Когда другие методы удаленного доступа оказываются неэффективны, переключатели KVM позволяют получить независимый доступ к серверу по внешнему каналу на уровне BIOS.
Переключатели для компьютерной периферии появились около 30 лет назад и позволили избавить серверные комнаты от излишних мониторов, клавиатур и компьютерных мышей, сэкономив таким образом деньги и драгоценное место. С тех пор они проделали значительный путь эволюции — от однопользовательских до многопользовательских устройств, от аналоговых подключений до цифрового доступа и т. д. А поставщики альтернативных решений предлагают сэкономить место и деньги теперь уже за счет самих KVM.
ВИРТУАЛИЗАЦИЯ И KVM
Один за другим удары по рынку KVM нанесли распространение серверной виртуализации и интеграция в серверы сервисных процессоров. Как и KVM, виртуализация позволяла более эффективно использовать ИТ-оборудование. Ее активное внедрение привело к тому, что KVM стали все чаще отключаться от систем, для управления которыми они предназначались. Как отмечает Арно Стофберг, инженер компании Raritan, «в виртуализированных средах переключатели KVM обычно не применяются, поскольку при установке гипервизора на хост виртуализации физические порты, к которым подключается KVM, по умолчанию блокируются».
Однако многие поставщики решений KVM считают, что виртуализация не только не отменяет KVM, но, наоборот, делает их более востребованными, поскольку физические серверы, на которых размещаются множество виртуальных, становятся еще более критическим активом, и в этой связи применение KVM для оперативного устранения проблем представляется им абсолютно необходимым. К тому же все основные поставщики предлагают и другие инструменты для удаленного управления, а сервисные процессоры рассматриваются ими в качестве дополнения, а не замены KVM. «Последовательные порты виртуальных хостов могут быть подключены к консольному серверу, например Raritan Dominion SX, и пользователь может обращаться к ним с помощью интерфейса командной строки», — говорит Арно Стофберг.
Оценить, как на объеме рынка KVM сказалась виртуализация, весьма сложно. С одной стороны, нет никаких данных о количестве продаваемых ежегодно переключателей, которые можно было бы сопоставить с изменением доли виртуальных серверов в общем числе серверных устройств. С другой, даже если бы такие данные имелись, корректно интерпретировать их было бы непросто, поскольку, помимо виртуализации и расширения сферы применения KVM за счет новых ниш, таких как видеостудии, Digital Signage и др., есть еще множество иных факторов. Как бы то ни было, регулярный выпуск новых моделей, причем все более функциональных и мощных, подтверждает, что рынок продолжает развиваться и KVM остаются востребованными в своей изначальной целевой нише — в центрах обработки данных. Так, например, новая модель матричных переключателей ControlCenter-Digital 160 от Guntermann & Drunck (см. Рисунок 1), оснащена 160 динамическими портами (любой порт может использоваться для подключения компьютера или консоли).
Рисунок 1. Новая модель матричного переключателя G&D ControlCenter-Digital 160 оснащена 160 динамическими портами. |
Вместе с тем, например, по мнению специалистов из Aten, влияние виртуализации на серверный рынок понимается неправильно. «Подразумеваемое допущение состоит в том, что благодаря виртуализации для удовлетворения ИТ-потребностей требуется меньше серверов. Однако эти предположения неверны, поскольку основываются на чересчур упрощенной картине серверного рынка. На самом деле с увеличением числа виртуальных серверов возрастает потребность в серверах физических», — такова позиция компании, выраженная в информационном документе «Какие выгоды дает применение KVM в виртуальной среде». Во время написания упомянутой статьи серверный рынок продолжал расти (по числу продаваемых устройств), но сейчас ситуация иная: по данным IDC, вот уже нескольких кварталов его объем сокращается не только в денежном, но и в количественном выражении. Конечно, в какой-то степени спад является следствием продолжающегося экономического застоя, но главная причина все же в повышении эффективности использования оборудования, в том числе благодаря виртуализации.
Основное преимущество применения KVM состоит в том, что к отказавшему устройству можно оперативно получить удаленный доступ по отдельной сети, когда программными средствами это сделать не удается. Однако в полностью виртуализированных средах потребность в немедленном вмешательстве куда менее остра — не случайно Aten не настаивает на целесо-
образности применения KVM в таких средах. Миграция виртуальных машин, например средствами vMotion в решениях VMware, позволяет «на лету» перенести нагрузку на другие серверы и заняться выяснением проблем с оборудованием позже, тем более что их все равно придется решать на месте в случае физического отказа компонентов. В результате применение KVM становится если не излишним, то по крайней мере не столь актуальным.
Однако до сих пор, несмотря на опережающий рост числа виртуальных машин, наиболее распространенный сценарий состоит в одновременном использовании виртуальных и физических серверов (при этом подразумевается, что не все физические серверы виртуализированы). Предприятия переносят нагрузку в виртуальную среду постепенно, к тому же до сих пор отдельные приложения предпочтительнее реализовать на выделенных серверах, поэтому на корпоративном рынке смешанные среды будут доминировать еще неопределенно долгое время. С учетом частичной виртуализации становится важна возможность управления физическими и виртуальными интерфейсами, а многие современные переключатели, заключает автор вышеупомянутой статьи, снабжаются программным обеспечением для удаленного управления всеми инсталлированными устройствами, включая модульные серверы и виртуальные машины.
KVM И ВИРТУАЛИЗАЦИЯ
При современных тенденциях виртуализировать всё и вся было бы странно, если и переключатели не стали бы виртуальными. При этом под виртуальными KVM обычно понимаются программные реализации функционала KVM — например, проект Synergy с открытыми исходными кодами (впрочем, это скорее не KVM, а КМ-решение, которое позволяет быстро переключаться между несколькими мониторами с использованием одного комплекта клавиатуры и мыши). Однако, как и протоколы для удаленного доступа к рабочему столу (RDP, ICA, VNX), они становятся бесполезными при крахе сервера или обрыве соединения, в то же время KVM позволяет получить непосредственный доступ к BIOS помимо основного соединения по сети. Впрочем, все это можно сделать с помощью интегрируемых сервисных процессоров iLO, IMM, iDRAC, RSA. Для организации независимого доступа вместо переключателей KVM достаточно установить в стойке стандартные, а следовательно, более дешевые коммутаторы Ethernet. Некоторое затруднение, правда, представляет то, что, хотя сервисные процессоры и базируются на IPMI, их реализации все же различаются, а отдельные из них не отличаются высоким уровнем защиты (см. раздел «Безопасность KVM»).
Свое решение предлагает Intel — виртуальный шлюз Virtual Gateway (IVG). Он представляет собой комплект средств разработки (Software Development Kit, SDK) для интеграции функциональности KVM в системы управления инфраструктурой ЦОД (Data Center Infrastructure Management, DCIM). Этот vKVM обеспечивает доступ к серверу как по сети, так и по внешнему каналу, в том числе на уровне BIOS (см. Рисунок 2). Его использование предполагает, в частности, что сервисные процессоры разблокированы (по умолчанию они нередко отключены, а для их активации необходимо, как правило, приобрести специальную лицензию). IVG способен поддерживать до 50 сеансов удаленного доступа одновременно и контролировать до 10 000 серверов и других устройств, таких как сетевые коммутаторы и системы хранения. Разработанный при участии Schneider Electric, он позиционируется в качестве «естественного дополнения к управлению системами питания». Schneider первой интегрировала его в свою DCIM, но в Intel надеются, что этому примеру последуют и другие разработчики этих платформ.
Рисунок 2. Архитектура Intel Virtual Gateway. |
Какие же преимущества видит Intel в применении IVG? Признавая необходимость использования KVM в сложных масштабных гетерогенных сетях, Джефф Клаусс, генеральный менеджер Intel по решению DCM, считает, что все ключевые возможности аппаратных KVM могут быть реализованы без установки дополнительного оборудования, то есть собственно KVM. Кроме того, виртуальные переключатели не занимают места и не потребляют дополнительную энергию. Далее, аппаратным решениям становится все труднее идти в ногу с быстрыми изменениями в серверных и коммуникационных стандартах, поэтому требуется поддерживать множество самых разнообразных устройств и/или осуществлять их замену. Все это ведет к увеличению расходов на содержание и обслуживание еще одной параллельной инфраструктуры. Между тем в случае применения программных решений, при появлении нового стандарта на интерфейсы, вместо покупки новых моделей переключателей достаточно будет установить только программную заплату.
Как утверждается, по сравнению с KVM экономия от использования IVG составит не менее 50%: по оценке Schneider Electric, если стоимость развертывания типичного решения KVM составляет 250–300 долларов на сервер, то в случае IVG она снижается до 100 долларов. Правда, при этом не указывается, учитывалась ли в расчетах стоимость организации отдельной сети и активации сервисных процессоров, если это необходимо. К тому же в своей аналитической заметке исследовательская компания 451 Research, ссылаясь на Intel, указывает другую расчетную цену — 150 долларов, что еще более нивелирует разницу. Как и KVM, IVG предназначен для управления всеми серверами независимо от их архитектуры и производителя, однако пока перечень поддерживаемых серверов и ОС ограничивается несколькими моделями серверов HP, Dell, IBM (или уже Lenovo?), Fujitsu и Oracle с сервисными процессорами и ОС Windows Server 2008 (и старше), SuSE Linux v 11 и Red Hat 6.2/6.3. Несмотря на заявленную поддержку других видов сетевых устройств, реально она пока недоступна. Однако, пожалуй, главная неоднозначность предлагаемого решения состоит именно в его ориентации на DCIM.
Системы для управления инженерной инфраструктурой предназначены в первую очередь для контроля за инженерными системами, поэтому их основными потенциальными пользователями являются эксплуатационные службы, а не ИТ-специалисты. «Предложение Intel позволяет провайдерам DCIM расширить возможности своих решений за счет включения KVM-доступа. Весь вопрос в том, насколько это нужно пользователям DCIM, ведь эти системы предназначены для управления активами, емкостью, изменениями, питанием/охлаждением. Программное обеспечение DCIM поддерживает управление операциями для операторов ЦОД, а не удаленное управление для ИТ-администраторов», — указывает Арно Стофберг. В Intel, впрочем, надеются, что IVG позволит улучшить взаимодействие между ИТ и эксплуатационными отделами, тем более что с повышением динамичности нагрузки это становится все более важным.
БЕЗОПАСНОСТЬ KVM
Удаленный доступ к функциям центра обработки данных, включая управление и контроль за серверами, превратился в рутинную операцию. Но возможность управлять критичными системами на расстоянии до сих пор вызывает у многих пользователей понятную настороженность — они видят в ней потенциальную угрозу безопасности. Насколько важна в этом контексте защита доступа через KVM, показывает недавняя история с ограблением банка Barclays.
В сентябре прошлого года британская полиция арестовала восемь человек, которые в апреле украли 1,3 млн фунтов стерлингов из филиала швейцарского банка. Один из преступников, придя в отделение банка под видом сервисного инженера, установил в нем KVM c подключенным к нему модемом 3G, который и был использован для взлома. С его помощью злоумышленники получили доступ к системам банка. И этот случай не единичный — еще 12 человек были задержаны за попытку кражи средств из банка Santander с использованием переключателя KVM. Как и в предыдущем случае, один из грабителей проник в банковский офис под вымышленным предлогом и установил там KVM, однако довести задуманное до конца не удалось.
Как видим, в обоих случаях преступники использовали подставные устройства, а не взламывали имеющиеся. Тем не менее это еще раз подчеркивает важность защиты KVM, особенно когда возможен удаленный доступ к самим KVM, как в случае с IP KVM. В современных решениях реализована многофакторная система контроля и разграничения прав доступа. «Решения KVM представляют первый рубеж защиты при удаленном подключении к серверам, обеспечивая централизованную аутентификацию, авторизацию, предоставление прав и протоколирование действий, — объясняет Арно Стофберг, — Пользователи могут быть авторизованы для доступа к конкретным серверам. Удаленные сеансы защищаются посредством применения сильного шифрования, такого как AES. Доступ к серверам может быть защищен посредством аутентификации с использованием SmartCard».
Разработчики KVM продолжают расширять и совершенствовать меры безопасности. Так, в матричных коммутаторах ControlCenter-Digital, созданных специалистами Guntermann&Drunk, начальный загрузчик, операционная система и микропрограммное обеспечение образуют доверенную вычислительную платформу для защиты системы от манипуляций со стороны третьих лиц. Интегрированный Trusted Platform Module (TPM) защищает доступ и конфигурационные данные от компрометации посредством шифрования RSA с ключом длиной 2048 бит. Чувствительная информация, в частности регистрационные данные и пароль, хранятся в зашифрованном виде. Потенциальные модификации в микропрограммном обеспечении могут быть выявлены на ранней стадии, после чего процесс загрузки блокируется. Как указывает производитель, это позволяет предотвратить установку клавиатурных перехватчиков.
Помимо предотвращения несанкционированного доступа, важно контролировать действия легитимных пользователей. Как указывает Игорь Калинин, директор по маркетингу компании Colan, авторизованного дистрибьютора ATEN в России, «при доступе к KVM-интерфейсу компьютера (сервера) пользователь должен быть чрезвычайно внимателен. Любая оплошность может вывести сервер из рабочего состояния, а значит, прервать бизнес-процесс. Прежде чем приступить к ликвидации последствий сбоя, системному администратору следует выяснить, какие действия привели к возникновению этой ситуации». Для протоколирования всех действий пользователей можно, например, установить программное обеспечение CCVSR разработки АТЕN. Это ПО предназначено для видеозаписи сеансов работы с KVM с протоколированием всех действий пользователя. Запись ведется в собственном формате, и ее нельзя редактировать.
Таким образом, производители KVM серьезно занимаются вопросами безопасности, тогда как в случае IPMI и BMC этому, похоже, не уделяется должного внимания. Недавно команда исследователей из Мичиганского университета осуществила успешную атаку на реализацию IPMI/BMC в серверах Supermicro (компания использует ПО третьей стороны). Были обнаружены «вопиющие элементарные уязвимости», например отсутствие контроля переполнения буфера, на основании чего сделан вывод о «некомпентности исполнителей или безразличии к безопасности заказчиков». В ходе исследования выявлено более 40 тыс. серверов Supermicro с уязвимой реализацией IPMI, доступ к которым можно получить через Интернет. Кроме того, обнаружены десятки тысяч серверов Dell и HP, и хотя уязвимость их реализаций IPMI не исследовалась, замечается, что «с учетом вероятности наличия уязвимости и катастрофических последствий от их компрометации подключать эти интерфейсы к Интернету по крайней мере безответственно».
По мнению Энтони Бонкоски, исследователя из Мичигана, наличие таких вопиющих «дыр» объясняется тем, что при программировании встроенных устройств вопросам безопасности не уделяется достаточного внимания. Традиционно эти устройства не подключались к Интернету, и горькие уроки, которые сообщество программистов усвоило на своем опыте за последние десять лет, прошли мимо них. «Я сравнил бы ситуацию с 90-ми годами, когда ПК стали подключаться к Интернету и все посыпалось», — размышляет Бонкоски в интервью «Вашингтон пост». Однако с подключением к Сети все большего числа устройств (см. статьи Александра Барскова «Всеобъемлющий Интернет: без «тумана» не обойтись» и «Ethernet в авто: надежда на унификацию» в этом номере «Журнала сетевых решений/LAN») вопросы их безопасности приобретают первоочередное значение. Ясно, что обнаруженные дыры будут закрыты, но пока их наличие дает поставщикам KVM дополнительный аргумент в пользу своих решений.
ЗАКЛЮЧЕНИЕ
Когда другие методы удаленного доступа оказываются неэффективны, переключатели KVM позволяют получить независимый доступ к серверу по внешнему каналу на уровне BIOS. Новейшие модели KVM и KVM-поверх-IP обеспечивают широкую функциональность и высокую эффективность. Применение KVM позволяет увеличить продуктивность работы системных администраторов за счет обеспечения защищенного централизованного доступа к тысячам серверов, чем исключается необходимость в дорогостоящих и отнимающих много времени посещениях центров обработки данных. Тем более что внутри помещений ЦОД не лучшие условия для работы — там и посидеть негде, хотя… Если кому-то приходится часто работать за стойками, то можно оснастить их вот такими раскладными стульчиками, которые устанавливаются прямо в стойку (см. Рисунок 3).
Рисунок 3. Складной стул прямо в шкафу — голубая мечта администраторов. |
Дмитрий Ганьжа — главный редактор «Журнала сетевых решений/LAN». С ним можно связаться по адресу: dima@osp.ru.