Modernes Out-of-Band-Management

Wie Serviceprozessoren Server-Leiden sicher kurieren

04.05.2007 | Autor / Redakteur: Wolfgang Goretzki / Ulrike Ostler

„Server Embedded Management Technologies“, Serviceprozessoren, werden immer mehr für das Fern-Management von Servern verwendet. Denn sie können die Vitalitätsdaten von Servern zu überwachen. Sicher ist das Remote-Management mit den unabhängigen Intelligenzen jedoch kaum. Da braucht es ergänzende Technik.

Serviceprozessoren befinden sich entweder auf dem Mainboard moderner Server oder auf einer separaten Steckkarte. Für die Kommunikation mit ihnen haben verschiedene Serverhersteller proprietäre Protokolle entwickelt – beispielsweise „Advanced Lights Out Management“ (ALOM) von Sun, „Intelligent Lights Out“ (ILO) von Hewlett-Packard/Compaq, „Remote Supervisor Adapter“ (RSA) von IBM und von Dell „Remote Assistant Cards“ (DRAC).

Um bei der Wahl ergänzender Out-of-Band-Tools nicht an einen Hersteller gebunden zu sein, wurde der Ruf nach einer standardbasierten Serviceprozessortechnologie jedoch immer stärker.

Im Jahr 1998 stellte ein Konsortium von Hardware-Herstellern daher den offenen Standard „Intelligent Platform Management Interface“ (IPMI) vor. Mittlerweile gibt es die Spezifikation in ihrem dritten Release (IPMI 2.0), welches etwa 170 Hersteller adaptiert haben.

Die IPMI-Firmware läuft auf dem Serviceprozessor – welcher auch als „Baseboard Management Controller“ (BMC) bezeichnet wird – und bildet zusammen mit diesem ein unabhängiges Management-Subsystem. Selbst wenn der Server ausfällt oder das Betriebssystem gestört ist, können die Systemadministratoren über IPMI immer noch mit der Serverhardware kommunizieren. Die Kommunikation läuft dabei entweder über das LAN mit Hilfe des Remote Management Control Protokolls (RMCP) auf UDP, oder über den eigenen seriellen Port der Serviceprozessoren. Das aktuelle IPMI 2.0 erlaubt zudem den Datenaustausch über Serial over LAN (SOL).

Lückenfüller im Out-of-Band-Management

Netzwerkverantwortliche sind dank Serviceprozessoren in der Lage, unabhängig vom Betriebszustand des Servers aus der Ferne Vorfälle auf diesem zu loggen, die Stromzufuhr zu steuern, ein neues Betriebssystem aufzuspielen sowie Fehler zu diagnostizieren und die Geräte von Ferne wieder in Betrieb zu nehmen. Einige Serviceprozessoren unterstützen ähnlich wie KVM-Switches Keybord-, Video- und Mouse-Funktionen, so dass sich das Fernmanagement genauso „anfühlt“ wie eine Tätigkeit direkt am Server.

Damit ähnelt das Leistungsportfolio von Serviceprozessoren auf den ersten Blick dem klassischer Out-of-Band-Werkzeuge wie serielle Ports oder KVM-(over IP)-Switches. Nur für die Steuerung der Stromverteilung sind bei den traditionellen Instrumenten zusätzliche intelligente Tools zur Stromverteilung notwendig.

Serviceprozessoren haben als Out-of-Band-Kanal jedoch einen entscheidenden Vorteil: Sie befinden sich innerhalb der Server selber und sind dadurch in der Lage, die Vitalitätsdaten der Server über die Abfrage der unterschiedlichen Sensoren zu überwachen. Dazu gehören beispielsweise die Temperatur, die Lüftergeschwindigkeit, die Versorgungsspannungen oder die Auslastung der CPU.

Auf diese Weise können die Administratoren beispielsweise den Ausfall eines Lüfters auch remote frühzeitig registrieren und entsprechend reagieren. Serviceprozessoren mit IPMI können zudem SNMP-Alerts bei bedrohlichen Änderungen der Vitalitätsdaten an die Administratoren schicken. Ein weiteres Argument pro Serviceprozessor ist, dass sie sich in den meisten Fällen bereits in den Unternehmen befinden und selbstredend keinen eigenen Platz im Rack benötigen.

Entscheiden sich Unternehmen, das Potential ihrer Serviceprozessoren für das Out-of-Band-Management zu nutzen, stolpern sie jedoch in den meisten Fällen über zwei Barrieren: Sicherheit und Komplexität.

Zugriff durch die Hintertür

Sicherheit ist wie überall auch beim Out-of-Band-Management ein sensibles Thema. Im positiven Sinn sorgt die Fernverwaltung der Hardware doch zuerst einmal für mehr Sicherheit: Die Administratoren müssen die Rechenzentren praktisch nicht mehr betreten, die Gefährdung der IT und der Daten durch den menschlichen Zutritt sind auf ein Minimum reduziert.

Überdies sind die Netzwerkverantwortlichen in der Lage, ausgefallene Geräte um ein Vielfaches schneller wieder in Betrieb zu nehmen, als wenn sie sich zuerst physisch der entsprechenden Hardware nähern müssten. Dies sorgt für Sicherheit in der IT-Anwendung selber, Hard- und Software sind maximal verfügbar.

Doch auf der anderen Seite bedeutet Out-of-Band-Management auch immer den Gerätezutritt über die Hintertür, sprich: Die Zugreifenden umgehen die Sicherheitssysteme des internen LAN. Aus diesem Grund bieten Management-Systeme für das Remote-Management über serielle Konsolen oder KVM-(over IP)-Switches Sicherheitsfeatures wie Server-basierte Authentifizierung und Verschlüsselung (zum Beispiel über SSH, SSL, AES RADIUS, TACACS+, LDAP, NIS oder Kerberos). Zum Teil unterstützen sie auch die Token-basierte User-Authentifizierung.

Kein Hindernis

Der Fernzugriff auf die Serviceprozessoren erfordert per se nur ein lokales Passwort und einen Benutzernamen – eine sehr schlichte Authentifizierung also, die für größere Unternehmen keinen ausreichenden Schutz bietet. Einfache Tools für das Netzwerk-Scanning sind bereits in der Lage, die persönlichen Zugangscodes zu ermitteln.

Darüber hinaus authetifizieren IBM RSA, HP Ilo und Dell DRAC Serviceprozessoren die User zusätzlich über LDAP. Dies ist jedoch für große IT-Umgebungen ebenfalls untauglich, da diese entweder skalierbare Verfahren für die serverbasierte Authentifizierung benötigen oder Active Directory, RADIUS, TACACS+, NIS order Kerberos verlangen. Da sich derartige Sicherheitsfunktionen nicht auf Serviceprozessor-Ebene implementieren lassen, müssen sie über externe Geräte zur Verfügung gestellt werden.

Der Serviceprozessor-Manager

Um das Potential von Serviceprozessoren für das System-Management ohne Gefährdung der Sicherheit nutzen zu können, bedarf es eines ergänzenden Managements. Dieses muss alle Ethernet-Verbindungen der Serviceprozessoren konsolidieren und das Serviceprozessor-Netzwerk vom produktiven Netzwerk isolieren. Da die Serviceprozessoren dann ausschließlich über den entsprechenden Manager erreichbar sind, entsteht ein sicherer, kontrollierbarer und konsolidierter Zugangsweg.

Des Weiteren sollte eine solche Lösung den Zugriff auf die Serviceprozessoren je nach Berechtigung des Users oder der nachfragenden Anwendung zentral steuern und überwachen. Es muss möglich sein, auch die einzelnen Funktionalitäten der Serviceprozessoren je nach Berechtigung zugänglich zu machen oder zu sperren.

Wichtig ist, dass die Technik den Zugriff sowie die Aktivitäten auf dem jeweiligen Server loggt. Es sollten – gemäß Sarbanes Oxely Act – abgesicherte Kontrolllisten bestehen, die nach User-Namen, Gruppen oder IP-Adressen sortiert sind.

Daneben ist es unerlässlich, dass eine solche Technik alle User über skalierbare Verfahren wie beispielsweise RADIUS, TACACS+, LDAP, Active Directory serverbasiert authentifiziert. Als Backup für den Authentifizierungsserver sollte ein System mit lokalen Passwörtern existieren.

Schließlich ist unabdingbar, dass der Datenaustausch mit den Serviceprozessoren über beispielsweise Secure Shell (für den Zugang über Command Line) oder Secure Socket Layer, VPNs oder HTTPS (für den webbasierten Zugang) verschlüsselt werden.

Komplexität ade

Neben der Sicherheitsproblematik wirft die Hardware-Steuerung über Serviceprozessoren aber auch Fragen hinsichtlich der Komplexität auf. In großen Unternehmen befinden sich oft Tausende von Servern und dementsprechend viele Serviceprozessoren. Jedem muss eine eigene IP-Adresse zugewiesen werden.

Dies ist oft ein sehr zeitaufwändiger und damit kostspieliger Prozess. Ohne eine zusätzliche Management-Lösung müssten Administratoren diese Unmenge an IP-Adressen überwachen und im Notfall aus der Ferne steuern. In der Praxis ist dies so nicht durchführbar. Folglich muss ein Serviceprozessor-Manager nicht nur die Funktion des Sicherheits-Gateways erfüllen, sondern auch als Konsolidierungsebene dienen.

Wichtig ist zudem, dass der Manager nicht nur das standardbasierte IPMI versteht, sondern auch proprietäre Protokolle sowie herstellerspezifische IPMI-Erweiterungen. Wünschenswert wären darüber hinaus Funktionen wie: grafische Veranschaulichung oder sogar Active Monitoring von Sensoreninformationen, Strommanagement per „Point and Click“ oder Echtzeit-Video-/ Keyboard-/Mouse-Kontrolle.

Integration mit Out-of-Band-Instrumenten

Somit machen Serviceprozessoren die Fernverwaltung noch wirkungsvoller, aber sie ersetzen die traditionellen Out-of-Band-Instrumente nicht vollständig. Zum einen lässt sich mit ihnen ausschließlich auf Servern und nicht auf Switches, Hubs, Firewalls oder Telco-Geräte zugreifen. Zum anderen sind Administratoren mit KVM-Switches und seriellen Ports in der Lage, nicht nur die Aktivitäten auf dem Server, sondern auch die Zugriffe der User zu loggen. Daher sollte sich das Management der Serviceprozessoren reibungslos in die übrige Out-of-Band-Infrastruktur einfügen.

Ideal ist es, wenn sich das ganze System über ein einziges Management-GUI und eine gemeinsame IP-Adresse kontaktieren lässt. Bei Avocent beispielsweise sind Serviceprozessor-Manager, Konsolen-Server, KVM- bzw. KVM-over-IP-Switches und Intelligente Stromverteilungseinheiten über das eine Interface der konsolidierten Management-Plattform DSView 3 zu erreichen (siehe Grafik 2).

Über den Autor

Wolfgang Goretzki ist Market Manager Europe bei Avocent.

Was meinen Sie zu diesem Thema?

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2004456 / Data)