IPMI arayüzü üzerinden sunucu platformlarının yönetimi. IPMI: Supermicro sunucularını yapılandırma ve uzaktan yönetme ipmi uzaktan yönetimi

Supermicro anakartlarında IPMI hakkında sık sorulan sorular: neden buna ihtiyacınız var, özellikler, görsel tanıtım, tuzaklar.

1) KVM-over-LAN hakkındaki en popüler efsane, "gerekli olmadığı"dır.... Bazı nedenlerden dolayı, birçok kişi bunu işletim sisteminin metin / grafik konsoluna normal uzaktan erişimle karıştırır, yani. "SSH, VNC, RDP ve Radmin'e sahipsek neden LAN üzerinden KVM'ye ihtiyacımız var?"
Fark esastır: KVM-over-LAN yalnızca işletim sistemi konsoluna erişim değildir, işletim sistemine hiçbir şekilde bağlı değildir, konsola doğrudan sunucunun kendisinden erişimdir (yalnızca konsola değil, ayrıntılar aşağıda olacak), yani örneğin şunları yapabiliriz: anakartın BIOS'una girebilir veya ekleyebiliriz. kontrolör, işletim sistemini kurun, sensör izlemeyi (yine çok önemli - işletim sisteminden bağımsız) SNMP vb. aracılığıyla yapılandırın.
2) Nasıl çalışır? Oldukça basit çalışıyor, işte blok şema (Supermicro son zamanlarda bir kural olarak Winbond veya Nuvoton WPCM450 kullanıyor:

Tüm işler BMC (Baseboard yönetim denetleyicisi) işlemcisi tarafından yapılır - kendi belleği ve özel bir işletim sistemi (genellikle Linux tabanlı) vardır. BMC, sanal klavye, fare ve CD / DVD / FDD sürücülerini bağlamak için bir USB veri yolu kullanır. Diğer veri yolları, fan dönüşü, sıcaklık, güç yönetimi, COM bağlantı noktasına erişim (seri konsola uzaktan erişim için) sensörlerinden okumaları toplamak için kullanılır. BMC ayrıca video arabelleğinin içeriğini yakalamak ve yeniden yönlendirmekle de ilgilenmektedir - video çekirdeği modern BMC'lere zaten entegre edilmiştir, bir kez, ilk uygulamalarda BMC, ayrı bir VGA denetleyicisinden bir analog sinyali sayısallaştırmaya başladı. "Dış dünya" ile iletişim, ethernet (anakart üzerinde bulunan bir ethernet denetleyicisindeki özel bir bağlantı noktası veya bağlantı noktalarından biri) aracılığıyla gerçekleşir.
Aslında Supermicro'nun ürünlerindeki WPCM450, 2.6 çekirdek üzerinde Linux çalıştıran bir ARM 926EJ-S işlemcisine dayalı bir sistemdir.

Tanı amaçlı olarak, meşgul kutusunun sizi bekleyeceği SSH üzerinden giriş yapabilirsiniz.

3) Ne kadar?
Supermicro şu anda IPMI BMC'yi doğrudan ana kartlara entegre ediyor. Daha önce ek modüller kullanılıyordu (örneğin - AOC-SIMSO +). Bir Supermicro kartında bir IPMI BMC'nin varlığı F harfi ile belirtilir, örneğin: X8DTi ve X8DTi-F ve fiyat farkı 50 doları geçmez, bu zaten "gerekli mi yoksa" sorusuna açık bir cevaptır. değil", çünkü harici bir IP-KVM size çok daha pahalıya mal olacak. Normal bir KVM kurmak ve bir şeyi yeniden yüklemeniz veya sunucu odasına gitmek için yeniden başlatmanız gerektiğinde de bir seçenek değildir, bu bir zaman kaybıdır, çünkü sunucunuz onlarca ve yüzlerce kilometre uzağa yerleştirilebilir ve son, sadece uygunsuz.
4) Pratikte nasıl görünüyor?
IPMI'ye, IPMIView (Java'da özel bir yardımcı program, Windows ve Linux için derlemeler vardır) veya normal bir tarayıcı (grafik konsola bağlandığında, ek bir java uygulaması başlatılır) aracılığıyla erişilebilir.
IPMIView'ı düşünün. Başlangıç ​​olarak, BIOS'ta IPMI ethernet bağlantı noktasını yapılandırabilirsiniz: DHCP varsayılan olarak açıktır, ancak gerekli IP / maske / ağ geçidini, VLAN etiketini manuel olarak ayarlayabilirsiniz (tüm sokulma yönetimini ayrı bir alt ağa tahsis etmek daha iyidir) güvenlik ve rahatlık nedenleriyle).
IPMIView'i başlatıyoruz ve gerekli sunucuyu buluyoruz (IPMI için adres aralığını tarayabilirsiniz), varsayılan oturum açma / şifre YÖNETİCİ / YÖNETİCİ'dir.

• zarif kapatma- Güç düğmesine hızlı bir şekilde basılması, işletim sisteminin gücü kendi kendine doğru şekilde kapatabilmesi için simüle edilir.
• Güç döngüsü Güç vermenin ardından zarif bir kapatmadır
• Sıfırla ve Güç ver kendi adına konuş
• Gücü kapat- Güç düğmesine uzun süre basarak sert kapatma

Sunucunun sağlığı sekmeden izlenebilir Sensörler(Sıcaklık ve fan sensörlerinin okumalarını yalnızca sunucu açıldığında göreceksiniz):

Gerekirse ağ ayarları BMC Ayarı sekmesinde değiştirilebilir (yanlışlıkla sunucuya uzaktan erişimi kaybedebileceğinizi unutmayın). Bu arada, uzaktan erişim hakkında: aşağıdaki bağlantı noktaları kullanılır (NAT üzerinden iletilmeleri veya örneğin bir VPN aracılığıyla yönetim ağına erişmenin bir yolunu sağlamaları gerekir):
TCP:

• HTTP: 80
• HTTPS: 443
• 5901 - grafik konsol için gerekli
• 5900 - HID, sanal klavye / fare trafiği
• 5120 - Sanal CD / DVD sürücü trafiği
• 5123 - sanal FDD trafiği

UDP:

• IPMI: 623

sekmesinde KVM Konsolu en yararlı şeyi görebilirsiniz - grafik sunucu konsolu. Ayrıca ekran görüntüsü almak, sanal ortamı yönetmek (Sanal Medya), tam ekran moduna geçmek ve ek bir yazılım klavyesi için düğmeler de vardır. Bir donanım odası varsa neden gereklidir? Herhangi bir nedenle donanım klavyesinden sunucuya gönderilemeyen çeşitli tuş kombinasyonları için, örneğin klasik Ctrl + Alt + Delete.

İşte özelliklerden bazıları:

1. Bir LSI denetleyiciniz varsa, LSI Webbios fare merkezli arabirimine aşinasınızdır. Yani: IPMI aracılığıyla Webbios'taki fare, modern Supermicro kartlarında çalışmaz, bunun nedeni Webbios'un bir PS / 2 fare için tasarlanması ve IPMI'nin bir USB fareyi taklit etmesidir. Supermicro'nun teknik desteğinin SSS bölümü bu sorunu ele alıyor, ancak yönergeler yardımcı olmuyor. Sadece çok uygun olmayan klavyeyi kullanmak gerekiyor, tk. tüm öğeler Sekme kullanılarak gezinemez - yalnızca Yumuşak Klavye ile çalışılabilen Alt ile kombinasyonlara ihtiyaç vardır.
2. 
   Düzen değiştirme, WinPE 3.0'da çalışmaz. Bu nedenle, WinPE'yi İngilizce düzende oluşturun, bunun için Wim görüntüsünü monte ettikten sonra derleme komut dosyasına aşağıdaki komutu eklemeniz gerekir:
   Dism / image: C: \ winpe64 \ mount / Set-InputLocale: 1033: 00000409 "C: \ winpe64 \ mount" görüntünün bağlama noktasıdır.
   Dilerseniz yerel ayarı ve arayüz dilini aynı anda değiştirebilirsiniz - WinPE belgelerine bakın.
3. Windows olmayan işletim sistemleri için, imleç senkronizasyon modunu mutlaktan göreceliye değiştirin.

Ve son paragraf sanal medyanın kullanımıdır.

Yerel sürücüyü yeniden yönlendirebilir veya çok daha uygun olan görüntüyü bağlayabilirsiniz. Karşılık gelen aygıtın BIOS önyükleme menüsünde görünmesi için yeniden başlatma gerekebilir.
not IPMI parolasını nasıl sıfırlarım? Yalnızca ipmicfg konsol yardımcı programını kullanarak. DOS, Windows ve Linux sürümlerinde mevcuttur. ipmicfg -fd'yi çalıştırmak tüm ayarları sıfırlar ve yönetici haklarına sahip kullanıcının oturum açma/şifresini standart YÖNETİCİ / YÖNETİCİ olarak ayarlar.
18.04.2010 Güncellemesi... Bir noktada, başka bir Java güncellemesinden sonra, IPMIView'a bir iso görüntüsü ekleme girişimi çökmeye başladı (en son güncellemelerle Windows 7 64bit).IPMIView'ın yeni bir sürümü yayınlandı (12 Nisan'dan itibaren 110412 derlemesi). Konsolun başlatılmasını web arayüzü üzerinden kullanabileceğiniz için bu hatanın orada düzeltilip düzeltilmediğini henüz kontrol etmedim.

sekmeye git Uzaktan kumanda, Tıklayın Konsolu Başlat ve ayrı bir pencereye gir Yönlendirme Görüntüleyici, işlevsellik açısından IPMIView'daki konsola benzer. Web arayüzünün, konsola harici ağdan erişme görevini kolaylaştırmadığı da eklenmelidir - Yönlendirme Görüntüleyici bir Java uygulaması değil, ayrı bir Java uygulamasıdır ve video trafiği, HID'ler ve sanal sürücüler için aynı bağlantı noktalarını kullanır: 5900, 5901, 5120, 5123.
not 01.12.2011 tarihli... Ek makale:.
not 06.10.2013 tarihli. Benzer.
not 10.11.2013 tarihinden itibaren. IPMI ve güvenlik.
not 20.06.2014 tarihinden itibaren. Tekrar

Ağ yöneticilerinin sunucu çalışma süresini en üst düzeye çıkarmasına yardımcı olacak birçok teknoloji ve ürün bulunmaktadır. Bu nedenle yönetim standartlarının herkes için aynı olması gerekiyordu. Bugün IPMI (Akıllı Platform Yönetim Arayüzü) standardı en önemli açık standartlardan biridir ve tüm Supermicro platformlarında mevcuttur.

Çoğu Supermicro anakartı, IPMI 2.0 (LAN üzerinden IPMI) kartlarını destekleyen özel bir yuva içerir. IPMI teknolojisi, durumu ve durumundan bağımsız olarak bir sunucuyu uzaktan yönetmeyi ve geri yüklemeyi mümkün kılar. Uzaktan yönetim konsolu ile iletişim, ek bant genişliği kullanan yerleşik ağ denetleyicisi kullanılarak sağlanır. İşletim sisteminden bağımsız bir donanım çözümüdür. IPMI 2.0, bir sunucuyu uzaktan yönetmenin, izlemenin, tanılamanın ve kurtarmanın hızlı ve ucuz bir yoludur.

IPMI, işletim sisteminden tamamen bağımsız olduğundan, işletim sistemi "donmuş" veya sunucu kapalıyken bile sistemlerin izlenmesi, yönetimi, teşhisi ve kurtarılması gerçekleştirilebilir. IPMI teknolojisi, bileşenlerin geri yüklenmesi ihtiyacı hakkında bildirim görüntüleme işlevlerini uygular - bu, sistemin durumunu izlemeyi ve olası donanım sorunlarına ortaya çıkmadan önce yanıt vermeyi mümkün kılar. Donanım izleme işlevi de bu tür sorunların olasılığını azaltır. Ayrıca, kasa açıklıklarını algılamak için IPMI'yi yapılandırarak sunucu donanımına yapılan kurcalamayı izleyebilirsiniz. Personelin güvenliği, tanımlama ve doğrusal şifreleme teknolojileri ile birlikte çok düzeyli haklar ve parolaların kullanılmasıyla sağlanır. Bazı IPMI 2.0 modülleri, Lan üzerinden KVM'yi destekler. Bu, sunucudaki işletim sisteminde uzaktan oturum açmayı ve onu yapılandırmak veya gerekli programları kurmak ve kaldırmak için gerekli manipülasyonları gerçekleştirmeyi mümkün kılar.

IPMI, genellikle bir sunucuya veya bağımsız cihaza entegre edilmiş olarak sağlandığı için kullanımı kolaydır. Ve en önemlisi, finansal harcama gerektirmez. Ve yazılımın güçsüz olduğu anlarda - örneğin, işletim sistemi "donduğunda" sistemi kontrol etmenizi sağlar. Böylece IPMI teknolojisi ve mevcut yönetim araçları ve teknikleri birbirini mükemmel şekilde tamamlar. Sunucuyu etkin bir şekilde yönetmek için hem yazılım hem de donanım kaynaklarını kullanmanız gerekir. -

IPMI teknolojisinin faydaları

• CPU ve işletim sisteminin türü ve durumu ne olursa olsun güç kaynakları, fanlar, voltaj ve sıcaklığın uzaktan kontrolü
• Güncel olayları günlüğe kaydetme
• DOS desteği, BIOS kurulumu, Windows 2003, Linux
• Kasa üzerindeki düğmelerin kontrolü: Sıfırla; Gücü kapat; Güç ver

Şifre koruması

Altusen IP9001 ve IPMI modülleri: uzak bilgisayar kontrolü için gömülü araçlar

Aralarında en ünlüsü KVM anahtarları olan uzaktan kumanda modülleri genellikle harici yapılar şeklinde yapılır. Ancak, doğrudan kontrol edilen nesneye yerleştirilmiş, sunucu ekipmanıyla uzaktan manipülasyonlar için tasarlanmış başka bir cihaz sınıfı daha vardır. Her sistem yöneticisi, kendi denetimi altındaki sunuculara uzaktan erişim kullanmadan ve iki versiyonda faaliyetlerini hayal edemez: ekipman durumunun uzaktan izlenmesi ve idari işlevlerin uzaktan yürütülmesi. Tipik olarak, bu görevler bir metin konsoluna veya bir grafik kabuk masaüstüne erişilerek gerçekleştirilir. Uzaktan kumanda, en yaygın olanı yazılım araçları olmak üzere farklı şekillerde düzenlenebilir. Hemen hemen her sunucu ve depolama sistemi satıcısı, uzaktan sağlık izleme, kritik uyarılar ve donanım yönetimi için yazılımlarla birlikte gelir.

Son yer, belirli üçüncü taraf ürünlerini saymayan, işletim sistemi tarafından sağlanan yerleşik uzaktan erişim araçları tarafından işgal edilmez. Ancak bazen yazılım araçları, sunucuya doğrudan erişim olmadan sorunları gidermeye yardımcı olmak için güçsüzdür. Bu, örneğin bir donanım arızası durumunda olur ve yalnızca soğuk yeniden başlatma veya hatta gücü kapatma / açma ihtiyacı durumu düzeltebilir. Bu gibi durumlarda, anakart üzerine kurulu özel bir denetleyici olan özel bir donanım ve yazılım çözümü kurtarmaya gelir. Güç kaynağı, bir bekleme kaynağından veya genellikle bağımsız olarak sağlanır. Ağ arabirimi üzerinden erişilebilir, ayrıca bağımsız bir COM bağlantı noktası veya modem aracılığıyla başka bir kanal olabilir.Böyle bir denetleyicinin anakart üzerindeki sensörlere erişimi vardır ve ayrıca bir donanım sıfırlaması ve gücü açıp kapatabilir. Bu işlevler, istemcinin kurulu olduğu yöneticinin iş istasyonundan kontrol edilir, denetleyicilerle etkileşime girer ve bu tür modüllerle donatılmış bir grup sunucunun izlenmesine / yönetilmesine izin verir.>

Altusen IP9001 IP9001 denetleyicisi aslında bir "bilgisayardaki bilgisayar"dır. Bu çözüm, yönetilen sunucudan tam donanım bağımsızlığı sağlar Uzak düğüme erişim, Web arabirimi aracılığıyla gerçekleştirilir ve hizmet verilen bilgisayarla, açma / kapama ve donanım sıfırlamaya kadar herhangi bir işlemi gerçekleştirmenize olanak tanır. herhangi bir bilgisayara kurulum için. uygun arayüz ile. Aslında IP9001, kendi işlemcisi IBM PowerPC 405GPr - zaten iyi bilinen 405GP'nin 400 MHz versiyonu, 266 ve 300 MHz saat frekanslarıyla üretilmiş bağımsız bir bilgisayardır. Bu işlemci, entegre bir PCI arabirimi, SDRAM ve Ethernet denetleyicileri içerir. Gerekli RAM ve ROM'a ek olarak, kartın kendi ATI Rage XL grafik denetleyicisi ve ağa bağlantı için bir RJ-45 Ethernet bağlantı noktası vardır. Ayrıca, ek bir modem modülü (RJ-11 konektörü) kullanarak telefon ağı üzerinden çalışma yeteneği de dikkate değerdir - yerel ağ üzerinden kontrol edilen düğüme erişimin olmaması durumunda yardımcı olacaktır. Yukarıdakilere ek olarak, uzaktan kumanda modülü, RS-232 ve bir USB 2.0 hub dahil olmak üzere uygun bir dizi çevresel arabirim ile donatılmıştır. Cihaza iki şekilde güç verilir - PCI veri yolu ve kontrol edilen bilgisayardan bağımsızlığı sağlamak için tasarlanmış harici bir kaynak aracılığıyla. Uzak konsol kontrolü, operatöre, Uzak Konsol modunda çalışma, sistem voltajını ve sıcaklığını izleme, gücü açma/kapama ve yeniden başlatma dahil olmak üzere, doğrudan sunucunun kendisinden kullanılabilen eksiksiz bir yetenek yelpazesi sağlar. Sanal disk, CD ve disket sürücü desteği, güncellemeleri, yazılımı yüklemenize ve işletim sistemini fiziksel olarak uzak bir iş istasyonunda bulunan ortamdan başlatmanıza olanak tanır. Yazılım, her operatör için farklı kontrol erişim haklarına sahip 64 hesap için destek sağlar. Cihaz, Windows 2000/2003 / XP, Red Hat sürüm 8.0 ve üstü altında çalışacak şekilde tasarlanmıştır. IPMI (Akıllı Platform Yönetim Arayüzü).

Sunucu platformları için özel olarak tasarlanmış başka bir yerleşik aygıt türü, uzaktan izleme/yönetim araçları için Intel, HP, NEC ve Dell sunucu donanım grubu tarafından geliştirilen bir dizi IPMI belirtimine dayanır. Üç özellik içerir: Akıllı Platform Yönetim Arayüzü; Akıllı Platform Yönetim Veri Yolu (IPMB) ve Akıllı Kasa Yönetim Veri Yolu (ICMB). IPMB, tek bir sistem içinde gelişmiş izleme/yönetim için dahili bir arayüz spesifikasyonudur, ICMB, IPMI uyumlu sistemler arasında harici bir arayüz spesifikasyonu belirtir.

IPMI genişleticiler, küçük boyutlarına rağmen, sunucu üzerinde tam kontrol sağlarlar. 1.0 sürümünün 1998'de yayımlanmasından sonra, 1.5 yayımlandı ve şu anda belirtim 2.0'dır. Bu standart halihazırda 171 ekipman üreticisi tarafından desteklenmiştir ve liste büyümeye devam etmektedir. Sürüm 1.5, 2001 yılının ilk çeyreğinde onaylandı. Halihazırda aşağıdaki özellikleri içeriyordu: sıcaklıklar, voltajlar, fan hızları, kasa dış müdahale sensörleri için izleme araçları; sıfırlama ve güç yönetimi; olay günlüğü; bekçi zamanlayıcısı; COM-port ve yerel ağ üzerinden erişim ve bildirim; izleme için özel otobüsler. Sürüm 2.0, Şubat 2004'te kabul edildi. Serial Over LAN, paket şifreleme, dahili ve harici protokoller, yetkisiz erişime karşı geliştirilmiş güvenlik araçları, modüler yapıları izlemek için ek uzantılar (blade sunucular) ve oluşturmak için araçlar gibi bir dizi ek özellik içerir. sanal (yalnızca yönetim) ağlar. 400 MHz veri yolu ile Xeon Prestonia için Intel 7500 platformunu temel alan sunucu anakartları IPMI araçlarıyla donatıldı. IPMI-1.5 ile uyumlu, SO-DIMM bellek modüllerine benzer bir tasarımda özel bir işlemciye ve kendi COM bağlantı noktasına sahip küçük bir kart olarak yapılmış bir SMC-0001 modülüydü.Intel 7520/7525 tabanlı neredeyse tüm kartlarda /7320 platformunun yanı sıra Pentium 4 için Intel 7221, zaten IPMI 2.0 uyumlu olan AOC-IPMI20-E modülünü kurar.

IPMI 2.0 mimarisi. Bugün, sunucu sistemleri geliştiricileri tarafından benimsenen ana standarttır.

Pentium D için 7230 sunucu platformları ve Xeon için 1U 6014P serisi platformlar, IPMI kartları için yeni bir yapıya sahiptir. PCI-X x16'ya benzer bir yuvaya sahiptir, yalnızca ters çevrilmiş bir anahtarla. Bu kartlar (AOC-1UIPMI-B ve AOC-LPIPMI-LANG), işlevsel olarak AOC-IPMI20-E'ye benzer, ancak ek bir Intel 82541PI Gigabit NIC ile donatılmıştır. AOC-LPIPMI-LANG modülü, normal veya 2U kasasına ve AOC-1UIPMI-B - 1U kasasına kurulum için tasarlanmıştır ve bir ağ kartı ile donatılmamıştır (isteğe bağlı olarak ayrı bir AOC- 1UIPMI-LANG modülü). Varsayılan olarak, AOC-IPMI20-E, anakartta bulunan ilk ağ denetleyicisini kullanır ve AOC-1UIPMI-B ve AOC-LPIPMI-LANG, takılıysa eklerini kullanır. Kurulum sırasında, ana karta karşılık gelen Firmware önce IPMI modülünde programlanır ve ardından IP adresi ayarlanır. İşletim sisteminde, aynı ağ kartı, IPMI için ayarlanandan farklı bir IP adresi ile diğer ihtiyaçlar için paralel olarak kullanılabilir. Kural olarak, güvenlik nedeniyle ayrı bir ağ tahsis edilmesi önerilir. IPMI adaptörlü sistemleri izlemek / yönetmek için, tüm sürümlerin adaptörlerini tanıyan özel bir IPMIView20 yardımcı programı kullanılır. Belirli bir adres aralığındaki IPMI adaptörlerini bulmanızı ve tespit edilen sistemleri belirli bir kritere göre gruplamanızı sağlar. Belirli bir sunucuya erişim sağlamak için, parola doğrulamasını geçmek gerekir ve IPMI 2.0, parola kontrolü ve şifrelemenin yanı sıra erişim haklarının çok düzeyli farklılaşmasını kullanır.IPMI aracılığıyla sunucuları yönetmek için yazılım, operatöre yalnızca bir set sağlamakla kalmaz temel işlevlerin yanı sıra verileri uygun bir grafikte izleme IPMI adaptörleri tarafından sağlanan ana izleme/yönetim yetenekleri standarttır: sistem olaylarının kaydı, sıcaklığın, voltajların, fan hızlarının ve diğer sensörlerin izlenmesi. Yeniden başlatma, açma / kapama ve Döngü - sıralı kapatma ve ardından açma özelliğine sahiptir. Tüm bu işlevler iki modda mevcuttur: Zarif Güç Kontrolü - üzerine kurulu aracı aracılığıyla işletim sisteminin doğru şekilde kapatılması (GPC aracısı yalnızca Windows ve Linux için kullanılabilir) ve Kasa Güç Kontrolü - donanımdan sıfırlama / kapatma. konsola, COM bağlantı noktasına yeniden atanarak ve SOL-redirection (LAN Üzerinden Serial) uygulanarak erişilir. İkincisi, uzak bir sunucunun metin konsoluna erişmenize ve örneğin BIOS ayarlarını uzaktan değiştirmenize izin verir. Aynı şekilde Windows önyükleme menüsüne veya Linux / UNIX metin konsoluna erişebilirsiniz.

son söz

Bu genel bakışta açıklanan cihazlar, aynı görevi yerine getirmek üzere tasarlanmıştır - uzak sistemlerin bakımını mümkün olduğunca basitleştirmek. Aralarındaki temel fark kapsamdır. Altusen IP9001 herhangi bir sistem için uygunsa, IPMI modüllerinin kurulumu yalnızca sunucu platformlarıyla sınırlıdır. Günümüzde birçok geliştirme şirketi bu tür modülleri sistemlerine dahil etmeye çalışmaktadır. Böylece, 15 Haziran'da ATEN International Co. Ltd. yeni IPMI ürün yazılımı çözümünün Micro-Star International Co. tarafından resmi olarak seçildiğini duyurdu. Ltd. (MSI) kendi sunucu ürün grubu için. MSI, müşterilere ihtiyaç duydukları sunucu yönetimi yeteneklerini sağlamak için ATEN ürün yazılımını AMD sunucu portföyüne entegre edecek ve Supermicro ayrıca Bensley platformu için LAN üzerinden IPMI KVM'yi entegre edecek yeni AOC-SIMLP IPMI 2.0 izleme / yönetim araçları hazırlıyor. ...

Modern sunucuların büyük çoğunluğu, sunucuyu uzaktan yönetmek için bir IPMI / BMC arayüzüne sahiptir. Bu araç, TCP/IP protokolünü kullanarak sanal klavye ve sunucu ekranına erişim sağlar. Bugün IPMI güvenlik araştırmasının tarihine değineceğiz, saldırıları gerçekleştirmek için vektörleri ve IPMI kullanarak bunların daha da geliştirilmesini ele alacağız.

IPMI nasıl iletişim kurulacağını ve ne sağlanacağını yöneten bir dizi belirtimdir.
Tüm satıcılar bu özelliklere uymaya çalışır.
Donanma IPMI için bir donanım sarıcısıdır. Ana bilgisayarın sensörlerinde dokunaçları olan tek kartlı bir bilgisayardır (bir çip üzerindeki sistem). Her satıcı, ne tür bir donanım kullanılacağını ve nasıl birleştirileceğini seçer, ki bu doğaldır. Tüm örneklerimiz, Hewlett-Packard'dan (HP) tümleşik Lights Out (iLO) üzerinde görüntülenecektir. HP iLO, yalnızca bir grup BMC / IPMI'dir. Diğer satıcıların kendi adları, donanım ve yazılımdaki uygulamaları vardır. Ancak, kural olarak, gemide ARM ve Linux işlemcili tek kartlı bir bilgisayardır.
Bu tür cihazların ana işlevi, yöneticilerin hayatını daha basit ve kullanışlı hale getirmektir: sunucuya koşmaya ve Sıfırla düğmesine basmaya / yeni bir sistem kurmaya / neden açılmadığını izlemeye gerek yoktur. Artık IPML / BMC'ye bağlanabilir ve hepsini uzaktan yapabilirsiniz. Ayrıca her türlü sıcaklık sensöründen bilgi almak mümkün hale gelir,
voltaj ve benzeri, ki bu da oldukça uygundur.

KONTROL

Birkaç kontrol arayüzü vardır:
- web arayüzü (satıcıya göre değişir);
- LAN üzerinden IPMI (UDP 623);
- sunucuda kurulu sistemden (üreticinin sürücülerinin kurulu olması şartıyla). Kullanılan yazılım: Windows için WMI, OpenlPMI, Linux için IPMLtool.

Web arayüzü ile her şey açıktır. Her satıcı, nasıl göründüğüne ve nasıl uygulanacağına kendisi karar verir. İkinci ve üçüncü arayüzler benzerdir, ancak iletim ortamı farklıdır. LAN üzerinden IPMI durumunda, tahmin edebileceğiniz gibi, komutlar ağ üzerinden UDP bağlantı noktası 623'e iletilir. Kurulu sistemden, IPMI komutları, genellikle kurulumdan sonra görünen / dev / ipm iO olan bir cihaz dosyası aracılığıyla iletilir. sürücü. IPMI ile etkileşim için standart yardımcı program, kullanımı en kolay olduğu için GNU / Linux için IPMltool'dur.

IPMI / BMC'YE PENTESTER NE YAPILMALI?

IPMI / BMC güvenlik açığı raporunun 2013 yazında yayınlanmış olmasına rağmen, şu anda çok sayıda savunmasız sistem var. Çok sık olarak herhangi bir takımın IPMI / BMC'si bir arama motoru aracılığıyla bulunabilir. Doğal olarak bu tür sistemleri dışarıda tutmamalısınız. Esas olarak dahili penetrasyon testleri sırasında bulunurlar. Bu tür sistemleri kullanan bir saldırının geliştirilmesi için en basit vektörlerden biri, IPMI / BMC kullanarak sunucunun "kaçırılması" dır.

IPML / BMC'ye yönetici erişimi kazandıktan sonra (aşağıda gösterildiği gibi, bu hiç de zor değil), VirtualConsole (aka KVM) aracılığıyla bağlanabilir ve örneğin, kök parolayı sıfırlayabilir veya hash'i boşaltmak için LiveCD'yi kullanabilirsiniz ve Windows ise yerel kullanıcılar. Yükseltilmiş bir şans becerisiyle, root'un oturumu kapatmayı unuttuğu konsolu bile yakalayabilirsiniz (bu genellikle sanal makinelerde olur). Buna karşılık, IPMI, sistemin tamamen yeniden yüklenmesinden sonra sunucuya yeniden erişim sağlamak için bir fırsat olarak kullanılabilir.
Şifre kullanmadan maksimum ayrıcalıklara sahip işletim sistemi aracılığıyla IPMI / BMC'ye erişim mümkündür, yani herhangi bir yetkilendirme gerekli değildir. Bu durumda, saldırgan basitçe IPMI / BMC yönetici hesaplarını oluşturur. Sunucuya erişimini kaybederse, IPMI / BMC'ye gider ve dürüstçe kazanılan malı iade eder. Genel olarak, IPMI / BMC ile ana bilgisayar arasındaki bağlantı henüz tam olarak incelenmemiştir. Bu, hataları ve özellikleri bulmak için benzersiz bir alandır. Bunu sunucularında uygulayan satıcıların sayısı göz önüne alındığında, "zengin bir iç dünyadan" bahsedebiliriz.

KAMU ARAŞTIRMASI

Dan Farmer (DanFarmer) ilk kez IPMI ve Donanmanın güvenliğine dikkat çekti. Kendi kendini açıklayan başlığı "Cehenneme Yük Treni" taşıyan tam raporuyla. En ilginç anları bilgisayar korsanlığı açısından ele alacağız.
Dan'in araştırmasına göre, IPML / BMC güvenlik açıkları iki geniş kategoriye ayrılır:

· Üreticilerden gelen özel hatalar (örneğin, web arayüzü güvenlik açıkları);
· IPMI protokolünün güvenlik açıkları.

Aslında, Dan birçok ilginç şey çıkardı, daha fazlası aşağıda.

BOŞ kimlik doğrulama

Açıklama
Güvenlik açığı, kimlik doğrulama atlamasına izin veriyor. Yalnızca IPMI 1.5'te bulunur. Çalıştırma, yalnızca kimlik doğrulamayı devre dışı bırakma seçeneğini etkinleştirerek cihazı kontrol etmenizi sağlar. Ayrıcalıklar satıcıdan satıcıya değişir, ancak genellikle maksimumdur.

Satıcılar
- HP
- Dell
- Süper mikro.

Koşullar
UDP 623, IPMI 1.5 bağlantı noktasını açın, mevcut bir kullanıcının oturum açma.

Ipmtiool -А NONE -Н targetIP bmc kılavuzu

Şifre 0 ile IPMI Kimlik Doğrulaması Atlaması

Açıklama
Güvenlik açığı, kimlik doğrulama atlamasına izin veriyor. Hata, IPM I sürümüyle ortaya çıktı
2.0. Bu revizyonda şifreleme eklemeye karar verdik. Çalıştırmak için gerekli
geçerli bir hesabın girişini bilin, ancak şifreyi bilmek gerekli değildir -
herhangi birini belirtebilirsiniz.

Satıcılar
- HP
- Dell
- Süper mikro.

Koşullar

UDP 623, IPMI 2.0 bağlantı noktasını açın, mevcut bir kullanıcının oturum açma.

Metasploit - yardımcı / tarayıcı / ipmi / ipmi_cipher_zero ipmitool -I lanplus -C 0 -H targetIP -u Yönetici -P anypasswordburadaki kullanıcı listesi

IPMI 2.0 RAKP Kimlik Doğrulaması Uzaktan Parola Hash Alma

Açıklama
Güvenlik açığı, yetkisiz bir kullanıcının sonraki kaba kuvvet saldırıları için karma kullanıcı parolaları almasına olanak tanır. Hata, IPMI spesifikasyonu sürüm 2.0'da ortaya çıktı

Satıcılar
- HP
-Dell;
- Süper mikro.

KOŞULLAR

UDP bağlantı noktası 623, IPMI 2.0 ve geçerli kullanıcı oturum açma bilgilerini açın.

Metasploit - yardımcı / tarayıcı / ipmi / ipmi_dumphashes http://fish2.com/ipmi/tools/rak-the-ripper.pl

IPMI Anonim Kimlik Doğrulama / Boş kullanıcı

Açıklama
Birisi buna boş kullanıcı diyor, biri ona isimsiz kimlik doğrulama diyor. Birisi bu iki güvenlik açığını paylaşıyor, bazıları paylaşmıyor. Varsayılan olarak boş kullanıcı/anonim vardır - "" (boş dize). Boş kullanıcı derlerse şifresi de boştur. Anonim kimlik doğrulama diyorlarsa, geçiş yöneticidir ve her şey için ATEN-Yazılımlı IPMI Yongaları sorumludur.
Dan araştırmasında bunları iki farklı güvenlik açığı olarak görüyor. Ve Rapid7'nin rıhtımında boş kullanıcı hakkında bir kelime yok.

Satıcılar:

HP
Dell
Supermicro (ATEN-Yazılımı ile IPMI Çiplerini kullanarak).

Koşullar

UDP bağlantı noktası 623'ü açın.

Metasploit - yardımcı / tarayıcı / ipmi / ipmi_dumphashes ipmitool -I lanplus -Н targetIP -U "" -Р "" kullanıcı listesi

Supermicro IPMI UPnP Güvenlik Açığı

Açıklama
Supermicro, 1900 numaralı UDP bağlantı noktasında bir UPnP SSDP hizmetine sahiptir. Arabellek taşmalarına karşı savunmasızdır.

Satıcılar
Süper mikro.

Koşullar
1900 numaralı bağlantı noktasını açın.

Metasploit istismarı / çoklu / upnp / libupnp _ssdp_overflow metasploit yardımcı / tarayıcı / upnp / ssdp_msearch

Supermicro IPMI Açık Metin Parolaları

Açıklama
IPMI 2.0 spesifikasyonu, açık metin parolalarının bir yerde saklanması gerektiğini ima eder. Supermicro'da, bellenime bağlı olarak / nv / PSBlock veya / nv / PSStore içinde bulunurlar.
Ek olarak, 49152 numaralı TCP bağlantı noktasındaki Nuvoton WPCM450 üzerindeki BMC uygulamalarında, / nv dizinindeki dosyaların içeriğini, örneğin PSBlock, server.pem vb. okumanıza izin veren bir hizmet vardır.

Satıcılar
Süper mikro.

Koşullar
Kabuk erişimi

Cat / nv / PSBlock yankı (GET / PSBlock "1 nc targetIP 49152

Güvenlik açıkları ile ilgili olarak "NULL kimlik doğrulaması / Şifre О aracılığıyla IPMI Kimlik Doğrulaması Atlaması О", "IPMI 2.0 RAKP Kimlik Doğrulaması Uzak Parola Karması Alma", "IPMI Anonim Kimlik Doğrulaması" - tüm bunlar IPMI belirtiminde yazılmıştır.
Araştırmacılar, kimlik doğrulama ve şifreleme mekanizmalarına vurgu yaparak bunu kapsamlı bir şekilde incelediler. Supermicro üretici yazılımındaki (Supermicro IPMI UPnP Güvenlik Açığı) bir UPnP hizmetindeki rastgele kod yürütme güvenlik açığı, CVE-2012-5958 (libupnp'de BoF) ile ilgilidir. Dokunduğumuz güvenlik açıklarının geri kalanı, Supermicro X9 anakartlar için Supermicro ürün yazılımının analiziyle bulundu ve vurgu, web'den sorumlu kodun analizindeydi.

UYGULAMALI LABORATUVAR

Tipik bir IPMI güvenlik açığından yararlanma şemasına bir göz atalım.
İyi bilinen Metasploit çerçevesinde bulunan ipmi_version modülünü kullanarak ağ çevresini tarayabilirsiniz. Zaten dahili segmentteyseniz ve Metasploit'i kurmanın / kullanmanın bir yolu yoksa, basit ipmiping veya rmcpping yardımcı programı ile yapabilirsiniz.
Açık IPMI'leri bulmak mümkün olur olmaz, her şeyden önce, onları "Şifre О aracılığıyla Kimlik Doğrulama Atlaması" güvenlik açığı için kontrol etmelisiniz (yukarıya bakın). Varsa, kullanıcı karmalarını boşaltmadan yapabilirsiniz ve yalnızca yönetici parolasını sıfırlayın veya kendinizinkini ekleyin. Önemli: Bu güvenlik açığından yararlanmak için hesaptaki günlükleri bilmeniz gerekir; bizim durumumuzda hesabın yönetici ayrıcalıklarına sahip olması gerekir. Başlangıç ​​olarak, bir kullanıcı karma dökümü ve onu kaba kuvvet gönderen durumu ele alalım.

Metasploit'a modülünü kullanma ipmi_dumphashes kullanıcı karmalarını toplama yeteneğine sahibiz. Önemli: Kullanıcının girişini bilmeden hash'ini almak mümkün olmayacaktır. seçeneklerde ipmi_dumphashesörneğin, yöneticiler kendileri için hesaplar oluşturduysa, oturum açma bilgilerini içeren dosyanın yolunu belirtebilirsiniz. Varsayılan dosya, tüm satıcıların varsayılan oturum açma bilgilerini içerir. Brutus karmaları şu şekilde desteklenir: oclHashcat ve John the Ripper ile dev-yamalar (topluluk baskısı). Resmi web sitesinde ihtiyaç duyduğumuz biçimi desteklemeyen eski bir sürüm olduğundan, John github'dan alınmalıdır. En son sürüm oclHashcat, şu anda 1.30, kutudan çıkan her şeyi destekliyor.

Elinizde HP ilO4'ten bir hash varsa, şanslısınız. Gerçek şu ki, fabrikada yapılandırırken, Yönetici hesabı için varsayılan parola sekiz karakter uzunluğundadır - büyük harf + sayısal. Mütevazı kapasitemde, böyle bir değeri aramak yaklaşık yarım saat sürüyor.

Güvenlik açığı durumunda şifre oh kaba kuvvet karmaları olmadan yapabilir ve şifreyi sıfırlayabilirsiniz. Bunun için IPMitool yardımcı programına ihtiyacımız var. GNU / Linux için inşa etmek hiçbir soru sormaz. Ancak Windows altında bir tef ile dans ayarlamanız gerekecek. Cygwin... Yönetici eklemek için işlem sırası aşağıdaki gibidir:

1. Hangi kullanıcıların mevcut olduğuna bakarız ve bir sonraki ücretsiz kimliği kullanırız.

Ipmitool -I lanplus -c 0 -H 1.1.1.1 -U Yönetici -P anypasswordburadaki kullanıcı listesi

2. Kullanıcımızın oturum açma bilgilerini ayarlayın.

Ipmitool -I lanplus -C 0 -H 1.1.1.1 -U Yönetici -P herhangi bir şifreburadaki kullanıcı ayar adı bilgisayar korsanı

3. Bunun için bir şifre belirleyin.

Ipmitool -I lanplus -C 0 -H 1.1.1.1 -U Yönetici -P herhangi bir şifre burada kullanıcı ayarlı şifre hacker geçidi

4. Yönetici yapıyoruz.

Ipmitool -I lanplus -C 0 -H 1.1.1.1 -U Yönetici -P herhangi bir şifre burada kullanıcı özel 4

5. Yalnızca yeni oluşturulan hesabı etkinleştiririz.

Ipmitool -I lanplus -C 0 -H 1.1.1.1 -U Yönetici -P herhangi bir şifre burada kullanıcı etkinleştirilir

Hash'ler kırıldıktan, şifreler sıfırlandıktan veya yeni bir yönetici eklendikten sonra, web arayüzü üzerinden, SSH üzerinden SMASH'e giriş yapma veya bir uzak masaüstüne yani KVM'ye bağlanma imkanına sahipsiniz.
KVM anahtarı, konsolun kendisine doğrudan erişim sağladığı ve böylece BIOS'a erişime, işletim sistemini yüklemeye ve benzerlerine izin verdiği için özel bir değere sahiptir. Her satıcı, KVM anahtarının uygulanmasından sorumludur. Örneğin, HP'de
ilO4, bunun için 17988 ve 17990 numaralı TCP bağlantı noktalarını kullanır.Dell iDRAC7, TCP 5900 bağlantı noktasına sahiptir.Cisco ICM TCP bağlantı noktası 2068.

Bahsetmeye değer bir şey, HP BladeSystem Yerleşik Yöneticidir. HP BladeSystem, sunucu blade'lerinin bağlandığı kasadır. Dolayısıyla bu kasa, IPMI kullanarak blade sunucularını merkezi olarak yönetmenize olanak tanır. Bu durumda, "Slave" IPMI için yetkilendirme, SSO mekanizması kullanılarak gerçekleşir. Tek ihtiyacınız olan, yönetici ayrıcalıklarına sahip bir kullanıcının bir özetini almak ve ilgilendiğiniz sunucuya bağlanmak için web arayüzünü kullanmak.

HP il04'te bulunan bir başka ilginç özellik de, TEXTCONS komutunu kullanarak sunucuya KVM aracılığıyla doğrudan SMASH'den (okuma: SSH) bağlanabilme yeteneğidir. 80, 443, 17990 portları kapatıldığında bu çok kullanışlıdır.Bunu yapmak için yönetici haklarına ihtiyacınız olacak, ama ne fark eder?
Yönetici olmak o kadar da zor değil. Kişisel olarak okuyucu, ipmicd programını Windows/Linux altında C dilinde hazırladım. IPMl / BMC'nin yanı sıra döküm karmaları (Metasploit'a'dan ipmi_dumphashes'a benzer) için bir dizi adresi taramanıza olanak tanır. Programlar, Metasploit'i kullanmanın çok iyi bir fikir olmadığı durumlar için tasarlanmıştır, örneğin, IPML / BMC, Metasploit'in iletilemeyeceği bir yerdedir.

Yardımcı program GitHub'da mevcuttur. Kullanımı çok kolay:

1. -p parametresi, belirli bir aralığın taranması gerektiğinde kullanılır.
2. -d parametresi, karma parolanın alınıp alınmayacağını belirtir.
3. -v N parametresi 0..5 işletimi sırasındaki günlüğe kaydetme derecesini gösterir. N = 1 ise, program parmak izlerini verir.

Farklı parametreleri birleştirerek programın davranışını etkileyebilirsiniz. Örneğin, -d ve -p seçenekleri birlikte kullanıldığında, program yalnızca IPML pinglerine yanıt veren sistemlerden hash almaya çalışacaktır. Yalnızca -d seçeneğini kullanırken, genellikle gerçekçi olmayan bir şekilde yavaş olan tüm adreslerden karmaları almaya çalışacaktır. Herhangi bir şüpheniz varsa, -v 5 seçeneğini kullanabilirsiniz - program alınan mesajları uygun bir biçimde görüntüler. Linux'ta derlemek için yalnızca GCC'ye ihtiyacınız var - gcc ipmicd.c -statik -o ipmicd... Windows'ta kullanılıyorsa, MinGW ile derleyin gcc ipmicd.c -mno-ms-bitfields -lws2_32 -DMINGW.

ÇÖZÜM

Yüksek hakkında birkaç söz: Farklı IPML / BMC satıcılarının yetenek ve uygulamalarının incelenmesi daha yeni başlıyor. Bu, yalnızca SMASH web arayüzlerini değil, aynı zamanda kurulu sistemden IPMI / BMC uzak sunucu yönetimi teknolojileriyle etkileşime girmenize izin veren işletim sistemleri için sürücüleri de içerebilir. IPMI / BMC'de bilgi alışverişini uygulayan dahili hizmetler. BMC'nin kendisinin "demir" uygulaması ve ana sunucuyu tam olarak nasıl kontrol ettiği bile hedeflenebilir. Yöneticilere, tüm sistemlerinde genel güvenlik açıkları olup olmadığını kontrol etmelerini ve mümkünse bu güvenlik açıklarını ortadan kaldırmalarını öneriyorum. Okuyucuya vermek istediğim en önemli tavsiye, kontrol ettiğiniz ekipmanın ayarlarına azami dikkat göstermenizdir.

Çok uzun zaman önce, benim için yeni sunucularla çalışmayı başardım süper mikro arayüz kullanılarak uzaktan kontrol edilen IPMI... Bu yazıda, Supermciro sunucularında IPMI kurulumunun ana noktalarını ortaya çıkarmaya, IPMI arayüzünün ana menü öğelerini göstermeye ve ayrıca ipmi kullanarak sunucuyu izlemek için ek araçlar, komutlar ve yöntemler hakkında konuşmaya çalışacağım.

IPMI(Akıllı Platform Yönetim Arayüzü), doğrudan sunucu platformlarının donanım ve belleniminde yerleşik işlevlerin bağımsız olarak izlenmesi ve kontrolü için tasarlanmış akıllı bir platform yönetim arabirimidir. (resmi bir kaynaktan alınan bilgi). IPMI, işletim sistemine, BIOS'a, sunucu CPU'suna bağlı olmayan ve fiziksel ekipmanın uzaktan kontrolünü sağlayan ayrı bir sunucu denetleyicisi olarak uygulanır.

IPMI konsolunun ilk konfigürasyonu ve arayüze aşinalık

IPMI kurulumu, BIOS'ta belirtilmesi gereken arayüzün IP adresinin ayarlanmasıyla başlar. Sunucu bir ofise kuruluysa, gri bir IP adresi olabilir, ancak ekipmanınız DataCenter'da bulunuyorsa, muhtemelen beyaz bir statik IP adresi kullanıyorsunuzdur.

Supermicro sunucularında BIOS'a “düğmesine basarak erişilebilir. del”Sunucuyu yüklerken bunun üzerinde durmayacağım ve doğrudan BIOS'un arayüzüne gideceğim.

Ekran görüntüsünde görebileceğiniz gibi, IPMI menü maddesine girdim ve arayüz için Lan yapılandırma seçeneğini etkinleştirdim (IPMI Lan Yapılandırmasını Güncelle = Evet, Yapılandırma Adresi Kaynağı = Statik), IP adresini, alt ağ maskesini ve varsayılan ağ geçidini belirledim.

Butona tıklayarak ayarları uygulayabilirsiniz. F4, bundan sonra sunucu yeniden başlatılacaktır.

Her şeyi doğru yaptıysanız, IPMI arayüzü için belirtilen IP'yi tarayıcıya girerek bir yetki alacaksınız:

Şimdi ana noktalardan geçelim.

Yeni bir sunucu satın alırken, IPMI'de zaten bir kullanıcı oluşturuldu YÖNETİCİşifreli YÖNETİCİ, bu verilerle giriş yapıyoruz. Her zaman yeni bir kullanıcı oluşturmanızı ve varsayılan şifreyi silmenizi veya değiştirmenizi tavsiye ederim, bu nedenle böyle bir kullanıcı adı ve şifre bırakmak son derece güvenli değildir. Menüden yeni bir kullanıcı oluşturabilir veya mevcut olanlar için şifreleri/ayrıcalıkları değiştirebilirsiniz. Yapılandırma -> Kullanıcılar.

IPMI arayüzünün yeniden başlatılması menüden yapılabilir Bakım -> Ünite Sıfırlama.

Sunucuya kurulum için işletim sisteminin iso görüntüsünün montajı menüde gerçekleştirilir. Sanal Ortam -> CD-ROM Görüntüsü.

ISO OS görüntülerim, Samba sunucusunda, IPMI sunucu arabirimleriyle aynı alt ağda depolanıyor. Samba sunucusunun adresini, işletim sistemi ile kurulum ISO görüntüsünün yolunu belirtiyorum, ardından ISO görüntüsünü monte ediyorum ve işletim sisteminin kurulumuna devam ediyorum.

Uzak grafik Java sunucu konsolu ( IP üzerinden KVM) aracılığıyla açılabilir Uzaktan Kontrol -> Konsol Yeniden Yönlendirme.

Konsol genellikle kullanışlıdır, ancak işletim sistemini kurduktan sonra, sunucuyla çalışmak için genellikle ssh istemcilerini kullanırım. Bazen bunun imkansız olduğu zamanlar vardır, örneğin ağınız çalışmıyorsa veya sunucuda henüz yapılandırılmamışsa veya erişimle ilgili bazı sorunlar varsa. İşte o zaman Uzak Konsol devreye girer.

Konsolun kendisinde ayrı bir ayar yapmanıza gerek yok, menüden çağrılabilen yerleşik bir klavyeye sahip olduğunu eklemek istiyorum. Sanal Ortam -> Sanal Klavye.

Tavsiye. SUpermicro sunucularıyla uzun süre çalıştıktan sonra, kötü bir hata buldum. Centos 7 işletim sistemini kurduktan ve üzerine KVM kurduktan sonra, Uzak Konsolu kullanma yeteneği kaybolur. Sunucu önyükleme sürecindeyken konsol yanıt verir ve Bios'a gidebilir veya işletim sistemi çekirdek yükünü görebilirsiniz. Ancak işletim sistemi yüklenir yüklenmez konsoldaki video kayboluyor. Deneyler yoluyla bu hatayı yenmeyi başardım. Çekirdek önyüklemesine nomodeset önyükleme parametresini eklemek gerekir. Bunu yapmak için, işletim sistemini kurduktan sonra şu komutu çalıştırmanız gerekir:

pis --args "nomodeset" --update-kernel / boot / vmlinuz-`uname -r`

Bundan sonra Uzak Konsol iyi çalışıyor.

SuperMicro'nun IPMICFG yardımcı programı aracılığıyla sunucu yönetimi

Sunucuları IPMI aracılığıyla yönetmek için SuperMicro kendi yardımcı programını geliştirir IPMICFG.

IPMICFG dosyasını şu komutu kullanarak indirebilirsiniz:

wget ftp://ftp.supermicro.com/utility/IPMICFG/IPMICFG_1.30.0_build.190710.zip

Yayınlandığı sırada dosya bu ada sahipti, bağlantıyı kullanarak SuperMicro deposuna gitmenizi öneririm ftp://ftp.supermicro.com/utility/IPMICFG/ ve mevcut dosyanın url'sini kopyalayın.

İndirilen dosyayı bulunduğumuz dizine açın:

ln -s /root/IPMI*/Linux/64bit/IPMICFG-Linux.x86_64 / usr / local / sbin / ipmicfg

Artık ipmicfg (sembolik bağlantı) komutunu kullanarak yardımcı programı çalıştırabiliriz. ipmicfg yardımcı programının temel özelliklerine bir göz atalım.

ipmicfg -help komutunu çalıştırırsak, yardımcı program için tüm olası seçeneklerin bir listesini alırız.

Ana komutları analiz edelim:

• ipmicfg -help - yardımcı program hakkında tam yardım;
• ipmicfg -m - IPMI için geçerli IP ve mac adresini görüntüleyin;
• ipmicfg -k - alt ağ maskesini görüntüleyin;
• ipmicfg -g - belirtilen ağ geçidini görüntüleyin;
• ipmicfg -fd - IPMI'yi fabrika ayarlarına sıfırlayın;
• ipmicfg -user list - oluşturulan kullanıcıları ve ayrıcalıklarını görüntüleyin.

IPMI arayüzünün IP adresini, maskesini ve ağ geçidini değiştirebilirsiniz:

• ipmicfg -m 192.168.1.200
• ipmicfg -k 255.255.255.0
• ipmicfg -g 192.168.1.1

Yeni bir IPMI kullanıcısı ve şifresi oluşturun:

ipmicfg -kullanıcı ekleme

Yardımcı programı kullanarak aşağıdakileri yaparız:

ipmicfg -user 6 testi 123456 4 ekle

Böylece 123456 şifreli ve yönetici ayrıcalıklarına sahip bir kullanıcı testi oluşturduk.

IPMI kullanıcılarının listesi ve sistemdeki ayrıcalıkları şu komutlarla görüntülenebilir:

• ipmicfg -kullanıcı listesi
• ipmicfg -kullanıcı yardımı

Ekran görüntüsünde de görebileceğiniz gibi, test kullanıcısı oluşturuldu.

IPMI kullanıcısının parolasını değiştirmek (sıfırlamak) için şu komutu kullanın:

ipmicfg -user setpwd

Ve bu yardımcı programı kullanmanın birkaç örneğini daha vereceğim:

• ipmicfg -hostname - ipmi arayüzü için ana bilgisayar adını ayarlayın;

IPMI ve IPMICFG yardımcı programı aracılığıyla SuperMicro sunucusundaki donanımın izlenmesi

IPMI üzerinden SuperMicro Sunucu İzleme

IPMI aracılığıyla SuperMicro sunucu donanımının sıcaklığını ve çalışmasını izlemek oldukça basittir. Sunucu donanımıyla ilgili tüm bilgiler Sistem -> Donanım Bilgileri öğesinde bulunur.

İşlemci, RAM ve fanların durumu ile ilgili bilgiler Sunucu Sağlığı -> Sensör Okumaları sekmesine giderek görüntülenebilir.

Görüntüleme kolaylığı için, örneğin sıcaklık gibi görüntüleme sensörlerinin kategorilerini değiştirebilirsiniz:

Veya voltaj sensörleri:

Şu anda sunucumuzda ne sıcaklık ne de voltaj ile ilgili herhangi bir sorun olmadığı için tüm sensörler yeşil bölgede. Sunucu sıcaklığı yükselirse veya voltaj sorunu varsa, yeşil dikdörtgenler kırmızıya dönerek sunucunuzu kontrol etmek için bir sinyal görevi görür.

ipmicfg yardımcı programı ile izleme

Güç kaynaklarının durumunu kontrol etme:

# ipmicfg -pminfo

Öğe | Değer ---- | ----- Durum | (00h) Giriş Voltajı | 217,5 V Giriş Akımı | 1.06 A Ana Çıkış Gerilimi | 12.28 V Ana Çıkış Akımı | 17.93 A Sıcaklık 1 | 23C / 73F Sıcaklık 2 | 21C / 70F Fan 1 | 2064 RPM Fan 2 | 2032 RPM Ana Çıkış Gücü | 220 W Giriş Gücü | 228 W PMBus Revizyonu | 0x22 PWS Seri Numarası | P2K4FCH02LT0125 PWS Modül Numarası | PWS-2K04F-1R PWS Revizyonu | REV1.0 Mevcut Paylaşım Kontrolü | PEC hatası Öğe | Değer ---- | ----- Durum | (00h) Giriş Voltajı | 217,5 V Giriş Akımı | 1.09 A Ana Çıkış Gerilimi | 12.30 V Ana Çıkış Akımı | 18.09 A Sıcaklık 1 | 24C / 75F Sıcaklık 2 | 22C / 72F Fan 1 | 2064 RPM Fan 2 | 2064 RPM Ana Çıkış Gücü | 223 W Giriş Gücü | 234 W PMBus Revizyonu | 0x22 PWS Seri Numarası | P2K4FCH02LT0126 PWS Modül Numarası | PWS-2K04F-1R PWS Revizyonu | REV1.0 Mevcut Paylaşım Kontrolü | PEC hatası

İşlemci sıcaklığını şu komutla görüntüleyebilirsiniz:

ipmicfg -nm oemgettemp

Ayrıca fanların hangi modda çalıştığını kontrol edebilir ve gerekirse modu değiştirebilirsiniz.

Fan Durumunu ve Yapılandırmayı Kontrol Etme

# ipmicfg -fan

Mevcut Fan Hızı Modu [PUE2 Optimum Modu] Desteklenen Fan modları: 0: Standart 1: Tam 3: PUE2 Optimal 4: Ağır IO

Soğutucu çalışma modunun değiştirilmesi: ipmicfg -fan Örneğin ipmicfg -fan 3

IPMI sürümü ve üretici yazılımı bilgileri:

# ipmicfg -nm aygıt kimliği

Cihaz Kimliği = 50 saat Donanım Yazılımı Sürümü = 4.1.4.54 IPMI Sürümü = 2.000000 Üretici Kimliği = 57 01 00 Ürün Kimliği Küçük Ver = Greenlow platformu Uygulandı DCMI sürümü = DCMI uygulanmadı / etkinleştirildi Donanım yazılımı uygulandı sürümü = NM Revizyon 4.0 Görüntü İşareti = operasyonel görüntü 1 ham = 50 01 04 14 02 21 57 01 00 09 0b 04 05 40 01

Ve ipmicfg -sdr komutuyla tüm sensörleri görebilirsiniz.

Görüntülerken, alt ve üst limitlerin limitleri ile ilgili bilgilerin görüntülendiği ek sütunlar olduğunu görüyoruz.

Ayrıca, örneğin nagios ile bu süreci izlemek ve otomatikleştirmek için kullanılabilecek az sayıda yardımcı program yoktur. Şu anda buna odaklanmayacağız, çünkü makalenin amacı IPMI ile çalışmanın ana noktalarını anlatmaktır. İzleme konusuyla ilgileniyorsanız, dileklerinizi bırakabilirsiniz ve belki gelecekte bu konuyu da ele alacağız. Umarım bu makaleyi faydalı bulursunuz!

Büyük ekipman üreticileri, geçen yüzyılın sonunda bilgisayar sistemlerinin uzaktan kontrol ve izlenmesini uygulamaya başladılar. Bilgisayarlaşmanın hızlı büyümesi ve büyük işletmelerin ve kuruluşların dağıtık ağlarının ortaya çıkmasıyla birlikte, bilgisayara doğrudan yerel erişim olmaksızın en önemli düğümlerin merkezi yönetimine izin verecek teknoloji gerekliydi. Her şeyden önce, büyük sunucu platformları üreticileri, yakındaki bir binada veya gezegenin diğer tarafında bulunabilecek bir sunucuya uzaktan erişim gerçekleştirme yeteneğini uygulayarak bakım personelinin aşağıdaki işlemleri gerçekleştirmesine izin verdi:

Gücü açın veya kapatın.

Bilgisayarınızı sert sıfırlayın.

BIOS ayarlarını görüntüleyin veya değiştirin.

Sanal ortam kullanarak bir işletim sistemi kurun.

Standart I/O cihazlarını kullanarak işletim sistemini uzaktan kontrol edin.

En önemli ekipman birimlerinin teknik durumunu takip edin.

Donanım platformunun bakımı (anakart veya belirli denetleyicilerin BIOS'unun yanıp sönmesi) ve buna yetkili erişim sağlanması için işlemleri gerçekleştirin.

Büyük sunucu ekipmanı üreticilerinin (Intel, Dell, NEC ve Hewlett-Packard) ortak çabalarının bir sonucu olarak, spesifikasyon geliştirildi. Akıllı Platform Yönetim Arayüzü (IPMI) sunucu platformlarında bilgisayar ekipmanına uzaktan erişim uygulamak için standart haline gelen .

IPMI arayüzünün amacı ve uygulanması.

IPMI(İngilizce Akıllı Platform Yönetim Arayüzü'nden), doğrudan sunucu platformlarının donanım ve belleniminde yerleşik işlevlerin bağımsız olarak izlenmesi ve yönetimi için tasarlanmış akıllı bir platform yönetim arabirimidir. Başka bir deyişle, IPMI, ana sunucu donanımından bağımsız olarak uygulanan ve sanal monitörleri, klavyeleri ve fareleri açmasını, kapatmasını, sıfırlamasını, uzaktan bağlanmasını, donanım performansını izlemesini ve önemli sunucu sağlığı konusunda sizi uyarmasını sağlayan bir yönetim aracıdır. Etkinlikler. IPMI spesifikasyonu sürüm 1.0, 1998'de yayınlandı. ve IPMI modülüne RS-232 seri arabirim üzerinden bağlanmaya dayanıyordu. Sonraki IPMI 1.5 b 2.0 spesifikasyonları, standart bir ağ arayüzünün kullanımına dayanmaktadır.

Sunucu platformu yönetim sisteminin özü özel bir cihazdır - Anakart Yönetim Denetleyicisi (BMC), kendi işlemcisi, belleği, çevre birimleri ve işletim sistemi ile sunucu platformuna gömülü pratik olarak özel bir bilgisayardır. BMC modülü, güç kaynağının bekleme voltajından (+ 5V Bekleme) beslenir ve buna göre, bilgisayarın açık olup olmadığına bakılmaksızın, güç kaynağının girişine 220V'luk birincil voltaj uygulanır uygulanmaz çalışmaya başlar. ya da değil.

IPMI spesifikasyonu, IPMI cihazlarının uygulanması için katı standartlar belirlemez. Ayrı bir adaptör olarak yapılabilirler, doğrudan anakart üzerine lehimlenebilirler veya ayrı bir mikrodenetleyici olarak yapılabilirler. Şu anda en yaygın olanı, hem yönetilen bir platformla etkili etkileşime hem de çok sayıda uzaktan izleme işlevine izin veren Yonga Üzerinde Sistem (SoC) teknolojisine dayalı sunucu anakartlarına entegre edilmiş BMC'lerdir. SNMP, günlük kaydı vb.

Sunucu anakartları için BMC'ler, bunlara bir sistem arabirimi aracılığıyla bağlanır. IPMB(Akıllı Platform Yönetim Veri Yolu / Köprü) veya arayüz üzerinden diğer BMC'ler IPMC(Akıllı Platform Yönetim Kasası). BMC denetleyicisi aracılığıyla ekipmanın uzaktan kontrolü için özel bir uygulama düzeyinde protokol kullanılabilir. Uzaktan Yönetim Kontrol Protokolü (RMCP), düzenli bir yerel ağ üzerinden iş sağlamak. Tipik olarak modern BMC'ler, sunucu platformlarının web tabanlı yönetiminin yanı sıra uzak CD / DVD bağlantısı ve ağ video klavye / fare (IP KVM) sağlayarak, örneğin BIOS ayarlarını değiştirme veya bir kurulum gerçekleştirme gibi işlemleri kolaylaştırır. sunucu donanımına fiziksel erişimi olmayan sistem.

IPMI arayüzü üzerinden anakart yönetiminin ana özellikleri.

IPMI 2.0 destekli entegre Nuvoton WPCM450 Ana Kart Yönetim Denetleyicisine sahip bir Supermicro X8DTT-IBQF anakart örneğini kullanarak IPMI arabirimi aracılığıyla sunucu yönetimi olanaklarını ele alalım.

Denetleyici Nuvoton WPCM450 PCI grafik çekirdeğini, Sanal Ortam aygıtlarını (sanal CD/DVD) ve klavye-video-fare yönlendirmesini (Klavye/Video/Fare, KVM). Yerel bir ağa bağlanmak için anakartta lehimlenmiş harici bir Ethernet denetleyicisi kullanılır.

Platform kontrol veri yolları, yönetilen sistemin bileşenleriyle etkileşim kurmak için kullanılır. Platform Ortamı Kontrol Arayüzü (PECI)... Anakartta, ihtiyaç duyulduğunda BMC denetleyicisini devre dışı bırakmak için bir jumper bulunur. Ayrıca, denetleyicinin sağlığını göstermek için bir BMC LED'i (BMC Kalp Atışı LED'i) vardır - yanıp sönen yeşil bir ışık, BMC'nin normal şekilde çalıştığını gösterir.

LAN bağlantısı, olarak işaretlenmiş RJ-45 portu üzerinden yapılır. IPMI_LAN

IPMI arayüzünün ilk konfigürasyonu bölümünde gerçekleştirilir. Adnanced - IPMI Yapılandırması ana BIOS.

BMC'nin durumu BMC durumu

BMC Sistem Olay Günlüğünü Görüntüle- BMC tarafından tutulan sistem olay günlüğünü (SEL) görüntüleyin.

BMC Sistem Olay Günlüğünü Temizle- olay günlüğünün temizlenmesi

LAN Yapılandırmasını Ayarla- BMC tarafından kullanılan adaptörün ağ yapılandırmasını ayarlayın. IP adresi, maske ve ağ geçidi adresini DHCP aracılığıyla otomatik olarak alacak şekilde yapılandırabilir veya manuel olarak ayarlayabilirsiniz.

PEF Yapılandırmasını Ayarla- Platform Olay Filtresi (PEF) denetleyicisi tarafından kaydedilen olayların filtresini yapılandırma. Bu menü öğesinde, sıcaklık yükseldiğinde veya fan hızı düştüğünde gücün kapatılması gibi belirli olaylara denetleyicinin tepkisini yapılandırabilirsiniz. Varsayılan olarak, olay filtreleme devre dışıdır.

BMC Watch Dog Timer Eylemi- yönetilen sistemin durumunun yoklanmasını ve kilitlendiğinde sıfırlamasını, yeniden başlatılmasını veya kapanmasını yapılandırabilirsiniz. Varsayılan olarak devre dışıdır.

Platformun durumunu yönetmek ve izlemek için ana yetenekler, web arayüzü aracılığıyla kullanılabilir. BMC modülüne bağlanmak için IPMI cihazının IP adresinin girildiği adres çubuğuna java destekli herhangi bir tarayıcı kullanılır ve bağlantıdan sonra belgelerde belirtilen veya belirtilen kullanıcı adı ve şifre kullanılarak yetkilendirme yapılır. kullanıcı ayarlarına göre. Supermicro IPMI cihazları için varsayılan kullanıcı adı ve şifre YÖNETİCİ / YÖNETİCİ... Başarılı bir yetkilendirmeden sonra, ana platform kontrol penceresi “Sistem Bilgileri” sekmesi etkinleştirilmiş olarak açılacaktır:

"Sunucu Sağlığı" sekmesi, sunucu donanımının durumunu izlemenizi sağlar:

Sensör Okuması- izlenen sensörlerden gelen verileri görüntüleme

Eşiklerle Sensör Okuması- izlenen sensörlerden ve eşik değerlerinden gelen verileri görüntüleme

Olay günlüğü- olay günlüğünü görüntüleme

Sensörlerin görüntülenen bilgileri adlarını, durumlarını ve okunan değerlerini içerir. Ekranın altında düğmeler var Yenile- sensör verilerini güncelleyin ve Eşikleri Göster- eşik değerlerini göster. Alt menüyü kullanma Bir sensör tipi kategorisi seçin sensör tipini (sıcaklık, voltaj vb.) seçebilirsiniz. Görüntülenen bilgilere bir örnek:

Olay günlüğünün görüntülenmesi, sensörün sabit durumunun oluşma zamanını belirlemenize, kısa açıklamasını almanıza ve ekipmanın çalışması için tehlike seviyesini değerlendirmenize olanak tanır. Görüntülenen bilgilere bir örnek:

Sekme Yapılandırma ekipmanın durumuyla ilgili bildirimleri yapılandırmanıza, ağ parametrelerini değiştirmenize, IPMI cihazına erişim politikasını yapılandırmanıza olanak tanır.

uyarılar- bildirimleri ayarlama. Farklı uyarı kurallarıyla en fazla 15 giriş oluşturabilirsiniz. Bildirimin gerçekleştirileceği olayların kategorisini ayarlamak mümkündür - bilgi, uyarı, kritik olay, kurtarılamaz durum. Bildirim e-posta ile veya SNMP trap gönderilerek yapılabilir. İlk durumda, belirtilen kategoride bir olay meydana geldiğinde mektubun gönderileceği e-postayı, ikincisinde - SNMP bildirimlerini toplayan sunucunun IP adresini belirtmelisiniz. E-posta bildirimini kullanırken SMTP sunucusunun IP adresini ve portunu ve gönderici adresini bölümde belirtmelisiniz. SMTP

Bölümler LDAP, Aktif Dizin, YARIÇAP,Kullanıcılar ve SSL sertifikası IPMI cihazlarına erişim için güvenlik gereksinimlerine bağlı olarak yapılandırılır. Bölümde Ağ IP adresi, maske, ağ geçidi ağ ayarlarını değiştirebilirsiniz. Bölümde Limanlar- sanal önyükleme aygıtlarını, video monitörünü, klavyeyi ve fareyi taklit etmek için kullanılan bağlantı noktası numaraları. IPMI aygıtına web erişimi için bağlantı noktası numarasını da değiştirebilirsiniz.

Sekme Uzaktan kumanda bir java uygulaması kullanarak sunucu konsoluna uzaktan bağlanmanızı sağlar. Uygulamanın Java sanal makinesinin başlatılmasını gerektirdiğinden, ilk bağlandığınızda konsolun uzun süre çalışmayabileceği akılda tutulmalıdır. Her zamanki terminal öykünmesine ek olarak, bu programda menü aracılığıyla bir çalışma oturumu kaydetmek mümkündür. Video - Ekran Yakalama, yazılım klavyesini kullanarak ( Klavye - Yumuşak Klavye) ve sanal ortamın bağlanması ( Medya - Sanal Medya Sihirbazı)

Sekme Uzaktan kumanda sunucuyu açmak, kapatmak ve sıfırlamak için kullanılır.

Sekme Bakım onarım- bellenimi güncellemek ve IPMI cihazını sıfırlamaya zorlamak için.

Ekipmanın manuel kontrolüne ek olarak, IPMI arayüzü, ekipmanın çalışmasıyla ilgili önemli olaylar hakkında e-posta kullanarak bir bildirim sistemi kurmanıza olanak tanır - sıcaklık, voltaj, fan hızlarındaki değişiklikler, düzeltilebilir bellek hataları (ECC), vesaire. SNMP (Basit Ağ Yönetim Protokolü) kullanarak da izlemek mümkündür.

IPMI uygulaması, donanım üreticisine ve anakart modeline bağlı olarak farklılık gösterebilir. Bu nedenle, örneğin, birçok Intel sunucu platformu için, bir web tarayıcısı aracılığıyla IPMI bağlantısı, özel bir uzaktan yönetim modülü - Uzaktan Yönetim Modülü ( RMM), standart pakete dahil değildir ve ayrıca satın alınması gerekir. Ayrıca, bu modüllerin birbiriyle tamamen uyumsuz birkaç sürümü vardır, RMM3 modülü, RMM4'ü destekleyen bir platforma kurulamaz ve bunun tersi de geçerlidir. Bir RMM kurarken veya değiştirirken, anakart belgelerinize bakın.

Ayrıca, örneğin birçok Supermicro platformunda, IPMI ekipmanı açıldığında, Ethernet portunun girişinde bir bağlantı bulunmalıdır, aksi takdirde ağ üzerinden IPMI arayüzüne erişim çalışmayacaktır.

IPMI aracılığıyla platform yönetimi yalnızca bir tarayıcıyla değil, Supermicro'nun GUI yardımcı programı gibi donanım üreticileri tarafından geliştirilen yazılımlarla da kullanılabilir. IPMI Görünümü

Ayrıca komut satırı yardımcı programları da vardır. IPMICFG ve SMCIIPMITOOL.