Цикл матеріалів по IPMI на платформах Supermicro

1. Управління платформами Supermicro по IPMI
2. Дистанційне керування платформами Supermicro за допомогою утиліти IPMIView
3. IPMIView: шифрування та безпека
4. Як мобільний додаток IPMIView допомагає керувати серверами Supermicro
5. ІРМІ на кінчиках пальців: керування серверним парком зі смартфона для просунутих

Як правило, сервер, цілком може обходитися без апаратної консолі — дисплея і клавіатури. Все, що з ним відбувається, вирішується мережевим з'єднанням: чи то поза смуговий out-of-band чи класичний in-band. В цьому контексті «найважливішим мистецтвом» адміністрування був і залишається IPMI (Intelligent Platform Management Interface) — інтелектуальній інтерфейс віддаленого управління платформою.

IPMI дозволяє виконувати моніторинг віддаленої серверної платформи без використання додаткових додаткових програмно-апаратних рішень. Він хороший для доступу до знеструмлених комп'ютерів (щоправда, чергова напруга все ж таки повинна подаватися) або до старту операційної системи (коли, наприклад, потрібні налаштування UEFI BIOS). Повнофункціональне управління досягається за рахунок вбудованого в чіпсет платформи контролера ВМС, який фактично є комп'ютером у комп'ютері зі своїм процесором, пам'яттю, інтерфейсом мережі і навіть відеоадаптером.

Важливим результатом такої автономності є збереження дистанційної керованості серверної платформи — при відмові або навіть повному руйнуванні операційної системи, проблемах зі стартом внаслідок боїв CMOS Setup та інших подібних ситуаціях. Кваліфікований системний адміністратор, склавши список типових несправностей, умовно оцінить їхню ймовірність і розділить усі проблеми на два типи:

1. усуваються дистанційно;
2. вимагають фізичної присутності спеціаліста.

Після цього він зможе самостійно промоделювати економічний ефект, зумовлений переведенням низки ситуацій зі списку [2] до списоку [1].

MegaRAC як реалізація IPMI

В процесі еволюції інтерфейс IPMI зміг наростити функціональність до потрібного користувачам рівня, випередивши за рівнем застосування конкуруючу технологію Intel AMT. Важливою перевагою виявилася і його інтеграція до DMTF Redfish — відкритої екосистеми управління серверним парком. Наведене посилання не дарма занурює нас у внутрішні справи American Megatrends. Саме AMI є розробником програмного забезпечення MegaRAC, покладеного в основу реалізації IPMI на платформах Supermicro.

У American Megatrends не так багато конкурентів у сфері віддаленого управління. Якщо не брати до уваги корпоративні продукти Dell-EMC, HP і IBM (DRAC, Integrated Lights-Out и Remote Supervisor відповідно),розробкою засобів управління займається ще хіба що компанія Avocent, постачальник MergePoint Embedded Management Software для серверів Gigabyte. Оцінкою якості низькорівневого програмного може бути охоплення парку комп'ютерної техніки. За цим показником рівних АМІ немає.

Разом з тим інтерес провідних серверо-будівників до ІРМІ демонструє актуальність концепції віддаленого управління. Прикладна користь очевидна — ммінімізація простою та зниження витрат на обслуговування серверного парку, де ціна за машинокомплект суттєво зросла. Козирем тут є функції апаратного моніторингу та відновлення, що особливо важливо на тлі зростання складності базового UEFI BIOS та мікрокоду підтримки (BMC, Intel Innovation/Management Engine, AMD Generic Encapsulated Software Architecture).

Процесорна інваріантність відображає універсальність ІРМІ: сервісні функції не залежить від типу та моделі обраної платформи, відкриваючи користувачам доступ до всіх важелів віддаленого керування — і AMD, i Intel тут тут обслуговуються однаково добре. Питання лише одне: на яких умовах надати доступ до ІРМІ, вміло маневруючи ліцензійною політикою між ціною та обсягом послуг.

У зв'язку із цим цікавий досвід компанії Supermicro, що пропонує гнучкий підхід до ліцензування широкого спектру сервісних функцій. І що важливо — на основі цифрового ключа, що суттєво підвищує надійність, знижуючи витрати на утримання. Прив'язка віддаленої (Out of Band, OOB) ліцензії виконується тільки до МАС-адреси мережевого адаптера і може бути легко відновлена, чого не скажеш, наприклад, про ліцензійний ключ Intel, в якості котрого використовується мікросхема Winbond W25X10BV для модуля віддаленого управління — Remote Management Module.

IPMI: перші кроки

Налагодження ІРМІ варто починати з перемикачів на системній платі. Установки в CMOS Setup лише інформують нас про стан ВМС-контролера. Переконатися в цьому можна, ознайомившись з пунктами меню ВМС Network Configuration (як стендовий зразок будемо використовувати Supermicro X11SSL-F — одну з найпоширеніших серверних платформ):

Вибір мережевого підключення (Failover) не може бути змінений в установках UEFI BIOS — це програмна реалізація, яка залежить від налаштування ІРМІ-інтерфейса. Але заборонивши на системній платі доступ до ВМС в цілому або до мережевих інтерфейсів, зокрема, ми суттєво уріжемо функціональність менеджменту. Мережевий статус ІРМІ демонструє можливості платформи по переключенню інтерфейсу управління в аварійній ситуації, коли режим Failover задіяний: доступ до сервера можливий виділеним портом (Dedicated LAN) або з одночасним використанням одного із загальних мережевих ресурсів (Shared LAN).

Резервування каналів доступу для розподілу функціонального навантаження має на меті не тільки відмово стійкість сервісних операцій, але дозволяє в деяких випадках досягти економічного ефекту — шляхом мінімізації плати за мережеві підключення або вартості оренди ІР-адресів: один лінк замість двох обійдеться дешевше.

Конфігурування мережевого інтерфейсу в коментарях не потребується: статичне або динамічне виділення адресів або релікт у вигляді VLAN зрозумілі самі собою. Єдине, що варто взяти до уваги, — початкове мережне авто визначення виконується, якщо серверна платформа підключена до мережі до подачі чергового живлення.

Особливості програмної реалізації

Console Redirection для доставки апаратної консолі по мережі (KVM-over-IP) — одне з найпопулярніших програм в обоймі ІРМІ, — потребує встановлення Java-машини в операційному середовищі інструментального комп'ютера. До речі, 32-х та 64-бітна версії мирно вживаються в Microsoft Windows, та для безтурботної експлуатації JRE варто утримувати в ОС обидві. А ще знадобиться налаштування безпеки, доступна в властивостях Java з панелі управління:

Втім, доступ до адміністративної панелі виконується без участі Java, надаючи після введення логіну та пароля веб-інтерфейс. Більшість пунктів меню інтуїтивно зрозумілі, запинимося на найзагадковіших, коментуючи їхнє прикладне значення. Зауважимо принагідно, що структуризація опцій ІРМІ не завжди логічна, але вона схильна до змін і після оновлення мікрокоду ВМС контролера її зручність часто підвищується.

Головні кнопки ІРМІ: аутентифікація та мережеві налаштування

Найважливіше в ІРМІ — розмежування доступу силами самого ІРМІ-інтерфейса. Іншими словами, змінити пароль (або зареєструвати нового користувача) можна, залогінившись через веб-інтерфейс віддаленого керування.

Чи можуть виникнути проблеми з доступом до «головної кнопки» IPMI? Можуть, але їх можна вирішити. Вирішуються без участі у веб-інтерфейсу — за допомогою утиліт IPMIView та IPMIcfg — спеціалізованого ПЗ, розробленого Supermicro.

Чи можна забезпечити комунікації з віддаленим сервером,задіявши криптографічний захист? На цей випадок специфікація ІРМІ 2.0 пропонує зв'язку протоколу прикладного рівня Remote Management Control Protocol з протоколом Authenticated Key-Exchange Protocol — скорочено RAKP.

Для захисту від атак по підбору паролей Supermicro пропонує свій власний криптографічний алгоритм (це відображено в назві меню — SuperMicro enCryption). У парі з аутентифікацією методом обміну ключами він має забезпечити максимальний захист. Перехід на пропрієтнарний SMC RAKP пов'язаний із низкою застережень: замість звичного IPMIView доведеться використовувати більш сучасний SMCIPMITool.

Самий час згадати про вибір підключення до мережі, з яким ми стикалися в UEFI BIOS. Змінити спосіб доступу до IPMI можна в меню Network розділу Configuration. Доступні всі режими: від Failover до Dedicated або Shared LAN. Там вибір порту для вже відомого нам RMCP-протоколу. Є і установки для VLAN.

Ліцензійна політика

Доступ до віддаленої консолі

За все треба платити, але навіть в безкоштовному варіанті ІРМІ користувач отримує можливість керувати більшістю процесів на сервері Supermicro. Доступ до його графічнох консолі за допомогою веб-інтерфейсу можливий або через Java-програму (викликається як Console Redirection), або по HTML5 (викликається як iKVM/HTML5).

Доступ в режимі Console Redirection потребує, як сказано вище, запуску на інструментальній платформі java-програми, що пов'язано з рядом додаткових дій:

Виконання файлу з розширенням .jnlp дозволяє отримати віддалений екран та важелі керування до нього (клавіатура плюс миша). За досвідом, робота з показником в графічній консолі іноді вимагає вправності. В розділі Configuration є меню налаштування, за допомогою якого можна приєднатися до конкретної реалізації ОС:

І Java, і HTML5 сценарії Console Redirection абсолютно повнофункціональні в тому сенсі, що надають графічну консоль віддаленого сервера та дають можливість керувати нею за допомогою клавіатури та миші. Гарячі клавіші або їх комбінації (типу Ctrl-Alt-Del або Alt-Tab) можна викликати з меню Macro, яке пропонує ряд заготівок, що часто використовуються. Для екзотичних комбінацій можна викликати VirtualKeyboard — віртуальну екрану клавіатуру.

В меню VirtualMedia та VirtualStorage удобно ручно підключити до віддаленого сервера віртуальні носії для інсталяції або тестування. Там вони бачяться USB-пристроями, причому можна підключати або реальний привід, або просто образ носія.

В HTML5-консолі із віртуальних пристроїв є тільки VirtualKeyboard — вона має декілька урізану функціональність, але повністю реалізується коштами браузера і не потребує налаштування додаткових програмних коштів на інструментальну платформу. Нею можна скористатись там, де нема середовища виконання для Java-програм або налаштування такої неможлива або через якісь причини утруднена.

Віддалене оновлення UEFI BIOS

В розділі Maintenance є два важливих пунктів меню, обидва пов'язанні з оновленням мікропрограм материнської плати сервера.

Це обслуговування можна виконувати віддалено, але якщо Firmware Update доступний в рамках базової функціональності IPMI, то оновлення UEFI BIOS стає можливим для власників OOB-ліцензії.. Це окремо ліцензійний ключ, який можна ввести в меню Activate License в розділі Miscellanious:

Ключ ООВ-ліцензії не обов'язково купувати на сайті Supermicro. Усі ліцензійні повноваження є й у локального дистриб'ютора, який у деяких випадках може запропонувати вигідніші умови

Ліцензійний ключ не обов'язково вводити через ІРМІ-інтерфейс. Для віддаленого оновлення UEFI BIOS можна рекомендувати утиліту Supermicro Update Manager (SUM), можливості якої більш різноманітні в порівнянні з функціональністю ІРМІ-інтерфейсу. Крім неї Supermicro пропонує першокласний софт, що покриває всі аспекти адміністрування віддалених платформ. Огляд програмних продуктів, присвячених управлінню серверним обладнанням, виходить за рамки цієї статті, він заслуговує на окрему публікацію.

Управління серверним пулом

У рамках безкоштовного використання ІРМІ-інтерфейс передбачає лише найпростіші операції, які можна вважати лише натяком на керування серверним пулом. Одна з них — ідентифікація окремої платформи UID Control.

Її суть у тому, що активністю блакитного світлодіода можна позначити конкретний сервер у стійці однотипних пристроїв. Включно з UID Control, спостерігаємо переривчасте миготіння індикаторів, неактивних у вимкненому стані. Один із них розташований на лицьовій стороні шасі, другий — на тильній. Функція корисна ще й тому, що ідентифікація шасі виконується не лише за запитом ІРМІ, а й засобами програмного забезпечення IPMITool. IPMITool.

На початку цієї статті йдеться про те, яку важливу роль організації деяких функцій ІРМІ грає апаратна платформа. У разі UID Control для цього використовується перемикач на системній платі, який називається UID Identifier Switch (для Supermicro X11SSL-F — це UID-SW). Якщо ідентифікацію шасі апаратно відключено, всі спроби керування нею будуть марними.

Повний набір серверних послуг для віддаленого управління серверними пулами надають наступні ліцензії Supermicro, детальніше описанні на сайті компанії:

• Supermicro Power Manager (SPM) — централізований збір статистики енергоспоживання серверів (SFT-SPM-LIC-ліцензія);
• Supermicro Server Manager (SSM) — централізована інтегрована система управління пулом серверів (SFT-DCMS-Single ліцензія).

Про віддалене завантаження

Всі аспекти створення за допомогою ІРМІ сценаріїв, необхідних для виконання віддаленого завантаження з віртуальних носіїв, розглянуто раніше. Звичайно, не йдеться про завантаження по мережі в класичному розумінні цього процесу. ІРМІ надає можливість завантажити операційну систему віддаленого сервера з образу диска, що зберігається на інструментальній платформі.

Платформи, що використовують програмне забезпечення MegaRAC від American Megatrends для ВМС-контролерів, щодо підтримки підтримки віртуальних носіїв досить однотипні. Це диктується необхідністю підтримки таких пристроїв з боку UEFI BIOS.

В якості резюме

Приклад реалізації ІРМІ-інтерфейсу, інтегрованого в кожну серверну платформу Supermicro, демонструє незаперечні переваги віддаленого адміністрування, що дозволяє виконувати ряд завдань без виїзду спеціаліста безпосередньо до обладнання. Такі функції доступні «з коробки», тобто, не мають на увазі додаткових витрат після придбання готового сервера чи машино-комплекту.

Існують і додаткові засоби, що підвищують ефективність віддаленого управління. Для використання Supermicro пропонує гнучку ліцензійну політику. Найбільш затребуваним у цьому плані для серверів, що окремо стоять, бачиться доступна за ціною OOB-ліцензія, що дає можливість віддаленого оновлення UEFI BIOS.

На перший погляд, віддалений BIOS Upgrade не є ключовою позицією в сервісному обслуговуванні. Насправді, складність низькорівневого ПЗ на сьогоднішній день така, що навіть його оновлення «через версію» може призвести до не старту материнської плати. Вихід із такої ситуації лише один — відновлення UEFI BIOS в режимі Console Redirection по IPMI-интерфейсу.

Джерело