规划远程支持连接

IBM® 远程支持中心是授权的 IBM 服务代表使用的管理系统,其通过安全网络接口提供远程支持和问题确定帮助。 在存储系统的内部诊断测试调用部件之前或之后,使用远程支持连接。 IBM 授权人员使用远程支持连接来执行实时问题分析和隔离。

通过专用网络连接获取远程支持访问权。 在使用此方法时,存储系统通过接线板上的一个虚拟专用网 (VPN) 端口或管理端口连接到 IBM 远程支持中心要了解更多连接信息,请参阅用于管理的网络连接

IBM 远程支持中心具有三个组件:
  • IBM 远程支持中心是安装在存储系统上的软件,用于处理远程支持连接。

    它依赖于单个出局 TCP 连接,且无法接收任何种类的入站连接。 远程支持客户机通过使用命令行界面 (CLI) 命令进行控制,可启动连接、终止连接(由于超时或客户请求)以及在连接意外终止后尝试重新连接。

  • 前端服务器充当存储系统和远程支持后端服务器连接的中心站点。

    前端服务器位于 IBM DMZ 中,其接收和维护来自远程支持客户机和后端服务器的连接。 前端服务器必须是入站形式,不能发起任何出站通信。

    前端服务器不会存储任何敏感信息,所有从客户机流经前端服务器传送至后端服务器的数据都被加密,所以前端服务器或控制前端服务器的恶意实体无法访问该数据。

  • 一台或多台后端服务器位于 IBM 内部网中。 仅获得授权执行存储系统远程支持的 IBM 服务代表才可访问这些服务器。

    后端服务器认证 IBM 服务代表,为 IBM 服务代表提供用户界面(通过该界面可选择要支持的系统),并在远程支持会话的进行过程中对其进行管理。 IBM 服务代表使用 Secure Shell (SSH) 客户机或与任何浏览器的 HTTPS 连接来与后端服务器连接。

要求: 要通过远程支持中心执行远程支持,存储系统必须能够启动到 IBM 的出站 SSH 连接。 如果系统不能直接访问因特网(例如,由于防火墙),那么可以使用 IBM 远程支持代理 来简化与 IBM 的连接。 有关更多信息,请参阅 IBM XIV® Remote Support Proxy User Guide (GA32-0795)。

图 1 显示远程支持连接。

图 1. 远程支持组件
该图显示数据如何在存储系统、前端服务器和后端服务器之间移动。

IBM 远程支持中心”使用 Secure Shell (SSH) 协议来传输数据。 SSH 使用的加密为传输的数据(即使通过不安全的介质)提供了机密性和完好性。

要实施远程支持会话,IBM 服务代表必须显式连接至 IBM 远程支持中心后端服务器。 当支持会话开启时,将发生以下安全的远程连接过程:
  1. 客户发起与 IBM 远程支持中心的因特网 SSH 连接。
  2. IBM 远程支持中心标识存储系统并将其标记为已连接。
  3. IBM 服务代表使用 SSH 连接到 IBM 远程支持中心
  4. IBM 远程支持中心认证 IBM 服务代表。
  5. 将向 IBM 服务代表显示与定义的许可权相对应的当前已连接的存储系统列表,或者 IBM 服务代表手动输入序列号以查看系统。
  6. IBM 服务代表选择要支持的存储系统。 仅显示许可的系统,并且将记录所有活动。
  7. 开始完整记录的支持会话。
  8. IBM 服务代表终止支持会话。
  9. 系统断开与 IBM 远程支持中心的连接。

在支持会话进行时,存储系统在 IBM Hyper-Scale Manager 用户界面 (UI) 上显示系统状态。 您可以查看逐步淘汰某个组件的过程或者客户可视系统服务的重新启动(在发生时)。 客户可通过如超时或强制断开连接等机制来完全控制是否继续支持会话。 如果会话意外断开,那么 IBM 服务代表可在存储系统下一次连接到远程支持中心时恢复会话。