Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Удаленное управление по дополнительному каналу

Стивен Хилл

Обслуживание удаленных серверов действует вам на нервы? Купите хорошую систему удаленного управления по дополнительному каналу (Out-of-Band Management — OBM), и время безотказной работы этих устройств значительно возрастет.

Предположим, будучи системным администратором, вы пришли с работы домой и уже настроились на просмотр хорошего фильма в кругу семьи, как вдруг раздается телефонный звонок и вам сообщают о том, что сеть филиала вашей компании, который находится почти за 100 км от вашего дома, полностью вышла из строя. Еще не закончившие свою работу пользователи требуют, чтобы вы немедленно наладили функционирование сети, но установить терминальный сеанс связи с ее сервером вам не удается. К сожалению, даже самые лучшие средства сетевого управления (in-band management) «живут и умирают» вместе с сетью. И если последняя перестает «дышать», то остается только «оседлать лошадку» и отправиться в путь.

Производители серверов активно рекламируют процессоры системного управления в каче-стве надежных средств полного удаленного администрирования серверов и даже разработали стандарты на технологии системного управления — SMASH (Systems Management Architecture for Server Hardware) и IPMI (Intelligent Platform Management Interface). Однако эти технологии можно назвать лишь половинчатыми решениями, поскольку они бесполезны, если сеть недоступна. Средства же OBM позволяют сократить время вынужденного простоя сети, обеспечивая удаленный доступ к ее ключевым системам независимо от состояния самой сети.

К средствам OBM относятся переключатели KVM (Keyboard–Video–Mouse)-IP, серверы последовательных консолей (далее просто консольные серверы) и «интеллектуальные» устройства удаленного управления электропитанием. Каждый из этих видов продуктов имеет свои достоинства и недостатки, но глав-ным препятствием на пути их распространения является трудность получения финансирования на их покупку. При наличии в сети компании нескольких платформ сетевого управления бывает нелегко обосновать необходимость дополнительных затрат на развертывание еще и устройств OBM. Большинство системных администраторов уже давно используют протокол RDP (Remote Desktop Protocol) и другие технологии сетевого управления, которые хорошо зарекомендовали себя на практике, исключая те единичные случаи, когда связь с сетью разрывается. Резервирование компонентов серверов и сетевого оборудования, а также улучшение стабильности работы сетевых ОС сводят вероятность катастрофических отказов к минимуму, снижая таким образом и необходимость в дополнительных средствах OBM. Однако, если к надежности работы сети предъявляются повышенные требования, вам следует обратить внимание на эти средства, выбор которых довольно широк.

Встроенные процессоры системного управления

Большим шагом вперед в развитии серверов стало встраивание в них процессоров системного управления, выполняющих функции интерфейса прямого управления сервером. Здесь есть определенное идейное сходство с последовательной консолью, имеющейся во многих высококлассных моделях сетевого оборудования и систем хранения данных, но поддерживаемый указанными процессорами графический веб-интерфейс предоставляет администратору бо-лее широкий набор функций управления.

Существуют пять основных протоколов, обеспечивающих функционирование интерфейсов удаленного управления. Самыми новыми из них являются IPMI, SMASH и WS-Management (Web Services Management). Хотя эти протоколы поддерживают более широкие возможности мониторинга и управления, чем их предшественники SNMP и WBEM (см.: Сети и системы связи. 2007. №3. С. 25), многие производители серверов реализуют в них поддержку IPMI и SMASH лишь для гарантии кросс-платформенной совместимости со средствами управления. Они разрабатывают встроенные процессоры системного управления с целью улучшения интеграции своих серверов со своими же собственными системами управления корпоративного класса.

В настоящее время большинство ведущих производителей серверов реализуют в них возможности OBM на базе встроенных процессоров системного управления с более широким набором функций, чем у средств управления на базе протоколов IPMI и SMASH. Интегрированные управляющие модули и процессоры DRAC (Dell Remote Access Card) компании Dell, GLO (Gateway Lights Out) фирмы Gateway, iLO (Integrated Lights Out) компании Hewlett-Packard, RSA (Remote Super-visor Adapter) фирмы IBM и ILOM (Integrated Lights Out Manager) компании Sun Microsystems на практике показали себя эффективными средствами управления удаленными серверами. Эти подсистемы предоставляют такие функции удаленного управления, как выключение и включение электропитания сервера, исполнение административных сценариев (содержащих командные строки), безопасная аутентификация пользователей, регистрация системных событий, перенаправление вывода консоли на удаленный компьютер, подключение виртуальных накопителей. И еще. Они обеспечивают администратору доступ к управляющим функциям через веб-интерфейс независимо от состояния ОС сервера.

Для устаревших серверных систем без встроенного процессора системного управления компания American Megatrends выпускает PCI-плату MegaRAC (см. «Ликвидация пробела») стоимостью около 500 долл. Установив ее в такую систему, вы получите ряд функций удаленного управления, имеющихся в новых серверах. Так, плата MegaRAC управляет электропитанием, перенаправляет вывод консоли и поддерживает функции KVM-IP.

Ее возможности по информированию администратора ограничиваются только теми данными, которые предоставляет хост-система.

Встроенные процессоры си-стемного управления напрямую взаимодействуют с серверным оборудованием, что делает их весьма привлекательными для организации OBM. Связь с таким процессором осуществляется через разделяемый или выделенный порт Ethernet. Чтобы реализовать OBM-решение, процессоры системного управления следует подключить к отдель-ной высоконадежной сети. Компания Avocent разработала продукт MergePoint с функциями агрегирования управляющих портов и аутентифика-ции пользователей. Большинство процессоров системного управления поддерживают консольные последовательные порты, но для организации OBM-доступа к последовательным портам многочисленных управляемых систем потребуется установить дополнительный консольный сервер.

Цифровые переключатели KVM-IP

Альтернативой использованию встроенных процессоров системного управления является применение переключателей KVM. Первоначально последние представляли собой простые переключатели, позволявшие системному администратору управлять работой множества ПК или серверов с одной консоли. В настоящее время цифровые системы KVM предоставляют пользователям функции переключателя KVM по сети IP (KVM-IP), используя при этом стандартные кабели категории 5 и небольшие адаптеры, конвертирующие сигналы KVM и даже шины ввода-вывода USB в пакеты протокола IP. Это исключает применение ранее необходимых громоздких кабелей и позволяет передавать сигналы KVM-IP по традиционной сетевой инфраструктуре.

Чтобы изучить возможности использования системы KVM-IP с точки зрения OBM, мы проанализировали характеристики нового 16-портового переключателя KVM-IP — модели DSR2030 компании Avocent. Ее продукты серии DSR выполняют функции переключателя KVM-IP с администрированием устройств через веб-интерфейс, поддерживают управление электропитанием и оборудованием с консольным последовательным портом. Кроме того, при выходе из строя Ethernet-соединения с переключателем этой серии можно соединиться через модем. Устройство DSR2030 обеспечивает локальное и удаленное управление подключенными к нему серверами. В первом случае к нему напрямую нужно подсоединить монитор, клавиатуру и мышь. Удаленные пользователи сети Ethernet могут взаимодействовать с DSR2030 через его защищенный внутренний веб-интерфейс или посредством серверного приложения DSView 3 компании Avocent, которое позволяет управлять любым числом переключателей серии DSR.

Функциональность устройств серии DSR выходит за рамки базовой функциональности переключателей KVM-IP. Устройства названной серии можно считать многофункциональными OBM-решениями благодаря гибкости их подключения к серверам (с помощью модулей KVM/USB), а также наличию возможностей управления устройствами с последовательным портом и блоками распределения питания (Power Distribution Units — PDU). Как уже отмечалось, доступ к администрируемым устройствам осуществляется через веб-интерфейс переключателя, но при выходе сети из строя с этой целью используют модем и ПО DSView.

Даже в самой компании Avocent признают, что для работы с переключателем KVM через модем нужно запастись почти таким же большим терпением, какое необходимо для наблюдения за ростом травы. Однако, чтобы выполнить ряд важных административ-ных функций, совсем не обязательно использовать рабочий стол удаленной компьютерной системы. Когда же он требуется, продолжительное время реакции устройства KVM-IP на вводимые команды становится основным недостатком данно-го устройства. Объемы трафика, генерируемые при перенаправлении вывода графической консоли по IP-каналу, могут сделать процесс удаленного управления очень утомительным, если этот канал работает медленнее линии T-1 (1,544 Мбит/с). Впрочем, для уменьшения объемов трафика, передаваемого при перенаправлении вывода консоли, ПО DSView поддерживает разные битовые глубины и уровни сжатия данных. Большая временная задержка выполнения операций удаленного админи-стрирования возникает при использовании не только систем KVM-IP, но и других средств удаленного администрирования (включая встроенные процессоры системного управления), передающих растровое изображение консоли, а не текстовый интерфейс.

Еще одной интересной функцией устройств KVM-IP является поддержка виртуальных накопителей. Например, администратор может сконфигурировать привод DVD или жесткий диск своего ноутбука для работы в качестве локального накопителя удаленно управляемой системы. Это очень удобно, когда нужно, например, установить какое-либо ПО на сервер, находящийся в другом городе.

Для предотвращения несанкционированного доступа устройство DSR2030 компании Avocent имеет свои собственные интегрированные средства аутентификации и поддерживает внешние сервисы аутентификации, такие, как Active Directory, LDAP, RADUIS, TACACS+ и RSA SecureID. Предприятиям, предъявляющим повышенные требования к средствам безопасности, компания предлагает KVM-систему SwitchView SC, прошедшую сертификацию по программе NIAP на соответствие требованиям EAL4 (Evaluation Assurance Level 4) к защите правительственных приложений. Похоже, что только компания Avocent гарантирует столь высокий уровень информационной безопасности. Впрочем, большинство других производителей устройств KVM-IP, в том числе фирмы Aten, Hewlett-Packard (HP), Lantronix, MRV Communications, Raritan и Rose Electronics, в той или иной мере тоже обеспечивают защиту данных при работе с их устройствами.

Безусловно, использование многофункциональной систе-мы KVM-IP для OBM — это недешевое решение, стоимость которого в расчете на одну управляемую машину достигает 150–450 долл. На первый взгляд эта цена уж слишком высока, но игра стоит свеч, поскольку имеющиеся в такой системе функции управления по сетевому и дополнительному каналам позволяют снизить затраты на звонки в службу технической поддержки и сократить время вынужденного простоя удаленных систем.

Консольные серверы

Если вам не нужны широкие возможности управления компьютерными устройствами с отображением их рабочего стола, но одного лишь удаленного включения и выключения электропитания не достаточно, то система OBM, обеспечивающая удаленный доступ к консольным последовательным портам оборудования, возможно, окажется для вас самым оптимальным средством управления, так сказать, золотой серединой. Хотя в настоящее время производители сетевого оборудования делают упор на реализацию в нем привлекательных веб-интерфейсов, почти все устройства для сетей предприятий — начиная с мини-коммутаторов и кончая самыми большими системами для сетей SAN — имеют базовый управляющий интерфейс в виде последовательной консоли. Консольные серверы агрегируют многочисленные последовательные соединения с сетевыми устройствами и позволяют администратору управлять ими по единому последовательному или Ethernet-соединению.

Консольные серверы первого поколения обеспечивали только коммутируемый доступ к последовательным устройствам, но все возрастающие требования к безопасности удаленных систем и необходимость в управлении более широкой номенклатурой устройств изменили роль этих серверов. Чтобы получить представление о возможностях последнего поколения консольных серверов, мы попросили компанию MRV предоставить нам для тестирования ее продукты серии LX-4000T. Компания прислала нам консольный сервер модели LX-4016T и «интеллектуальный» блок PDU модели LX-5250.

Задействовав продукт LX-4016T, мы смогли создать систему удаленного администрирования последовательных устройств с возможностью управления их электропитанием, а также с функциями мониторинга окружающей среды и поддержкой камер видеонаблюдения. Управление электропитанием осуществлялось посредством блока PDU модели LX-5250 компании MRV, который обеспечивает мониторинг нагрузки, контроль доступа пользователей к портам и возможность подачи электропитания на подключенные к нему устройства в определенной последовательности. Продуктом LX-5250 можно управлять с помощью веб-интерфейса или последовательного соединения с консольным сервером серии LX-4000Т.

Устройства серии LX-4000T, имеющие до 48 портов, могут работать автономно или в составе кластера под управлением клиент-серверного ПО сетевого управления MegaVision Pro компании MRV. Это ПО предоставляет единый интерфейс для доступа к любому числу консольных серверов. Функционируя автономно, продукт LX-4016T обеспечивал детальное управление подключенными к нему устройствами посредством интерфейса командной строки или веб-интерфейса, не требуя для этого никакого дополнительного ПО.

Очевидно, что такого рода продукты должны быть наделены эффективными защитными функциями и производители в полной мере осознают это.

Устройства серии LX-4000T соответствуют стандарту криптографической защиты FIPS 140-2, сертифицированы на соответствие требованиям NEBS (Network Equipment Building System) к построению операторских сетей и поддерживают протоколы SSH 2.0, SNMP v3, IP v6, RADIUS, SecurID, LDAP, TACACS+, PPP PAP/CHAP и обратный вызов по протоколу PPP. Компания MRV не единственный производитель консольных серверов. Подобные устройства с широким набо-ром возможностей управления и аналогичными защитными функциями выпускают сегодня компании HP, Perle, Lantronix, Cyclades (в составе Avocent), Raritan, Thinklogical и др.

Обычный последовательный порт по-прежнему широко используется в высококлассных сетевых и телекоммуникационных устройствах, а также в системах хранения информации для взаимодействия со встроенным в них интерфейсом управления. Однако последовательные консоли полезны и для управления многими ОС. Терминальные сервисы всегда были и остаются базовой принадлежностью разновидностей ОС Unix и Linux, а с появлением версии Server 2003 и ОС Windows начала поддерживать сервисы аварийного управления EMS (Emergency Management Services), обеспечивающие доступ к основным функциям управления Windows через последовательный порт.

С точки зрения организации OBM стоит отметить, что большинство консольных серверов поддерживают модемный доступ по телефонной линии, но почти для всех этих систем основным все же является стандартное сетевое соединение, обеспечивающее лучшие возможности управления. Таким образом, доступность консольных серверов обычно зависит от состояния сети. При высоких требованиях к бесперебойности работы ваших систем подумайте о создании отдельной высоконадежной сети для OBM или по крайней мере предусмотрите возможность организации удаленного доступа к критически важному сетевому оборудованию по телефонной линии.

Удаленное управление электропитанием

Устройства, обеспечивающие удаленное включение и выключение электропитания, относятся к простейшим и самым недорогим средствам OBM. Хотя аналогичные функции выполняют многие встроенные в коммутаторы и серверы подсистемы управления, задействуют эти подсистемы, как правило, по Ethernet-соединению, и если сеть выходит из строя или сетевое устройство оказывается обесточенным, данные функции становятся недоступными. Чтобы получать информацию о питании сетевых систем и в случае необходимости перезапускать «зависшие» системы, выключая, а затем включая их питание, задействуйте удаленно управляемое устройство PDU.

Устройства PDU выпускают множество производителей, продукция которых характеризуется всевозможными сочетаниями типов розеток, уровней напряжения и мощности электрической нагрузки. Наборы функциональных возможностей у продуктов разных производителей могут быть разными, но все эти устройства контролируют потребляемый ток и позволяют системному администратору удаленно включать и выключать электропитание конкретных устройств. Многие продукты имеют веб-интерфейс, а некоторые из них выполняют более сложную функцию — подачу электропитания (на подключенное оборудование) в определенной последовательности, что позволяет перезапускать межсетевые экраны, маршрутизаторы и коммутаторы в нужном порядке.

Хотя включение и выключение электропитания является далеко не самым оптимальным способом перезапуска сервера (по сравнению с обычной перезагрузкой), в аварийной ситуации сойдет и это. Мы, конечно же, ничего не имеем против графического веб-интерфейса, но, чтобы гарантировать управление в экстренных случаях, сетевые инфраструктуры должны поддерживать базовые возможности OBM с применением «тупых» терминалов и модемов для телефонных линий. Мы понимаем, что, вероятно, вы уже отвыкли от использования этого морально устаревшего оборудования, но иногда самое низкотехнологичное решение оказывается наилучшим.

«Позвони мне, позвони...»

Применение ТфОП — это один из самых надежных способов организации OBM удаленными системами, ведь эта сеть, как правило, стабильно работает и, что еще более важно, доступна почти в любой стране мира. Пропускной способности телефонной линии вполне достаточно для осуществления базовых функций сетевого администрирования и управления электропитанием оборудования, поскольку между последовательной консолью и компьютером администратора передаются небольшие объемы информации.

Базовые средства управления электропитанием стоят относительно недорого. Задействовав управляемое устройство PDU, телефонную линию, модем и источник бесперебойного питания (ИБП) начального уровня, вы сможете обеспечить удаленно управляемое и надежное электропитание для 10–15 устройств по цене менее 100 долл. в расчете на одно устройство. Нелишне отметить, что используемые в центрах обработки данных (ЦОД) более мощные и функциональные системы электропитания тоже могут поддерживать управление по модемному соединению. Например, компания APС поставляет плату OBM, которая, будучи установленной в ее высококлассный ИБП, обеспечивает защищенный терминальный модемный доступ к информации о состоянии этого источника и позволяет конфигурировать его.

Позаботьтесь о самом важном

Даже при наличии на предприятии разнообразных средств системного управления, работающих по сетевым каналам, следует использовать OBM-продукты с целью мониторинга работы важнейших сетевых систем и управления их электропитанием. Возможность удаленного восстановления функционирования этих систем (с помощью средств OBM) позволит задействовать более богатый функционал сетевых средств управления. Совсем не обязательно подключать средства OBM к каждому сетевому компоненту, можно ограничиться лишь теми из них, которые влияют на доступность других.

Многие предприятия уделяют повышенное внимание защите своих данных, и производители OBM-продуктов осознают необходимость обеспечения их информационной безопасности. Хорошее OBM-решение должно быть не менее безопасным, чем любая другая система, использующая Интернет.

Следует отметить, что в большом ЦОДе применение OBM-продуктов не является столь уж актуальным. В таком ЦОДе круглосуточно дежурят технические специалисты, знающие, что нужно делать в случае аварии. Другое дело небольшие ЦОДы в территориально распределенных филиалах компании. В них возможность перезапустить сервер или коммутатор, удаленно выключив и включив его, позволит сократить время вынужденного простоя сети филиала с нескольких часов до нескольких минут..





  
12 '2007
СОДЕРЖАНИЕ

инфраструктура

• Стандарт 802.11r для безопасной Wi-Fi-мобильности

• Отвод тепла от стоичного оборудования в ЦОДах

• Удаленное управление по дополнительному каналу

сети связи

• Качество речи в IP-сетях

• Гладкий межсетевой роуминг-почти реальность

кабельные системы

• Оптические инфраструктуры: волокна и кабели

• Кабельные каналы для сетей 10-Gigabit Ethernet

• Прокладка кабелей в ЦОДе: под фальшполом или у потолка?

информационные системы

• Здравствуй бизнес-интеллект!

• "Вытягиваем" производительность виртуальных машин

защита данных

• Контроль за безопасностью приложений Ajax

новые продукты

• MetroScope - комплексное решение для тестирования сетей Ethernet/IP;ИБП серии ITYS компании Socomec UPS


• Калейдоскоп



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх