SevOne NMS 高级网络配置指南

执行以下步骤。

1. 使用ssh 以支持身份登录SevOneNMS 设备。

   ssh support@<NMS appliance>

2. 创建绑定接口。 例如 bond0.
   示例

   nmcli connection add type bond con-name bond0 ifname bond0 \
   ip4 10.168.116.5/22 gw4 10.168.116.1 ipv4.method manual \
   ipv6.method ignore \
   bond.options "mode=active-backup,miimon=100,downdelay=400,updelay=400"
                   

   连接 ' bond0 ' ( e8048f88-80e5-43c1-a981-3bcb9b8ccc69 ) 已成功添加。
   

3. 将第一个接口添加到 bond0 的第一个接口。
   示例

   nmcli connection add type bond-slave ifname ens160 master bond0
                   

   连接 ' bond-slave-ens160 ' ( fe926d34-0e12-46e3-a07c-fa78e5e0c8a3 ) 已成功添加。

4. 为第一个从属接口建立连接。
   示例

   nmcli conn up bond-slave-ens160
                   

   连接成功激活（D-Bus 激活路径： /org/freedesktop/NetworkManager/
   ActiveConnection/51).

5. 将第一个 跟随者 接口设置为 bond0的 主 接口。

   nmcli device modify bond0 +bond.options "primary=ens160"
                 

   连接成功重新应用到设备 " bond0 "。

6. 对于每个其他接口，将其添加为 跟随者 ，然后将其 启动。

   
   nmcli connection add type bond-slave ifname ens33 master bond0
                 

   连接 ' bond-slave-ens33 ' ( 073517f9-723a-4abe-a97e-fc10077f0ef3 ) 已成功添加。
   

   
   nmcli connection up bond-slave-ens33
                 

   连接成功激活（D-Bus 激活路径： /org/freedesktop/NetworkManager/
   ActiveConnection/51).

1. 使用ssh 以支持身份登录SevOneNMS 设备。

   ssh support@<NMS appliance>

2. 输入 NMTUI。

   nmtui

   

3. 选择 编辑连接 ，然后单击 <RETURN>。
4. 浏览至 <Add> ，然后单击 <RETURN>。
5. 从新建连接列表中选择邦德。

   

6. 浏览至 <Create> ，然后单击 <RETURN>。
7. 您正在 " 编辑连接 " 中创建新的绑定接口。

   

   注: 为设置中的每个接口添加 跟随者 ，更改接口方式，然后调整其他设置。
8. 添加追随者时，从新建连接列表中选择以太网。

   

9. 添加正确的 Device 名称。 设备名必须是接口名。 例如 ens160, eth1, eth2.

   

10. 浏览至 <OK> 以保存配置。
11. 选择激活连接 ，确认所有连接都已激活。

    

12. 所有活动的 跟随者/绑定 接口都显示星号 (*) 它的名字左边 如果没有看到星号，请转到连接并激活它。

    

13. 执行以下命令以查看 活动 网络连接的列表。 所有从属接口以及 bond0 接口必须出现在列表中。
    示例

    nmcli connection
                    

    名称 uuid 类型 设备
    bond0 9aa751f6-828d-42dc-90ad-764ee6eb1b8f 纽带 bond0
    ens160 e2f7df86-55c8-4227-a00d-0f048e030b1a 以太网 ens160
    有线连接 1 69c7ab6d-d760-3ba3-acfc-9ff7f05e6453 以太网 ens192
    有线连接 2 3a9ca5e0-9c9e-3bee-9329-d3482093de2c 以太网 ens224
    以太网连接 1 8331fa43-b8fb-4afe-95e8-a801508d3d8b ethernet --
    

14. 验证配置。
    警告: 以下示例中的输出适用于 active-backup 方式。 对于不同的部署，绑定选项/配置可能有所不同。 建议根据选择的方式验证配置。

    示例

    
    cat /etc/sysconfig/network-scripts/ifcfg-bond0
                  

    BONDING_OPTS=" downdelay=400 miimon=100 mode=active-backup updelay=400 "
    类型=债券
    BONDING_MASTER=是
    代理_方法=无
    BROWSER_ONLY=否
    BOOTPROTO=none
    IPADDR=10.168.116.5
    PREFIX=22
    GATEWAY=10.168.116.1
    DEFROUTE=是
    IPV4_FAILURE_FATAL=no
    IPV6INIT=no
    NAME=bond0
    UUID=f3fa06e0-66b7-47d6-aff3-3a3db27ba596
    DEVICE=bond0
    ONBOOT=yes

    
    cat /proc/net/bonding/bond0
                  

    以太网通道绑定驱动程序： v3.7.1 （2011 年 4 月 27 日）
    绑定模式：容错（主动备份）
    主从机： ens160 （始终为 primary_reselect）
    当前激活的从属设备： ens160
    MII 状态：启动
    MII 轮询间隔（毫秒）：100
    上升延迟（毫秒）：400
    下降延迟（毫秒）：400
    从属接口： ens160
    MII 状态：启动
    速度： 10000 Mbps
    双工：全
    Link Failure Count: 0
    永久 HW 地址： 00:50:56:8c:11:13
    从属队列 ID： 0
    从属接口： ens33
    MII 状态：启动
    速度： 1000 Mbps
    双工：全
    Link Failure Count: 0
    永久 HW 地址： 00:50:56:8c:2c:d0
    从属队列 ID： 0

15. 从另一个设备，验证您是否能够对以上示例中创建的 bond0 的 IP 地址执行 ping 操作。

    
    ping 10.168.116.5
                  

    PING 10.168.116.5 ( 10.168.116.5 )：56 数据字节
    64 字节来自 10.168.116.5: icmp_seq=0 ttl=63 time=0.293 ms
    64 字节来自 10.168.116.5: icmp_seq=1 ttl=63 time=0.331 ms
    64 字节来自 10.168.116.5: icmp_seq=2 ttl=63 time=0.249 ms
    64 字节来自 10.168.116.5: icmp_seq=3 ttl=63 time=0.285 ms

    重要信息: 如果 ping 未响应，请 重新启动 要绑定的设备上的网络服务。

    systemctl restart network

可以使用集群中任何成员设备的 IP 地址或 FQDN 来访问 SevOne NMS 集群，以进行图形用户界面门户网站访问。 SevOne NMS 管理员可能希望使用指向单个同级的单个 IP 地址或 FQDN 来提供对集群的访问权-它可能是集群中的集群领导者同级或任何其他同级。 该特定对上的 VIP 配置可确保始终通过活动轮询同级维护对 SevOne NMS 的访问。

通常，在对等对上轮询的设备要求该设备能够通过该对的主设备和辅助设备与 SevOne NMS 进行通信。 例如，在某些配置中，当用户具有设备所需的严格访问控制时，它要求该设备同时为主 NMS 设备和辅助 NMS 设备配置访问控制表 (ACL)。 这会增加管理开销，尤其是在整个环境中有数千个设备的情况下。

用户希望能够使用单个 IP 地址轮询 SevOne NMS 同级上的设备，而无论主设备或辅助设备在任何给定时间是活动轮询器。 在此类场景中，可以在 SevOne NMS 中为同级配置虚拟 IP ，并且只要虚拟 IP 与所需端口上的设备具有网络连接，就可以通过 VIP 进行轮询。

将网络流发送到 SevOne NMS 的流设备需要配置设备以将流同时发送到 SevOne NMS 主 和 辅助 设备，以确保发生故障转移时流可用。

为了避免将相同流发送到两个不同服务器的额外配置和额外带宽需求，用户可能更愿意配置流设备以将流发送到单个 IP 地址。 在这种情况下，用户可以在 SevOne NMS 上配置 VIP ，并在其端配置网络流设备以将流发送到 VIP 地址。 当设备将流发送到 VIP 时，只要用户网络允许从设备到配置为在 SevOne NMS 上接收流的特定端口上的 SevOne NMS 对等设备的 NetFlow 流量， NMS 对等设备上就不需要其他静态路由配置。

用户可能具有使用 SevOne API 与 SevOne NMS 集成的第三方应用程序。 如果用户的第三方应用程序能够跟踪一对 SevOne NMS 设备的故障，以便在活动设备发生故障或变为不可用时继续向可用设备发送请求，这可能是一项挑战。

用户可以在目标 NMS 对等对上配置 VIP ，然后可以将第三方应用程序配置为将 API 请求发送到对等的所需 VIP 地址。

通过使用适用于您的设置的特定值在单引号中填充变量来创建变量。 必须在 PAS 和 HSA 上创建和设置这些变量。

pas_ip='<IP address of the PAS Appliance>'

hsa_ip='<IP address of HSA Appliance>'

base_network='<Base IP Network address>'

base_prefix='<Base Network IP address Network Prefix>'

base_gateway='<Base Network Default Gateway IP address>'

peer_id=$(mysqlconfig -Ne "select server_id from net.peers where \

primary_ip = HEX(INET6_ATON(\"$pas_ip\" )) ")

vip='<Virtual IP address>'

vip_prefix='<Virtual IP address Network Prefix>'

vip_network='<Virtual IP Network Address>'

# Optional (only required for Static Routes)
ext_network='<IP address for External Device/Application Network requiring static route>'

ext_prefix='<IP address Network Prefix for External Network>'

vip_gateway='<IP address of the Gateway for the External Network>'

用于考绩制度

使用ssh 以支持身份登录SevOneNMS 设备 (PAS)。

ssh support@<PAS appliance>

示例

PAS$ pas_ip='10.168.117.48'

PAS$ hsa_ip='10.168.117.58'

PAS$ base_network='10.168.116.0'

PAS$ base_prefix='22'

PAS$ base_gateway='10.168.116.1'

PAS$ peer_id=$(mysqlconfig -Ne "select server_id from net.peers where \
primary_ip = HEX(INET6_ATON(\"$pas_ip\" )) ")

PAS$ vip='10.168.118.64'

PAS$ vip_prefix='22'

PAS$ vip_network='10.168.116.0'


# Optional (only required for Static Routes)
PAS$ ext_network='10.128.24.0'

PAS$ ext_prefix='22'

PAS$ vip_gateway='10.168.116.3'

表示 HSA

使用ssh 以支持身份登录SevOneNMS 设备 (HSA)。

ssh support@<HSA appliance>

示例

HSA$ pas_ip='10.168.117.48'

HSA$ hsa_ip='10.168.117.58'

HSA$ base_network='10.168.116.0'

HSA$ base_prefix='22'

HSA$ base_gateway='10.168.116.1'

HSA$ peer_id=$(mysqlconfig -Ne "select server_id from net.peers where \
secondary_ip = HEX(INET6_ATON(\"$hsa_ip\" )) ")

HSA$ vip='10.168.118.64'

HSA$ vip_prefix='22'

HSA$ vip_network='10.168.116.0'


# Optional (only required for Static Routes)
HSA$ ext_network='10.128.24.0'

HSA$ ext_prefix='22'

HSA$ vip_gateway='10.168.116.3'

在 PAS 和 HSA 设备上执行以下步骤以在 NMS 对上配置虚拟 IP。

SevOne NMS 要求通过基本 IP 地址设置缺省路由。 不支持通过虚拟 IP 地址配置缺省路由，因为 SevOne NMS 中的所有对等通信都是通过基本 IP 地址进行的。 可以针对定制需求配置静态路由-请参阅 虚拟 IP 的定制静态路由 (可选)部分。

要使 SevOne NMS 能够使用虚拟 IP 地址，请更新对的同级表中的 virtual_ip 列。 必须通过更新 config 数据库实例从 Cluster Leader 设备执行对数据库的更新。

确定集群负责人的 IP 地址

PAS$ cluster_master_ip=$(mysqlconfig -Ne "select ip_normalize(ip) \
from net.peers where master = 1")

使用要执行的命令设置变量

PAS$ cmd=$(echo "update net.peers set virtual_ip = HEX(INET6_ATON( '${vip}' )) \
where server_id = $peer_id")

通过 SSH 登录到集群引导程序以更新 net.peers 表和 virtual_ip 列

PAS$ ssh $cluster_master_ip "mysqlconfig -e \"$cmd\" "

在 PAS 上: 验证更新是否已成功完成

PAS$ mysqlconfig -e "select * from net.peers where server_id = $peer_id \G"

在 HSA 上: 验证更新是否已成功完成

HSA$ mysqlconfig -e "select * from net.peers where server_id = $peer_id \G"

示例: 从 Cluster Leader 配置数据库更新同级表中的 virtual_ip

关于考绩制度

PAS$ cluster_master_ip=$(mysqlconfig -Ne "select ip_normalize(ip) \
from net.peers where master = 1")

PAS$ cmd=$(echo "update net.peers set virtual_ip = HEX(INET6_ATON('${vip}')) \
where server_id = ${peer_id}")

PAS$ ssh $cluster_master_ip "mysqlconfig -e \"$cmd\" "

PAS$ mysqlconfig -e "select * from net.peers where server_id = $peer_id \G"
************************* 1. row *************************
server_id: 1
name: jb-vip-01
ip: 0AA87530
primary_ip: 0AA87530
secondary_ip: 0AA8753A
active_appliance: PRIMARY
disabled: 0
virtual_ip: 0AA87640
master: 1
user: support
pass:
capacity: 10000
interface_limit: 33
flow_limit: 10000
netflow_interface_count: 0
server_load: 614
flow_load: 0
model: PAS
proxy_port: 8123
proxy_user: 99bnqiHZEpVSRH/61I/xuQ==
proxy_pass: 99bnqiHZEpVSRH/61I/xuQ==
group_poller_device_count: 0
group_poller_object_count: 0
selfmon_device_count: 1
selfmon_object_count: 69

如果在 SevOne NMS 虚拟 IP 配置期间为该对启用了特定静态路由，那么必须将针对 IP 地址 $vip的 MySQL 许可权授予集群中的所有对。 执行以下步骤。

1. 标识集群引导者的 IP 地址。

   ssh support@<PAS appliance>

   PAS$ cluster_master_ip=$(mysqlconfig -Ne \
   "select ip_normalize(ip) from net.peers where master = 1")

2. SSH 进入群集领导并执行 SevOne-fix-mysql-permissions.

   
   PAS$ podman exec -it nms-nms-nms /bin/bash
   
   PAS$ ssh $cluster_master_ip "/usr/local/scripts/SevOne-fix-mysql-permissions"

3. 验证该对 (PAS/HSA) 是否可以连接到集群引导者而不被拒绝。

   关于考绩制度

   ssh support@<PAS appliance>

   PAS$ mysql -h $cluster_master_ip -u support -p

   关于 HSA

   ssh support@<HSA appliance>

   HSA$ mysql -h $cluster_master_ip -u support -p

虚拟 IP 必须仅在 活动 设备上启动。 确保 被动 设备上的虚拟 IP 未 启动。 执行以下命令。

关于考绩制度

# <connection_name> must be your connection
PAS$ ip addr show <connection_name>

PAS$ ip route show
PAS$ route -n

示例

PAS$ ip addr show ens160
2: ens160: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
link/ether 00:50:56:be:3b:9f brd ff:ff:ff:ff:ff:ff
inet 10.168.117.48/22 brd 10.168.119.255 scope global noprefixroute ens160
valid_lft forever preferred_lft forever
inet 10.168.118.64/22 brd 10.168.119.255 scope global secondary noprefixroute ens160
valid_lft forever preferred_lft forever
inet6 fe80::dfe8:13cd:2fde:454d/64 scope link noprefixroute
valid_lft forever preferred_lft forever

PAS$ ip route show
default via 10.168.116.1 dev ens160 proto static metric 100
10.168.116.0/22 dev ens160 proto kernel scope link src 10.168.117.48 metric 100
10.168.116.0/22 dev ens160 proto kernel scope link src 10.168.118.64 metric 100
172.17.0.0/24 dev docker0 proto kernel scope link src 172.17.0.1
PAS$ route -n

Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 10.168.116.1 0.0.0.0 UG 100 0 0 ens160
10.168.116.0 0.0.0.0 255.255.252.0 U 100 0 0 ens160
10.168.116.0 0.0.0.0 255.255.252.0 U 100 0 0 ens160
172.17.0.0 0.0.0.0 255.255.255.0 U 0 0 0 docker0

关于 HSA

# <connection_name> must be your connection
HSA$ ip addr show <connection_name>

HSA$ ip route show
HSA$ route -n

示例

HSA$ ip addr show ens160
2: ens160: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
link/ether 00:50:56:be:81:da brd ff:ff:ff:ff:ff:ff
inet 10.168.117.58/22 brd 10.168.119.255 scope global noprefixroute ens160
valid_lft forever preferred_lft forever
inet6 fe80::9696:45e5:b048:1b93/64 scope link noprefixroute
valid_lft forever preferred_lft forever

HSA$ ip route show
default via 10.168.116.1 dev ens160 proto static metric 100
10.168.116.0/22 dev ens160 proto kernel scope link src 10.168.117.58 metric 100
172.17.0.0/24 dev docker0 proto kernel scope link src 172.17.0.1

HSA$ route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 10.168.116.1 0.0.0.0 UG 100 0 0 ens160
10.168.116.0 0.0.0.0 255.255.252.0 U 100 0 0 ens160
172.17.0.0 0.0.0.0 255.255.255.0 U 0 0 0 docker0

虚拟 IP 必须仅在 活动 设备上启动。 确保 被动 设备上的虚拟 IP 未 启动。 执行以下命令。

关于考绩制度

# <connection_name> must be your connection
PAS$ ip addr show <connection_name>

PAS$ ip route show

PAS$ route -n

示例

PAS$ ip addr show ens160
2: ens160: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
link/ether 00:50:56:be:3b:9f brd ff:ff:ff:ff:ff:ff
inet 10.168.117.48/22 brd 10.168.119.255 scope global noprefixroute ens160
valid_lft forever preferred_lft forever
inet 10.168.118.64/22 brd 10.168.119.255 scope global secondary noprefixroute ens160
valid_lft forever preferred_lft forever
inet6 fe80::dfe8:13cd:2fde:454d/64 scope link noprefixroute
valid_lft forever preferred_lft forever

PAS$ ip route show
default via 10.168.116.1 dev ens160 proto static metric 100
10.128.24.0/22 via 10.168.116.3 dev ens160 proto static src 10.168.118.64
10.168.116.0/22 dev ens160 proto kernel scope link src 10.168.117.48 metric 100
10.168.116.0/22 dev ens160 proto kernel scope link src 10.168.118.64 metric 100
172.17.0.0/24 dev docker0 proto kernel scope link src 172.17.0.1

PAS$ route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 10.168.116.1 0.0.0.0 UG 100 0 0 ens160
10.128.24.0 10.168.116.3 255.255.252.0 UG 0 0 0 ens160
10.168.116.0 0.0.0.0 255.255.252.0 U 100 0 0 ens160
10.168.116.0 0.0.0.0 255.255.252.0 U 100 0 0 ens160
172.17.0.0 0.0.0.0 255.255.255.0 U 0 0 0 docker0

关于 HSA

# <connection_name> must be your connection
HSA$ ip addr show <connection_name>

HSA$ ip route show

HSA$ route -n

示例

HSA$ ip addr show ens160
2: ens160: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
link/ether 00:50:56:be:81:da brd ff:ff:ff:ff:ff:ff
inet 10.168.117.58/22 brd 10.168.119.255 scope global noprefixroute ens160
valid_lft forever preferred_lft forever
inet6 fe80::9696:45e5:b048:1b93/64 scope link noprefixroute
valid_lft forever preferred_lft forever

HSA$ ip route show
default via 10.168.116.1 dev ens160 proto static metric 100
10.168.116.0/22 dev ens160 proto kernel scope link src 10.168.117.58 metric 100
172.17.0.0/24 dev docker0 proto kernel scope link src 172.17.0.1

Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 10.168.116.1 0.0.0.0 UG 100 0 0 ens160
10.168.116.0 0.0.0.0 255.255.252.0 U 100 0 0 ens160
172.17.0.0 0.0.0.0 255.255.255.0 U 0 0 0 docker0

执行以下步骤以使用 NMCLI 手动更改 IP 地址。

1. 使用ssh 以支持身份登录SevOneNMS 设备。

   ssh support@<NMS appliance>

2. 执行以下命令以查看所有接口。

   
   nmcli
                 

   ens160: 连接到 ens160
   "VMware VMXNET3"
   以太网 ( vmxnet3 ), 00:50:56:BE:C7:12, hw, mtu 1500
   ip4 默认
   inet4 10.129.27.33/22
   route4 0.0.0.0/0
   route4 10.129.24.0/22
   inet6 fe80::250:56ff:febe:c712/64
   route6 fe80::/64
   route6 ff00::/8
   
   docker0: 非托管
   "docker0"
   Bridge, 02:42:A9:B2:4F:F5, sw, mtu 1500
   
   lo: 无人管理
   "洛"
   环回（未知），00:00:00:00:00:00:00, sw, mtu 65536
   
   DNS 配置：
   服务器： 10.168.0.50 10.168.16.50 10.205.8.50
   领域： wifi.sevone.com wilm.sevone.com sevone.com network.qa
   接口： ens160

3. 要修改接口，请执行以下命令。

   nmcli connection modify <interface name> ipv4.address <ip_address/prefix>

   示例

   nmcli connection modify ens160 ipv4.address 10.129.27.55/22

   注: 缺省网关 default via必须位于新 IP 地址的子网中。 但是，如果还需要修改缺省网关，请执行以下命令。

   nmcli connection modify ens160 ipv4.gateway <Gateway_IP>

   示例

   nmcli connection modify ens160 ipv4.gateway 10.129.24.0

执行以下步骤以使用 NMTUI 手动更改 IP 地址。

1. 使用ssh 以支持身份登录SevOneNMS 设备。

   ssh support@<NMS appliance>

2. 要修改接口，请执行以下命令。

   nmtui edit <interface name>

   示例

   nmtui edit ens160

   浏览至要修改的 IP 地址

   

对于两者， NMCLI 或 NMTUI

示例: 查看 /etc/sysconfig/network-scripts/ifcfg-ens160 配置文件

cat /etc/sysconfig/network-scripts/ifcfg-ens160
          

# 由 dracut initrd 生成
NAME=ens160
DEVICE=ens160
ONBOOT=yes
NETBOOT=是
UUID=e2f7df86-55c8-4227-a00d-0f048e030b1a
IPV6INIT=yes
BOOTPROTO=none
类型=以太网
代理_方法=无
BROWSER_ONLY=否
DEFROUTE=是
IPV4_FAILURE_FATAL=no
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_FAILURE_FATAL=no
IPADDR=10.129.27.33
PREFIX=22
GATEWAY=10.129.24.0

根据已执行网络 IP 地址更改的 NMS 设备，必须更新该 NMS 设备的 NMS 配置以反映该更改。 根据设备类型 (主/辅助) 和当前角色 (主动/被动) ，使用以下其中一个适用选项。

如果设备上的 IP 地址已更改，请重新引导设备以使新 IP 地址生效。

podman exec -it nms-nms-nms /bin/bash

SevOne-shutdown reboot

当客户不希望向外部网络公开内部 IP 地址时，当路由到外部网络时，会将 NAT 应用于内部 IP 地址。 不需要使用 NAT 的 IP 进行内部网络通信。

NAT IP 地址只能在外部网络和内部网络之间路由。 内部网络中的主机必须使用物理内部 IP 地址来路由到内部网络中的其他主机。

仅支持静态 NAT (一对一 NAT)。 不支持动态 NAT/PAT。

作为一个例子，基本的网络寻址方案总结如下表所示。

SevOne NMS 同级充当集群引导者，轮询 PAS 或 DNC。 对等设备通常由两个设备组成-一个主设备和一个辅助设备。 独立同级仅具有主设备。 主设备和辅助设备可以位于单独的子网中，也可以位于单独的物理数据中心中。 但是，同级中的两个设备都位于内部网络或外部网络中。 同级从不在内部网络和外部网络之间进行拆分。

网络中的每个设备都必须具有自己的唯一物理 IP 地址。

在 SevOne NMS 中，同级表为每个同级维护一个记录。 每个同级只能向其主 IP 地址分配一个 IP 地址，向其辅助 IP 地址分配一个 IP 地址 (如果存在辅助 IP 地址)。 同级将始终由同级的当前 活动 设备的 IP 地址引用，并且可以选择为每个同级分配一个虚拟 IP。

同级表将复制到所有同级，并且在集群中的所有同级上都相同。

要使 SevOne NMS 正常工作，除中心辐射集群外，必须使用对等表中包含的对等地址在完全咬合的配置中访问所有对等节点。

在标准配置中， SevOne NMS 无法支持网络体系结构，在此体系结构中，内部网络中的同级使用来自内部网络中其他同级的物理地址和来自外部网络中同级的 NAT 地址来寻址。

firewalld 是 Linux 操作系统的防火墙管理工具，支持在 Linux 主机上处理 IP 包过滤规则 (包括 NAT)。

通过应用 firewalld NAT 规则 (中心辐射集群除外) ，可以确保 SevOne NMS 同级之间的全网连接，同时支持 SevOne NMS 集群和以正常方式寻址的公共同级表，而无需对 SevOne NMS 应用程序进行任何更改。

在此模型中，同级表中维护的 NMS 对等地址是内部同级的 NAT IP 地址和外部同级的物理 IP 地址。

firewalld NAT 规则将应用于内部同级，以使它们能够使用内部网络中的 NAT IP 地址相互通信。

外部同级不需要任何 firewalld NAT 配置，因为它们可以使用 NMS 同级表中存储的 NAT IP 地址路由到内部同级。

示例

在此模型中， NMS 对等地址是内部和外部网络中所有对等节点的物理 IP 地址。

firewalld NAT 规则应用于每个外部同级，以使它们能够使用内部同级的物理 IP 地址与内部同级通信。

内部同级不需要任何 firewalld NAT 规则配置，因为它们可以使用其物理地址路由到外部网络和内部同级。

1. 使用您选择的文本编辑器，在任何目录中创建 nat.csv 文本文件。 例如，/etc/SevOne/nat. nat.csv 文件必须包含所有内部设备（应用 NAT 的设备）的物理 IP 地址和 NAT IP 地址。 .csv 文件的格式如下所示。

   <physical IP 1>,<NAT IP 1>
   <physical IP 2>,<NAT IP 2>
   ...

   要点: nat.csv 文件不包含标题行。

   示例

   10.168.180.21, 10.133.72.26
   10.168.180.22, 10.133.72.27

2. 使用您选择的文本编辑器，在任何目录中创建 hosts.ini 文本文件。 例如，/etc/SevOne/nat. hosts.ini 文件必须包含应用 NAT 规则的主机 IP 地址。 .csv 文件的格式如下所示。

   <hostip1>
   <hostip2>
   ...

   要点: hosts.ini 文件不包含标题行。

   示例

   10.133.72.21
   10.133.72.22

1. 执行以下命令以在 hosts.ini 文件中提到的所有同级上生成 NAT 规则。

   
   podman exec -it nms-nms-nms /bin/bash
   
   SevOne-act firewall apply-nat --natfile /etc/SevOne/nat/nat.csv \
   --ipfile /etc/SevOne/nat/hosts.ini

   该脚本会检测本地主机的 IP 地址，并根据规则是应用于 NAT 'd 主机 (内部网络) 还是非 NAT' d 主机 (外部网络) 来确定相应的 firewalld NAT 规则。

2. 如果规则不符合预期，请更正 nat.csv 文件。 要验证 NAT 规则是否正确，请执行 验证规则中的命令。
   1. 执行以下命令以清空规则。

      
      podman exec -it nms-nms-nms /bin/bash
      
      SevOne-act firewall flush-nat --ipfile /etc/SevOne/nat/hosts.ini

   2. 再次应用 NAT 规则。

      
      podman exec -it nms-nms-nms /bin/bash
      
      SevOne-act firewall apply-nat --natfile /etc/SevOne/nat/nat.csv \
      --ipfile /etc/SevOne/nat/hosts.ini

3. 要验证是否成功添加了规则，请在每个主机上执行以下命令以检查 firewalld NAT 规则。

   firewall-cmd --direct --get-all-rules

   检查是否永久设置了规则

   firewall-cmd --permanent --direct --get-all-rules

   注: 如果永久添加或未添加规则，那么可以选中 /etc/firewalld/direct.xml 。

以下是有用的 firewall-cmd 命令。

检查是否在防火墙中装入了规则

firewall-cmd --direct --get-all-rules

检查是否永久装入规则

firewall-cmd --permanent --direct --get-all-rules

检查文件中是否存在规则

cat /etc/firewalld/direct.xml

检查是否已成功添加 NAT 条目

mysqldata -e "select * from local.nat_config_info"
          

+----+---------------+---------------+---------------------+
| ID | 物理 IP | nat_IP | 创建日期
+----+---------------+---------------+---------------------+
| 1 | 10.168.180.21 | 10.133.72.26 | 2020-06-25 05:05:49 |
| 2 | 10.168.180.22 | 10.133.72.27 | 2020-06-25 05:05:50 |
+----+---------------+---------------+---------------------+
          

在将新同级添加到 NMS 集群之前，必须执行手动连接检查，以确保新同级使用将用于将同级添加到 NMS 集群的 IP 地址与所有其他同级进行连接。

1. 通过使用 NMS 同级表中包含的同级 IP 地址，从新同级使用 ssh 和 mysql 确认可以访问集群中的每个现有同级。

   
   ssh <existing peering address>
   
   mysql -h <existing peering address>

   重要信息: 在将新同级添加到 NMS 集群之前，将拒绝 MySQL 连接。 确认连接消息中的 IP 地址是尝试建立连接的同级的对等地址-它可以是 NAT IP 地址，也可以是用于添加新同级的物理 IP 地址。
2. 确认可使用 ssh 从使用新同级的对等地址的每个现有同级访问新同级。

   
   ssh <new peering address>
   
   mysql -h <new peering address>

   重要信息: 在将新同级添加到 NMS 集群之前，将拒绝 MySQL 连接。 确认连接消息中的 IP 地址是尝试连接的同级的对等地址。

构建 NMS 集群后，可以使用标准 NMS 集群运行状况检查脚本来验证所需连接是否在所有同级之间工作，并对集群活动期间观察到的任何问题进行故障诊断。

1. 执行以下命令以执行集群的完全检出。

   
   podman exec -it nms-nms-nms /bin/bash
   
   SevOne-act check checkout –full-cluster

   重要信息: 如果检测到任何错误，那么可以执行个别检查脚本。
2. 要检测连接和端口访问问题，请执行以下命令。

   
   podman exec -it nms-nms-nms /bin/bash
   
   SevOne-act check peers --full-cluster -v
   
   SevOne-act check mysql-full-mesh-connectivity --full-cluster -v

1. 执行以下命令以检查 firewalld 服务是否 已启用 且 处于活动状态。

   firewalld.service - firewalld - dynamic firewall daemon
                 

   已加载：已加载 ( /usr/lib/systemd/system/firewalld.service; 已启用；供应商预设：已启用)
   活动：自 Tue 2020-06-23 10:00:54 UTC 起活动（运行）；1 天 20h 前
   文档：man:firewalld(1)
   主 PID： 22923（firewalld）
   任务：2
   内存 29.0M
   CG 组： /system.slice/firewalld.service
   └─22923 /usr/bin/python2 -Es /usr/sbin/firewalld --nofork --nopid

如果使用 SevOne-change-ip 更改了 IP 地址，或者更改了 NAT 设备的 IP 地址，则必须重新生成 firewalld 规则。

必须重新生成 firewalld 规则。

如果将新同级添加到集群，那么必须先应用 firewalld NAT 配置规则，然后再将该同级添加到 NMS 集群。

对于已除去的同级，必须手动清空 NAT 规则。 一旦删除，您必须执行刷新规则脚本，如生成防火墙 NAT 规则中所述。 在其余同级上，必须使用更新后的配置再次应用 NAT 规则。

如果 NAT ' d 服务器 (即当前集群领导者同级) 的 IP 地址没有更改，那么不需要重新应用 NAT 规则。 但是，如果任何对等设备的 IP 地址发生变化，则必须使用 NAT 实用程序命令（如 SevOne-act firewall flush-nat 和 SevOne-act firewall apply-nat ）刷新并重新配置配置。 此外，在生成 firewalld NAT 规则一节中也有描述。

不需要更改。

是，如果配置了 NAT ，那么 firewalld 服务必须始终启动并运行。

不支持通过虚拟 IP 进行 NAT 配置。 如果将绑定配置为使用虚拟 IP ，那么将不支持该绑定。

请参阅 SevOne NMS System Administration Guide 中的以下部分，以根据需要添加 port 规则。

• 管理 > 集群管理器 > 集群设置 选项卡> 防火墙 子选项卡。
• 管理 > 集群管理器 > [特定设备] > 对等设置 选项卡> 防火墙 子选项卡。