Claus Giebert, KONTRON 2010-03-03

Bezpieczeństwo maszyn i instalacji – zdalne zarządzanie out-of-band komputerów wbudowanych

Ponieważ wbudowane systemy komputerowe sterują coraz większą liczbą funkcji maszyn i systemów, niezawodność eksploatacyjna jest w coraz większym stopniu zależna od dostępności wbudowanej technologii PC. Opisywane w artykule IPMI (Intelligent Platform Management Interface) oraz Intel AMT (Active Management Technology) są dwiema różnymi technologiami sprzętowymi wykorzystywanymi do monitorowania i zarządzania out-of-band serwerami przemysłowymi i komputerami o wysokim poziomie dostępności.

IPMI

IPMI jest zdefiniowaną technologią serwerową wprowadzoną w 1988 roku, która dostępna jest w modułach CompactPCI (6HE / PICMG 2.9) oraz ATCA/AMC/mTCA. Technologia IPMI jest również dostępna w modułach VME poprzez wykorzystanie specyfikacji VITA 38. IPMI może stanowić sprzętową „linię obronną”, ponieważ kontroluje status serwera i zasilania. Technologia IPMI wykorzystywana jest do monitorowania prędkości obrotowej wentylatora i pomiaru temperatury, umożliwiając wyłączenie płyty w przypadku nadmiernego wzrostu temperatury. Funkcje zabezpieczające IPMI eliminują też ryzyko zainstalowania płyt w niewłaściwych slotach. Informacja o stanie systemu jest przesyłana poprzez IPMI nawet w przypadku awarii, co umożliwia ponowne uruchomienie systemu, załączenie i wyłączenie zasilania oraz uzyskanie dostępu do konfiguracji BIOS-u i konsoli systemu operacyjnego. Technologia IPMI działa niezależnie od mikroprocesora, stanowiąc odrębny system zarządzania systemem komputerowym.

INTEL AMT

Intel AMT jest nową technologią umożliwiającą zdalne zarządzanie systemami klienckimi, której mechanizmy będą wbudowane w większość nowych chipsetów. Technologia ta jest dostępna m.in. na płycie Kontron PCI 760 PICMG 1.3 wyposażonej w procesor Intel Core 2 Duo i kontroler HDA
(High Definition Audio). AMT umożliwia logowanie do systemu poprzez sieć Ethernet za pomocą unikalnego adresu MAC, nawet jeśli system jest wyłączony (pod warunkiem że jest dołączony do napięcia zasilania). Pozwala na uzyskanie informacji o stanie systemu, przełączenie systemu w tryb oszczędzania energii, ponowne uruchomienie systemu z dysku zdalnego, ponowne lokalne uruchomienie systemu, a nawet zmianę konfiguracji i uruchomienie uaktualnienia oprogramowania niezależnie od systemu operacyjnego. Powyższe cechy czynią z AMT rozwiązanie szczególnie interesujące w przypadku konieczności zapewnienia zarządzania oprogramowaniem stacji klienckiej, stanowiąc uzupełnienie typowego monitorowania sprzętowego. Ponadto dostęp poprzez AMT jest bezpieczny. Filtr pakietów w układzie sieciowym może blokować dostęp, rejestrować podejrzane pakiety i w razie konieczności odłączyć system od sieci LAN.

PORÓWNANIE TECHNOLOGII OUT-OF-BAND

Technologia AMT ogranicza się do logiki zaimplementowanej w chipsecie/ sterowniku sieci. IPMI daje większe możliwości, ponieważ wykorzystuje sterowniki BMC (Baseboard Management Controller) oraz sterowniki satelitarne (dodatkowe), które mogą być zaimplementowane w modułach peryferyjnych. Sterowniki satelitarne odpowiadają na zapytania wysłane przez BMC, umożliwiając monitorowanie rozproszonych/złożonych modułów sprzętowych. Umożliwia to znaczące podniesienie niezawodności eksploatacyjnej całego systemu, ponieważ istnieje możliwość bezpośredniego monitorowania każdej pojedynczej płyty. Wymiana danych odbywa się poprzez osobne kanały magistrali I2C. Z drugiej strony mechanizmy technologii AMT są wbudowane w chipsecie.
Pomiędzy technologiami AMT i IPMI występują podobieństwa: AMT zapewnia obsługę IPMI Platform Event Trap (alarmy PET), zaś metoda zapisu AMT wywodzi się ze specyfikacji IPMI v1.5. Widoczne są jednak różnice w przeznaczeniu – technologia IPMI służy do zarządzania złożonymi systemami sprzętowymi, a technologia AMT nie zapewnia tego na podobnym poziomie. Zamiast tego technologia AMT umożliwia wykorzystanie zarządzania oprogramowaniem i systemu obrony Intel System Defense, dając możliwość definiowania ustawień mechanizmów bezpieczeństwa, konfiguracji BIOS-u, ponownego zdalnego uruchamiania systemu, zarządzania wyposażeniem, rejestrowania zdarzeń, itp.

WYKORZYSTANIE OBU TECHNOLOGII

Pomimo że powyższe technologie zostały opracowane pod kątem innych zastosowań, istnieje teoretyczna możliwość ich implementacji w jednym systemie wbudowanym poprzez wykorzystanie do tego celu modułów CPCI 6HE (PICMG 2.9) oraz VME i ATCA/AMC/mTCA. Do tej pory nie wykorzystywano AMT z technologiami ATCA/AMC/mTCA, ponieważ większość implementacji w tym zakresie (m.in. urządzenia telekomunikacyjne) ma własny system zarządzania. Uzupełnianie jednej z tych technologii drugą ma sens jedynie w przypadku, gdy takie rozwiązanie oznacza dla użytkownika znaczącą wartość dodaną. Do tej pory nie uzyskano znaczących korzyści wynikających z zastosowania technologii AMT w systemach z zaimplementowaną technologią IPMI, zaś systemy z AMT niekoniecznie wymagają wszystkich funkcji IPMI. Potwierdzeniem tego jest prosty fakt – użytkownicy AMT nie poszukują dodatkowych rozwiązań IPMI. Oznacza to, że zarówno IPMI, jak i AMT mogą być dalej wykorzystywane we właściwych dla siebie segmentach rynku. Technologia AMT jest w każdym przypadku dodatkową funkcją płyt PICMG 1.3. Umożliwia implementację właściwych mechanizmów zdalnego zarządzania bez żadnych dodatkowych kosztów, dzięki czemu produkty te są znacznie bardziej atrakcyjne. Wiele aplikacji programowych służących do administrowania systemami zawiera wbudowaną obsługę AMT i IPMI. Przykładami takich aplikacji są LANDesk System Manager firmy LANDesk Soft ware, Altiris Server Management Suite firmy Symantec. Wykorzystanie obu technologii do zdalnego zarządzania systemami w rozwiązaniach komercyjnych wskazuje, że są one bardzo dobrze postrzegane i akceptowane przez rynek. TechnologiaIPMI jest dostępna na platformach wysokiej dostępności CompactPCI (6HE), ATCA/AMC/mTCA i VME. AMT w wersji 3.0 ma szansę stać się najnowocześniejszą technologią zdalnego zarządzania out-of-band wykorzystywaną przy PICMG 1.3.

DODATKI IN-BAND

Oprócz zdalnego zarządzania out-of-band dla systemów wbudowanych dostępne są również dodatki in-band. Przykładem może tu być programowy dodatek PCCM (Portable C Compiler) dostępny również dla płyt PICMG 1.x i systemów serwerowych. Do bezpośredniego pobierania pobierania danych z czujników i wyposażenia PCCM wykorzystuje własne API. W rozwiązaniu opracowanym przez firmę Kontron oprogramowanie i uaktualnienia sterowników nie mają wpływu na monitorowanie stanu komputera PC, dzięki czemu jest to rozwiązanie niezwykle niezawodne. PCCM może zostać indywidualnie dostosowany do każdego produktu klienta.

Oprócz informacji przesyłanych przez SMS lub e-mail, dostęp do informacji o stanie systemu jest możliwy z poziomu stacji roboczej wyposażonej w standardową przeglądarkęWWW. System diagnostyczny „świateł drogowych” wykorzystuje tu sygnalizację za pomocą kolorów (czerwony, bursztynowy i zielony), zapewniając łatwą i intuicyjną diagnostykę. Wartości progowe zadziałania i resetowania oraz opóźnienia mogą zostać zdefiniowane zgodnie z wymogami z poziomu strony WWW.

Aby umożliwić dołączenie różnych systemów konserwacji stosowanych przez klientów, dostępny jest dodatkowy interfejs usług Web o nazwie SOAP (Simple Object Access Protocol). Interfejs ten udostępnia szeroki zakres różnych opcji, które mogą zostać wykorzystane przez projektantów przy wyborze właściwego rozwiązania zdalnego zarządzania. Niezależnie od wybranego rozwiązania, wszystkie one mogą zostać uruchomione na systemie docelowym, bez względu na istniejące oprogramowanie. Umożliwia to zwiększenie dostępności systemu i zapewnia znaczącą przewagę nad innymi
rozwiązaniami.

Claus Giebert, KONTRON
Na podstawie: pl.kontron.com

Zapraszamy do skomentowania artykułu

Treść opini 
Popis 

Pozostałe artykuły z tej kategorii