使用 IBM Endpoint Manager 和 IBM PureApplication Software on Microsoft Azure 实...

简介

IBM® PureApplication® Software on Microsoft® Azure® 结合使用 IBM Endpoint Manager (IEM) 和 IBM License Metric Toolkit (ILMT) 来发现和报告已安装的 IBM 软件产品，使客户不必手动跟踪软件的安装和使用。许可扫描架构如下所示：

图 1. 许可扫描架构的组件

ILMT 在 IEM 上运行，后者是一个包含多个独立组件的完整的系统管理平台。IBM PureApplication Software on Azure 使用 IEM 执行生命周期管理。有关的更多信息，请参阅 IBM 知识中心。所需的 IEM 基础架构由两部分组成：

• IEM 客户端（也称为 IEM 代理）：在 IBM PureApplication Software 部署过程中自动安装在已部署好的虚拟机上。
• IEM 服务器：管理虚拟机上的软件扫描并汇集扫描结果。

本文将展示如何设置 IEM IBM PureApplication 并配置它，在通过 IBM PureApplication Software on Azure 部署的虚拟机上执行许可扫描。尽管 IEM 同时支持 Linux® 和 Windows® 上的服务器操作，但本文仅介绍 Windows 上的安装，展示创建适用于 IBM PureApplication Software on Azure 的操作环境的基本步骤。

安装前规划

这一节将概述一些要求和步骤。有关的更多细节，请参阅后续章节和 IBM 知识中心中的入门。

提供一个运行 Microsoft Windows 2012 Server Standard Edition 的系统。

本教程使用了 Microsoft Windows 2012 Server Standard Edition，但任何最新的 Windows 版本都可以使用。有关支持的操作系统版本的最新列表，请参阅 IBM Endpoint Manager 9.2.0 系统要求 下的 “Windows” 部分。

确保所有组件之间存在网络连接。

您必须建立两个独立的通信通道：

• IEM 服务器与部署的虚拟机之间的连接。
• IEM 服务器与 IBM PureApplication Software on Azure Management Server (PSM) 之间的连接。

IEM 安装和设置

安装步骤概述

1. 设置一个 Windows 系统来承载 IEM 服务器
2. 建立网络连接
3. 获取 IBM Endpoint Manager 软件包和所需的许可
4. 使用 IEM 安装文件生成器执行 IEM 服务器安装
5. 安装 IEM 服务器控制台应用程序
6. 在 IEM 服务器上启用混合模式的 Microsoft SQL Server 身份验证
7. 设置 IEM 扫描任务

1. 设置一个 Windows 系统来承载 IEM 服务器系统

一定要针对您想要使用的已部署虚拟机数量来适当调整 IEM 服务器。有关调整 IEM 服务器的更多信息，请参阅 IBM Endpoint Manager 9.2.0 系统要求 下的 “Windows” 部分，单击 Hardware 选项卡。

2. 建立网络连接

• 确保 IEM 服务器上的防火墙端口已打开：
  • IEM 服务器必须允许存在端口 52311 上的入站 TCP 和 UDP 流量，才能在 IEM 服务器与部署的虚拟机之间建立通信。
  • IEM 服务器必须允许存在端口 1433 上的入站流量，才能对数据库执行 JDBC 访问。
• IEM 服务器主机名必须可由 Microsoft Azure 部署所使用的 NDS 服务器进行解析。
• 除了与已部署的 Azure 虚拟机建立网络连接，IEM 服务器还必须与 PSM 建立连接。另外，PSM 主机名必须可由 IEM 服务器使用的 DNS 服务器进行解析。
• PSM 上的防火墙必须允许存在端口 9082 上来自 IEM 服务器的入站 TCP 流量。

3. 获取 IBM Endpoint Manager 软件包和需要的许可

作为 IBM PureApplication Software on Azure 的一部分，您会自动获得 IBM Endpoint Manager 授权。可以使用 Passport Advantage 下载 IEM，而且它将自动显示在您的可用软件列表中。

除了 IEM 安装镜像，还需要一个许可授权文件来生成产品密钥。您组织的技术联系人应已通过电子邮件收到有关如何创建和下载 IEM 许可授权文件的信息。有关许可管理的说明和更多信息，请参阅 IBM Endpoint Manager for Patch Management 知识中心中的管理协议。

4. 使用 IEM 安装文件生成器执行 IEM 服务器安装

安装通过 IEM 服务器安装文件生成器完成，该生成器捕获配置和许可信息，生成所需的文件和安装二进制文件。

运行 IEM 安装文件生成器

1. 从您保存所下载的 IEM 安装镜像的目录，运行 setup.exe 来启动安装文件生成器。
2. 在 Select Install Type 屏幕上，选择选项 Production 。
3. 在下一个屏幕上，接受软件许可协议并继续。
4. 下一个屏幕用于选择安装类型。按下图所示进行选择：

   图 2. IEM 安装生成器：选择安装类型

   
5. 选择 I want to install with an IBM Endpoint Manager license authorization file 。单击 Next 并找到文件 LicenseAuthorization.BESLicenseAuthorization 所在的位置：

   图 3. 许可授权文件位置对话框

   
6. 下一个屏幕会提示您输入 IEM 服务器的 DNS 名称，该名称必须可以通过已部署的虚拟机进行解析。hostname 值已填入 -- 如果它是正确的，请单击 Next ；如果它是错的，请将它更改为正确的值并单击 Next ：

   图 4. 请求许可：指定 IEM 服务器名称

   
7. 输入一个用于创建密钥对的密码，该密钥对用于创建 IEM 控制台的管理用户。您必须保存此文件，但对于基本操作，不需要再次引用它。

   图 5. 输入 IEM 签名密钥密码

   
8. 接下来系统会提示您指定保存所生成的密钥文件和证书的位置：

   图 6. IEM 签名密钥的存储位置

   
9. 许可请求将通过互联网提交。如果 IEM 服务器无法访问互联网，请按照屏幕上的说明手动完成该过程：

   图 7. 通过互联网提交 IEM 许可请求

   
10. 单击 Request ，然后在下一个屏幕上，单击 Create 进入创建 masthead 文件的对话框：

    图 8. 创建 masthead 文件

    
11. Advanced Masthead Parameters 屏幕上的默认值应该适合大多数用途。单击 OK 接受 masthead 参数。您现在已经创建了许可文件。下一步是运行安装文件生成器来创建 IEM 安装程序。系统会提示您指定存储安装程序二进制文件的位置：

    图 9. 指定 IEM 安装组件的位置

    
12. 采用默认路径，让对话框运行，然后单击 InstallShield Wizard Complete 屏幕上的 Finish 来启动 IBM Endpoint Manager 安装指南：

    图 10. 安装文件生成器成功完成

    

    图 11. 安装 IEM 服务器

    
13. 在 Installation Guide 启动面板上，选择左侧的 Install Server ，然后单击主面板上的 Install the Server on this computer ：

    图 12. 启动 IEM Server Installation 对话框

    
14. Endpoint Manager Server 安装程序已启动。接受 Select Features 屏幕上的默认值：

    图 13. 选择 IEM 服务器功能

    
15. 接受 Select Database Replication 屏幕上默认的 Single or Master Database 和 Use Local Database ，这会导致安装 SQL Server 2005 Express：

    图 14. 选择 Microsoft SQL Server 安装的目标位置

    
16. 接受 Microsoft SQL Server 和 BES Server 的默认位置，然后在下面的屏幕上，对 IEM 服务器和 Web Reports Server 使用默认的 WWW 和 URL 设置：

    图 15. 指定 IEM 服务器根文件夹的位置和 URL

    
17. 单击安装参数检查屏幕上的 Next ，启动安装 Microsoft SQL Server 和 IEM 服务器的过程。
18. 您会看到各种安装和配置 SQL Server 的进程正在运行，然后会出现一个对话框要求指定 Site Admin Private Key 的位置。接受默认值，在下一个提示符下输入 Site Admin Private Key Password 并记录下它。尽管您通常不会直接使用这个密钥对，但它是 IEM 服务器与所部署的虚拟机上的 IEM 代理之间的所有身份验证的基础。
19. 接下来，系统会提示您为 IEM 服务器管理用户输入一个用户名和密码。选择一个用户名和密码并记录下它们，因为您将使用它们登录到 IEM 控制台：

    图 16. 创建 IEM 管理用户

    
20. 您将获得一个提示 “Setup has finished install IBM Endpoint Manager Server on your computer” 和一个运行 IEM Diagnostic Tool 的复选框。单击 Finish ：

    图 17. IEM 服务器安装成功完成

    
21. 如果您保持选中运行诊断的选项，那么在它完成时，您可能会看到一条警告表明 BES 客户端未运行且不存在。忽略它，因为您尚未安装该客户端。您应该不会看到其他任何错误。如果已运行诊断，请单击此诊断对话框中的 Close 。

5. 安装 IEM 服务器控制台

IEM 服务器控制台是一个仅支持 Windows 的应用程序。它可以安装在 IEM 服务器上，也可以安装在其他任何基于 Windows 的系统上，而且多个控制台可连接到 IEM 服务器。

1. 单击 Endpoint Manager Installation Guide 左侧的 Install Console 并单击 Install the Console on this computer 。如果想将控制台安装在不同系统上，可按照同一个面板上的说明进行操作。

   图 18. 安装 IEM 控制台应用程序

   
2. 单击 Next 使用默认位置。在下一个屏幕上，单击 Install 开始安装。

   图 19. IEM Console Installshield Wizard

   
3. 接受安装位置和创建一个桌面快捷方式的默认设置，然后单击 Install 。安装完成时，单击 Finish 启动控制台。

6. 在 IEM 服务器上启用混合模式的 Microsoft SQL Server 身份验证

PSM 使用 JDBC 从 IEM 服务器获取扫描的许可数据。因为 PSM 是基于 Linux 的，所以它将 Microsoft Linux JDBC 驱动程序用于 MS SQL，这需要启用 MS SQL Server 身份验证。这被称为混合模式身份验证。有关启用 SQL Server 身份验证的信息和可以访问的合适用户 ID，请参阅 更改服务器身份验证模式 。其中描述的步骤展示了如何使用 Microsoft SQL Server Studio。您可以从 Microsoft 下载 Microsoft SQL Server Management Studio Express 。

7. 设置 IEM 扫描任务

在 IBM PureApplication Software on Azure UI 中配置许可扫描

在 IEM 控制台中完成许可扫描的设置之前，您必须在 IBM PureApplication Software UI 的 Configure License Scanning 页面上建立 PSM 与 IEM 服务器之间的链接：

1. 选择 System => System Settings ，然后展开 License Scanner Settings 部分。
2. 对于 Database Type，保留默认设置 MS SQL Server，为 Database for IBM Endpoint Manager Server 和 Web Reports Database 输入正确的主机名、用户名和密码。默认用户名为 “sa”，密码是您在上一步 “更改服务器身份验证模式” 中设置的密码。不要更改默认数据库名称 BFEnterprise 和 BESReporting。
3. 在位于中间部分的 IBM Endpoint Manager Server 中，输入您的 IEM 服务器的主机名，以及您在上面的 “安装 IEM 服务器” 部分中指定的用户名和密码。
4. 单击 Test Connection 验证您的输入和网络连接。如果连接成功，请单击 Save 存储您的设置，并在 PSM 中启动一个后台进程来配置和启动 PSM 的许可扫描器组件。

   图 20. IBM PureApplication Software on Azure：许可扫描器设置

   

设置 IEM 软件许可扫描任务

您现在必须在 IEM 控制台中执行一些操作，许可扫描进程才会运行。这些步骤只需完成一次 -- 它们建立将对 IBM PureApplication Software on Azure 部署的每个虚拟机自动执行的 IEM 任务。本节将介绍这些步骤以及 IEM 的一些背景信息。

IBM Endpoint Manager 和任务操作概述

IEM 简介为您执行下面的步骤和设置系统提供了足够的背景信息。有关更详细的信息，请参阅 IBM Endpoint Manager for Lifecycle Management V9.2 知识中心 。

• IEM 是一个在所管理的物理和虚拟机上执行任务和修复程序的基础架构。
• 任务和修复程序被分组到站点中。
• 许可扫描站点为 IBM License Reporting (ILMT) V9。
• 对于许可扫描，我们只关心任务，不关心修复程序。
• IEM 任务通过为该任务制定的至少两种规范来启动：
  • 目标 -- 将用来执行任务的计算机
  • 执行规则 -- 例如，任务的开始和结束时间，以及重复频率。
• 每个任务都定义了可运行它的虚拟机，此定义可能（而且常常）依赖于虚拟机的状态，比如是否存在某些文件。在 IEM 术语中，这被称为关联 -- 是一个给定系统（虚拟机）的关联任务。

在了解这些背景后，您就可以启动一组任务来设置许可扫描。因为您希望为所有部署的虚拟机自动激活任务，所以对于 Target，请选择 All Computers 。因为任务应对未来任何时刻的所有新部署生效，所以在 Execution 选项卡上，指定任务没有结束日期，这意味着它将保持激活并应用到部署的任何新系统，直到它被显式停止。一些任务仅对每个虚拟机运行一次，比如扫描器代码的安装。但是，扫描任务（实际寻找安装的软件）必须定期运行，所以需要设置扫描频率。有关的更多信息，请参阅下面的相关章节。

在 IEM 控制台中激活 ILMT 站点

本文的开头部分已经提到，ILMT 是一个 IEM 应用程序。接下来的几步将在 IEM 基础架构中激活或安装 ILMT（它将执行许可扫描），让所有扫描相关任务可供使用：

1. 在 IEM 控制台中，选择左侧导航面包底部的 BigFix Management 部分，然后单击 License Overview 。在主面板中的 IBM License Metric Tool 下，单击 Enable 在 IEM 中启用 ILMT 站点：

   图 21. 在 IEM 控制台中启用 ILMT 应用程序

   

IEM 扫描任务

您必须在 IEM 中设置 3 个不同的任务，以便在每个部署的虚拟机上生成操作。

1. 安装扫描器 -- 将扫描器代码安装在部署的虚拟机上。
2. 启动软件扫描 -- 告诉 IEM 代理扫描虚拟机上安装的软件。
3. 上传软件扫描结果 -- 导致 IEM 代理将扫描数据上传到 IEM 服务器。

通过以 所有计算机 为目标建立这些任务，并将它们设置为在显式停止之前保持活动，它们将在每个新部署的虚拟机上自动运行，所以这是一个一次性操作。启动它们的细节和步骤将在接下来几节中提供。

1.安装扫描器

此任务导致 ILMT 扫描器代码部署到每个部署的虚拟机上。要激活它：

1. 单击左侧导航面板中的 Fixlets and Tasks ，然后在右上角的搜索栏中输入 “install scanner” 来过滤显示的任务。
2. 单击搜索框下的结果中的 Install Scanner 行，然后单击它下方的 Take Action 。查看下面这个示例：

   图 22. IEM 的激活安装扫描器任务

   
3. 您应看到一个弹出窗口，您可以在其中指定安装扫描器任务的设置。首先设置任务的目标：选择 Dynamically target by property 单选按钮，然后单击 All Computers ：

   图 23. 设置安装扫描器任务的目标系统

   
4. 选择 Execution 选项卡，确保 Ends on 复选框未被选中：

   图 24. 清除安装扫描器任务的 Ends On 属性

   
5. 单击 OK 完成操作。

2. 启动软件扫描

接下来是对系统执行实际扫描来检测已安装软件的任务。执行一个类似流程：

1. 单击 Tasks and Fixlets ，在过滤器框中输入 “Initiate Software Scan”，单击结果窗格中的任务，然后单击 Take Action 。

   图 25. 激活启动软件扫描任务

   
2. 这会打开一个弹出窗口，其中包含安装扫描器任务。再次选择 Dynamically target by property 和 All Computers 选项，然后选择 Execution 选项卡。这一次，除了确保 Ends on 复选框未选中之外，还需要将扫描频率设置为 12 小时而不是默认值 7 天，以便在 IBM PureApplication Software UI 中更快地提供许可数据。

   图 26. 设置软件扫描的执行间隔

   
3. 单击 OK 完成此操作。

4. 上传软件扫描结果

最后一步是启动将扫描结果从部署的虚拟机上传到 IEM 服务器的任务，以便可以将它们收集到 IBM PureApplication Software 管理控制台中。执行同样的流程：

1. 选择 Fixlets and tasks ，过滤出 Upload software scan results ：

   图 27. 激活 IEM 的上传软件扫描结果任务

   
2. 在 Take Action 弹出窗口上，对于目标，像以前的任务一样选择 All computers 。在 Execution 选项卡上，确保 Ends on 未被选中。不需要指定此任务应运行的频率，因为它使用一项预定义的关联检查来测试新扫描结果是否存在，只要存在新扫描结果，该检查就会运行。这正是您需要确认 Reapply this action: whenever it becomes relevant again 已被选中的原因，如下所示：

   图 28. 设置上传软件扫描结果任务的执行参数

   
3. 单击 OK 激活此任务。

确认您的任务已启动

1. 在左侧导航窗格中，选择 Fixlets and Tasks ，确保右上角的过滤器框已清除，单击 Open Action Count 列更改排序顺序。您可能需要单击两次，以确保排序是降序，这通过列标题上方的指向下的黑色三角形表示。您会看到 3 个计数为 1 的任务：

   图 29. 验证活动任务

   

结束语

现在，针对许可扫描的 IEM 设置已完成。您使用 IBM PureApplication Software on Azure 部署的任何虚拟机都将自动向 IEM 服务器注册，并在 IBM PureApplication System 报告中报告其许可使用信息，而无需任何手动操作。