Intel Remote Management Module: проблемы и решения

Вот уже который год компания Intel ком­п­лек­ту­ет свои сер­ве­ры мо­ду­лем RMM4 (Re­mote Man­age­ment Mo­dule 4). С его по­мо­щью встро­ен­ная веб-кон­соль ин­те­г­ри­ро­ван­но­го в чип­сет BMC-кон­т­рол­ле­ра ис­прав­но обес­пе­чи­ва­ет дис­тан­ци­он­ный сер­вис ус­та­нов­ки и об­нов­ле­ния опе­ра­ци­он­ных сис­тем, а так­же мо­ни­то­ринг ос­нов­ных экс­плу­а­та­ци­он­ных ха­рак­те­рис­тик уда­лен­ной сер­вер­ной плат­фор­мы.

Intel утверждает, что веб-консоль Baseboard Management кон­т­рол­ле­ра га­ран­ти­ру­ет ис­клю­чи­тель­ную ста­биль­ность и по­сто­ян­ную до­ступ­ность не­за­ви­си­мо от те­ку­ще­го со­сто­я­ния опе­ра­ци­он­ной сис­те­мы сер­ве­ра в лю­бое вре­мя, с лю­бого мес­та ком­пью­тер­ной се­ти. Так ли это? Мо­жет ли сис­тем­ный ад­ми­ни­ст­ра­тор по­ло­жить­ся на RMM4-мо­дуль, до­ве­рив ему быть ин­ст­ру­мен­том в ре­а­ги­ро­ва­нии на кри­ти­че­ские ин­ци­ден­ты?

Что есть Remote Management Module?

Модуль Intel RMM4, разработанный для об­ще­ния со встро­ен­ным BMC-кон­т­рол­ле­ром сер­ве­ра, — это пла­та ме­зо­нин­но­го форм-фак­то­ра, ко­то­рая обес­пе­чи­ва­ет пе­ре­на­прав­ле­ние кла­ви­а­ту­ры, ви­део и мы­ши на уда­лен­ный ин­ст­ру­мен­таль­ный ком­пью­тер. Тран­зит ин­фор­ма­ции воз­мо­жен как в ре­жи­ме клас­си­че­ско­го in-band (на уп­рав­ля­е­мом сер­ве­ре за­гру­же­на ОС), так и вне­по­лос­но­го out-of-band — сер­вер­ вы­пол­ня­ет POST либо се­ан­се UEFI.

Собственно, доступ к удаленной консоли за счет сетевого проброса клавиатуры, видео и мыши (тех­но­ло­гия iKVM) — пре­ро­га­ти­ва Baseboard Management контроллера. Intel RMM4 всего лишь вы­пол­ня­ет фун­к­цию «гла­ша­тая», про­вод­ни­ка идей BMC. Для этого он ис­поль­зует ус­та­нов­лен­ный на плате гигабитный PHY-кон­т­рол­лер Realtek RTL8211D и ин­те­гри­ро­ван­ный RJ45-разъ­ем с ин­ди­ка­то­ра­ми ак­тив­но­с­ти.

RMM-модуль расширяет воз­мож­но­с­ти сер­ве­ров от Intel за счет соб­ст­вен­но­го се­те­во­го пор­та, ис­поль­зу­е­мо­го только для об­слу­жи­ва­ния управляющего трафика. В отличие от пол­но­фун­к­ци­о­наль­но­го ре­ше­ния, существует об­лег­чен­ный ва­ри­ант уда­лен­ного доступа через один из сетевых пор­тов сер­вер­ной платформы. В этом случае нужно соглашаться на совместное (с опе­ра­ци­он­ной системой) ис­поль­зо­ва­ние вы­де­лен­но­го LAN-порта. Та­кое под­клю­че­ние к BMC-кон­т­рол­ле­ру Intel предлагает считать мо­ду­лем RMM Lite.

Модуль Intel RMM4 оснащается выделенным сетевым портом, реализованным гигабитным PHY-контроллером Realtek RTL8211D

 

Наивно полагать, что модуль уда­лен­но­го уп­рав­ле­ния RMM Lite уступает отдельно стоящему RMM4 только по про­из­во­ди­тель­но­с­ти, он ог­ра­ни­чен и по ряду фун­к­ци­о­наль­ных воз­мож­но­с­тей, пока не будут под­т­вер­ж­де­ны права на его ис­поль­зо­ва­ние. Для этого в комплекте с Intel Remote Management Module идет своего рода ключ — съем­ная мик­ро­схе­ма Winbond W25X10.

Съемная микросхема Winbond W25X10 — ключ доступа к управлению модулем Intel Remote Management Module (RMM4)

Интерфейс управления

Вся конструкция в совокупности реализует ин­тел­лек­ту­аль­ный ин­тер­фейс удаленного управления плат­фор­мой — IPMI. Его сущность состоит в том, что по за­дан­но­му ка­на­лу связи ведется обмен сообщениями. За­про­са­ми служат пе­ре­да­ва­е­мые на вы­пол­не­ние команды, которые опе­ри­ру­ют с за­ра­нее оз­на­чен­ны­ми па­ра­мет­ра­ми. Не­ма­ло­важ­ным фак­то­ром вза­и­мо­дей­ст­вия ста­но­вит­ся од­но­вре­мен­ное об­ще­ние не­сколь­ких сетевых кли­ен­тов в ед­ином ка­на­ле ком­му­ни­ка­ции.

На базе IPMI-интерфейса модуль уп­рав­ле­ния Intel Re­mote Man­age­ment Module позволяет получить на ин­ст­ру­мен­таль­ной плат­фор­ме веб-консоль удаленного сервера. Это великое благо для системного ад­ми­ни­ст­ра­то­ра, его про­дук­тив­ность су­щест­вен­но выше Command Line интерфейса, а об удобствах и го­во­рить не при­хо­дит­ся. Казалось бы, нет пре­де­ла воз­мож­но­с­тям iKVM, ре­а­ли­зо­ван­ным в Java-среде.

Структура IPMI-сообщений декларируется спецификацией этого ин­тер­фей­са и содержит типовой набор по­лей, общий для всех команд. Ком­мен­та­рии к ним требуют от­дель­но­го рас­смот­ре­ния, мы же коснемся их ис­поль­зо­ва­ния в кри­зис­ных ситуациях.

IPMI: семь бед, один ресет

В процессе эксплуатации удаленной веб-кон­со­ли поль­зо­ва­тель может столкнуться с не­раз­ре­ши­мой си­ту­а­ци­ей:

Ошибка «Error reading Video data» в сеансе веб-консоли требует аппаратной перезагрузки IPMI-интерфейса

 

Причем, сообщение Error reading Video data — не единственное в арсенале сетевых неприятностей IPMI-ин­тер­фей­са. Ров­но тот же клинч обещает и Error Opening Video Socket. Причина одна и та же — «по­ви­са­ние» Base­board Management кон­т­рол­ле­ра. Вывести из этого состояния его может только полный ре­сет плат­фор­мы (просто перезагрузка бессильна против такого рода отказов), что неприемлемо для сервера в при­н­ци­пе.

Какой выход? Для Unix-подобных операционных систем наилучшим решением будет установка пакета программного обеспечения IPMITool. С его помощью можно послать запрос на аппаратную перезагрузку BMC-контроллера, который выведет его из оцепенения:

Аппаратную перезагрузку BMC-контроллера несложно вsполнить средствами  программного обеспечения IPMITool

 

Синтаксис команды, по­сы­ла­ю­щей сиг­нал на пе­ре­за­груз­ку Man­age­ment Con­t­rol­ler (mc) до­воль­но прос­той (при ус­ло­вии, ко­неч­но, что вы ус­та­но­ви­ли про­г­рам­мное обес­пе­че­ние):

ipmitool -H <IP-адрес IPMI-интерфейса> -U <login> -P <password> -A MD5 mc reset cold

Понятно, с точки зрения сетевой без­о­пас­но­с­ти пе­ре­да­ча в не­за­щи­щен­ный ка­нал ло­гина (в дан­ном слу­чае — as­tool) и па­ро­ля (в ка­чест­ве при­ме­ра ис­поль­зу­ем слово password) в открытой форме выглядят са­мо­у­бий­ст­вен­но. Но, во-первых, дав­но су­щест­ву­ют ре­ко­мен­да­ции не вы­став­лять в открытый доступ IPMI-ин­тер­фейс — для этого су­щест­ву­ют VPN, а во-вто­рых, и шиф­ро­ва­ние ни­кто не отменял. Но об этом — в следующих пу­б­ли­ка­ци­ях.


Загрузить документ в формате PDF (Rev 2.9, March 2019)
Intel Re­mote Man­age­ment Mo­dule 4 and Integrated BMC Web Console User Guide
можно здесь.

Теги