Cистемы управления должны обеспечивать требуемую гибкость, чтобы администраторы сети могли быстро отреагировать, например, на отказ корпоративного сервера, при этом совершенно не важно, где они находятся — в серверной, дома или командировке.
Иллюстрация Натальи Козик

Oт эффективного решения прежде всего ожидают обеспечения контроля за серверами различных платформ и последовательной периферией. Хотя и программные, и аппаратные решения в области удаленного управления предлагают сопоставимые возможности, а именно — удаленное администрирование сервера, делают они это различными способами. Первые состоят, как правило, из двух различных приложений, которые администратор должен установить на управляемом сервере и удаленном ПК, чтобы изображение и сигналы управления можно было передавать между двумя компьютерами. Такие программные решения, как pcAnywhere от Symantec, Netop Remote Control от Danware или Remotelyanywhere от 03 AM Laboratories, используются чаще всего для управления отдельными настольными компьютерами в корпоративной сети или для контроля за серверами Windows. Пользователь за удаленным ПК может работать с помощью клавиатуры и мыши с другим компьютером, который большинство производителей в своей документации называют хостом. Взаимодействие между ПК и хостом осуществляется по локальной сети, коммутируемому соединению или Internet. В качестве протокола для доступа через Internet программы поддерживают, как правило, TCP/IP, IPX, NetBIOS или HTTP. Помимо этих основных функций нередко предлагаются и дополнительные, благодаря которым системные администраторы могут передавать данные с компьютера на компьютер, устанавливать новые программы, изменять назначение заданий на печать или вести переговоры с пользователем хоста.

Производители аппаратных средств идут несколько иным путем: данные от клавиатуры, мыши и монитора передаются с соответствующих портов сервера с помощью так называемого переключателя клавиатуры, монитора и мыши (Keyboard, Video, Mouse, KVM) на ПК администратора (см. Рисунок 1). Обращаться к KVM можно по локальной сети или по внешнему соединению TCP/IP. Таким образом, кабели клавиатуры, мыши и монитора удается «виртуально удлинить» по IP. Инсталлировать какое-либо программное или аппаратное обеспечение на целевой сервер в этом случае не требуется.

Рисунок 1. В случае аппаратных решений данные снимаются с портов сервера и доставляются переключателями клавиатуры, видео и мыши на ПК администратора.

Термином «KVM поверх IP» производители систем управления на базе аппаратного обеспечения обозначают новейшие разработки. Avocent предлагает продукт, с помощью которого можно независимо от операционной системы управлять по IP серверами на базе ПК, Sun и USB, а также последовательными сетевыми устройствами. Другие производители, в частности CCC, Digital V6, Rose и Infratec, предлагают свои решения, например Freevision IP (CCC) или Kaveman (Digital V6).

Наряду с удаленным администрированием серверов, некоторые компании дополнительно предоставляют с помощью соответствующих модулей обслуживание последовательных устройств с собственными адресами: концентраторов, источников бесперебойного питания и межсетевых экранов. В будущем предполагается также физическое отключение (выключение питания).

УСТАНОВКА ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ

В комплект поставки продукта для удаленного управления входит версия программного обеспечения на компакт-диске или дискетах вместе со справочником. Установка удаленного и основного компонентов занимает всего несколько минут. Проблемы возникают только в том случае, когда в крупной сети требуется обеспечить управление множеством компьютеров с Windows. Лишь немногие разработчики предусматривают возможность создания инсталляционного пакета, чтобы его потом можно было разослать на различные рабочие станции с помощью Web, Windows SMS или сценария NetWare. При отсутствии таких функций администраторам предстоит монотонная многочасовая работа по установке программного обеспечения на каждую машину в отдельности. Обслуживание хоста станет возможным только после перезагрузки удаленного ПК. Затем администратор получает в свое распоряжение специфический для каждого производителя пользовательский интерфейс, с помощью которого он может взаимодействовать с хостом после ввода IP-адреса посредством щелчка клавиши мыши на определенной пиктограмме или выбора компьютера из списка. Точное изображение экрана соответствующего компьютера появляется на мониторе удаленного рабочего места — далее с хостом можно обращаться фактически так же, как если бы администратор находился рядом с ним.

АППАРАТНАЯ ИНСТАЛЛЯЦИЯ

Более осязаемые действия предстоит проделать при инсталляции аппаратных вариантов. Порты клавиатуры, монитора и мыши целевого сервера соединены с переключателями при помощи специального кабеля или по Категории 5. Большинство производителей уже сейчас предоставляют прямой доступ к серверу через локальный порт для администрирования. Сама функция удаленного управления реализуется путем преобразования аналогового управляющего сигнала и пересылки его по сети IP в реальном времени. На удаленной стороне необходимо установить небольшое приложение, как и в случае программного решения. Именно это приложение предоставляет доступ к целевому серверу. Продукты с расширенной функциональностью позволяют к тому же настраивать административные серверы, с чьей помощью можно определять права доступа, производить настройку пользовательских параметров и задавать протоколы. После установки нужных компонентов все подключенные серверы (а при необходимости и последовательные устройства) появляются в древовидной структуре на дисплее пользователя. Один щелчок мышью — и экран соответствующего содержания открывается в отдельном окне.

УДОБСТВО РАБОТЫ

Все программы удаленного управления имеют графический интерфейс пользователя, причем он почти всегда оснащается браузером, через который можно управлять хостами путем ввода соответствующих IP-адресов или имен DNS. Как только соединение между удаленным компьютером и хостом установлено, рабочий стол хоста появляется в окне на удаленной системе, и с ним можно удаленно работать с помощью ее клавиатуры и мыши. Большинство программ предлагает доступ ко множеству хостов, причем для каждого отображаемого рабочего стола возможен выбор цветовой гаммы, разрешения, размеров окна и экрана. Такие функции, как чат, голосовые коммуникации с хостом и передача файлов между удаленным и хост-компьютерами, можно также инициировать через графический интерфейс.

Рисунок 2. Вид Remotelyanywhere: Remote Access
Например, в случае pcAnywhere для передачи файлов экран удаленного компьютера разделяется на две половины. На одной отображается структура каталогов/файлов удаленной системы, а на другой — хоста (см. Рисунок 2). Передача файлов осуществляется просто путем их выделения, копирования и/или перемещения из одной половины на другую. Помимо обслуживания дистанционного доступа многие программы позволяют задавать через графический интерфейс административные права и управлять параметрами безопасности.

Производители систем администрирования на базе аппаратных средств следуют в отношении пользовательского интерфейса тем же путем, что и разработчики программ: они устанавливают небольшие приложения для системного администрирования и управления серверами — разумеется, со строгим разделением функций администрирования и интерфейса пользователя. Так, например, в серии Avocents DS приложения на базе клиента берут на себя определение профилей пользователя и устройств, назначение прав и паролей, а также централизованное хранение профилей в базе данных. То же самое справедливо и в отношении идентификации пользователей и протоколирования: кто, когда и к каким компонентам обращался, когда доступ по IP к подключенному устройству осуществляется с помощью другого программного обеспечения. Другие, аналогично программам удаленного управления, позволяют работать с одним и тем же устройством сразу нескольким пользователям при задании соответствующих прав. Кроме того, централизация административных функций облегчает конфигурирование систем: если большинство программных решений требует, чтобы каждое удаленное рабочее место было снабжено уровнями доступа, паролями и гостевыми правами, то в аппаратных централизованно заданные административные права обеспечивают четкую авторизацию доступа.

Отличительной особенностью аппаратных систем является то, что они работают независимо от операционных систем и серверных платформ. Таким образом обеспечиваются не только коммуникации между удаленным пользователем и ПК на базе Windows, но и возможности управления распространяются на все общеупотребительные операционные системы: Windows, NetWare, UNIX, Linux, Solaris и серверные платформы ПК, Sun, USB. Доступ к ним по IP реализуется на уровне BIOS — это еще одно существенное отличие по сравнению с программными решениями. Такое решение позволяет даже послать команду Alt+Ctrl+Del конкретному хосту Windows, поскольку новое соединение может функционировать только тогда, когда выполняется операционная система. Конечно, очень часто отказ сервера происходит по вине ОС. Зависни компьютер, и при использовании удаленного программного обеспечения администратору остается только идти к стойке с серверами. В случае аппаратной системы ему не придется этого делать, так как она позволяет выполнить физический «холодный старт» — реальное отключение, и, например, отыскать потерянные работоспособные диски посредством доступа на уровне BIOS.

БЕЗОПАСНОСТЬ

Вне зависимости от того, какой вариант удаленного управления используется, обращение к протоколу TCP/IP ведет к ослаблению корпоративной сети. Угроза исходит как от проникновения непрошенных гостей, так и вследствие преднамеренных или непреднамеренных манипуляций извне или изнутри сети. Поставщики программного обеспечения удаленного управления составляют следующий пакет для минимизации риска: в первую очередь при обращении к удаленной системе пользователю предлагается идентифицировать себя путем ввода имени и пароля. Он может подключиться к хосту, только введя свое имя, назначенный IP-адрес или название компьютера Windows. Заранее согласованные параметры безопасности хоста определяют, какими функциями (дисками, каталогами) можно пользоваться (и можно ли вообще). Каждое соединение — от момента регистрации до отсоединения — между удаленным и хост-компьютером протоколируется в регистрационном журнале. В число стандартных возможностей входит обратный звонок по ключевому слову при обращении к системе. Если при этом произойдет разрыв соединения, неавторизованному пользователю будет автоматически отказано в регистрации. Помимо перечисленных некоторые поставщики предлагают и другие функции обеспечения безопасности: например, Netop — шифрование с 256-разрядным ключом в соответствии с новым стандартом AES; pcAnywhere — проверку целостности, когда при каждом запуске программы определяются изменения в исходной инсталляции, и пользователю с заранее заданными административными правами немедленно посылается предупреждение (см. Рисунок 3).

Рисунок 3. Вид Remotelyanywhere: Configuration
Кроме того, аппаратные решения налагают жесткие рамки: стандартные меры безопасности включают многоступенчатую идентификацию, многоуровневую парольную защиту и индивидуальное задание прав использования для каждого управляемого сетевого компонента. Шифрование управляемого сигнала с помощью SSL во время передачи по IP препятствует подслушиванию корпоративных данных. Детализированные функции контроля и протоколирования информируют о том, кто, когда, как часто и как долго имел доступ к серверам и другому сетевому оборудованию. Поскольку при одновременных пользовательских сеансах всегда возможна ошибка, администратор может явно или скрытно подсоединиться к открытому порту администрируемой системы и завершить потенциально опасный сеанс. Таким образом удается предотвратить злонамеренные или случайные манипуляции с серверами и последовательными устройствами.

В РАСЧЕТЕ НА БУДУЩЕЕ

Инфраструктура ИТ далеко не проста, что стало естественным следствием большого количества и разнообразия управляемого оборудования, различных платформ и операционных систем. Будни администраторов и инженеров вычислительных центров состоят в том, чтобы устранить сложность, непрозрачность и потенциальные источники помех в сети. Это удается достичь только путем централизации управления всеми устройствами вычислительного центра и ориентации на перспективные стандарты. Пригодность к стандартизации и централизации является тем критерием, в соответствии с которым следует, в конечном счете, сравнивать две философии удаленного управления. Как программные, так и аппаратные решения используют для взаимодействия системных администраторов с сетевым оборудованием протокол TCP/IP. Преимущество решений с поддержкой IP хорошо известно: динамические сети IP масштабируются без ограничений. Почти любое число и любые виды оборудования могут быть адресованы по IP и размещены в сети — без избыточной настройки, инсталляции и излишней проводки. Возможности удаленного доступа к оборудованию не ограничены ни в пространстве, ни во времени. Программы удаленного управления применяют этот транспортный протокол для централизации администрирования и управления «миром Windows». Аппаратные решения идут на шаг дальше. Они могут на основе платформы IP интегрировать в центральную систему управления серверы на базе ПК, Sun и USB. Тому обстоятельству, что инфраструктура ИТ состоит не только из серверов различного происхождения, но также из концентраторов, межсетевых экранов, маршрутизаторов и, кроме того, включает в себя последовательную периферию, соответствуют в настоящее время только требовательные аппаратные решения.

ЗАКЛЮЧЕНИЕ

Оба подхода к решению проблемы удаленного управления серверами являются жизнеспособными, если учитывать типичную область их применения. Программные продукты выгодно отличаются быстрой и простой инсталляцией и низкой ценой, в то время как лагерь сторонников аппаратных решений может похвастаться поддержкой множества платформ, высокими стандартами безопасности и динамической расширяемостью. Каждый подход имеет право на существование при условии учета типичной области применения системы.

Программные решения используются преимущественно там, где необходимо удаленным образом обслуживать ограниченное число серверов или рабочих станций из центрального узла. Удаленное управление компьютерами, на которых находятся так называемые «высококритичные» данные или важные для компании приложения, реализуются с помощью программных средств довольно редко, так как установка даже небольших программных приложений на эти машины противоречит принципам безопасности. Для «обычных» сетей, где нет особого риска, а также для отдельных ПК эти решения подходят как нельзя лучше благодаря своей доступной цене.

Аппаратные системы позволяют свести к минимуму время простоя вычислительных центров с высокими требованиями к безопасности, не нарушая цельности каждого сервера. А дополнительное управление последовательными устройствами и питанием помогают еще более эффективно осуществлять организацию работы вычислительного центра. Благодаря способности обеспечивать доступ на уровне BIOS решения «KVM поверх IP» избавляют администратора от частых ночных посещений серверной комнаты. Учитывая стоимость одного часа простоя, аппаратные решения быстро окупят себя несмотря на их более высокую цену.

Йорг Пошен — редактор LANline. С ним можно связаться по адресу: mw@lanline.awi.de.