Что такое ilo в сервере
Что такое ilo в сервере
В данной заметке хочу рассказать и для себя зафиксировать такой вопрос,ч то такое ILO и MSM порты. Integrated Lights-Out — механизм управления серверами в условиях отсутствия физического доступа к ним. Применяется фирмой Hewlett Packard для всех своих серверов (кроме серверов 100 серии до марта 2009 года (до G6)). Это некое устройство, которое по функционалу схоже с KVM. Оно позволяет получить доступ к серверу даже тогда, когда «отвалился» основной интерфейс. У ILOсвой IP-адрес и попасть на него можно прямо через браузер. Как настроить ILO управление на сервере HP dl380 g7
На любом из серверов HP вы сможете обнаружить наклейку в которой содержится информация по умолчанию для подключения к порту управления. Ниже представлен пример такой наклейки. Так же есть и другие методы определения IP-адреса ILO порта, в случаях, когда у вас может не быть физического доступа к серверу.
Версии ILO
На начало 2019 года у компании HP технология Integrated Lights-Out насчитывает 5 версий. Версия ILO 1 уже не поддерживается с 2014 года, 2-4 версии последнее обновление получили в 2018 году после очередного нахождения лазеек в безопасности. Был выпущен для ILO 3 бюллетень безопасности CVE-2017-8987. Сама дыра безопасности задействовала физическое соединение для того, чтобы атаковать процессы и критические службы, напомню, что HP iLO 3, это карточка с дискретным сетевым соединением. Rapid7 составила отчет из которого следует, что если хакер будет использовать данную уязвимость, то он сможет управлять полностью сетевым соединением на протяжении 10 минут до перезагрузки сервера службой безопасности. Вот согласитесь, что за 10 минут можно успеть многое, залочить нужные учетные записи, поменять пароли и многое другое. Данная лазейка была в прошивке v1.88. Так, что срочно обновлять ILO.
В серверах HP ProLiant Gen8 и Gen9 уже используется ILO 4 в качестве порта управления. Тут она представлена с дискретным чипом ARM на физическом уровне, он архитектурно независим от серверного CPU, из-за того, что подключен напрямую к шине PCI-Express. Прошивка хранится на дискретном флеш-чипе, что позволяет интерфейсу ILO 4 быть работоспособным когда сервер отключен. Но есть огромное но, есть операционная система от компании RTOS GreenHills Integrity, которая почему-то открывала на прямую доступ в интернет некоторым интерфейсам iLO 4. Логично, что добрые люди из интернета с радостью отыскивают такие сервера и не против посмотреть, что на них расположено.
При атаке они переполняют heap-буфер при обработке HTTP-заголовка. В момент, когда новый клиент подключается к web-серверу, один из четырех потоков обрабатывает соединение и начинает анализ HTTP-запроса. Обработка производится функцией, поочередно считывающей каждую строку, идентифицируя и анализируя таким образом возможные варианты HTTP-заголовка. Основная проблема возникает при обработке заголовка соединения функцией sscanf, которая вызывается небезопасной строкой.
Соответственно, при обработке сверхдлинного заголовка соединения возможно переполнение буфера и выполнение произвольного кода. В Hewlett Packard подчеркивают, что угроза не является лишь теоретически возможной. Известно, что выявившие уязвимость специалисты получили таким образом доступ к управлению сервером. ILO 5 актуальна на 4 февраля 2019 года и имеет версию 1.40.
Существует несколько API для взаимодействия с HP iLO:
Вот так вот выглядит веб-интерфейс при подключении к порту управления ILO 4 на Prolient DL380 Gen9. Тут вы на основном дашборде увидите сводную системную информацию:
Загрузить последние версии ILO прошивок вы можете на сайте производителя:
Или же использовать SPP диски обновления от HP, где очень удобно все обновить за один подход, но из минусов этого метода, то что ISO образа очень объемные.
Проливая свет на HP ProLiant iLO Management Engine
Привет, меня зовут Алексей Павлов, я занимаюсь в HP Россия подготовкой технических заданий по серверному, сетевому оборудованию и системам хранения.
Компания HP анонсировала восьмое поколение серверов в марте 2012 года. О некоторых особенностях дизайна уже было сказано здесь: habrahabr.ru/company/hp/blog/141796.
А теперь я хочу показать вам красоту заложенных в Gen8 решений на простом практическом примере. Недавно в нашем демо-центре в московском офисе мне удалось потестировать DL380p Gen8, и я хочу подробнее рассказать об особенностях развертывания ОС с помощью HP iLO Management Engine.
В этом посте вы найдете пару видео, несколько скриншотов и мои комментарии к ним.
HP iLO Management Engine представляет собой полный набор встроенных инструментов, которые работают на протяжении всего жизненного цикла сервера: первоначальное развертывание, постоянное управление, оповещение, удаленная техническая поддержка. HP iLO Management Engine поставляется со всеми серверами HP ProLiant Gen8 без ограничений по функциональности (то есть никакого больше деления на iLO 100 и полноценный iLO).
Ключевых встроенных инструментов четыре: HP Intelligent Provisioning, HP Agentless Management, HP Active Health System, HP Insight Remote Support.
HP Intelligent Provisioning включает в себя функции по конфигурированию железной части сервера: все драйверы, агенты, прошивки, конфигурационные утилиты теперь хранятся в NAND-памяти на материнской плате. Так же в HP Intelligent Provisioning интегрированы функции HP SmartStart и установки ОС. Кстати, о SmartStart мы планируем подробно рассказать в одном из ближайших постов.
HP Agentless Management производит мониторинг состояния сервера без установки агентов под ОС – проверка состояния железа и фунции оповещения теперь вынесена на чип iLO 4 и не зависит от ОС и процессора.
HP Active Health System – своеобразный «черный ящик» сервера, куда постоянно записываются состояния компонентов сервера и малейшие изменения в конфигурации hardware. В зависимости от типа контракта на поддержку данные могут записываться в «банк данных» сервера удаленной поддержки, чтобы, например, заранее предоставить жесткий диск на замену, если появятся первичные признаки деградации RAID-группы.
HP Insight Remote Support – возможность удаленного подключения к серверу в любом месте и круглосуточная помощь по техническим вопросам. С выходом iLO 4 появилась возможность управления сервером с помощью мобильных устройств — есть приложение для iOS и Android.
И от теории к практике: приступим к удаленной установке Windows Server 2008 R2 на DL380p Gen8.
1. На верхней крышке сервера будет указана информация по логину и паролю к iLO 4 сервера, куда мы и будем подключаться. IP-адрес iLO 4 назначается по DHCP. При первом подключении можно зайти на DHCP-сервер и посмотреть присвоенный адрес, либо подключиться локально и назначить адрес вручную.
2. C этого момента смотрим видео выше. Подключаемся к iLO. Скриншоты кликабельны.
3. Попадаем в главное меню (00:10). Здесь можно получить всю информацию о системе.
4. Из Active Health System Logging (01:20) можно выгрузить отчет о работе сервера за определенный промежуток времени и отправить его в виде файла на диагностику в сервисный центр.
5. Можно изучить какое потребление питания на сервере (02:44) и изменить настройки (03:08).
6. Апгрейд iLO доступен в автоматическом режиме с помощью Intelligent Provisioning или вручную (03:58).
7. Можно создать несколько пользователей (04:04) или назначить права существующим на какие-либо действия. Например, можно назначить права оператора администраторам, которые смогут удаленно перезагружать сервер, подключаться удаленно, подключать virtual media, разворачивать образы, конфигурировать iLO и управлять другими пользователями.
9. Обратите внимание на галочки в правом нижнем углу: почти все «вкусности» Gen8 задействованы в этом сервере.
10. Далее попадаем в менеджер настройки сервера HP Smart Start (01:22). Здесь доступна установка ОС и настройка устройств сервера.
11. SmartStart представлен 9 компонентами (01:28). Active Health System download (01:31) позволяет загрузить на Flash логи сервера и отправить их в сервисный центр.
12. Array Configuration Utility (01:51) позволяет сконфигурировать дисковую подсистему сервера и настроить RAID контроллер p420i. Особенности нового контроллера:
Диски немного уменьшились в размере, что позволяет теперь размещать до 25 дисков в одном сервере. У самого диска появился индикатор его активности в RAID, кнопка “do not remove”, задняя подсветка.
Для SSD появилась функция оценки здоровья диска: SSD Wearing Gauge.
13. В Quick Configs можно изменить настройки профиля BIOS сервера (02:14).
14. Intelligent provisioning preferences позволяет настроить сетевой адаптер для iLO (02:42) и получить справку по всем функциям.
15. Функция Insight Remote Support позволяет ввести адрес удаленного сервера поддержки HP (04:08), на который будет отправляться информация по состоянию системы.
16. Установка ОС происходит в несколько простых этапов (05:06). Сначала собирается информация о конфигурации сервера.
17. Далее предлагается выбрать тип установки (05:38), recommended install позволяет автоматически установить все обновления, подготовить дисковое хранилище и установить драйверы HP.
18. Операционная система готова к установке (06:08).
Думаю, все очень просто и понятно 🙂
По скорости развертывания такая система быстрее на 20% по сравнению с ProLiant поколения G7, а скорость доступности первых данных о сервере после включения – уже через 3 секунды.
Я осветил только одну часть той работы, которая была проделана инженерами HP в рамках последних двух лет, и которая была воплощена в новых серверах Gen8. Об остальных улучшениях постараюсь написать в следующих обзорах.
Инструмент удаленного управления HP iLO
При помощи iLO сокращается время необходимое на решение возникших проблем, благодаря функциям удаленного доступа и устранения неполадок. Внешнее управление в свою очередь позволяет выполнять обслуживание и поддержку серверного оборудования независимо от его расположения.
Обновление версий программного продукта HP iLO происходит каждые несколько лет, на сегодня актуальной в моделях серверного оборудования 10 поколения является версия iLO 5.
Серверы HP ProLiant G2, G3, G4, G6 в моделях серии 300 и ниже
Серверы HP ProLiant G5 и G6, в моделях серии 300 и выше
Серверы HP ProLiant G7
Серверы HP ProLiant Gen8 и Gen9
Серверы HP ProLiant Gen10
Стандартная лицензия Essentials бесплатна и является доступной по умолчанию, для начала работы не нужно производить установку или настройку чего-либо. Также доступно обновление до расширенной лицензии iLO Advanced, которая обладает расширенным функционалом.
Краткий список основных возможностей которые включает в себя iLO:
Быстрый старт
Пользовательский интерфейс является удобным и понятным, с навигационным древовидным меню, расположенным в левой части страницы.
В статье рассмотрены возможности iLO 4 c расширенной лицензией Advanced.
Меню состоит из таких разделов:
Удаленная консоль:
.NET предоставляет доступ к системной клавиатуре, видео и мыши (или KVM) и позволяет управлять виртуальной мощностью и виртуальными носителями с единой консоли через браузер на клиенте Windows. Поддерживается захват консоли, общую консоль, виртуальную папку и носители со сценариями (помимо стандартных функций).
Java также предоставляет доступ к системному KVM, позволяющему управлять Virtual Power и Virtual Media из консоли на основе Java, и включает в себя инструмент для создания образа диска iLO и Scripted Media.
Для смартфонов с iOS и Android доступно мобильное приложение iLO. Оно обеспечивает доступ к удаленной консоли с вашего смартфона или планшета, что делает контроль и отслеживание параметров сервера ещё более мобильным и доступным.
Virtual media:
С возможностью удаленной консоли тесно связано управление виртуальными носителями для монтирования образов дисков. Хотя функция Virtual Media поддерживает ISO-образы объемом до 8 ТБ, максимальный размер файла также зависит от других элементов, включая ограничение единого размера файла для файловой системы, в которой хранится ISO-образ, и команд SCSI, поддерживаемых ОС сервера.
При первом использовании iLO операционная система может предложить пользователю выполнить мастер установки нового оборудования.
Также в этом разделе можно настроить порядок загрузки системы.
Управление питанием:
Возможность прямого управления питанием системы может иметь решающее значение для восстановления системы, в которой произошел сбой ОС, или для восстановления после определенных проблем с оборудованием.
Расширенные настройки
iLOFederation
Технология iLO Federation позволяет обнаружить другие серверы HP, и осуществлять мониторинг и управление ими. iLO Federation обладает отличными возможностями масштабируемости. Возможно объединение как нескольких устройств, так и большого ЦОД. Система по умолчанию будет находить другие устройства в общей сети (в зависимости от конфигурации сети.)
Это позволяет получить групповой обзор систем и их состояния. На приведенном ниже рисунке показан пример группы обнаруженных серверов и указано, что в одном из них в настоящее время найдены проблемы в работе. Также есть возможность напрямую перейти в панель iLO, той системы, в которой произошел сбой.
Вот список функций в iLO Federation. Для некоторых из этих функций требуется расширенная лицензия Advanced.
Мониторинг состояния системы
Информация о компонентах сервера и их работоспособности, нуждается в детальном отслеживании и контроле. Подменю «System information» отображает данные о том, какие аппаратные устройства установлены в системе, отслеживает их статус и работоспобность.
На вкладке «Summary» отображается состояние отслеживаемых подсистем и устройств, которые ипользуются в сервере.
Если сервер выключен, будет отображаться информация о состоянии системы, актуальная на момент последнего отключения питания. Кроме того, информация о работоспособности обновляется только после включения сервера и завершения процедуры POST.
Управление энергопотреблением:
При помощи различных настроек в этом меню можно управлять настройками питания. Также здесь отображается энергопотребление в текущее время и за различные временные промежутки в виде графика. В меню «Управление питанием» есть три доступных параметра: «Питание сервера», «Power Meter» и «Настройка питания».
На странице «Питание сервера» раздел «Кнопка виртуального питания» показывает пользователям текущее состояние питания сервера, а также доступные параметры для удаленного управления питанием сервера.
На странице «Power Meter» отображается энергопотребление сервера за конкретное время. Графики, к которым пользователи могут получить доступ, включают 24-часовой график, который показывает энергопотребление сервера за предыдущие 24 часа и 20-минутный график, который показывает энергопотребление сервера за предыдущие 20 минут. Также доступна опция Power History, которая отображает показания мощности (средняя, максимальная и минимальная мощность) за три периода времени: 5 минут, 20 минут и 24 часа.
Управление питанием позволяет пользователям контролировать и просматривать функции управления питанием сервера, которые различаются в зависимости от конфигурации сервера.
Другие дополнительные функции
Интеграция каталогов/доменов позволяет использовать существующий каталог (например, Active Directory) для обработки аутентификации и авторизации для пользователей iLO. Данная функция позволяет централизованно управлять паролями, что делает управление многими системами с поддержкой iLO более масштабируемым. Осуществить это можно настроив конфигурацию Kerberos для автоматической аутентификации на основе того, что пользовательская система вошла в домен, не запрашивая снова доступ iLO.
Резюме
HP iLO является мощной технологией управления, а также центральным компонентом комплексного решения для мониторинга. Возможности управления намного превосходят возможности большинства решений KVM и тесно интегрируются с другими продуктами HP и инфраструктурой клиентов.
Технология iLO делает управление сервером очень простым, не только в масштабных системах. Даже небольшие организации могут воспользоваться преимуществами базовой лицензии Essentials, которая предлагает администраторам некоторые ключевые функции.
Хотя для покупателей небольшого количества серверов, функция удаленного управления не является решающей в выборе оборудования, возможно им стоит обратить большее внимание на этот аспект.
Лицензия iLO Advanced. Для чего она нужна именно сейчас?
В статье рассмотрел наиболее важные, на мой взгляд, преимущества лицензии iLO Advanced для процессора управления HPE Proliant Light-Out. И, самое главное, написал инструкцию, как получить временную лицензию со сроком действия до 1 января 2021 года.
В эти непростые времена мы решили поддержать малый и средний бизнес на «удаленке». Теперь каждый из вас может скачать себе ключ на активацию функционала HPE iLO Advanced на серверах HPE ProLiant, доступ к которому будет действовать до конца 2020 года.
Корпоративные заказчики продолжают пользоваться всеми преимуществами лицензии HPE iLO Advanced, а компании поменьше на ней экономят. Сейчас у них появилась возможность оценить расширенный функционал ПО.
Давайте сравним возможности стандартной и расширенной версии HPE iLO:
| Функционал | HPE iLO Standard | HPE iLO Advanced |
| Поддержка платформ | Есть во всех серверах, где присутствует контроллер управления iLO. Бесплатно> | Все серверы ProLiant, блейд-серверы, вычислители Synergy, картриджи Moonshot в шасси Edgeline |
| Диагностика «Active Health» | — | + |
| Расширенное управление питанием «Advanced Power Management» (графики энергопотребления во времени, возможность динамического ограничения энергопотребления | — | + |
| Автоматическое восстановление безопасной конфигурации | — | + |
| Безагентный мониторинг | + | + |
| Резервное копирование и восстановление конфигурации | + | + |
| Режим Commercial National Security Algorithm (CNSA) | — | + |
| Аутентификация через доменную службу | — | + |
| Встроенная удаленная поддержка | + | + |
| Встроенная система мониторинга состояния сервера | + | + |
| Система коллективной работы через интегрированную консоль удаленного доступа | — | + |
| Поиск через службу «iLO Federation Discovery» | + | + |
| Управление через службу «iLO Federation Discovery» | — | + |
| Перезагрузка HPE iLO | + | + |
| HPE iLO RESTful API | + | + |
| Встроенная консоль удаленного управления | Для BL и WS – стандартно, для остальных серверов – до загрузки в ОС | + |
| Видеозапись действий в консоли удаленного управления | — | + |
| IPMI через LAN/DCMI | + | + |
| IPv6 | + | + |
| Поддержка технологии «Jitter Smothing» | — | + |
| Запись и просмотр состояния сервера на момент загрузки | + | + |
| Передача данных в формате «Syslog» | — | + |
| RIBC | + | + |
| Верификация микрокодов в процессе работы сервера | — | + |
| Доступ к виртуальному дисководу «Virtual Media» из скриптов | — | + |
| Безопасная чистка данных из постоянной памяти HPE iLO (NAND/пользовательские данные) | — | + |
| Технология «Silicon Root of Trust» | + | + |
| Доступ по SSH | + | + |
| Доступ к удаленной текстовой консоли сервера по SSH | — | + |
| Двухфакторная авторизация (Kerberos, Smart Card – PIV/Common Access Card) | — | + |
| Доступ к виртуальному дисководу «Virtual Media» из консоли удаленного доступа | Для BL и WS – стандартно | + |
| Виртуальные кнопки управления питанием (Вкл/Вкл/Перезагрузка) | + | + |
| Виртуальный последовательный порт | + | + |
| Запись вывода и проигрывание с виртуального последовательного порта | — | + |
| Веб-интерфейс | + | + |
| Технология «Профили нагрузки» | + | + |
Подробнее о лицензировании вы можете узнать здесь.
Обращаю ваше внимание на функции удаленной графической консоли и виртуального привода DVD/ носителя USB. Это – возможность полноценного администрирования сервера удаленно без физического доступа к нему: полезная возможность для удаленной работы.
С лицензией жизнь начинает играть другими красками: можно смонтировать образ CD/DVD, лежащий на локальном диске вашего компьютера, или подключить папку на него же:
А с лицензией – есть:
Режим работы сервера:
Серверы можно объединять в группы (всегда есть группа по умолчанию) и настраивать их по общим правилам: присвоить всем один виртуальный носитель, задать для группы ограничения по энергопотреблению (если питание в стойке ограничено), раздать всем лицензию HPE iLO Advanced (попробуйте с нашей временной лицензией), сравнить и при необходимости довести микрокоды на серверах группы до одной версии, и даже включить и выключить все серверы одновременно (мечта хакера). Рекомендую присмотреться к федерации.
Мы рассмотрели далеко не все дополнительные возможности, приобретаемые сервером. Изучить остальные вы можете сами, воспользовавшись лицензией.
Итак, рассказываю, как же получить ключ. Всё просто
А теперь рассказываю, как установить ключ
А если у вас есть свободное время в самоизоляции, то рекомендую попробовать еще несколько решений.
HPE iLO Amplifier Pack – бесплатное ПО, которое поставляется в виде виртуальной машины. Оно повзоляет проводить инвентаризацию серверов, обновлять микрокоды, сохранять и восстанавливать настройки HPE iLO.
Полностью возможности раскрываются при наличии на серверах лицензии HPE iLO Advanced. Есть возможность оценить и сравнить HPE iLO Amplifier Pack с лицензией HPE iLO Advanced и без.
Документация доступна по этой ссылке.
Для серверов работает в связке с HPE iLO Amplifier Pack. HPE InfoSight for Servers – облачный сервис по диагностике и мониторингу вашего оборудования. Чтобы им воспользоваться, необходимо иметь поддержку на оборудование (гарантия – тоже поддержка). В сервисе можно также отслеживать статус заявок.
Этот сервис полезен при удаленной работе, если вы не боитесь передать телеметрию (не пользовательские данные, конечно) на серверы компании.