IPMI: Was ist das Intelligent Platform Management Interface (IPMI)?
Ich habe in mehreren meiner Artikel zur Bare-Metal-Installation von Betriebssystemen – meist bei VMware ESXi – auf das Intelligent Platform Management Interface (IPMI) verwiesen im Zusammenhang mit dem Booten von einem virtuellen ISO. Remote-Server-Management kann aber deutlich mehr. Bekannte Remote-Management-Standards der führenden Hardware-Herstellen wie z. B. HPE ILO basieren auf IPMI, einem herstellerunabhängigen, offenen Standard zur hardwarebasierten Remote-Überwachung und Fernadministration.
Passende Schulungen
AZ-104 Microsoft Azure Administrator (AZ-104T00)
AZ-104 Microsoft Azure Administrator (AZ-104T00): Azure Administration für Profis
VMware vSphere: Install Configure Manage V8
VMware vSphere: Install, Configure, Manage V8: Aktuelles Wissen über die optimale Nutzung von VMware vSphere V8
Du benötigst mehr Know-how rund um MS Azure? Dann empfehlen wir dir unsere Microsoft Azure Schulungen!
Der Hauptanwendungsbereich von IPMI besteht im „Lights out Management“ (LoM) von Servern. Dazu ist das Vorhandensein eines Baseboard Management Controller (BMC) erforderlich. Dieser funktioniert völlig unabhängig vom Betriebszustand des zu verwaltenden Servers. Wichtig ist zu verstehen, dass es sich bei IPMI um eine auf die Hardware-Ebene bezogene Interface-Spezifikation handelt, die aber „Management-Software-neutral“ entworfen wurde. Meist wird IPMI zusammen mit einer System Management Software verwendet.
Solltest du gar nicht wissen, ob dein Server über einen BMC-Controller verfügt, schaue nach den Onboard-Netzwerkanschlüssen (RJ 45). Hier sollte es mindestens einen zusätzlichen Anschluss geben, der mit „IPMI“, „Management“ oder „Mgmt“ gekennzeichnet ist
Ist der BMC-Controller grundsätzlich auf dem Mainboard verbaut, lässt sich die IPMI-Karte manchmal auch als PCI-Adapter nachrüsten, die mit einem unabhängigen Prozessor mehr Leistung ermöglicht.
Die Bezeichnung „Platform Management“ wird in diesem Zusammenhang für die Überwachung der Hardware (System Temperaturen, Lüfter, Netzteile, etc.), das Steuern des Systems (Ein/Aus-Schalten des Servers) und das Protokollieren von so genannten „out-of-range“ Zuständen über das Netzwerk verwendet. In Summe umfasst IPMI das Abrufen von Informationen und der unterstützten https://www.systutorials.com/docs/linux/man/8-ipmi-fru/ FRU-Bestandsberichte, die Systemüberwachung, das Protokollieren von Systemereignissen, die Systemwiederherstellung (System-Reset oder Ausschalten) und die Alarmierung.
IPMI Funktionen:
Welche Funktionen bietet das Intelligent Platform Management Interface?
- Monitoring: Überwachung der Hardwareparameter, wie Spannung, Temperatur, Lüfter, Fehlfunktionen etc.) einschließlich Alarmierung
- Recovery-Control: Ein- und Ausschalten, Herunterfahren und Neustarten des Servers und Wiederherstellung des Servers (BIOS-Konfiguration, Neuinstallation des Betriebssystems etc.)
- Logging: Protokollierung von Hardware-Events und Fehlermeldungen
- Inventory: Inventarisierung der Hardware bis auf Ebene der Einzel-Komponenten
Viele Funktionen, lassen sich unabhängig vom Betriebszustand des Servers nutzen, sofern der Baseboard Management Controller mit Energie versorgt wird, d. h. der Kaltgeräte-Anschluss der Server-Netzteils muss verbunden und der Netzteil-Netzschalter eingeschaltet sein; nicht zwingend der Ein-/Aus-Knopf.
Ist der Server allerdings an, lässt er sich noch umfassender über IPMI administrieren vom Zugriff auf das BIOS bis zum vollständigen Remote Management, wobei auch Bildschirminhalte, sowie Maus- und Tastaturbefehle übertragen werden.
IPMI wurde von Intel zusammen mit Hewlett-Packard Enterprise, NEC und Dell entwickelt. Die erste Version 1.0 von IPMI erschien bereits 1998; Version v2.0 folgte im Jahr 2004 und 2015 erschien die überarbeiteten Version IPMI v2.0 Revision 1.1 Errata 7. Die Intelligent Platform Management Inteface Spezikikationen v. 2.0 findest du bei https://www.intel.com/content/www/us/en/products/docs/servers/ipmi/ipmi-second-gen-interface-spec-v2-rev1-1.html Intel. Diese enthalten auch das IPMI-Blockdiagramm:
Viele heute am Markt erhältliche professionelle Server sind IPMI-kompatibel. Die Hardware-Management-Implementierungen von HPE (HP Integrated Lights-Out – ILO), Dell (DRAC), IBM (IBM Remote Supervisor Adapter) ode Cisco (Integrated Management Controller – IMC) basieren auf IPMI. Das gilt ebenfalls für MegaRAC, AMIs Out-of-Band-Managementprodukt und OEM-IPMI-Firmware, MergePoint Embedded Management Software (Avocent), eine weitere OEM-IPMI-Firmware.
Komponenten von IPMI
Der Baseboard Management Controller (BMC) ist mit Abstand die wichtigste Komponente des IPMI-Standards. Der Microcontroller stellt das Interface zwischen der Management-Software und der zu administrierenden oder zu überwachenden Hardware dar, verfügt über Schnittstellen zu allen wichtigen Hardwarekomponenten, Sensoren oder Kommunikationssystemen und arbeitet unabhängig vom Betriebszustand des Servers.
Bei einem Supermicro-Board fungiert der ASPEED AST2500 als Baseboard Management Controller (BMC), der die Fernsteuerung und -überwachung des Systems sowie den VGA-Anschluss am hinteren E/A bereitstellt.
Er verfügt über einen eigenen Speicher und verwendet Samsung DRAM. Es bietet auch ein NIC-Signal, vier COM-Anschlüsse und viele andere Funktionen. Der BMC verfügt über einen nichtflüchtigen Speicher, in dem er Log-Daten und Messwerte ablegt. Zur Remote-Veraltung ist er über den eingangs erwähnten separaten LAN-Adapter, sowie über die Datenschnittstelle des Servers oder über eine serielle Schnittstelle erreichbar.
Ein weitere Komponente ist der Intelligent Platform Management Bus (IPMB). Der IPMB ermöglicht das Erweitern des BMC um zusätzliche Management Controller (MCs). Technisch gesehen ist IPMB ein auf I2C basierenden serieller Daten-Bus. Er erlaubt das Verbinden von unterschiedlichen Boards innerhalb eines Gehäuses und wird für die Kommunikation von und zu zusätzlichen Management Controllern (MCs), manchmal auch als Satellite Controllers genannt, verwendetet.
Der Intelligent Chassis Management Bus (ICMB) wiederrum ist eine standardisierte Schnittstelle für die Kommunikation und Steuerung zwischen Chassis.
Links:
Supermicro BMC: https://www.supermicro.com/en/solutions/management-software/bmc-resources
Intelligent Platform Management Interface Specification Second Generation v2.0: https://www.intel.com/content/www/us/en/products/docs/servers/ipmi/ipmi-second-gen-interface-spec-v2-rev1-1.html
IPMI: Mein Fazit
Das Intelligent Platform Management Interface erleichtert zwar die Fernverwaltung und Fernüberwachung von Servern, ist aber unter Umständen auch ein Sicherheitsrisiko, falls es einem Angreifer gelingt, Zugriff auf den BMC zu erlangen. In diesem Fall hätte er theoretisch die Möglichkeit, alle auf Betriebssystemebene konfigurierten Sicherheitsmaßnahmen des Servers zu umgehen, weil IPMI ja, wie beschrieben, betriebssystemunabhängig arbeitet. Sorgfalt ist z. B. bei der Netzwerkkonfiguration angedacht, etwa wenn dabei unbeabsichtigt im Management-Interface eine Route zu einem Default-Gateway existiert im Zusammenhang mit einer DNAT-Regel in deiner Firewall für das Netzsegment. Du kannst das Managementinterface aber in ein eigenes VLAN packen.
Kontakt
„*“ zeigt erforderliche Felder an
