Server-Fernsteuerung per IPMI
Ich habe in mehreren meiner Artikel zur Bare-Metal-Installation von Betriebssystemen – meist bei VMware ESXi – auf das Intelligent Platform Management Interface (IPMI) verwiesen im Zusammenhang mit dem Booten von einem virtuellen ISO. Remote-Server-Management kann aber deutlich mehr, wie dieser Artikel demonstriert.
Du benötigst mehr Know-how rund um MS Azure? Dann empfehlen wir dir unsere Microsoft Azure Schulungen!
Wie der IPMI-Standard entstanden ist, wie IPMI im Groben funktioniert und aus welchen Komponenten IPMI besteht, habe ich im Blog-Beitrag “Was ist das Intelligent Platform Management Interface (IPMI)?” beschrieben. IPMI ist ein herstellerunabhängiger, offener Standard für die hardwarebasierten Remote-Überwachung und Fernadministration von Servern auf dem auch die Remote-Management-Standards der führenden Hardware-Hersteller wie HPE (HP Integrated Lights-Out – ILO), Dell (DRAC), IBM (IBM Remote Supervisor Adapter) und Cisco (Integrated Management Controller – IMC) basieren.
Der Hauptanwendungsbereich von IPMI ist dabei das „Lights out Management“ (LoM) von Servern, was auf dem Mainboard eine Baseboard Management Controller (BMC) voraussetzt, der mit einem nach außen geführten Netzwerk-Adapter verbunden ist, über den du dich über das Netzwerk mit dem zu administrieren Server verbinden kannst. Das klappt zunächst völlig unabhängig vom Betriebszustand des Server, sofern der mit einer Spannungsquelle verbunden ist, obgleich der Umfang der verwaltbaren Funktionen natürlich größer bei einem eingeschalteten Server ist. Wie das im Detail in der Praxis aussieht zeigt dieser Beitrag am Beispiel eines Supermicro-Mainboards.
Netzwerkkonfiguration mit IPMI
So kannst du einen ausgeschalteten Server bequem über das Netzwerk einschalten, sofern du dessen Management-Interface mit der für dein Netzwerk passenden IP-Konfiguration versehen hast. Bei Supermicro findest du die entsprechenden Einstellungen unter „Configuration / Network“:
Zudem kannst du hier nicht nur das „Management“-Netzwerk konfigurieren, sondern auch verschiedene Verzeichnisse anbinden (ADDS; LDAP, RADIUS), die SNMP-Schnittstelle für dein externes Monitoring einrichten, SSL-Zertifikate hochladen oder den FAN-Mode konfigurieren. Auch die Nutzerverwaltung findet sich hier. Das ist insbesondere unter Sicherheitsaspekten wichtig, denn gelingt es einem Angreifer, Zugriff auf den eines Baseboard Management Controller (BMC) zu erlangen, kann dieser theoretisch alle auf Betriebssystemebene konfigurierten Sicherheitsmaßnahmen des Servers umgehen, da IPMI betriebssystemunabhängig arbeitet.
Daher solltest du den HTTP-Zugriff auf HTTPS beschränken und von den gebotenen Möglichkeiten des Benutzermanagements Gebrauch machen.
So kannst du z. B. im Menü „Configuration / Active Directory“ mit einem Klick auf den Link “To enable or configure the Active Directory server, please click here“ die Active Directory Authentication aktivieren.
Ferner kannst du unter „Configuration / User“ lokale Nutzer mit entsprechenden Netzwerkprivilegien (Rollen) anlegen.
Weitere Einstellungen, die du unter „Configuration“ vornehmen kannst, ist unter anderem auch der Fan-Mode.
Am wichtigsten ist aber zweifelsohne die für dein Netzwerk passende IP-Konfiguration, damit du mit der eigentlichen Fernwartung starten kannst.
Passt die IP-Konfiguration, lässt sich der Server über eine entsprechende Workstation kontaktieren und wie z. B. im Menü „Remote Control / Power Control“ mit „Power On Server“ und einem Klick auf „Perform Action“ einschalten.
Alternativ kannst du unter „Remote Control / iKVM/HTML5“ mit einem Klick auf „iKVM/HTML5“ komfortabel eine HTML5-basierte Console in einem Browser-Fenster öffnen und dort im Menü „Power Control“ den Eintrag „Set Power On“ wählen:
Du kannst dann dem Server beim Booten zusehen, auch ohne physisches Terminal. Zudem erkennst du anhand der Menüeinträge, dass du ein virtuelles Keyboard erhalten kannst, den momentanen Bildschirminhalt oder den kompletten Bootprozess mitschneiden und verschiedenen anderen Funktionen nutzen kannst.
Bei einem einschalteten Server kannst du unter „Server Health / Sensor Readings“ entsprechende Hardware-Parameter abrufen und dabei passende Filter definieren, wie „Temperature Sensors“, „Fan Sensors oder „Voltage Sensors“.
Entsprechende FRU-Informationen kannst du unter „System / FRU Readings“ abrufen sowie Hardware-Informationen im gleichnamigen Menü unter „System“.
Virtuelle Boot-Medien hingegen lassen sich im Menü „Virtual Media“ einlegen. Trage hier z. B. die IP-Adresse deines NAS-Systems oder eines Fileservers und den Pfad zur Freigabe mit dem gewünschten Image ein und klicke dann auf „Mount“.
Über das Menü Maintenance hast du Zugang zum BIOS (BIOS Update), zum Firmware Update, zur IPMI-Konfiguration oder zum Maintenance Event Log.
Server-Fernsteuerung per IPMI: Mein Fazit
Das „Intelligent Platform Management Interface“ (IPMI) erleichtert die Fernverwaltung und Fernüberwachung lokaler Server enorm. Du musst allerdings von den Möglichkeiten Gebrauch machen, eine möglichst sichere Konfiguration vorzunehmen. Dazu gehören das Absichern der Verbindung mittels SSL/HTTPS, Nutzer-Konten aus dem ADDS und ein Layer-2-Netzwerk-Design mit einem separaten VLAN oder isolierten Segment.
Kontakt
„*“ zeigt erforderliche Felder an