Полноценный IP-KVM для всех дедикейтед серверов


    Новость одним абзацем: теперь у всех без исключения наших dedicated серверов (включая Xeon'ы и Atom'ы) есть возможность пользоваться IP-KVM'ом, встроенным в IPMI. Это:
    • возможность смотреть консоль (включая графические режимы, биос и т.д.)
    • Нажимать всякие хитрые кнопки (Ctrl-Alt-Del, Alt-SysRq, и т.д.) с виртуальной клавиатуры
    • возможность подключать ISO как будто это USB-CD, подключенный к серверу
    • Аналогично — образы дискет (этим ещё кто-то пользуется?)
    • Включать/выключать питание сервера вне зависимости от мнения об этом операционной системы.

    История

    Все сервера, которые мы предоставляем в аренду, оснащены встроенным IPMI-модулем. Очень и очень полезная вещь, которая позволяет установить любимую операционную систему сидя в удобном кресле, а не стоя возле тележки с монитором и клавиатурой в шумном и холодном машинном зале.

    До недавнего времени, полный спектр возможностей был доступен только для части плафторм. В то время как у другой части платформ была возможность только «вкл/выкл/перезагрузить». Обидно? Да. Наверное, самым простым решением было бы отдать эти IPMI пользователям «как есть», но: во-первых IP-адреса — их всё меньше, во-вторых, проблема с qwerty-паролями пользователей.

    Так что единственным приемлемым решением былo — интегрировать возможности IPMI в нашу панель управления. Но тут нас поджидала неприятность. Основная проблема заключалась в том, что для разных платформ использовались разные реализации программной части IPMI плат (аппаратная часть не так сильно менялась). Каким-то из них требовался один управляющий порт, каким-то два, каким-то три + ко всему каждая из реализаций имела свой способ авторизации.

    В итоге мы расковыряли формат взаимодействия между java-апплетом и серверной частью и нам удалось интегрировать полноценный IPMI для всех наших конфигураций.
    Селектел 295,37
    ИТ-инфраструктура для бизнеса
    Поделиться публикацией
    Похожие публикации
    Комментарии 36
    • 0
      А как вы реализовали IPMI для атомов?
      • 0
        Скорей всего там ip-kvm, а его можно подключить к любому серверу.
        • +4
          Нет, также IPMI контроллер встроенный в мат. плату сервера.
          • +4
            Именно потому мы и говорили, что у нас «не просто атомы» — там вполне приличная серверная мамка с соответствующей платформой, а не безымянный десткоп-баребон.
          • 0
            Там видать Супермикровские мамки.
          • 0
            какое оборудование используется для реализации IPMI?
            • +3
              Используются фирменные IPMI платы, а так же контроллеры интегрированные в материнские платы серверов.
            • +5
              Топик недописан?
            • +1
              Ценнейшая вещь! Без нее удаленный сервер вообще не имеет смысла по сравнению с собственным на хорошем канале.
              А насколько это надежно? Не взломают? Лимит попыток подбора пароля есть?
              • +3
                Авторизация проходит через приватную локальную сеть, брутфорс не возможен так как требуется 2 SESSION ID (более 12 символов каждый)
              • +2
                Ребята, вы офигенны. Скорее всего следующий проект буду хостить у вас.
                • +1
                  Как же бесят эти IPMI. Мало того, что ява нужна, так еще и постоянно виснут в supermicro. Когда же кто-нибудь додумается до нормального VNC.
                  • +1
                    Повод задуматься о производстве своих серверов ;)
                    • +3
                      Приходите в облако — там консольки без явы рисуются.

                      «Нормальный VNC» это круто, но, каким образом вы подцепите ISO'шку с помощью VNC клиента — я не знаю. И даже как сделать random block read с помощью браузера из файла — тоже не знаю.

                      У нас были мысли попытаться расковырять то, что там шлётся внутри (всё равно там VNC в итоге), но дополнительные фичи, связанные с туннелированием устройств, всё таки важны.

                      (Смысл смотреть по VNC на надпись про отсутствие ОС при невозможности установить свою?)
                      • 0
                        У Вас разве нет PXE сервера?
                        • +2
                          Есть. Но PXE требует специальных систем.

                          А прокидывание ISO позволяет человеку загрузить что попало. Например, rescue CD, MSDOS, windows 2000, свою любимую сборку yamabuntu (yet another meanless abbreviation), всякие дистрибутивы «Asterisk из коробки» и т.д. Я уже молчу про подсовывание драйверов на дискетке во всякие закрытые платформы.
                          • 0
                            SystemRescueCD (или Centos/Rhel/debian/ubuntu в rescue режиме) прекрасно загружается с PXE, ровно как и MS DOS и любой другой приличной операционной системы. Всякие Asterisk из коробки как правило имеют репозитории из которых накатывается на голую центос, тот же Elastix.

                            А часто клиент хочет поставить yamabuntu? Я однажды полдня провозился устанавливая Windows Server 2003 через iLo с подцепленной по сети исошке… И это при том что дома у меня канал 10-20 мегабит, а к серверу честный гигабит. В итоге пришлось зацепиться по RDP на соседнюю машину (в той же стойке) и с нее прилепить iso-шку.
                            • 0
                              про «MS DOS и любая другая приличная ОС» получилось забавно :)
                              • 0
                                я имею в виду, что прокидывание iso/флоппи куда более функциональная фича, чем pxe. а у pxe есть нюансы с конфигурированием сети, защитой от посторонних dhcp и т. д.

                                по моим наблюдениям даже йоты достаточно для нормальной работы прокинутого исо (с поправкой на тормоза), любого вменяемого ethrnet'ного/DSL'ного провайдера будет за глаза.
                                • 0
                                  Защита dhcp уже давно придумана за нас, DHCP snooping. На самом деле хорошо что у вас есть и pxe и ip-kvm.

                                  А расскажите как у вас с назначением ip адресов IPMI, что-то жаба душит пару сотен ipv4 отдавать на IPMI.
                                  • 0
                                    насколько я знаю (это не моя область), там отдельная сеть с серыми адресами. Жаба нас тоже мучала (см текст поста).
                          • 0
                            > У нас были мысли попытаться расковырять то, что там шлётся внутри (всё равно там VNC в итоге), но дополнительные фичи, связанные с туннелированием устройств, всё таки важны.

                            > (Смысл смотреть по VNC на надпись про отсутствие ОС при невозможности установить свою?)

                            Про PXE вместо меня уже сказали. Просто VNC у меня и на телефоне и на ноутах. А запустить Java апплет на FreeBSD, да еще и iLo — это столько гемороя.

                            У нас все просто — управление IP-KVM VNC, питание APC PDU, PXE/NFS образами, для всего остального есть саппорт.
                            • 0
                              А что за IPKVM-ы с VNC? ATEN?
                              • 0
                                Насколько я знаю, да, оемнутый супермикрой aten.
                                • 0
                                  ATEN вроде только говно всякое делает. У нас Rextron.
                              • 0
                                ну, мы подумаем о расковыривании этого дела дальше, просто востребованность novnc в веб-морде в сравнении с java-апплетом — это большой вопрос, а ресурсов (человеческих) это съест гарантированно много.
                                • 0
                                  Кто-то тут недавно выкладывал морду без Java/VNC на JS, кажется.
                                  • +2
                                    Это были мы, и это была текстовая консоль к виртуальным серверам. У физических серверов там идёт всякая нетекстовая хрень, которую нужно показывать таки в графическом режиме.
                                    • 0
                                      можно будет как-нибудь поковыряться, но потом. На работе забот других хватает. Вообще хорошо бы было заменить Java апплеты для iLo на что-то другое. Хотя нам это особо не нужно.
                          • +1
                            > возможность подключать ISO как будто это USB-CD, подключенный к серверу

                            Только образы CD/DVD-дисков с файловой системой ISO 9660 или дисковые образы с файловой системой UDF тоже?
                          • 0
                            На супермикро перешли?
                            • +3
                              да-да, до 1998 мы использовали лакисраки и фокскон. </сарказм

                              насколько я знаю, у нас и был супермикро, и есть, и переходить на других не планируем.

                            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                            Самое читаемое