От использования систем KVM (переключатели клавиатуры/видео/мыши) наибольший выигрыш получают предприятия, имеющие несколько офисов и малочисленный отдел ИТ. Такие решения особенно полезны, когда они применяются не только для удаленного доступа к серверам, но и в качестве средства поддержки и реализации других задач. Для этого необходима система централизованного администрирования, реализованная на основе технологии KVM по IP: в таком случае с рабочего компьютера, из центра управления сетью или любого другого места можно подключиться к удаленным серверам и управлять ими через защищенные соединения. Кроме того, технология KVM позволяет получить другую важную для инфраструктуры ИТ информацию и поддерживает автономную обработку данных. Такие решения могут быть частью системы преодоления сбоев (Failover) и способны повысить безопасность при доступе по внутреннему (Inband) и внешнему (Out-of-Band) каналам.
Консоли KVM обеспечивают централизованный сетевой доступ к компьютерам и сетевым компонентам. Для этого в каждом офисе требуется установить хотя бы один переключатель KVM по IP, к которому будут подключаться несколько конечных устройств. При такой топологии администратор может обращаться к CD-ROM или другим носителям информации, расположенным в удаленном помещении, к примеру, когда они подключены напрямую к серверу через интерфейс USB. В результате становится возможным управлять всей средой ЦОД через браузер и обеспечить доступ к различным устройствам и виртуальным серверам. Кроме того, администраторы получают возможность обзора подключенных модульных серверов и их шасси, интегрированных сервисных процессоров (Embedded Service Processor), стоечных или консольных серверов, переключателей KVM по IP, интеллектуальных устройств распределения питания (Intelligent Power Distribution Unit, IPDU), а также устройств для администрирования сервисных процессоров.
Система управления должна быть отказоустойчивой и построена в соответствии с принципом централизации (Hub and Spoke). В этом случае подчиненный сервер (Spoke) становится главным (Hub), если у основного сервера Hub возникают проблемы или его отключают для проведения технических работ. Такой метод обеспечивает целостность системы и предотвращает утрату данных или транзакций. Даже в случае сбоев оборудования, электросети, операционных систем или сети администраторы ИТ смогут через модем, с помощью консолей KVM и последовательных соединений, получить доступ ко всем устройствам и управлять ими извне (см. Рисунок 1). В число таких устройств входят не только маршрутизаторы, коммутаторы, брандмауэры или шлюзы, но и системы электропитания, телефонные станции, датчики сигнализации и климатические установки. Таким образом, независимо от текущего состояния операционной системы и функционирования сетевого соединения, администраторы получают доступ к удаленно установленным устройствам на уровне BIOS для диагностирования проблем или осуществления изменений (см. Рисунок 2). К тому же в виртуальных серверных средах большинство задач также может выполняться дистанционно.
При таком подходе проблемы могут быть распознаны и устранены автоматически, если администратор при помощи управляющего решения запрограммирует соответствующие алгоритмы действий систем KVM по IP для выполнения конфигурации, управления и восстановления систем в заданных ситуациях. Иными словами, комбинация системы управления и технологии KVM по IP позволит организовать достаточно автономное функционирование систем ИТ.
Централизованное управление инфраструктурой посредством KVM по IP позволяет осуществлять полное протоколирование всех действий и обеспечивает высокий уровень безопасности. Риск физических угроз можно значительно снизить, разместив серверы в закрытых помещениях или за пределами территории предприятия в защищенных центрах обработки данных, где персонала практически нет (Lights Оut), и все меры по техническому обслуживанию осуществлять на расстоянии.
Решения KVM по IP, как правило, поддерживают централизованную многоступенчатую аутентификацию с однократной регистрацией (Single Sign-on) на базе LDAP и Active Directory. Таким образом предприятие может продолжать использовать привычные методы аутентификации, не создавая новые учетные записи и дополнительные имена пользователей.
Права и настройки для отдельных пользователей или групп по-прежнему определяются администратором через систему KVM или сервер последовательных консолей. При этом пакеты данных KVM, то есть все нажатия клавиш на клавиатуре, движения мыши и графические данные, сжимаются и зашифровываются, причем, в зависимости от правил безопасности, шифрование должно осуществляться в соответствии со стандартами AES, DES, 3DES или 128-разрядным SSL. Для отключения всех пользователей по завершении сеанса администратор может настроить макросы выхода, дабы предотвратить манипуляции или атаки извне, если произойдет сбой сети или клиентского компьютера либо разрыв соединения из-за отсутствия активности пользователя. Для противодействия потенциальным угрозам предусмотрена автоматическая отправка уведомлений о неудачной попытке аутентификации, отсутствующем протоколе доступа (Access Log) или блокированном канале — все это регистрируется в системном журнале, когда соответствующая информация об инциденте поступает от одного из подключенных к сети устройств.
КОНТРОЛЬ ЭЛЕКТРОПИТАНИЯ ВПЛОТЬ ДО РОЗЕТКИ
KVM по IP в комбинации с администрированием ЦОД позволяет задействовать так называемые интерфейсы интеллектуального управления платформами (Intelligent Platform Management Interface, IPMI). Они выступают в качестве агентов для управления аппаратным обеспечением, собирающих информацию о текущем состоянии системы: показатели температуры, скорости вращения вентиляторов или напряжения в электросети. С помощью этих данных можно перенаправлять информацию с системных консолей, включать и выключать оборудование и осуществлять повторный запуск аппаратного обеспечения, независимо от того, какая операционная система установлена. Таким образом, переключатели KVM в комбинации с интеллектуальными распределительными устройствами (Intelligent Power Distribution Unit, IPDU) расширяют административные возможности внешних систем управления вплоть до отдельной розетки, а администраторы ИТ могут с помощью агентов удаленно управлять всеми устройствами, подключенными к одному IPDU.
Так из комбинации консольных серверов, переключателей KVM по IP и программного обеспечения для управления по IP создается система мониторинга электропитания. Управление системным доступом и контроль электропитания серверов и блоков питания объединены в интегрированном пользовательском интерфейсе. Это позволяет осуществлять независимое управление электророзетками (включение/выключение) и предоставляет интерфейс HTTP/HTTPS для мониторинга и управления электропитанием.
Администратор управляет IPDU через защищенные соединения, как правило, Telnet, SSH или SNMP. Он может, к примеру, объединить несколько распределителей электропитания, для того чтобы сократить количество требуемых IP-адресов. Таким образом можно дистанционно управлять устройствами ИТ в серверных стойках, потребляющих более 5 кВт. Если запрограммировать IPDU соответствующим образом, система будет автоматически отключать розетки с низким приоритетом, уведомлять сотрудников об угрозе возникновения перегрузки или, в качестве варианта, отключать розетки, энергопотребление в которых выходит за предопределенное граничное значение.
ЗАКЛЮЧЕНИЕ
Независимо от того, намеревается ли отдел ИТ заняться установкой модульных серверов, реконфигурацией сети хранения (Storage Area Network, SAN) или тестированием нового маршрутизатора, переключатели KVM, с доступом к основным данным программного обеспечения для управления ЦОД, предоставляют администраторам единый интерфейс для осуществления полного контроля за подключенными устройствами. Информация передается по прямым соединениям или беспроводным путем, а управляющее программное обеспечение не только осуществляет отображение пользовательских данных, но и поддерживает создание графических отчетов, а также использование инструментов автоматизации для административных задач. В результате достигается интегрированный, централизованный и целостный обзор всей инфраструктуры.
Бэн Граймс — главный технический директор и старший вице-президент компании Avocent, отвечающий за разработку корпоративной стратегии.
© AWi Verlag
Рисунок 2. Управляющее программное обеспечение DSview 3 компании Avocent предоставляет удаленный доступ ко всем сетевым устройствам, позволяя выполнять диагностику и вносить изменения.