匯入節點、MSP 和身分

主控台包括用於匯入在另一個 IBM® Blockchain Platform 主控台中建立的節點的選項。

目標對象：本主題設計的對象是負責建立、監視和管理區塊鏈網路的網路操作員。

為何要匯入元件?

對於已由一個主控台部署且需要從其他主控台操作元件的情況，以及無法執行某些動作的情況，除非節點和 MSP 及身分對主控台「已知」(亦即，除非那些元件已在主控台中建立或匯入至主控台) ，否則 IBM Blockchain Platform 容許從一個主控台匯出節點、身分及 MSP 並匯入至另一個主控台。

雖然在匯入節點時不再需要關聯管理者身分，但在某些情況下，您會想要匯入與節點或 MSP 相關聯的管理者身分。

有兩個主要原因需要匯入元件：

1. 節點將部署在一個主控台，而從另一個主控台進行作業。 在這些情況下，必須匯出並匯入相關管理者身分，或者必須為節點建立新的管理者身分。 除了升級節點版本之外，可以在匯入的節點上執行許多與在主控台內建立的節點相同的管理動作。
2. 節點或 MSP 只需要讓主控台知道，以便可以從下拉清單進行選取。 例如，建立通道時，必須選擇將在其上管理通道的排序服務。 同樣地，當執行許多通道動作時，可能需要指定一或多個 MSP。 在這兩種情況下，選取 MSP 的人員都不是節點或組織的管理者。 不過，它們確實需要在其主控台中代表節點或 MSP 的磚，以便可以從下拉清單中選取它。

請注意，匯入元件時，實際上並不會將實體元件匯入到雲端提供者。 而是由主控台使用 JSON 中的資訊來建置可透過主控台對其進行作業的元件呈現。 同樣地，從主控台刪除匯入的節點時，不會刪除該節點本身，該節點仍會在其部署位置執行。 該節點只是從原先匯入到的主控台移除。

將節點匯入至主控台後，您也可以使用節點的設定標籤來修改其連線資訊。

如以下所示，有兩種方式可以匯出及匯入元件和身分: 大量或一次一個。 每一個都滿足不同的使用案例，並具有不同的考量和限制。

限制

雖然匯入節點後能夠執行可以在建立節點或身分的主控台上執行的許多動作，但管理已匯入元件的能力存在一些限制：

• 所有要匯入的節點都必須已使用 IBM Blockchain Platform 主控台或 IBM Blockchain API來部署。
• 您無法修補已匯入至主控台的節點。
• 您無法從部署這些節點的叢集刪除已匯入至主控台的節點。 只能從節點匯入到的主控台移除該節點。
• 您無法使用 編輯配置 按鈕來置換所匯入節點的設定，因為JSON.
• 如果要匯入在本端部署的網路上部署的節點，則必須確保該元件使用的 gRPC Web Proxy 埠外部公開給主控台。 如需相關資訊，請參閱 從本端部署的網路匯入節點。
• 開啟已匯入節點的磚時，不會顯示 Fabric 版本，且使用情況和參考資訊標籤無法使用，即使您還匯入了管理者身分也是如此。

大量匯出及匯入

在使用者想要一次匯出及匯入所有對等節點、CA、排序服務、MSP 及身分的情況下， IBM Blockchain Platform 主控台現在容許大量管理資料作為 ZIP 檔，其中包含代表各種節點、MSP 及身分的 JSON。 若要大量匯出或匯入資料，請導覽至左側導覽中的 設定 標籤。 您會看到一個稱為 大量資料管理 的區段，其下有兩個按鈕。 匯出 按鈕會在右側開啟一個畫面，您可以從中選擇要匯出的項目。 匯入 按鈕也會開啟一個畫面，您可以在其中選取本端檔案系統中的 ZIP。

對於部分使用案例而言，大量匯出及匯入元件非常方便，但有一些重要考量要記住:

• 雖然您可以選擇勾選或取消選取代表對等節點、CA、排序服務、MSP 及身分的方框，例如，您無法選擇只匯出部分對等節點，而不匯出其他對等節點。 如果勾選對等節點方框，則每個對等節點都會併入 ZIP 中，對於其他元件也是如此。
• 如果主控台已匯入大量傳送中包含的部分資訊 (例如少數對等節點) ，則在執行匯入之後，這些元件的重複表示法會出現在主控台中。 這些重複項目並不會造成損害，但最佳作法是一次只具有一個元件表示法。 匯入排序節點時不會發生相同的重複。
• 依預設，由於我們先前討論的原因，在匯出畫面中會取消選取 身分 方框: 這些身分包含私密金鑰，因此不建議匯出它們，除非有必要這樣做。 此外，與 MSP 和節點不同， 主控台不允許重複的身分。 如果您嘗試匯入的大量資料 ZIP 包含主控台中已存在的身分，則匯入會失敗。 再次注意，不論您勾選的其他方框為何，都會在大量傳送中傳送 全部 身分。 例如，如果您只保持選取對等節點方框，並選取身分，則會傳送 Wallet 中的每個身分，而不只是與對等節點相關的身分。
• 不過，如果您選擇隨節點一起匯出身分，則身分與節點之間的關聯會隨著傳送而持續存在。 也就是說，您不需要執行額外的步驟來按一下節點並將管理者身分與節點相關聯。
• 通道的所有成員都必須具有通道所有其他成員的 MSP ，才能容許驗證簽章。 不過，請注意，透過選取 MSP 按鈕，將會匯出主控台中的 全部 MSP ，而不只是與特定頻道相關的 MSP。

如果您匯入節點的大量資料傳送，且未同時匯入身分，則必須執行將身分與節點相關聯的個別步驟。. 有幾種方法可以採購可操作節點的身分。 如需相關資訊，請參閱 收集憑證或認證。 無論用於獲得身分的處理程序為何，在完成大量匯入之後，您將需要按一下每一個匯入的節點。 對於對等節點和排序節點，畫面左側的方框會顯示 身分未與相關聯 (對等節點或排序節點) ，視有問題的節點而定。 按一下此方框之後，您將可以透過從錢包中選取相關身分來關聯該身分。 請注意，此處理程序與匯入個別節點的處理程序完全不同，在此處理程序中，將會要求您關聯身分作為匯入處理程序的一部分。

您還需要關聯 CA 的管理者身分。 此處理程序類似於對等節點和排序節點處理程序，只不過在您按一下匯入的 CA 之後，您會看到個別畫面，要求您關聯身分而不是左側的方框。

對於大量資料傳送不切實際或不建議的情況，您可以遵循下列步驟，一次一個匯出及匯入元件和身分。

收集憑證或認證

由於身分包含私密金鑰，因此匯出身分時須謹慎，以確保對其安全地進行處理。 如果私密金鑰洩露，可能會被用來執行惡意行為。

每一個 IBM Blockchain Platform 元件都使用內部管理者的簽署憑證進行部署。 對元件執行需要管理者許可權層次的動作時，會根據節點內的簽署憑證來檢查嘗試動作之實體的簽署憑證。 如果兩個憑證不相符，將拒絕執行動作。 透過這種方式，這些憑證（也稱為「金鑰」）容許管理者操作其元件。

如果打算操作匯入的節點，您有兩個選項：

1. 在匯入節點本身之前，將管理者身分匯入您的 Wallet 中 (建立節點之主控台的管理者將需要匯出節點及管理者身分)。
2. 如果節點的管理者不希望共用其管理者身分，則還有兩種方法可以成為節點的管理者：

   * The administrator of the console where the node was created can create a new admin identity, associate it with the node as an additional admin identity, and export that identity to your console along with the node.
   * The other option has five steps:
   1. The admin of the CA that was used to create the relevant identities for the peer and peer organization can register a new identity.
   2. Then, they can send the enroll ID and secret of that identity to the importing console, as well as exporting the CA.
   3. The importing console can then take the imported CA and use the enroll ID and secret to create a new identity.
   4. This new identity would be sent back to the console where the peer was created and added as an admin of the peer.
   5. Then the peer could be exported to the console where the new identity was created, allowing the new identity to operate the imported peer.
   

在任一情況下，因為此新管理者身分只能是對等節點的管理者，而不是擁有對等節點的組織，因此可使組織管理（在 MSP 中列出的簽署憑證，這還可能是在建立對等節點的主控台中的對等節點管理者）與剛剛建立並關聯的對等節點的新管理者保持角色分離。 依預設，此對等節點管理者不會是組織管理者。 不過，如果它符合使用案例，讓身分同時成為組織及所匯入對等節點的管理者，則這是可以達成的，請參閱 更新組織 MSP 定義。

請注意，此流程對於對等節點最實用，因為排序節點的管理者在 IBM Blockchain Platform中沒有許多責任。

如果您不打算操作某個節點（或者如果是多節點排序服務的情況，操作某些節點），則不必匯入管理者身分並產生關聯。

在錢包中匯出和匯入管理者身分

若要匯出身分，請開啟錢包標籤，然後按一下要匯出的身分。 在蹦現的身分詳細資料畫面中，有兩個選項。 可以按一下匯出身分按鈕，以將簽署憑證和私密金鑰組合到 JSON 檔案中，然後將其下載到本端檔案系統（請注意，您應該一律在本端保留所有身分的副本）。 或者，您可以下載.pem簽署憑證及私密金鑰的憑證。

若要匯入新身分，請開啟錢包標籤，然後按一下新增身分。 如果您想要上傳.pem憑證，請按一下 新建身分 ，並使用 手動輸入 下的欄位來提供身分名稱，以及上傳身分的簽署憑證和私密金鑰。 如果您有從其他主控台匯出的 JSON，請按一下上傳 JSON，按一下新增檔案，從本端檔案系統中選取適當的 JSON，然後按一下新增身分。 儘管您可以選擇手動輸入憑證或對每個節點使用 JSON，但在本主題中，假設您有相關的 JSON 可用。

完成 新增身分 畫面之後，您可以在錢包中檢視新的管理者身分，並在匯入其相關聯的任何節點時選取此身分。 此外，還可以在建立新的 MSP 和元件時使用此身分。

匯入組織 MSP 定義

因為 MSP 定義組織，所以在建立通道、建立節點 (以識別節點所屬的組織) 以及驗證簽章時需要它們。 基於後一個原因， 除非您的組織不會參與驗證或背書，否則您所屬每個頻道的每個成員都必須知道您的 MSP (換句話說，即匯出後再匯入)。

若要充當組織的管理者，您必須在錢包中具有 MSP 中列出的作為組織管理者的身分。 這表示匯入 MSP 中列出的身分，或遵循 更新組織 MSP 定義中列出的處理程序。 然後，可以將此 MSP 匯出到已建立已新增身分的主控台，以使匯出的身分能夠作為組織的管理者。

MSP 的匯出和匯入作業在組織標籤中執行。

若要匯出 MSP ，請執行下列動作:

1. 導覽至 組織 標籤，然後按一下組織 MSP 磚。
2. 在開啟的磚中，按一下 匯出 圖示。

1. 會產生 JSON 檔案並下載至您的本端系統。
2. 與頻道的其他組織管理者共用此檔案。

若要從另一個組織匯入 MSP ，請執行下列動作:

1. 導覽至 組織 標籤，然後按一下 匯入 MSP。
2. 瀏覽至 MSP JSON 檔案，然後按一下 新增檔案。
3. 按一下 匯入 MSP。

附註: 在某些情況下，當您將 MSP 匯入至主控台時，節點組織單位勾選框可能可見且已勾選。 如果發生這種情況，建議您保持勾選狀態，以便為 MSP 啟用 Fabric 節點 OU 支援，從而簡化未來的憑證更新程序。

針對頻道中包含的每一個組織，重複這些步驟。

匯入對等節點

對等節點是區塊鏈元件，可維護分類帳並執行智慧型合約，以在分類帳上執行查詢及更新作業。 組織成員具有並維護對等節點。 加入聯盟的每個組織都應該在每個頻道上至少部署一個對等節點，而要實現高可用性 (HA)，應該至少部署兩個對等節點。 您可以在 區塊鏈元件概觀中進一步瞭解對等節點。

將對等節點匯入到主控台後，可以在對等節點上安裝智慧型合約，並將對等節點加入頻道。

附註：如果需要新增更多對等節點，或為對等節點或對等節點組織建立其他管理者身分，則需要匯入相關 CA（用於為對等節點組織建立 MSP 和身分的 CA），然後使用該 CA 來登錄和登記身分。

開始之前

在匯入對等節點之前，您需要決定將用於成為對等節點管理者的方法（除非您也是對等節點的管理者，否則對匯入的對等節點幾乎無法執行什麼作業）。 請參閱 收集憑證或認證 ，並遵循最適合您使用案例的路徑。 此外，請確保代表對等節點的 JSON 可用。

如何匯入對等節點

匯入對等節點時會在節點標籤中執行。

1. 按一下新增對等節點，接著按一下匯入現有對等節點，然後按下一步。
2. 按一下新增檔案以上傳從原始部署對等節點的主控台匯出的對等節點 JSON 檔案。
3. 如果您想要操作對等節點 (例如，為了能夠安裝智慧型合約) ，請按一下代表對等節點的磚，然後按一下 關聯身分。 然後，您將能夠將來自 Wallet 的身分與對等節點相關聯。 此身分必須是建立 CA 時與 CA 相關聯的身分。

如果您在匯入期間看到位置欄位，則可以選擇是要指定建立對等節點的位置，還是要重新匯出對等節點，在此情況下主控台將不會要求提供此資訊。

將對等節點匯入至主控台後，即可在對等節點上安裝智慧型合約，並將對等節點加入區塊鏈中的頻道。

匯入 CA

CA 節點是區塊鏈元件，用於發出憑證給所有網路實體（對等節點、排序服務、用戶端等），讓這些實體可以進行通訊、鑑別和最終交易。 每個組織都有自己的 CA，用於充當其信任根。 無論您是加入還是建置區塊鏈聯盟，都應該新增您的組織。 您可以在 區塊鏈元件概觀中進一步瞭解 CA。

匯入 CA 後，可以使用該 CA 來登錄和登記使用者或建立組織定義，與使用其他任何 CA 時完全一樣。

若要將 CA 匯入至 IBM Blockchain Platform 主控台並操作它，網路操作員必須已從部署它的 IBM Blockchain Platform 中匯出 CA。 匯入 CA 可讓您登錄新的使用者及 登記身分。

開始之前

在匯入 CA 之前，您需要決定將用於成為 CA 管理者的方法（除非您也是 CA 管理者，否則對匯入的 CA 幾乎無法執行什麼作業）。 請參閱 收集憑證或認證 ，並遵循最適合您使用案例的路徑。 此外，請確保代表 CA 的 JSON 可用。

如何匯入 CA

導覽至節點標籤。

1. 按一下新增憑證管理中心，接著按一下匯入現有憑證管理中心，然後按下一步。
2. 按一下新增檔案以上傳從原始部署 CA 的主控台匯出的 CA JSON 檔案。
3. 如果您想要操作 CA ，在新增之後，請在 節點 畫面中按一下它。 接著，按一下關聯身分，然後從錢包中選取 CA 管理者身分。

如果您看到位置欄位，則可以選擇是要指定 CA 建立的位置，還是要重新匯出 CA ，在此情況下，主控台將不會要求提供此資訊。

將 CA 匯入到主控台後，您可以使用 CA 來建立新身分並產生必要的憑證，以操作元件並將交易提交到網路。 若要這樣做，您需要將管理者身分與 CA 相關聯。 若要進一步瞭解，請參閱 管理憑證管理中心。

匯入排序服務

排序服務是區塊鏈元件，用於收集網路成員的交易、將交易排序，以及將其組合成區塊。 排序服務是區塊鏈聯盟的公共連結，如果您要建立聯盟供其他組織加入，則需要部署排序服務。 您可以在 區塊鏈元件概觀中進一步瞭解訂購服務。

將排序服務匯入至主控台，可讓您建立對等節點的新頻道以用於私下交易。

如果您在使用所匯入的排序服務時遇到問題，可能是因為它已在很久之前匯出，而代表它的 JSON 在其中具有所有最新的必要欄位，可讓特定特性運作。 聯絡建立排序服務之主控台的管理者，並要求他們重新匯出排序服務。

開始之前

即使在 Hyperledger Fabric 環境中，排序節點管理者也不會承擔多少責任。 在 IBM Blockchain Platform中，這些責任會進一步減少，而且由於對匯入的節點強制使用 限制 ，這些責任會減少至無。 因此，另外成為排序節點的管理者沒有多大意義。

成為排序節點的管理者遠比成為排序組織本身的管理者有用。 此角色為您提供排序服務 (可讓您將組織新增至聯盟或節點至排序服務) 以及系統頻道的管理權限，讓您有權修改系統頻道 功能。

請注意，組織不必成為排序服務管理者。 如果要建立或編輯頻道（組織必須首先由排序服務管理者新增到聯盟），則您仍需要匯入排序服務，因為主控台必須瞭解有關排序服務的資訊，然後您才能從下拉清單中選取該服務。

如何匯入排序服務

導覽至節點標籤。

1. 如果尚未這樣做，請導覽至組織標籤，並匯出一個以上對等節點組織的 MSP。 然後，將代表您組織的此 MSP 傳送給排序服務的管理者（在這種情況下，不一定是任何排序節點的管理者，而是對系統頻道具有管理控制權的組織）。 此排序服務管理者可以使組織成為排序服務組織管理者之一和/或將 MSP 新增到聯盟（為組織提供建立頻道的能力）。 請注意，如果您的組織已成為排序服務組織管理者之一，則您可以將自己的組織新增到聯盟。
2. 將 MSP 新增為排序服務管理者和/或新增到聯盟後，匯入代表排序服務的 JSON（與其他節點一樣，此排序服務必須從已建立排序服務的主控台中匯出）。 然後，導覽至節點畫面。 按一下新增排序服務，接著按一下匯入現有排序服務。 然後，按下一步。
3. 按一下新增檔案以上傳排序服務 JSON。 請注意，不管此排序服務中有多少節點，代表此排序服務的 JSON 都只會是一個檔案。

無需將身分與排序服務相關聯，即可在排序服務上建立頻道或將成員加入聯盟 (後者由排序服務組織而非排序節點本身處理)。

如果您看到位置欄位，則可以選擇是提供位置還是重新匯出排序服務，在這種情況下，主控台將不會要求提供此資訊。

將排序服務匯入到主控台後，您可以新增聯盟的新組織成員（如果您的 MSP 已新增為排序服務的管理），以及在建立新頻道時選取排序服務（如果您的組織已新增到聯盟）。

透過本端部署的網路匯入節點

您可以將透過 IBM Cloud、 Red Hat OpenShift及 Kubernetes v1.17 - v1.19 環境建立的節點匯入至已部署在其他叢集或 IBM Cloud上的區塊鏈主控台。 但是，需要確保節點的 gRPC URL 使用的埠從叢集外部公開。 如果您要部署受防火牆保護的網路，則需要啟用透通 (例如，透過使用允許清單) ，以容許叢集外部的主控台與節點進行通訊。

例如，可以在下面找到對等節點的 JSON 檔案。 若要從另一個主控台與對等節點進行通訊，您需要確保grpcwp_urlport ，此範例中的埠 32403 對外部資料流量開放。

{
   "name": "peer",
   "grpcwp_url": "https://9.30.252.107:32403", \\ensure that port 32403 is externally exposed
   "api_url": "grpcs://9.30.252.107:30891",
   "operations_url": "https://9.30.252.107:30222",
   "type": "fabric-peer",
   "msp_id": "org1msp",
   "pem": "LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tCk1JSUNGekNDQWI2Z0F3SUJBZ0lVUi9zMGxGTG5ZNmdWRmV1Mlg5ajkrY3JDZFBrd0NnWUlLb1pJemowRUF3SXcKWFRFTE1Ba0dBMVVFQmhNQ1ZWTXhGekFWQmdOVkJBZ1REazV2Y25Sb0lFTmhjbTlzYVc1aE1SUXdFZ1lEVlFRSwpFd3RJZVhCbGNteGxaR2RsY2pFUE1BMEdBMVVFQ3hNR1JtRmljbWxqTVE0d0RBWURWUVFERXdWMGJITmpZVEFlCkZ3MHhPVEEyTVRBeE9USXhNREJhRncwek5EQTJNRFl4T1RJeE1EQmFNRjB4Q3pBSkJnTlZCQVlUQWxWVE1SY3cKRlFZRFZRUUlFdzVPYjNKMGFDQkRZWEp2YkdsdVlURVVNQklHQTFVRUNoTUxTSGx3WlhKc1pXUm5aWEl4RHpBTgpCZ05WQkFzVEJrWmhZbkpwWXpFT01Bd0dBMVVFQXhNRmRHeHpZMkV3V1RBVEJnY3Foa2pPUFFJQkJnZ3Foa2pPClBRTUJCd05DQUFUYUtyN2srUHNYeXFkWkdXUHlJUXlGMGQxUkFFdmdCYlpkVnlsc3hReWZOcUdZS0FZV3A0SFUKVUVaVHVVNmtiRXN5Qi9aOVJQWEY0WVNGbW8reTVmSkhvMXd3V2pBT0JnTlZIUThCQWY4RUJBTUNBUVl3RWdZRApWUjBUQVFIL0JBZ3dCZ0VCL3dJQkFUQWRCZ05WSFE0RUZnUVUrcnBNb2dRc3dDTnZMQzJKNmp2cElQOExwaE13CkZRWURWUjBSQkE0d0RJY0VDUjc4YTRjRXJCRE5DakFLQmdncWhrak9QUVFEQWdOSEFEQkVBaUJGWmpMWU9XZUMKLy92L2RNMHdYNUxZT3NCaHFFNnNQZ1BSWWppOTZqT093QUlnZEppZDU0WmxjR2h0R3dEY3ZoZE02RVlBVFpQNwpmS29IMDZ3ZFhpK3VzVXM9Ci0tLS0tRU5EIENFUlRJRklDQVRFLS0tLS0K"
}