Serviceprozessoren: Server aus der Ferne verwalten
Management der dienstbaren Geister
In die Strategie eines allumfassenden Zugriffs auf wichtige Server passen in vielen Unternehmen auch speziell dafür ausgelegte Prozessoren auf den betroffenden Maschinen. Doch auch solche Serviceprozessoren - manchmal auch Baseboard Management Controller genannt - gehören in ein übergreifendes Verwaltungssystem, wenn sie effektiv arbeiten sollen.
Die IT ist die Lebensader fast aller Unternehmen. Ihre ständige Verfügbarkeit ist keine Kür,
sondern Pflichtprogramm im Kampf um das wirtschaftliche Überleben. Um Server und andere
Netzwerkkomponenten ohne Unterbrechung nutzen zu können, verfolgen Organisationen eine
mehrschichtige Strategie: Neben der ständigen Überwachung mit Systemmanagementprodukten und dem
Aufbau vielfacher Redundanzen sichern viele die Verfügbarkeit kritischer Hardwarekomponenten mit
einer so genannten Out-of-Band-Infrastruktur (OOBI) ab. Selbst wenn das produktive Netzwerk gestört
ist, kann der Administrator auf diese Weise ausgefallene Geräte überwachen und wieder in Betrieb
nehmen. Spezielle Konsolenserver kontaktieren die seriellen Ports der Geräte. KVM- und
KVM-over-IP-Switches ermöglichen es, auf Keyboard-, Video- und Mouse-Ports zuzugreifen. Relativ neu
ist das Systemmanagement über Serviceprozessoren. Diese können eine sinnvolle Alternative zu
traditionellen Out-of-Band-Instrumenten sein. Entscheidend dafür ist, welche Funktionen OOBI
abdecken soll.
Serviceprozessoren heißen auch Baseboard Management Controller (BMCs) und befinden sich entweder
auf dem Mainboard oder auf einer Steckkarte moderner Server. Sie agieren wie eigene kleine Computer
völlig autark vom Hauptprozessor ihres "Wirtsservers". Selbst wenn der Server ausfällt oder das
Betriebssystem gestört ist, bleiben sie nutzbar. Für die Kommunikation mit ihnen haben verschiedene
Serverhersteller proprietäre Protokolle entwickelt – beispielsweise Advanced Lights Out Management
(ALOM) von Sun, Intelligent Lights Out (ILO) von HP/Compaq, Remote Supervisor Adapter (RSA) von IBM
und Dell Remote Assistant Cards (DRAC). Darüber hinaus gibt es das standardbasierte Protokoll IPMI
(Intelligent Platform Management Interface), das bereits von vielen großen Serverherstellern
parallel unterstützt wird und somit bei den meisten Servern anwendbar ist. Mit Serviceprozessoren
gewinnt das Systemmanagement viele Funktionen hinzu.
Potenzial von Serviceprozessoren
Serviceprozessoren bieten zum einen Funktionen, die auch von Konsolenservern sowie KVM- und
KVM-over-IP-Switches abgedeckt werden. IT-Administratoren können mit ihnen aus der Ferne das BIOS
konfigurieren und Events auf dem Server loggen. Einige Serviceprozessoren unterstützen ähnlich wie
KVM-Switches Keybord-, Video- und Mouse-Funktionen, sodass sich das Fernmanagement genauso "anfühlt"
wie eine Tätigkeit direkt am Server.
Das Auffallende an den Serviceprozessoren ist jedoch, dass sie sich in dem zu überwachenden
Objekt – also dem Server – selbst befinden, und dadurch auf besondere Weise dessen Betriebszustand
prüfen können. Sie sind in der Lage, die Temperatursensoren, die Lüftergeschwindigkeit,
Versorgungsspannungen sowie die Auslastung der Datenspeicher und der CPU zu überwachen. Zudem
können sie die Stromzufuhr des Servers aus der Entfernung steuern. Vorteilhaft ist auch, dass
Serviceprozessoren keinen zusätzlichen Platz im Rack benötigen.
Potenzial traditioneller Out-of-Band-Instrumente
Konsolenserver sowie KVM- und KVM-over-IP-Switches sind externe Geräte und verfügen als solche
nicht über den gleichen Zugang zu den Vitalitätsdaten der Server wie die Serviceprozessoren. Auch
für das Strommanagement ist eine zusätzliche Hardware wie ein intelligenter Mehrfachstecker – oder
auch "Intelligente Power Distribution Unit (IPDU)" – notwendig.
Soll die Out-of-Band-Lösung jedoch nicht für die Überwachung interner Serverdaten eingesetzt
werden, sondern dafür, Zugang zum BIOS herzustellen, Konfigurationen zu ermöglichen und Ereignisse
auf dem Server zu loggen, sind auch die traditionellen Out-of-Band-Instrumente hervorragend
geeignet: Konsolenserver bieten zudem nicht nur den Remote-Zugriff auf Server, sondern auch auf
Netzwerkkomponenten wie Switches, Router oder Firewalls. Auch mit ihnen lassen sich neben den
Aktivitäten auf dem Server die Zugriffe der User loggen. Ein weiteres großes Plus ist, dass sie
sich in eine konsolidierte Lösung einbinden lassen. Mit einer solchen Lösung können die
Administratoren von einem Desktop aus auf bis zu 32.000 Geräte-Ports zugreifen (vergleiche LANline
3/2005, Seite 54, "Remote – und doch so nah"). Im Netz erscheinen alle Ports unter einer
gemeinsamen IP-Adresse. In puncto Sicherheit stellt der Gerätezugriff über die "Hintertür"
besondere Anforderungen. Konsolenserver und KVM-Switches integrieren in der Regel Verfahren zur
üblichen Server-Authentifizierung (zum Beispiel über Radius, TACACS+, LDAP oder Kerberos),
verschlüsseln den Datenverkehr zum Beispiel mit SSH oder SSL und unterstützen auch eine
Token-basierende User-Authentifizierung.
Kombination von Out-of-Band-Kanälen
Die Entscheidung über das geeignete Out-of-Band-Verfahren orientiert sich zum einen an den
Funktionen, die von diesem abgedeckt werden sollen: Sollen Server interne Vitalitätsdaten
überwachen, sind Serviceprozessoren das geeignete Mittel. Auf der anderen Seite ist die im
Unternehmen bereits bestehende IT-Infrastruktur ausschlaggebend. Gibt es viele Server älterer
Generationen ohne Serviceprozessoren, muss über Konsolenserver und KVM- beziehungsweise
KVM-over-IP-Switches nachgedacht werden. Als Konsequenz besteht eine Out-of-Band-Infrastruktur in
der Praxis zumeist aus verschiedenen Technikansätzen. Um die Komplexität im Management so weit wie
möglich zu reduzieren, ist es wichtig, dass die entsprechende Infrastruktur hierarchisch von
Konsolidierungsebenen wie übergreifenden Managementkonsolen zu beherrschen ist.
Systemmanagement mit Serviceprozessoren
Entschließt man sich, Serviceprozessoren als alternativen Zugangsweg zu Servern zu nutzen, gilt
es, verschiedene systemimmanente Schwachpunkte aus dem Weg zu räumen. Das Werkzeug dafür ist eine
eigene Managementtechnik für Serviceprozessoren. Zu den problematischen Punkten zählen in jedem
Fall die folgendenden Eigenschaften:
Proprietäre Kommunikationsprotokolle. Die meisten Protokolle, die die Kommunikation mit
Serviceprozessoren ermöglichen, sind proprietär und somit nur für die Server des jeweils gleichen
Herstellers nutzbar. Das derzeit einzig verfügbare offene Protokoll, IPMI, wird zwar von den
Serveranbietern angenommen, jedoch in der Regel mit eigenen Erweiterungen verknüpft sowie mit
eigener, herstellerspezifischer Software genutzt und ist somit für den Einsatz mit Servern anderer
Hersteller unbrauchbar. Ein effektives Serviceprozessormanagement sollte den Unternehmen jedoch die
Freiheit lassen, Server von verschiedenen Anbietern im Einsatz zu haben. Folglich müssen sowohl
rein proprietäre Protokolle als auch herstellerspezifische IPMI-Erweiterungen Unterstützung
finden.
Sicherung des Zugriffs. Der Zugriff auf die Serviceprozessoren ist zum Teil nur über ein lokales
Kennwort und den Benutzernamen gesichert. Wenn jedoch über das produktive Netzwerk zugegriffen
werden soll, ist dies in keiner Weise ausreichend. Einfache Tools für das Netzwerk-Scanning sind in
der Lage, die persönlichen Daten zu ermitteln.
Nötig sind umfassende Sicherheitsfunktionen wie serverbasierende Authentifizierung,
Kontrolllisten, die nach User-Namen, Gruppen oder IP-Adressen sortiert sind oder Logging von Usern
und Anwendungen. Darüber hinaus muss der Datenaustausch mit den Serviceprozessoren beispielsweise
über Secure Shell (SSH) oder Secure Socket Layer (SSL) verschlüsselt sein. Die genannten
Sicherheitsfunktionen lassen sich allerdings nicht auf Serviceprozessorebene implementieren.
Komplexität. In großen Unternehmen befinden sich oft tausende von Servern und dementsprechend
viele Serviceprozessoren. Jeder benötigt eine eigene IP-Adresse. Die Zuweisung ist oft ein sehr
zeitaufwändiger Prozess, zudem ist das Management der Adressen kostspielig.
Theoretisch müssten Administratoren die Server über diese Unmenge an IP-Adressen "bewachen" und
im Notfall aus der Ferne steuern. In der Praxis ist dies so nicht durchführbar. Ungeklärt ist auch
die Frage der User-Beschränkung und der entsprechenden Kontrolle. Es muss gewährleistet sein, dass
Administratoren nur Remote-Zugriff auf Server erhalten, die in ihrem Verantwortungsbereich
liegen.
Um die genannten Schwierigkeiten aus dem Weg zu räumen, und das Potenzial von Serviceprozessoren
für das Systemmanagement nutzen zu können, bedarf es einer ergänzenden Managementtechnik. Diese
muss
die Ethernet-Verbindungen der Serviceprozessoren konsolidieren und das
Serviceprozessornetzwerk vom produktiven Netzwerk isolieren. Da die Serviceprozessoren dann
ausschließlich über den entsprechenden Manager erreichbar sind, entsteht ein sicherer,
kontrollierbarer und konsolidierter Zugangsweg;
den Zugriff auf die Serviceprozessoren je nach Berechtigung des Users oder der
nachfragenden Anwendung zentral steuern und überwachen. Es sollte möglich sein, auch die einzelnen
Funktionen der Serviceprozessoren abhängig von der Berechtigung zugänglich zu machen oder zu
sperren. Wichtig ist, dass die Technik den Zugriff sowie die Aktivitäten auf dem jeweiligen Server
loggt;
alle User über beispielsweise Radius, TACACS+, LDAP, Active Directory
authentifizieren und den Datenaustausch mit dem Serviceprozessor über SSH, SSL, HTTPS oder VPNs
verschlüsseln und
alle verfügbaren Serviceprozessorprotokolle unabhängig vom jeweiligen
Hersteller verstehen und die übertragenen Managementinformationen auf einem konsistenten Interface
verfügbar machen (Bild 1). Wünschenswert wären darüber hinaus Funktionen wie eine grafische
Veranschaulichung oder sogar das Active Monitoring von Sensoreninformationen, Strommanagement per "
Point and Click" oder Echtzeit-Video-/Keyboard-/Mauskontrolle.
Serviceprozessoren ergänzen in der Praxis Out-of-Band-Technikansätze bei Servern. Es ist daher
unerlässlich, dass sich die Konsole reibungslos in die gesamte Out-of-Band-Architektur einfügt.
Ideal ist es, wenn sich das ganze System über ein einziges Management-GUI und eine gemeinsame
IP-Adresse kontaktieren lässt. Bei der Alterpath-Produktfamilie von Cyclades beispielsweise sind
Serviceprozessormanager, Konsolenserver, KVM- oder KVM-over-IP-Switches, Blade-Manager und
intelligente Stromverteilungseinheiten über das eine Interface der OOBI-Managerkonsole zu erreichen
(Bild 2, 4a und 4b).
Fazit: Serviceprozessoren erweitern das OOBI-Management
Serviceprozessoren bereichern das traditionelle Fernmanagement von Servern um geräteinterne
Informationen, auf die externe OOBI-Geräte wie Konsolenserver nicht zugreifen können. Um dieses
Potenzial nutzbar zu machen, bedarf es einer zusätzlichen Managementtechnik, die sowohl Sicherheit
bietet, als auch die Komplexität des Serviceprozessormanagements reduziert. Der positive Effekt ist
unübersehbar: Lässt sich der Serviceprozessormanager in die übrige Out-of-Band-Infrastruktur gut
integrieren, wird es dem entsprechenden Unternehmen möglich sein, die Ausfallzeiten seiner Server
bei gleich bleibenden fortlaufenden Betriebskosten weiter zu reduzieren.
Lesen Sie mehr zum Thema
