当ftStorage阵列最初的构想是,当需要在阵列上配置一些东西时,管理员将使用OpenVOS登录会话的命令行界面或OpenVOS控制台PC来访问GUI界面。许多管理员更喜欢GUI界面。不幸的是,控制台连接到维护网络,并且位于靠近系统的地方。这使得大多数管理员不方便--特别是熄灯安装的管理员。然而,有几种解决方案允许远程连接到GUI界面。
远程桌面进入控制台
由于控制台是一台PC,一个解决方案是为它添加另一个网络适配器。然后将这第二个适配器连接到具有远程访问功能的网络上。然后,系统管理员使用远程桌面客户端连接到控制台PC,并有效地坐在控制台的屏幕、键盘和鼠标前。这种方式的主要优点是不需要额外的软件,远程桌面软件已经在控制台PC上,而且很可能就在管理员的工作站上。当然除了要添加网络适配器并连接到网络外,主要的缺点是安全性较弱,任何能够进入远程网络的人都可以访问控制台PC。即使他们没有登录账号,他们也有权限尝试入侵PC,并从那里进入维护网络上的任何设备,包括OpenVOS系统。
本地路由
这是假设系统管理员在与连接到ftStorage阵列的OpenVOS系统处于同一本地子网的工作站上工作。要做到这一点,需要配置三件事。首先,在管理员的工作站上,需要以OpenVOS系统作为网关,设置一条通往存储阵列的路由。第二,你需要配置ftStorage阵列有一个默认路由,使用OpenVOS系统作为网关。第三,必须将OpenVOS系统配置为转发数据包。这种方法的主要优点是不需要额外的软件。缺点是要求管理员的工作站与OpenVOS系统在同一个子网,并且OpenVOS必须配置为转发数据包。这可以说是一种安全风险,因为一般来说,你无法告诉OpenVOS转发或不转发哪些数据包(但请参见VOS的基于主机的防火墙)。
从VOS的SSH隧道
如果在OpenVOS系统上安装了"OpenSSL和OpenSSH for VOS",就可以创建一个端口转发器,允许任何有TCP访问权限的人连接到ftStorage阵列。假设ftStorage阵列位于10.10.1.20,则命令为
>system>openssl>bin>ssh -2TNxg -L 49876:10.10.1.20:80 [email protected]。
其中USERNAME是管理员的登录名。如果管理员在OpenVOS系统上设置了一个公钥,他可以将该公钥添加到他的authorized_keys文件中,而不会被提示输入密码。这意味着他可以将该命令作为一个已启动的进程来运行。参见设置Stratus STCP SSH使用公钥认证。
start_process '>system>openssl>bin>ssh -2TNxg -L 49876:10.10.1.20:80 [email protected]' -output_path foo.out -process_name foo。
一旦命令运行,管理员将在工作站上启动浏览器,并使用URL"http://openvos-system-name:49876/",其中OpenVOS-SYSTEM-NAME是系统的名称或IP地址。
图1
这种方式的主要优点是,工作站上不需要额外的软件。另外如果SSH作为启动进程运行,只需启动一次,可以由多个管理员在多个时间使用。主要的缺点又是安全性较弱,任何人,不仅仅是注册用户,从任何有TCP连接到OpenVOS系统的地方都可以访问ftStorage网关。VOS系统上没有登录授权,不过ftStorage阵列确实需要用户ID和密码。如果没有防火墙保护被选为隧道监听端的本地端口,我不会实施这种方法(同样是基于主机的VOS防火墙)。
从工作站进行SSH隧道
同样,如果在OpenVOS系统上安装了"OpenSSL和OpenSSH for VOS",就可以建立一个基于PC的隧道,允许从PC上进行端口转发。这种方法的主要优点是安全性强,它需要通过VOS认证才能建立隧道,并对工作站和OpenVOS之间的所有数据包进行加密。主要缺点是每个管理员每次要使用隧道时都要设置隧道,而且需要在工作站上安装SSH软件。
有几个我熟悉的SSH软件包。如果你打算做的只是建立一个SSH隧道,PuTTY是最简单的。它也是免费的,你可以从http://www.chiark.greenend.org.uk/~sgtatham/putty/下载。
以下步骤可以用来配置PuTTY 0.60,这是本博客发布时Putty的当前版本。
当启动PuTTY时,会弹出一个配置对话框。在对话框左边的类别部分,展开SSH部分并选择隧道。在源端口编辑框中输入工作站将监听的本地端口号,在图2中是49876。在目标编辑框中输入ftStorage阵列的IP地址、冒号和端口号80,图2中是10.10.1.20:80。按下添加按钮,将这些信息从编辑框中移到对话框右侧中间的"转发端口"显示中。
图二
现在选择SSH类别。在"协议选项"下勾选"完全不启动shell或命令"和"仅2"。SSH协议版本1不再被认为是安全的,永远不应该使用。
图三
现在回到会话类别,填写OpenVOS系统的名称或IP地址,然后按打开。
图四
PuTTY会提示输入用户名,建立连接后再输入密码。这时,假设没有错误,你可以将窗口最小化或让它在后台。不要关闭窗口,否则你会失去连接。
图五
最后,打开浏览器,输入网址127.0.0.1:49876。
图六
当你完成后,关闭浏览器或至少是连接到ftStorage数组的标签,然后关闭PuTTY窗口。