“AtlasEdge软件安装路径/AtlasEdge”目录。
cd AtlasEdge软件安装路径/AtlasEdge
- 执行以下命令配置网管注册。
./run.sh config --netmanager=FD --fd_test=true --fd_user=xxx --fd_ip=x.x.x.x --fd_cert_import=FusionDirector根证书所在路径 --port=xxx --fd_ibmc=xxx
该命令的参数说明如表1所示:
表1 参数说明 参数
说明
--netmanager
表示网管模式,取值为FD。
--fd_test(可选)
表示是否对设备与FusionDirector的连通性进行测试,为可选参数。
- 如果配置该参数且取值配置为true,则会对节点ID和设备与FusionDirector的连通性进行测试,如果测试不通过,则FusionDirector网管切换失败。
- 如果配置该参数且取值配置为false或者不配置该参数,则不会对节点ID和设备与FusionDirector的连通性进行测试,FusionDirector网管切换成功,但这可能会导致FusionDirector纳管失败。
在设备离线集中配置(无法连接FusionDirector)的场景下,可以选择不测试,但需要保证FusionDirector参数的有效性,即节点ID不能在FusionDirector上重复,且IP地址、用户名和密码有效。其他场景建议都进行测试,避免输入错误导致纳管失败。
--fd_user
表示FusionDirector对接帐号,默认帐号为EdgeAccount。
--fd_ip
表示FusionDirector的访问IP地址。
--fd_cert_import(可选)
导入的FusionDirector根证书所在路径。
该参数为可选参数,第一次连接必须导入证书(卸载后重装AtlasEdge,视作第一次连接)。但是出于安全考虑,建议用户使用自己的证书和公私钥对,并定期更新,保证证书的有效性和安全性。当证书过期或者被吊销导致设备与FusionDirector对接不上时,请重新导入根证书文件。为了保证根证书的安全性,根证书使用的签名算法和密钥长度要求如下:- 如果使用非对称加密算法,建议使用RSA(3072位及以上密钥)。
- 如果使用哈希算法,建议使用SHA2(256位及以上密钥)。
建议使用用户自定义的根证书。自定义根证书中的Subeject和Issuer字段,仅支持大小写字母、数字、符号-_.@|()?[]{}\=*&^%和空格。
华为也提供了根证书,获取方法如下:
登录FusionDirector,在FusionDirector界面上方依次选择“菜单 > 系统设置 > 安全 > 证书管理 > 服务证书”,单击“导出”,下载证书压缩包(rootCerts.zip)到本地。解压下载的证书压缩包,获取需要的证书rootCertChain.crt。
为了安全起见,上传FusionDirector根证书后,建议导入证书吊销列表,用来校验FusionDirector证书是否被吊销,如果FusionDirector证书已被吊销,则设备与FusionDirector将不能对接。证书吊销列表的导入步骤具体请参见4。
说明:对接FusionDirector时,FusionDirector会对证书中的域名进行校验,当前默认域名为fd.fusiondirector.huawei.com。若校验不通过会导致对接FusionDirector失败。用户可以在AtlasEdge软件安装路径/AtlasEdge/edge_work_dir/edge_site/config/default_config.json配置文件中修改域名,配置的域名仅支持大小写字母、数字、短杠和点,最长64个字符。
--port(可选)
表示FusionDirector的端口号,取值范围1~65535。该参数为可选参数,不配置该参数时,使用默认端口443。如果曾多次配置端口号,以最近一次配置的端口号为准。
须知:由于FusionDirector对可疑的设备采取的是封禁IP的防治办法,在代理转发IP的场景下,误操作(密码错误,异常登录等)可能导致所有转发IP的设备故障。
--fd_ibmc(可选)
此参数仅对Atlas 500 Pro 智能边缘服务器(型号:3000)有效。
iBMC纳管标识,该参数为可选参数,不配置该参数时,保持之前的配置方式。如果配置,仅支持配置“true”或者“false”。- true:表示设备iBMC已经纳管到FusionDirector,设备以服务器形态纳管到FusionDirector。
- false:表示设备iBMC没有以服务器形态纳管到FusionDirector,但设备以边缘设备形态纳管到FusionDirector,此时仅能进行容器管理。
说明:- 如果iBMC已经纳管到FusionDirector,此时即使设置为边缘形态,实际也优先纳管为服务器形态。
- 如果在FusionDirector上已经纳管为边缘设备形态,此时即使设置为服务器形态,也会纳管成边缘形态。需要删除之前纳管的边缘设备后,才能重新纳管为服务器形态。
- 输入FusionDirector对接密码。
- 导入证书吊销列表(可选)。
- 从证书签发机构获取证书吊销列表。
- 将4.a获取的证书吊销列表上传到环境某一目录下(如“/var”)。
- 执行以下命令进入“AtlasEdge软件安装路径/AtlasEdge/edge_work_dir/edge_om/bin”目录。
cd AtlasEdge软件安装路径/AtlasEdge/edge_work_dir/edge_om/bin
- 执行以下命令导入证书吊销列表。
./updateCRL.sh --crlPath=/var/newCrl.crl --forceupdate=true --active=true
表2 参数说明 参数
说明
--crlPath
证书吊销列表所在的路径(如“/var/newCrl.crl”)。
--forceupdate
当已存在证书吊销列表时,如果新导入的证书吊销列表比已存在的证书吊销列表旧,可以选择是否进行强制更新:- true:表示强制更新。
- false:表示不更新。
--active
导入的证书吊销列表是否立即生效:
- true:表示立即生效。立即生效会重启AtlasEdge程序,需要用户再次进行确认,如果用户输入“yes”,则立即生效;如果用户输入“no”,则不会立即生效,用户需手动重启AtlasEdge程序生效,或等待下次启动AtlasEdge程序后自动生效。
- false:表示不会立即生效,用户需手动重启AtlasEdge程序生效,或等待下次启动AtlasEdge程序后自动生效。
- 执行以下命令启动AtlasEdge程序。
./run.sh start
- 如果想关闭AtlasEdge程序,可以执行./run.sh stop命令。
- 如果想重启AtlasEdge程序,可以执行./run.sh restart命令。
- 如需要重启AtlasEdge程序,请先确认边缘节点在FusionDirector上处于就绪状态。
