IPMI'nin (Intelligent Platform Management Interface) Geçmişi ve Bugünü

 (computer.rip)
2 puan yazan GN⁺ 2024-09-04 | 1 yorum | WhatsApp'ta paylaş
  • Computers Are Bad, kurumsal bulutu New Mexico'ya taşıma sürecinde yeni sunucular satın alıyor
  • Halihazırda kullanılan Big Iron sunucular yaklaşık 10 yıllık eski donanımlar
  • Günümüzün bulut merkezli sektöründe Dell PowerEdge ile HP ProLiant özelliklerini karşılaştırmak artık daha nadir hale geldi
  • Hiper ölçek dışı sunucu pazarı giderek Intel spesifikasyonları ve referans tasarımlar etrafında birleşiyor

Sunucu nedir?

  • Sunucunun sadece büyük ve güçlü bir bilgisayar mı olduğu, yoksa özel bir şey mi olduğu yönünde eski bir soru var
  • Sunucu tarihinin içinde çok fazla endüstri tarihi yer alıyor ve yanıt duruma göre değişebiliyor
  • Sunucu tarihi hakkında şu tür genellemeler yapılabilir:
    • İstemci-sunucu bilişim, büyük ölçüde tek bir bilgisayara bağlı çok sayıda terminal kullanan zaman paylaşımlı bilişimin evrimi olarak başladı
    • Terminallerin bilgisayara benzer bir mimariye sahip olması beklenmiyordu; bu durum istemci-sunucu sistemlerinde de sürdü
    • 2000'lere kadar sunucuların farklı işletim sistemleri ve mimariler kullanması yaygındı
  • PC devrimi nedeniyle 1990'ların ortasına gelindiğinde istemci tarafı bilişimin çoğu WinTel monokültürü haline geldi

Sunucu mimarisindeki değişim

  • SPARC ve Solaris birleşimi sunucularda çok yaygındı; IBM'in mini bilgisayar mimarisi ve çeşitli işletim sistemleri de öyleydi
  • Java'nın başlıca ticari katkılarından biri, Solaris/SPARC backend'leri için kurumsal uygulamalar yazarken Unix/RISC veya Windows/x86 gibi "modern" iş bilişimi ortamlarında da kodun yeniden kullanılabilmesiydi
  • "Kalın istemci" içeren istemci-sunucu bilişim modeli, sunucu platformu ile "kurumsal bilişim" arasında güçlü bir ilişki kurdu
  • Eskiden sunucularla sınırlı olan mimariler giderek daha niş hale geldi ve maliyet ile performans açısından PC mimarileriyle rekabet etmeleri zorlaştı
  • Sunucu yazılımlarının tipik mimarisi, "dikey ölçekleme ve yüksek çalışma süresi sistemleri" yaklaşımından "yatay ölçekleme ve daha gevşek güvenilirlik gereksinimleri" yaklaşımına kaydı; böylece kurumsal sınıf bilgisayarların avantajları büyük ölçüde azaldı
  • Bugün çoğu durumda sunucu sadece büyük bir bilgisayardır
  • Sunucuların, çoklu işlemci soketine sahip SMP veya NUMA sistemleri olma olasılığı çok daha yüksektir
  • SAS ve donanımsal RAID dönemi giderek geride kalsa da sunucular, istemcilere kıyasla daha karmaşık depolama denetleyicileri ve topolojileri sunmaya devam ediyor
  • Sunucular neredeyse her zaman out-of-band (OOB) yönetim sunar

Out-of-band yönetim

  • Out-of-band yönetim (OOB), istemci tarafında neredeyse hiç duyulmamış bir özelliktir
  • Ayrı, küçük bir yönetim bilgisayarı sayesinde sunucuya uzaktan erişim sağlanabilir
  • OOB yönetimi işletim sistemi ve genel amaçlı bileşenlere ihtiyaç duymaz
  • Çoğu sunucu uzaktan konsol sunar; böylece yerel monitör ve klavyeye bağlıymış gibi etkileşim kurulabilir
  • OOB yönetim ürünleri, ISO dosyası yükleyip bunu fiziksel bir aygıt gibi göstermeyi sağlayan "sanal medya" özelliği sunar

Out-of-band yönetim (bant dışı yönetim, Out-of-Band Management)

  • Out-of-band (bazen lights-out yönetim olarak da anılır), istemci tarafında neredeyse hiç rastlanmayan bir özelliği tanımlar
  • Ayrı, küçük bir yönetim bilgisayarı sayesinde sunucu kapalıyken bile uzaktan erişim mümkündür
  • "Out-of-band" ve "in-band" terimleri ağ ve iletişim dünyasındaki yaygın anlamlarından gelir, ancak pratikte anlamları zamanla değişmiştir
    • Out-of-band yönetimi, işletim sistemi ve genel amaçlı bileşenlere ihtiyaç duymayan yönetim olarak görmek daha doğru olabilir
  • In-band yönetime çok standart bir örnek SSH'dır; bu, bilgisayarın yazılımı tarafından sunulan bir hizmettir
  • Buna karşılık out-of-band yönetim, özel bir donanım ve yazılım yığını tarafından sağlanır ve işletim sisteminin ya da geleneksel anlamda CPU'nun iş birliğini gerektirmez
  • Günümüzde out-of-band yönetime en iyi örnek, çoğu sunucunun sunduğu uzaktan konsoldur
    • Temelde yerleşik bir IP KVM'dir; makineyle, sanki yerelde bir monitör ve klavye bağlıymış gibi etkileşim kurmanızı sağlar
  • Pek çok OOB yönetim ürünü ayrıca "sanal medya" sunar; bir ISO dosyasını yönetim arayüzüne yükleyip bilgisayara gerçek bir aygıt gibi görünmesini sağlayabilirsiniz
    • Bu, işletim sistemi kurmak için çok kullanışlıdır

OOB yönetimin tarihi

  • OOB yönetim, bilgisayar tarihinin ilginç küçük alanlarından biridir
  • Aslında bu o kadar da yeni bir fikir değildir; iş bilişiminin bütün tarihinde benzer özellikler bulunabilir
  • Zaman geçtikçe OOB yönetim daha basit ve daha sıkıcı hale geldi
  • 1980'lerin sonu ile 1990'ların başından beri sunucuların ortak özellikleri şunlardı:
    • LCD matris ekran ya da LED gösterge ızgarası gibi, donanım durumu hakkında düşük seviyeli bilgi veren bir tür yerel operatör arayüzü
    • Erken önyükleyiciye ve kalıcı düşük seviyeli yönetim sistemlerine erişim sağlayan seri konsol
    • Mimariye bağlı olarak yığın içinde değişen konumlara sahip, makine iş yüklerinin uzaktan yönetimine yönelik daha yüksek seviyeli yönetim sistemleri
  • OOB yönetimin bugünü
    • Çoğu sunucu, yedekli bileşenlerden birinde (ör. fan veya güç kaynağı) arıza oluştuğunu ön panelden gösterebilir
    • Ancak yedekli ve sistem çalışırken değiştirilebilir bileşen sayısı, 1990'lardaki "CPU dahil her şey" düzeyinden bazen sadece fanlara kadar düşmüştür
    • Başsız sistemlerde OS kurulumu ve bakımı için popüler bir yöntem olmaya devam ettiği için seri yönetim hâlâ oldukça yaygındır
    • Ancak çoğu durumda OOB yönetim, işlemci mimarilerinin yaptığına çok benzer şekilde Intel IPMI etrafında birleşmiştir

IPMI'nin kafa karıştıran yönleri

  • IPMI bir spesifikasyondur, bir uygulama değildir
    • Büyük üreticilerin çoğunun, çekirdek IPMI spesifikasyonunun ötesine geçen özelliklere sahip kendi IPMI uygulamaları vardır; bunlar HP iLO, Dell DRAC gibi garip kısaltmalarla anılır
    • Bu üreticiye özgü uygulamalar IPMI'den daha eski olduğundan, bunlara sadece "IPMI" demek tam olarak doğru değildir
    • Öte yandan yeni üreticiler buna daha çok IPMI deme eğilimindedir; bu durumda da genellikle firmware tedarikçisinin standart ürünü söz konusudur
  • IPMI yazılımı genellikle baseboard management controller (BMC) adı verilen bir işlemcide çalışır; bu yüzden IPMI ve BMC terimleri bazen aynı anlamda kullanılır
  • Lights-out management (LOM) çoğunlukla artık pek işe yarar bir terim değildir, ancak HP(E) bunu tercih ettiği ve IPMI uygulamasına Integrated Lights-Out adını verdiği için yaşamaya devam eder
  • BMC, istemci bilgisayarlarda bulunan bir bileşen olan system management controller (SMC) ile karıştırılmamalıdır
    • SMC, fan hızı kontrolü gibi işleri yapan bileşenler için kullanılan birkaç terimden biridir
    • BMC ile SMC'nin tarihleri birbiriyle ilişkilidir ve aslında çoğu sunucuda bu işlevleri BMC üstlenir
  • IPMI iki arayüz tanımlar
    • Ağ veya seri bağlantı üzerinden kullanılabilen out-of-band arayüz
    • Sürücü üzerinden işletim sisteminden kullanılabilen in-band arayüz (CPU ile BMC arasındaki iletişim, çoğu modern bilgisayarda bulunan ISA'nın garip küçük bir kalıntısı olan LPC veri yolu üzerinden sağlanır)
  • Sonuç olarak Linux'taki ipmitool gibi işletim sistemi üzerinde çalışan araçlardan IPMI ile etkileşim kurulabilir
  • IPMI'nin, kolaylık için çalışan işletim sistemine yerel bir arayüz sunan ama aslında tamamen bağımsız bir sistem olduğunu kavramazsanız, tam olarak neler olup bittiği biraz kafa karıştırıcı olabilir

IPMI'nin işlevleri

  • IPMI büyük ölçüde bir web uygulamasına dönüşmüş durumda
    • Web arayüzü o kadar kullanışlı ki reddetmek zor
    • Pek çok IPMI ürününde özel istemci yazılımı bulunsa da tüm işlevler gömülü web uygulamalarına taşınıyor
  • Web arayüzlerinin kalitesi çok değişken olsa da çoğu pek iyi değildir
  • IPMI web arayüzüne erişim yöntemi
    • Piyasadaki sunucuların çoğunda "IPMI", "management" vb. olarak etiketlenmiş özel bir Ethernet arayüzü bulunur
    • IPMI kullanmanın en iyi yolu, yönetim ağı arayüzünü fiziksel olarak ayrı bir ağa koymaktır
      • Bunun nedeni güvenlik ve güvenilirliktir (ana ağda performans ya da güvenilirlik sorunu olsa bile IPMI'ye erişmeye devam edebilmeniz gerekir)
    • Ancak fiziksel olarak ayrı ağlar zaman, alan ve maliyet gerektirir
      • "Yönetim ağı" büyük olasılıkla normal ağ ekipmanındaki bir VLAN'dır
      • Bu, AT&T'nin common communications carrier switching arrangement (CCSA) dediği yapıya benzer
      • Bağımsız ve özel bir ağ gibi davranır, ancak fiili ekipman her şeyle ortaktır ve izolasyon yazılımla sağlanır
  • IPMI sideband ağ iletişimi
    • Sideband yönetim, BMC'nin işletim sisteminin kullandığı aynı NIC ile doğrudan haberleşmesini sağlar
    • Uygulanış biçimi biraz tuhaftır
      • NIC sanki iki farklı arayüzmüş gibi davranır; IPMI trafiğini ana makine trafiğiyle aynı paket akışına karıştırır ama farklı bir MAC adresi kullanır
      • Böylece diğer ağ ekipmanlarına, her zamanki gibi iki ayrı ağ arayüzü kullanılıyormuş gibi görünür
    • IPMI ile uygulama trafiği arasındaki ayrımın azalmasının bariz güvenlik sonuçları vardır
  • IPMI güvenlik sorunları
    • Pek çok IPMI uygulamasının bir güvenlik kâbusu olduğu ortaya çıktı
    • Güvenilmeyen kişilerin buna asla erişmemesi gerekir
  • IPMI ağ işlevleri
    • Ağ işlevlerinin ayrıntıları IPMI uygulamasına göre değişse de UDP 623 üzerinde keşif ve temel komutlar için kullanılabilen standart bir arayüz vardır
    • Çoğu zaman SSH ve web arayüzü bulunur; uzaktan konsolda ise VNC oldukça yaygındır

IPMI'nin temel yetenekleri

  • Ağ üzerinden ya da in-band IPMI istemcisi kullanarak IPMI ile yapılabilecek hoş temel işler vardır
  • Unutkansanız ve düzenli kayıt tutmuyorsanız, kullanışlı özelliklerden biri sistemdeki donanım modüllerini FRU veya üretici parça numarası düzeyinde listeleyebilmesidir
  • Sensörler, güç durumu, fanlar gibi temel donanım işlevleriyle de etkileşim kurulabilir
  • IPMI standart bir watchdog timer sağlar; bu da işletim sistemi üzerinde çalışan yazılımla birleştiğinde, uygulama kilitlendiğinde sunucunun sıfırlanmasını mümkün kılar
  • Sistemin açılıp bağlanmaya yetecek kadar süre içinde watchdog timer'ı devre dışı bırakabilmesi için yeterince uzun bir zaman aşımı ayarlanmalıdır

IPMI ile gündelik istemci bilgisayarlar arasındaki ilişki

  • IPMI, kurumsal sunucularda çok yaygın olsa da diğer alanlarda oldukça nadirdir
  • Bu, alan veya gürültü toleransı 1U pizza kutusu sunuculara uygun olmayanlar için can sıkıcıdır
  • Küçük ya da düşük güç tüketimli bilgisayarlarda kalmak istiyorsanız, muhtemelen IPMI olmadan yaşamak zorunda kalırsınız

Intel ME ve AMD ST

  • Pratikte tüm Intel ve AMD işlemcilerinde bir OOB yönetim denetleyicisi bulunur
  • Intel ME (Management Engine), Intel Active Management Technology (Intel AMT) için etkinleştirici bileşendir
  • AMT, istemci makineler için OOB yönetimi yaygınlaştırma girişimiydi ve IPMI ile neredeyse aynı işlevleri sunuyordu
  • Ancak çok daha az başarılı oldu; bunun başlıca nedeni büyük olasılıkla fiyatlandırmaydı
    • Intel, AMT'nin neredeyse tüm özelliklerini çok pahalı kurumsal yönetim platformlarıyla kullanılacak şekilde sınırladı
  • Açık kaynaklı AMT istemcileri var, ancak bir sonraki sorun AMT'yi gerçekten kullanabileceğiniz bir makine bulmak

Intel AMT'nin sideband yönetimi ve güvenlik sorunları

  • Intel AMT'de sideband yönetim vardır; dolayısıyla AMT'nin üzerinde çalıştığı Intel ME bileşeninin de sideband yönetim yeteneğine sahip olması, güvenlik topluluğunda ciddi kaygı konusu olmuştur
  • Hafifleten etken: sideband yönetim yalnızca işlemci, anakart yonga seti ve NIC'nin tamamı AMT destekliyse mümkündür
    • Bu üç bileşendeki seçenekler, vPro rozeti taşıyan Intel ürünleriyle sınırlıdır
    • Tüketici cihazlarında Intel NIC'lerin çok yaygın olmaması bile tek başına sideband erişimi neredeyse imkânsız hale getirir
  • vPro ayrıca görece üst seviye işlemci ve yonga setleriyle sınırlıdır
    • Kötü haber şu ki home lab ortamında AMT kullanmak zor olacaktır; yine de bazı kişiler bunu kesinlikle kullanıyor
    • İyi tarafı ise tüketici cihazlarında Intel ME'nin sideband ağ iletişimi üzerinden erişilebilir olduğuna dair yaygın biçimde aktarılan "gerçeğin" genelde doğru olmaması ve bunun yalnızca Intel yazılım lisanslarıyla ilgili olmamasıdır

Intel ME neden var?

  • AMT olmadan bakıldığında, geriye aslında OOB yönetim işlevi bulunmayan Intel ME'nin kendisiyle ilgili tuhaf bir soru kalıyor
  • Neden neredeyse her işlemcide Intel ME var?
    • Bu bir tahmin ama Intel ME, esas olarak güvenli önyükleme ve DRM gibi şeylerde kullanılan güvenilir yürütme bileşenlerini barındırıp yönetmenin kullanışlı bir yolu olarak var görünüyor
    • Bu işlevlerin tamamı, ME ile aynı işlemci üzerinde çalışır ve ortak bir teknoloji yığınını paylaşır
  • Dolayısıyla Intel ME'deki "management" bölümü büyük ölçüde tarihsel bir kalıntıdır ve daha çok güvenli bilişim altyapısının bir parçasıdır

Bu, Intel ME için bir savunma değil

  • Bu, üçüncü taraflarca neredeyse hiç denetlenemeyen ve geçmişte ciddi güvenlik açıkları barındırmış Intel ME'yi savunmak anlamına gelmiyor
  • Hepimiz iki üreticiden birinin işlemci mimarisini kullanıyoruz; bu yüzden Intel'in daha iyisini yapması için çok fazla motivasyonu yok
  • "Çözüm ARM" demeden önce, tüketici cihazlarında kullanılan modern ARM SoC'lerde de neredeyse aynı işlevlerin bulunduğunu hatırlamak gerekir

Not: headless tanımı

  • "Headless" tanımı zordur ve buna fazla takılmamak gerekir
  • İnsanlar genellikle "headless" derken bağlı bir monitör ve klavye olmamasını kasteder
  • Ancak slide-out rack konsolları ve IP KVM uzun süredir yaygın olduğundan, hiper ölçek dışı ortamlarda gerçek anlamda headless sistemlerin sanıldığından daha az olduğunu akılda tutmak gerekir
  • Bunun bir nedeni de seri konsol kullanmanın inanılmaz derecede sancılı olması ve sıradan bilgisayar operatörlerinin bununla uğraşmamak için ellerinden geleni yapmalarıdır

GN⁺ görüşü

  • Bu yazı, sunucunun tanımı ve tarihi hakkında ilginç bir içgörü sunuyor. Sunucuların sadece büyük bilgisayarlar olduğu yönündeki yaygın algının aksine, uzun tarihleri boyunca özel bir role sahip olduklarını gösteriyor.
  • Sunucu tarihine bakınca, teknoloji geliştikçe sunucu kavramının nasıl değiştiğini görmek mümkün. Özellikle PC devriminden sonra sunucu ile istemci arasındaki sınırın giderek bulanıklaşması dikkat çekici.
  • Bant dışı yönetim, sunuculara özgü ayırt edici bir özellik olarak işletim sistemi ya da CPU'nun yardımı olmadan bile sunucuyu yönetmeyi mümkün kılıyor. Bu, sistem yöneticileri için son derece yararlı olabilir.
  • Son dönemde OOB yönetim teknolojileri Intel IPMI etrafında standartlaşma eğiliminde. Bu, sunucu yönetimini kolaylaştırırken aynı zamanda tek bir üreticiye bağımlılık riskini de beraberinde getirebilir.
  • Benzer OOB yönetim yetenekleri sunan diğer çözümler arasında HP'nin iLO'su ve Dell'in iDRAC'i bulunuyor. Belirli bir üreticiye bağımlı kalmak istemeyenler için bu alternatifler de değerlendirilebilir.

İlgili okumalar

1 yorum

 
GN⁺ 2024-09-04
Hacker News görüşleri

  • Intel, CPU ve GPU performansında AMD'nin gerisinde kalıyor

    • İstisna olarak N100 serisi CPU'lar, düşük güç tüketimli ve fansız uygulamalar için uygun
    • Çoğu kuruluş, mevcut ortamlarını güncellemek için Intel CPU satın alıyor
    • vSphere'in EVC özelliği sayesinde CPU mimarileri arasında hot migration mümkün

  • Intel NIC'ler genel olarak üstün ve tüketici cihazlarında da popüler

    • Intel CPU'lu PC veya dizüstü bilgisayarlarda neredeyse her zaman Intel NIC bulunuyor

  • Sunucu satın alırken Supermicro iyi bir seçenek

    • Ucuz ve form faktörü, kasa, bileşenler, slot sayısı gibi konularda yüksek esneklik sunuyor
    • Ancak desteği Dell/HPE'ye göre daha az güvenilir, bu yüzden yedekli kurulumlar için uygun

  • IPMI spesifikasyonu yerini Redfish'e bırakıyor

    • Redfish daha kapsamlı, daha güvenli ve standartlaştırılmış bir API sunuyor

  • Supermicro'nun donanımı hâlâ iyi, ancak Hindenburg'un yakın tarihli araştırması bazı sorunlara işaret etti

  • IPMI, kurumsal sunucularda yaygın ancak ev kullanımı için nadir

    • Atom tabanlı Supermicro MicroATX kartlar ve Noctua fanlar kullanılarak sessiz soğutma sağlanabiliyor

  • IPMI portunu ana LAN'a bağlamamak iyi olur

    • İzole haldeyken faydalı şekilde kullanılabilir

  • IPMI olmayan makinelere uzaktan erişim özelliği eklemek için 30 dolarlık RISC-V NanoKVM kullanılabilir

    • HDMI capture, Ethernet/WiFi, ATX güç kontrolü gibi özellikler sunuyor

  • 90'ların sonlarında Intel sunucu kurulumu deneyimi paylaşılıyor

    • LANDesk Server Manager Pro yazılımı ve Emergency Management Card kullanılmış
    • EMC'nin varsayılan parolası "calvin" idi

  • IPMI gibi çözümler iyi, ancak standart seri arayüz tercih ediliyor

  • IPMI'nin uzun vadede donanım desteği zayıf

    • IPMI donanımına kendi işletim sisteminizi yükleyebilseydiniz daha kullanışlı olurdu

  • Intel ME ve AMD PSP, CPU başlatmasında kritik rol oynuyor

    • Başlatma karmaşıklığı yüksek olduğu için bunun ayrı bir gömülü çekirdekte ele alınması daha mantıklı

  • Dell, IPMI'yi Redfish ile değiştirmeye çalışıyor

    • Redfish HTTP/JSON REST API kullanıyor

  • IPMI, homelab kullanımında yaklaşık 5W bekleme güç tüketimiyle sorun yaratıyor

    • Uzaktan yönetim özellikleri için PiKVM(V2) ve Raspberry 4 ile deneme yapılması planlanıyor

  • IPMI'nin varsayılan anahtarı önemli bir sorun

    • Tedarik zincirinde ek anahtarlar kurulursa uzaktan yönetim mümkün hâle gelebilir