По оценкам аналитиков Internet Research Group, в одних только США имеется свыше 1,5 млн филиалов и внешних отделений, которые напрямую взаимодействуют с головными офисами своих компаний (сервисные терминалы, банкоматы и другие компьютеризированные точки самообслуживания в расчет не брались). В результате чрезвычайно возрастает загруженность ИТ-специалистов, отвечающих за монтаж, контроль и сервисное обслуживание технических ресурсов, находящихся в различных филиалах. Речь идет не только о сетевом оборудовании (коммутаторах, маршрутизаторах, оптимизаторах WAN и брандмауэрах), но и о распределенных серверах приложений и хранения данных для транзакций и электронной почты.

Основные проблемы обычно возникают из-за сложной организации управления сетями, их недостаточной защищенности, ограниченности финансовых средств и ресурсов. Все эти проблемы взаимосвязаны: сложность сети повышается с увеличением количества разнообразного оборудования от различных производителей, а меры по обеспечению высокого уровня безопасности стоят денег, которых всегда не хватает.

Центральный отдел ИТ чаще всего располагается в головном офисе компании. Он участвует в диагностике и устранении проблем в филиалах, для чего обычно используется специализированное ПО для удаленного доступа. Однако главным условием успешного применения таких решений является нормальная работа операционной системы и сети. В противном случае для решения возникшей проблемы приходится выезжать на место, что подразумевает затраты на дорогу и потери рабочего времени. Еще один возможный вариант: заключение договора с внешней компанией, которая будет осуществлять техническое обслуживание филиалов, но обычно это сопряжено с высокими затратами.

ДОСТУП IN-BAND И OUT-OF-BAND

В этой ситуации на помощь приходят инструменты для удаленного доступа, позволяющие подключиться к установленному в филиалах оборудованию ИТ и устранить возникшие проблемы. Большинство таких решений подразделяется на две категории: для доступа по сети (In-Band) и по внешнему каналу (Out-of-Band). In-Band — это программы для удаленного администрирования, посредством которых администраторы подключаются к рабочему столу и приложениям целевого сервера. Однако их можно использовать, только когда операционная система в точке назначения функционирует нормально. Если она не отвечает, доступ к серверу невозможен. Кроме того, подобные программные решения всецело зависят от наличия соединения с сетевой картой целевого сервера, и если сеть недоступна, проблему невозможно выявить и устранить.

В качестве альтернативного варианта предлагаются протоколы эмуляции удаленного терминала. Для обеспечения доступа к оборудованию с последовательными интерфейсами (маршрутизаторы, коммутаторы, брандмауэры, устройства распределения питания и серверы) часто используется протокол Telnet и его шифруемый эквивалент SSH. Как и в случае с инструментами для удаленного администрирования, этот метод эффективен только при наличии функционирующего сетевого соединения. В противном случае потребуется вмешательство специалиста непосредственно в филиале. К тому же при наличии таких сервисных интерфейсов филиалы становятся более уязвимы для атак злоумышленников, стремящихся найти в сетях слабые места, чтобы внедрить вирусы и похитить конфиденциальную информацию.

Этому подходу противопоставляются решения Out-of-Band, где обмен данными осуществляется по внешнему каналу, в обход внутренней ИТ-инфраструктуры предприятия. К числу таких решений принадлежат надежно защищенные консольные серверы (Secure Console Server, SCS). Они предоставляют удаленный доступ через SSH/Telnet и Web-браузер к серверам, управление которыми осуществляется через интерфейсы, и к другим последовательным устройствам. Одним из преимуществ серверов SCS является их способность выступать в качестве центральных узлов доступа и управления сетевыми устройствами и оборудованием для глобальных сетей (с последовательными интерфейсами), а также устройствами для подачи питания. Кроме того, если глобальная сеть окажется недоступной, с их помощью можно организовать модемное соединение, что освобождает ИТ-специалистов от поездок в филиал и позволяет незамедлительно начать восстановление.

 

Особенности управления распределенной ИТ-инфраструктурой

При наличии у компании филиальной сети применение разного рода переключателей KVM-overIP и Serial-over-IP существенно упрощает и повышает надежность удаленного администрирования их информационных систем и сетей. Достаточно ввести IP-адрес такого устройства в браузере, и вот уже администратор «оказывается» рядом с оборудованием, находящимся за много километров от него.

Только механическая поломка может воспрепятствовать этому. Однако при множестве филиалов количество устройств управления может достигать десятков единиц. В таком случае возникает проблема консолидации управления. Каждый раз при подключении к управляющему модулю приходится вводить IP-адрес, а затем проходить процедуру авторизации, что существенно снижает удобство и скорость работы.

Один из вариантов решения для небольших филиалов — применение комбинированных переключателей KVM/Serial-over-IP, когда последовательные и KVMпорты объединены в одном устройстве. В этом случае количество точек входа можно сократить вдвое. Кроме того, покупать комбинированные переключатели оказывается более выгодно как с экономической, так и с эксплуатационной точки зрения: комбинированное устройство стоит дешевле, занимает меньше места в стойке, потребляет меньше электроэнергии и требует меньше времени на обслуживание. Однако такой подход лишь частично позволяет решить проблему объединения ресурсов.

Объединить все устройства и создать единую точку входа помогают системы централизованного управления. Все известные производители KVMсистем так или иначе решают эту проблему. У Raritan такое решение называется CommandCenter Secure Gateway. После установки системы сотрудник должен будет знать всего один IP-адрес и свои логин и пароль: в окне управления он увидит перечень оборудования, за работу которого отвечает, причем независимо от того, в каком городе оно находится и к какому модулю управления подключено. Такой подход позволяет сосредоточиться на выполнении нужных задач, обеспечить высокую надежность и защищенность системы и одновременно не перегружать сотрудников многочисленными процедурами обеспечения безопасности.

Управление территориально распределенной структурой востребовано не только в филиалах компаний. С подобными проблемами сталкиваются и те организации, которые обладают более-менее крупными ЦОД. Количество установленных в них различных устройств удаленного доступа и управления может измеряться десятками и сотнями, да к тому же и сами ЦОД не всегда находятся рядом. Протискиваться между стойками в поисках нужного сервера и затем обслуживать его зачастую крайне неудобно или вообще невозможно. Поэтому администрирование оборудования ЦОД тоже осуществляется дистанционно.

Поддерживаемые современными системами удаленного IP-доступа скорости передачи информации позволяют обеспечить операторам необходимый им уровень доступа и комфорта. Если раньше администраторы отказывались от удаленного доступа из-за недостаточно высокого качества видео, низкой скорости реакции мыши, отсутствия звука, невозможности перезагрузить сервер, то теперь все эти проблемы решены и удаленное подключение практически неотличимо от локального.

Сергей Полукаров — руководитель отдела продаж «Ниеншанц-Автоматика».

 

ТЕХНОЛОГИЯ KVM ЧЕРЕЗ IP

Еще одна разновидность систем, обеспечивающих управление по внешнему каналу, — решения KVM. Они помогают устранять сбои ИТ-оборудования и осуществлять его настройку даже при отказе сервера или сети. Посредством переключателей KVM предоставляется доступ к серверам, обладающим интерфейсами для подключения клавиатуры/ монитора/мыши. В результате у пользователя возникает ощущение, что он находится непосредственно в ЦОД, где может работать с нужным ему сервером. Коротко говоря, подходящие технологии и инструменты KVM помогают ИТ-администраторам работать продуктивнее. Но не все решения KVM одинаковы.

Одно из наиболее эффективных — переключатели с функционалом KVM через IP (KVM-over-IP). Они предоставляют те же самые функции, что и традиционные переключатели KVM, но используют для этого защищенное соединение IP, что является весомым преимуществом, поскольку доступ к серверу обеспечивается независимо от его местонахождения. Это идеальное решение для подключения к серверам в филиалах и для их последующей настройки. Неважно, находится ли ответственный ИТ-специалист в головном офисе компании или задержался дома из-за непогоды, — у него всегда будет доступ к ИТ-ресурсам в филиале.

Проблемы выбора между решениями In-Band и Out-of-Band здесь тоже отсутствуют (см. Таблицу 1), поскольку оба метода доступа поддерживаются коммутаторами KVM-over-IP. Другими словами, у сотрудников отдела ИТ есть возможность получить доступ к серверам и управлению ими на уровне операционной системы или на уровне приложений. Если операционная система не реагирует, всегда имеется путь через уровень BIOS. Кроме того, коммутаторы KVM-over-IP оснащаются отдельным модемным интерфейсом, который в случае отказа сети обеспечивает альтернативный метод доступа по коммутируемому соединению. Другие полезные функции, например Virtual Media, позволяют сотрудникам отдела ИТ передавать в любую точку мира данные, хранящиеся на настольной системе, компакт-дисках или накопителях USB, поэтому данная технология идеально подходит для установки программных обновлений и заплат.

Таблица 1. Различия между ПО для удаленного доступа и решениями для управления по внешнему каналу, такими как KVM-over-IP.
Таблица 1. Различия между ПО для удаленного доступа и решениями для управления по внешнему каналу, такими как KVM-over-IP.

 

Главное преимущество внешнего решения KVM с централизованным управлением заключается в его использовании в качестве основного узла доступа (один IP-адрес), через который можно получить информацию не только о физических, модульных и виртуальных серверах, но и об интеллектуальных системах распределения питания (Power Distribution Unit, PDU), устройствах с последовательными интерфейсами (к примеру, маршрутизаторах) и о другом сетевом оборудовании.

При выборе коммутатора необходимо учитывать следующие аспекты:

  • доступ к ресурсам без привязки ко времени и месту;
  • поддержка различных платформ;
  • совместимость с различными браузерами и настольными системами;
  • доступ по IP и через коммутируемое соединение;
  • бесплатный загружаемый клиент;
  • незаблокированный доступ через локальные порты;
  • полное управление подачей питания посредством функции Remote Power Control;
  • доступ к Virtual Media;
  • управление внешним и внутренним доступом;
  • поддержка syslog;
  • высокая надежность и производительность;
  • шифрование данных;
  • поддержка надежных паролей.

Но даже самый лучший переключатель KVM-over-IP может рано или поздно достичь пределов своих возможностей — например, когда возникшая проблема решается только посредством рестарта системы. В этой ситуации помогут устройства распределения питания. Переключаемые PDU обычно рассматриваются только в контексте запуска оборудования при удаленном доступе, однако некоторые модели предоставляют дополнительные функции мониторинга. Во многих филиалах оборудование ИТ располагается в одном шкафу или в небольшом помещении. В таких условиях особенно важно, чтобы в случае превышения заданных пороговых значений (при наличии вредного воздействия окружающей среды на работу оборудования или превышении расхода электроэнергии) администратору отправлялось соответствующее уведомление.

Контроль за температурой внутри серверного шкафа или за расходом электроэнергии позволяет предотвратить отключение или повреждение оборудования. В этой связи необходимо оценить энергоэффективность каждого сетевого компонента. Кроме того, с помощью систем PDU сотрудники отдела ИТ получают возможность контролировать энергопотребление всех без исключения серверов, модулей памяти и любых других ИТ-устройств.

Мариус Шенкельберг — независимый журналист.