В настоящее время для управления распределенным компьютерным парком применяются два принципиально различающихся метода: администрирование на месте или с использованием удаленного доступа. Последний осуществляется при помощи инструментов для удаленного управления (Remote Control Tools), инструментария управления Windows (Windows Management Instrumentation), переключателей клавиатуры, видео и мыши (Keyboard-Video-Mouse, KVM) или специальных программных агентов.

Эти методы могут комбинироваться, а их отличия состоят в коммуникационной инфраструктуре, на которой базируется удаленный доступ. Все предыдущие концепции объединяло то, что управляемый компьютер должен быть включен постоянно. В качестве универсального этот метод не подходит хотя бы из-за высоких цен на электроэнергию. Кроме того, непрерывно работающий компьютер представляет собой серьезную угрозу для безопасности. Функция целенаправленного «пробуждения» посредством сетевой карты (Wake on LAN, WOL) позволяет обойти некоторые из этих препятствий, но широкого применения так и не нашла. Кроме того, она предусматривает лишь включение компьютера, все остальные действия должны производиться агентами инструментов системного управления.

УПРАВЛЕНИЕ ОТКЛЮЧЕННЫМИ КЛИЕНТСКИМИ КОМПЬЮТЕРАМИ

На помощь приходит технология vPro. Она позволяет получать доступ к базовым настройкам и конфигурациям выключенного компьютера. Непременное условие состоит в том, что устройство должно быть подсоединено к сети передачи данных. Поскольку, конечно же, любой сетевой трафик передается в форме электрических импульсов, удаленно управляемое устройство должно быть подключено к сети питания, а сетевые компоненты должны осуществлять маршрутизацию пакетов. Таким образом, немногие необходимые для vPro аппаратные блоки, а также сетевой модуль будут находиться под незначительным рабочим током, во всяком случае не под таким большим, как того требуют мощные потребители электроэнергии — жесткие диски, память или графические карты. Об этом следует упомянуть отдельно, поскольку содержащаяся в документации информация иногда носит двусмысленный характер.

С выпуском vPro компания Intel модифицирует свою концепцию технологии активного управления (Active Management Technology, AMT) и одновременно развивает успехи, достигнутые ею благодаря платформе Centrino для ноутбуков. Эта платформа представляет собой комбинацию трех тесно интегрированных аппаратных компонентов: центрального процессора, набора микросхем с подсистемами памяти и ввода/вывода и компонента для поддержки беспроводной сети (Wireless LAN, WLAN). То же самое относится и к vPro, т. е. расширенному методу AMT, поскольку и он, в свою очередь, представляет собой комбинацию нескольких блоков: двухъядерного процессора Intel Core 2 Duo, набора микросхем Q965 Express, сетевых компонентов для коммуникации и энергонезависимого накопителя (т. е. флэш-памяти). Флэш-память служит для хранения важного содержимого, к примеру, сообщений о статусе (состоянии программного и аппаратного обеспечения). Однако BIOS и компоненты встроенного программного обеспечения системной платы требуют адаптации. Компьютеры с поддержкой vPro уже выпускают или намерены представить в ближайшем будущем компании Acer, Fujitsu Siemens Computers, Hewlett-Packard, Lenovo и NEC.

Память Vpro делится на три области: одна часть зарезервирована для vPro, т. е. собственно для AMT, вторая хранит информацию о статусе, которая записывается в ходе процесса самотестирования (Power-On Self-Test, POST), запускаемого при включении питания компьютера, а третья предназначена для специальных расширений. Для обеспечения безопасности накопителя доступ к нему защищается либо при помощи списка контроля доступа (Access Control List, ACL), либо путем шифрования содержимого.

Средства параметризации позволяют определить, какая информация из процесса самотестирования сохраняется в зарезервированном участке памяти и какие действия следует запустить при наступлении определенных событий. Это может означать, что при использовании описанного метода незначительные сообщения игнорируются, сообщения средней важности помещаются в память, а при серьезных происшествиях администратору выдается уведомление. Таким образом, благодаря расширению vPro появляется коммуникационный канал, который остается активным даже тогда, когда удаленный компьютер выключен, а операционная система на нем не работает или повреждена. Всякий доступ через интегрированный коммуникационный интерфейс происходит через собственный сетевой стек и не затрагивает процессов операционной системы. Это нужно уже хотя бы потому, что в отключенном состоянии компьютер не может поддерживать соединение с помощью операционной системы.

Технология vPro предоставляет три вида функций: во-первых, запрос исключительно на чтение значений из компьютера, к примеру, из BIOS или уже упомянутого специального накопителя vPro посредством сообщений о статусе; во-вторых, доступ для записи изменений в конфигурациях целевого компьютера; и, в-третьих, включение или выключение компьютера (Power Up/Power Down).

В простейшем случае доступ к данным технологии vPro и ее функциям происходит через браузер. Кроме того, поставщики инструментов для системного управления, к примеру, Altiris, LANDesk и Microsoft, расширили консоли управления настольными системами для того, чтобы их решения могли взаимодействовать с компонентами vPro на системной плате. Тем самым впервые предоставляется возможность управлять выключенными компьютерными системами. Intel и производители персональных компьютеров предлагают лишь необходимые интерфейсы со стороны ПК. При этом удобно, что средства доступа к информации, которую предлагает vPro, полностью интегрированы в решения управления (см. Рисунок 1). И наоборот, микропрограммное обеспечение vPro можно использовать для того, чтобы с помощью тактовых импульсов вести наблюдение за деятельностью сразу нескольких агентов (до 16) и их функциональностью.

Рисунок 1. Компания LANDesk интегрировала функции vPro/AMT в свои меню.
Наряду с уже упомянутыми функциями vPro предлагает метод последовательного управления по локальной сети (Serial Over LAN, SOL) для переключения загрузочных устройств (удаленная загрузка благодаря интегрированному переключению устройства посредством интерфейса IDE-R) и устройств ввода/вывода. Кроме того, в число возможностей vPro входят удаленные функции виртуализации.

Возможности vPro, в принципе, не новы, большинство из них в похожем исполнении уже присутствуют в современных системах. Однако новым и, пожалуй, даже революционным стало сочетание функций, что позволяет осуществлять практически полное удаленное обслуживание при условии отсутствия неисправности аппаратных средств.

Технология vPro упрощает развертывание программного обеспечения и реализацию централизованных служб технической поддержки. Выполнение действий на клиентском компьютере осуществляется без вмешательства пользователя или агентов, работающих на обслуживаемой системе. Так, в случае проблем с запуском поврежденный клиент может быть запущен удаленно при помощи системы удаленной загрузки через IDE-R с центрального компьютера. Это выходит за рамки возможностей WOL и среды начальной загрузки (Pre-Execution Environment, PXE).

Одновременно переключение устройств ввода/вывода с применением метода Serial on LAN позволяет центральной технической службе отслеживать процесс загрузки и — в случае необходимости — вмешиваться в него. Вся информация, поступающая из процесса POST, а также доступ к BIOS компьютера переключаются подобно тому, как это осуществляется посредством коммутаторов KVM на базе IP. Однако vPro не нуждается в коммутаторах KVM, поскольку эта технология уже интегрирована во встроенное программное обеспечение. В качестве последней меры поврежденный компьютер можно запустить при помощи инструмента для работы с образами дисков.

Интеграция коммуникационных интерфейсов во встроенное программное обеспечение vPro позволяет осуществлять независимый от операционной системы мониторинг сетевого трафика при помощи изолированного механизма обеспечения безопасности. Он берет на себя и рудиментарную функцию брандмауэра, а также следит за сетевым трафиком с целью выявления подозрительных ситуаций. Проверке подлежат пять коммуникационных параметров: IP-адрес отправителя и получателя, порт, тип протокола и скорость передачи пакетов.

Кроме того, описанная концепция позволяет отделить компьютер от сети, если из-за заражения вирусами он оказывается уже недосягаемым посредством агентов инструментов системного управления или функций операционной системы. При помощи удаленного доступа vPro администратор может исключить из трафика сети инфицированный компьютер, чтобы не инфицировать другие устройства. Однако доступ к пострадавшей системе остается благодаря методу SOL/IDE-R: при случае ее можно загрузить вновь, взяв за основу неповрежденный образ.

ЗАКЛЮЧЕНИЕ

vPro создает предпосылки для организации более простого системного управления. Intel оценивает потенциал экономии в области затрат на поддержку примерно в 40%. При этом производитель основывается на цифрах, в соответствии с которыми обслуживание техники на месте обходится в семь раз дороже удаленного доступа. Для получения исходных данных компания изучила 44 тыс. извещений о неисправностях (trouble ticket) и установила, что примерно 40% проблем можно было решить посредством удаленного доступа. Однако следует отметить, что польза от применения технологии vPro станет заметной лишь тогда, когда она получит достаточно широкое распространение. Компьютеры с поддержкой vPro будут продаваться дороже: у НР, к примеру, разница составит около 30 евро. Кроме того, после приобретения ATI Technologies компанией AMD, можно ожидать, что последняя представит собственную концепцию. И, наконец, следует иметь в виду, что от отказов аппаратного обеспечения и ошибок пользователей не защитит и vPro.

Йохан Баумайстер — независимый журналист, специализирующийся на темах ИТ.


© AWi Verlag