Цикл материалов по IPMI на платформах Supermicro

1. Управление платформами Supermicro по IPMI
2. Удаленное управление платформами Supermicro с помощью утилиты IPMIView
3. IPMIView: шифрование и безопасность
4. Как мобильное приложение IPMIView помогает управлять серверами Supermicro
5. IPMI на кончиках пальцев: управление серверным парком со смартфона для продвинутых

Как правило, сервер, вполне может обходиться без аппаратной консоли — дисплея и клавиатуры. Все, что с ним происходит, решается сетевым соединением: будь то внеполосный out-of-band или классический in-band. В этом контексте «самым важным из искусств» администрирования был и остается IPMI (Intelligent Platform Management Interface) — интеллектуальный интерфейс удаленного управления платформой.

IPMI позволяет выполнять мониторинг удаленной серверной платформы без использования дополнительных программно-аппаратных решений. Он хорош для доступа к обесточенным компьютерам (правда, дежурное напряжение все же должно подаваться) или до старта операционной системы (когда, например, требуются настройки UEFI BIOS). Полнофункциональное управление достигается за счет встроенного в чипсет платформы контроллера BMC, который фактически является компьютером в компьютере со своим процессором, памятью, сетевым интерфейсом и даже видеоадаптером.

Важным результатом такой автономности является сохранение дистанционной управляемости серверной платформы — при отказе или даже полном разрушении операционной системы, проблемах со стартом вследствие сбоев CMOS Setup и других подобных ситуациях. Квалифицированный системный администратор, составив список типовых неисправностей, условно оценит их вероятность и разделит все проблемы на два типа:

1. устраняемые дистанционно;
2. требующие физического присутствия специалиста.

После этого он сможет самостоятельно промоделировать экономический эффект, обусловленный переводом ряда ситуаций из списка [2] в список [1].

MegaRAC как реализация IPMI

В процессе эволюции интерфейс IPMI смог нарастить функциональность до нужного пользователям уровня, опередив по уровню применения конкурирующую технологию Intel AMT. Немаловажным преимуществом оказалась и его интеграция в DMTF Redfish — открытую экосистему управления серверным парком. Приведенная ссылка не зря погружает нас во внутренние дела American Megatrends. Именно AMI является разработчиком программного обеспечения MegaRAC, положенного в основу реализации IPMI на платформах Supermicro.

У American Megatrends не так много конкурентов в сфере удаленного управления. Если не брать во внимание корпоративные продукты Dell-EMC, HP и IBM (DRAC, Integrated Lights-Out и Remote Supervisor соответственно), разработкой средств управления занимается еще разве что компания Avocent, поставщик MergePoint Embedded Management Software для серверов Gigabyte. Оценкой качества низкоуровневого программного продукта может служить охват парка компьютерной техники. По этому показателю равных AMI нет.

Вместе с тем, интерес ведущих серверостроителей к IPMI демонстрирует актуальность концепции удаленного управления. Прикладная польза очевидна — минимизация простоя и снижение расходов на обслуживание серверного парка, где цена за машинокомплект существенно выросла. Козырем здесь являются функции аппаратного мониторинга и восстановления, что особенно важно на фоне роста сложности базового UEFI BIOS и микрокода поддержки (BMC, Intel Innovation/Management Engine, AMD Generic Encapsulated Software Architecture).

Процессорная инвариантность отражает универсальность IPMI: сервисные функции не зависят от типа и модели выбранной платформы, открывая пользователям доступ ко всем рычагам удаленного управления — и AMD, и Intel здесь обслуживаются одинаково хорошо. Вопрос только один: на каких условиях предоставить доступ к IPMI, умело маневрируя лицензионной политикой между ценой и объемом услуг.

В этой связи интересен опыт компании Supermicro, предлагающей гибкий подход к лицензированию широкого спектра сервисных функций. И что немаловажно — на основе цифрового ключа, что существенно повышает надежность, снижая расходы на содержание. Привязка удаленной (Out of Band, OOB) лицензии выполняется только к MAC-адресу сетевого адаптера и может быть легко восстановлена, чего не скажешь, например, о лицензионном ключе Intel, в качестве которого используется микросхема Winbond W25X10BV для модуля удаленного управления — Remote Management Module.

IPMI: первые шаги

По-хорошему, наладку IPMI стоит начинать с переключателей на системной плате. Установки в CMOS Setup всего лишь информируют нас о состоянии BMC-контроллера. Убедится в этом можно, ознакомившись c пунктами меню BMC Network Configuration (в качестве стендового образца будем использовать Supermicro X11SSL-F — одну из самых распространенных серверных платформ):

Выбор сетевого подключения (Failover) не может быть изменен в установках UEFI BIOS — это программная реализация, зависящая от настройки IPMI-интерфейса. Но запретив на системной плате доступ к BMC в целом или к сетевым интерфейсам в частности, мы существенно урежем функциональность менеджмента. Сетевой статус IPMI демонстрирует возможности платформы по переключению интерфейса управления в аварийной ситуации, когда режим Failover задействован: доступ к серверу возможен по выделенному порту (Dedicated LAN) либо с одновременным использованием одного из общих сетевых ресурсов (Shared LAN).

Резервирование каналов доступа для распределения функциональной нагрузки имеет своей целью не только отказоустойчивость сервисных операций, но позволяет в некоторых случаях добиться экономического эффекта — путем минимизации платы за сетевые подключения или стоимости аренды IP-адресов: один линк вместо двух обойдется дешевле.

Конфигурирование сетевого интерфейса в комментариях не нуждается: статическое или динамическое выделение адресов или реликт в виде VLAN понятны сами собой. Единственное, что стоит принять во внимание — начальное сетевое автоопределение выполняется, если серверная платформа подключена к сети до подачи дежурного питания.

Особенности программной реализации

Console Redirection для доставки аппаратной консоли по сети (KVM-over-IP) — одно из самых популярных приложений в обойме IPMI, — требует установки Java-машины в операционной среде инструментального компьютера. К слову, 32-х и 64-битная версии мирно уживаются в Microsoft Windows, и для беззаботной эксплуатации JRE стоит содержать в ОС обе. А еще потребуется настройка безопасности, доступная в свойствах Java из панели управления:

Впрочем, доступ к административной панели выполняется без участия Java, предоставляя после ввода логина и пароля веб-интерфейс. Большинство пунктов меню интуитивно понятны, остановимся на самых загадочных, комментируя их прикладное значение. Заметим попутно, что структуризация опций IPMI не всегда логична, но она подвержена изменениям и после обновления микрокода BMC-контроллера ее удобство зачастую повышается.

Главные кнопки IPMI: аутентификация и сетевые настройки

Самое важное в IPMI — разграничение доступа силами самого IPMI-интерфейса. Другими словами, сменить пароль (или зарегистрировать нового пользователя) можно, залогинившись через веб-интерфейс удаленного управления.

Могут ли возникнуть сложности с доступом к «главной кнопке» IPMI? Могут, но они решаемы. Решаемы без участия веб-интерфейса — с помощью утилит IPMIView и IPMIcfg — специализированного ПО, разработанного Supermicro.

Можно ли обезопасить коммуникации с удаленным сервером, задействовав криптографическую защиту? На этот случай спецификация IPMI 2.0 предлагает связку протокола прикладного уровня Remote Management Control Protocol с протоколом Authenticated Key-Exchange Protocol — сокращенно RAKP.

Для защиты от атак по подбору паролей Supermicro предлагает свой собственный криптографический алгоритм (это отражено в названии меню — SuperMicro enCryption). В паре с аутентификацией методом обмена ключами он должен обеспечить максимальную защиту. Переход на проприетарный SMC RAKP сопряжен с рядом оговорок: вместо привычного IPMIView придется использовать более продвинутый SMCIPMITool.

Самое время вспомнить о выборе сетевого подключения, с которым мы сталкивались в UEFI BIOS. Изменить способ доступа к IPMI можно в меню Network раздела Configuration. Доступны все режимы: от Failover до Dedicated или Shared LAN. Там же выбор порта для уже известного нам RMCP-протокола. Есть и установки для VLAN.

Лицензионная политика

Доступ к удаленной консоли

За все нужно платить, но даже в бесплатном варианте IPMI пользователь получает возможность управлять большинством процессов на сервере Supermicro. Доступ к его графической консоли по веб-интерфейсу возможен либо через Java-приложение (вызывается как Console Redirection), либо по HTML5 (вызывается как iKVM/HTML5).

Доступ в режиме Console Redirection требует, как сказано выше, запуска на инструментальной платформе java-приложения, что сопряжено с рядом дополнительных действий:

Выполнение файла с расширением .jnlp позволяет получить удаленный экран и рычаги управления к нему (клавиатура плюс мышь). По опыту, работа с указателем в графической консоли иногда требует сноровки. В разделе Configuration есть меню настройки, с помощью которого можно приладиться под конкретную реализацию ОС:

И Java, и HTML5 сценарии Console Redirection абсолютно полнофункциональны в том смысле, что предоставляют графическую консоль удаленного сервера и дают возможность управлять ею с помощью клавиатуры и мыши. Горячие клавиши или их комбинации (типа Ctrl-Alt-Del или Alt-Tab) можно вызвать из меню Macro, которое предлагает ряд часто используемых заготовок. Для экзотических комбинаций можно вызвать VirtualKeyboard — виртуальную экранную клавиатуру.

В меню VirtualMedia и VirtualStorage удобно подключить к удаленному серверу виртуальные носители для инсталляции или тестирования. Там они видятся USB-устройствами, причем подключать можно или реальный привод, или просто образ носителя.

В HTML5-консоли из виртуальных устройств есть только VirtualKeyboard — она имеет несколько урезанную функциональность, но полностью реализуется средствами браузера и не требует установки дополнительных программных средств на инструментальную платформу. Ею можно воспользоваться там, где нет среды выполнения для Java-приложений или установка таковой невозможна или по каким-либо причинам затруднена.

Удаленное обновление UEFI BIOS

В разделе Maintenance есть два важных пункта меню, оба связаны с обновлением микропрограмм материнской платы сервера.

Данное обслуживание можно выполнять удаленно, но если Firmware Update доступен в рамках базовой функциональности IPMI, то обновление UEFI BIOS становится возможным для владельцев OOB-лицензии. Это отдельно приобретаемый лицензионный ключ, который можно ввести в меню Activate License в разделе Miscellanious:

Ключ OOB-лицензии не обязательно покупать на сайте Supermicro. Все лицензионные полномочия есть и у локального дистрибутора, который в некоторых случаях может предложить более выгодные условия.

Лицензионный ключ не обязательно вводить через IPMI-интерфейс. Для удаленного обновления UEFI BIOS можно рекомендовать утилиту Supermicro Update Manager (SUM), возможности которой куда более разнообразны по сравнению с функциональностью IPMI-интерфейса. Кроме нее, Supermicro предлагает первоклассный софт, покрывающий все аспекты администрирования удаленных платформ. Обзор программных продуктов, посвященных управлению серверным оборудованием, выходит за рамки данной статьи, он заслуживает отдельной публикации.

Управление серверным пулом

В рамках безплатного использования IPMI-интерфейс предполагает только простейшие операции, которые можно считать лишь намёком на управлением серверным пулом. Одна из них — идентификация отдельно взятой платформы UID Control.

Ее суть в том, что активностью голубого светодиода можно обозначить конкретный сервер в стойке однотипных устройств. Включая UID Control, наблюдаем прерывистое мигание индикаторов, неактивных в выключенном состоянии. Один из них расположен на лицевой стороне шасси, второй — на тыльной. Функция полезная еще и потому, что идентификация шасси выполняется не только по запросу IPMI, но и средствами программного обеспечения IPMITool.

В начале данной статьи говорится о том, какую важную роль в организации некоторых функций IPMI играет аппаратная платформа. В случае UID Control для этого используется переключатель на системной плате, который называется UID Identifier Switch (для Supermicro X11SSL-F — это UID-SW). Если идентификация шасси аппаратно отключена, все попытки управления ею будут напрасны.

Полный набор сервисных услуг для удаленного управления серверными пулами предоставляют следующие лицензии Supermicro, детально описанные на сайте компании:

• Supermicro Power Manager (SPM) — централизованный сбор статистики энергопотребления серверов (SFT-SPM-LIC-лицензия);
• Supermicro Server Manager (SSM) — централизованная интегрированная система управления пулом серверов (SFT-DCMS-Single лицензия).

Про удаленную загрузку

Все аспекты создания с помощью IPMI сценариев, необходимых для выполнения удаленной загрузки с виртуальных носителей, рассмотрены ранее. Конечно, речь не идет о загрузке по сети в классическом понимании этого процесса. IPMI предоставляет возможность загрузить операционную систему удаленного сервера с образа диска, хранящегося на инструментальной платформе.

Платформы, использующие программное обеспечение MegaRAC от American Megatrends для BMC-контроллера, в плане поддержки виртуальных носителей достаточно однотипны. Это диктуется необходимостью поддержки таких устройств со стороны UEFI BIOS.

В качестве резюме

Пример реализации IPMI-интерфейса, интегрированного в каждую серверную платформу Supermicro, демонстрирует неоспоримые преимущества удаленного администрирования, позволяющего выполнять ряд задач без выезда специалиста непосредственно к оборудованию. Такого рода функции доступны «из коробки», т.е. не подразумевают дополнительных затрат после приобретения готового сервера или машинокомплекта.

Есть и дополнительные средства, повышающие эффективность удаленного управления. Для их использования Supermicro предлагает гибкую лицензионную политику. Наиболее востребованным в этом плане для отдельно стоящих серверов видится доступная по цене OOB-лицензия, дающая возможность удаленного обновления UEFI BIOS.

На первый взгляд, удаленный BIOS Upgrade не является ключевой позицией в сервисном обслуживании. В реальности, сложность низкоуровневого ПО на сегодняшний день такова, что даже его обновление «через версию» может привести к нестарту материнской платы. Выход из такой ситуации только один — восстановление UEFI BIOS в режиме Console Redirection по IPMI-интерфейсу.

Источник