ประวัติและปัจจุบันของ IPMI (Intelligent Platform Management Interface)

 (computer.rip)
2 คะแนน โดย GN⁺ 2024-09-04 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • Computers Are Bad กำลังอยู่ระหว่างย้ายเอนเทอร์ไพรส์คลาวด์ไปยังนิวเม็กซิโก และกำลังซื้อเซิร์ฟเวอร์ใหม่
  • เซิร์ฟเวอร์ Big Iron ที่ใช้อยู่ในปัจจุบันเป็นอุปกรณ์เก่าที่มีอายุราว 10 ปี
  • ในอุตสาหกรรมยุคใหม่ที่มีคลาวด์เป็นศูนย์กลาง การเปรียบเทียบสเปกของ Dell PowerEdge กับ HP ProLiant กลายเป็นเรื่องที่พบได้น้อยลง
  • ตลาดเซิร์ฟเวอร์นอกกลุ่มไฮเปอร์สเกลกำลังถูกรวมเข้าหากันมากขึ้นด้วยสเปกและเรฟเฟอเรนซ์ดีไซน์ของ Intel

เซิร์ฟเวอร์คืออะไร?

  • มีคำถามเก่าแก่ว่าเซิร์ฟเวอร์เป็นเพียงคอมพิวเตอร์ที่ใหญ่และทรงพลัง หรือเป็นสิ่งที่พิเศษกว่านั้น
  • ประวัติของเซิร์ฟเวอร์มีประวัติศาสตร์อุตสาหกรรมจำนวนมากรวมอยู่ด้วย และคำตอบก็อาจต่างกันไปตามบริบท
  • สามารถสรุปภาพรวมของประวัติศาสตร์เซิร์ฟเวอร์ได้ดังนี้:
    • การประมวลผลแบบไคลเอนต์-เซิร์ฟเวอร์เริ่มต้นขึ้นจากวิวัฒนาการของการประมวลผลแบบแบ่งเวลา ซึ่งใช้เทอร์มินัลหลายตัวเชื่อมต่อกับคอมพิวเตอร์เครื่องเดียว
    • เดิมไม่ได้คาดหวังว่าเทอร์มินัลจะมีสถาปัตยกรรมคล้ายคอมพิวเตอร์ และแนวคิดนี้ก็สืบทอดมาถึงระบบไคลเอนต์-เซิร์ฟเวอร์
    • จนถึงช่วงทศวรรษ 2000 การที่เซิร์ฟเวอร์ใช้ระบบปฏิบัติการและสถาปัตยกรรมที่ต่างออกไปยังเป็นเรื่องปกติ
  • การปฏิวัติพีซีทำให้ฝั่งไคลเอนต์ส่วนใหญ่กลายเป็นวัฒนธรรมแบบ WinTel โมโนคัลเจอร์ภายในช่วงกลางทศวรรษ 1990

การเปลี่ยนแปลงของสถาปัตยกรรมเซิร์ฟเวอร์

  • การจับคู่ระหว่าง SPARC กับ Solaris เคยพบได้ทั่วไปมากในโลกเซิร์ฟเวอร์ เช่นเดียวกับสถาปัตยกรรมมินิคอมพิวเตอร์ของ IBM และระบบปฏิบัติการหลากหลายแบบ
  • หนึ่งในคุณูปการเชิงพาณิชย์สำคัญของ Java คือการเปิดทางให้สามารถนำโค้ดกลับมาใช้ซ้ำได้ แม้จะเขียนแอปพลิเคชันองค์กรสำหรับแบ็กเอนด์ Solaris/SPARC แต่ก็ยังใช้ในสภาพแวดล้อมธุรกิจ "สมัยใหม่" อย่าง Unix/RISC หรือ Windows/x86 ได้
  • โมเดลการประมวลผลแบบไคลเอนต์-เซิร์ฟเวอร์ที่มี "thick client" ทำให้เกิดความเชื่อมโยงระหว่างแพลตฟอร์มเซิร์ฟเวอร์กับ "การประมวลผลระดับองค์กร"
  • สถาปัตยกรรมที่เคยจำกัดอยู่ในเซิร์ฟเวอร์เริ่มกลายเป็นตลาดเฉพาะทางมากขึ้นเรื่อย ๆ และแข่งขันกับสถาปัตยกรรมพีซีได้ยากทั้งด้านต้นทุนและประสิทธิภาพ
  • สถาปัตยกรรมทั่วไปของซอฟต์แวร์เซิร์ฟเวอร์เปลี่ยนจาก "การขยายแนวตั้งและระบบที่ต้องมี uptime สูง" ไปเป็น "การขยายแนวนอนและความต้องการด้านเสถียรภาพที่ผ่อนคลายลง" ทำให้ข้อได้เปรียบของคอมพิวเตอร์ระดับเอนเทอร์ไพรซ์ลดลงอย่างมาก
  • ทุกวันนี้ ในกรณีส่วนใหญ่ เซิร์ฟเวอร์ก็เป็นแค่คอมพิวเตอร์ขนาดใหญ่
  • เซิร์ฟเวอร์มีแนวโน้มสูงกว่ามากที่จะเป็นแบบ SMP หรือ NUMA ที่มีหลายซ็อกเก็ตโปรเซสเซอร์
  • ยุคของ SAS และฮาร์ดแวร์ RAID กำลังค่อย ๆ เลือนหายไป แต่เซิร์ฟเวอร์ก็ยังมีสตอเรจคอนโทรลเลอร์และโทโพโลยีที่ซับซ้อนกว่าไคลเอนต์อยู่ดี
  • เซิร์ฟเวอร์แทบทั้งหมดมีระบบจัดการแบบ out-of-band (OOB)

การจัดการแบบ Out-of-Band

  • การจัดการแบบ out-of-band (OOB) เป็นความสามารถที่แทบไม่พบในฝั่งไคลเอนต์
  • มันทำให้สามารถเข้าถึงเซิร์ฟเวอร์จากระยะไกลผ่านคอมพิวเตอร์สำหรับจัดการขนาดเล็กที่แยกต่างหากได้
  • การจัดการ OOB ไม่ต้องพึ่งระบบปฏิบัติการหรือส่วนประกอบทั่วไป
  • เซิร์ฟเวอร์ส่วนใหญ่มีรีโมตคอนโซล ทำให้โต้ตอบได้เหมือนมีจอภาพและคีย์บอร์ดต่ออยู่ที่เครื่องจริง
  • ผลิตภัณฑ์ OOB มักมีฟังก์ชัน "virtual media" ให้สามารถอัปโหลดไฟล์ ISO และทำให้ระบบมองเห็นเหมือนเป็นอุปกรณ์จริง

การจัดการแบบ Out-of-Band (Out-of-Band Management)

  • Out-of-band (บางครั้งเรียกว่าการจัดการแบบไร้ผู้ดูแล) ใช้ระบุความสามารถที่แทบไม่ค่อยได้ยินในเครื่องไคลเอนต์
  • ผ่านคอมพิวเตอร์จัดการขนาดเล็กที่แยกต่างหาก จึงเข้าถึงจากระยะไกลได้แม้ตอนที่เซิร์ฟเวอร์ปิดอยู่
  • คำว่า "out-of-band" และ "in-band" มาจากความหมายที่ใช้กันทั่วไปในเครือข่ายและการสื่อสาร แต่ในทางปฏิบัติความหมายได้เปลี่ยนไปตามกาลเวลา
    • อาจจะเข้าใจได้ดีกว่าว่า out-of-band management หมายถึงการจัดการที่ไม่ต้องพึ่งระบบปฏิบัติการและส่วนประกอบอเนกประสงค์
  • ตัวอย่างมาตรฐานมากของการจัดการแบบ in-band คือ SSH ซึ่งเป็นบริการที่ซอฟต์แวร์บนคอมพิวเตอร์เป็นผู้ให้
  • ในทางกลับกัน การจัดการแบบ out-of-band ให้บริการผ่านฮาร์ดแวร์เฉพาะและซอฟต์แวร์สแตกเฉพาะ โดยไม่ต้องอาศัยระบบปฏิบัติการหรือการทำงานร่วมของ CPU ตามแบบดั้งเดิม
  • ตัวอย่างที่ดีที่สุดของการจัดการแบบ out-of-band ในปัจจุบันคือรีโมตคอนโซลที่เซิร์ฟเวอร์ส่วนใหญ่มีให้
    • โดยพื้นฐานแล้วมันคือ IP KVM ที่ฝังมาในตัว ทำให้โต้ตอบกับเครื่องได้เหมือนมีจอภาพและคีย์บอร์ดต่ออยู่ในเครื่อง
  • ผลิตภัณฑ์จัดการ OOB หลายตัวมี "virtual media" ด้วย โดยสามารถอัปโหลดไฟล์ ISO ไปยังอินเทอร์เฟซการจัดการ จากนั้นให้คอมพิวเตอร์มองเห็นเหมือนเป็นอุปกรณ์จริง
    • สิ่งนี้มีประโยชน์มากสำหรับการติดตั้งระบบปฏิบัติการ

ประวัติของการจัดการ OOB

  • การจัดการ OOB เป็นมุมเล็ก ๆ ที่น่าสนใจในประวัติศาสตร์คอมพิวเตอร์
  • จริง ๆ แล้วมันไม่ใช่แนวคิดใหม่มากนัก เพราะสามารถพบความสามารถคล้ายกันได้ตลอดทั้งประวัติศาสตร์ของการประมวลผลเชิงธุรกิจ
  • เมื่อเวลาผ่านไป การจัดการ OOB กลับยิ่งเรียบง่ายและน่าเบื่อมากขึ้น
  • มันเป็นคุณลักษณะร่วมของเซิร์ฟเวอร์ตั้งแต่ช่วงปลายทศวรรษ 1980 ถึงต้นทศวรรษ 1990
    • มีอินเทอร์เฟซสำหรับผู้ปฏิบัติงานในเครื่องบางรูปแบบ เพื่อให้ข้อมูลระดับต่ำเกี่ยวกับสถานะฮาร์ดแวร์ เช่น จอ LCD แบบเมทริกซ์หรือกริดไฟ LED
    • มีซีเรียลคอนโซลที่เข้าถึงบูตโหลดเดอร์ระยะแรกและระบบจัดการระดับต่ำแบบคงอยู่
    • และมีระบบจัดการระดับสูงกว่าสำหรับการดูแลงานบนเครื่องจากระยะไกล ซึ่งตำแหน่งของมันในสแตกจะแตกต่างกันไปตามสถาปัตยกรรม
  • สถานะปัจจุบันของการจัดการ OOB
    • เซิร์ฟเวอร์ส่วนใหญ่ยังสามารถบอกได้จากแผงด้านหน้าว่ามีส่วนประกอบสำรองอย่างพัดลมหรือแหล่งจ่ายไฟตัวใดเสียหรือไม่
    • แต่จำนวนส่วนประกอบที่ทำซ้ำซ้อนและเปลี่ยนขณะระบบทำงานได้ ลดลงจากยุค 1990 ที่เคยเป็น "ทุกอย่างรวมถึง CPU" จนบางครั้งเหลือเพียงพัดลม
    • การจัดการผ่านซีเรียลยังค่อนข้างแพร่หลาย เพราะยังเป็นวิธียอดนิยมสำหรับติดตั้งและดูแล OS บนเครื่องแบบ headless
    • แต่ในกรณีส่วนใหญ่ การจัดการ OOB ได้ถูกรวมศูนย์เข้าสู่ Intel IPMI ในแบบเดียวกับที่สถาปัตยกรรมโปรเซสเซอร์ถูกรวมศูนย์

จุดที่ทำให้ IPMI ชวนสับสน

  • IPMI เป็นสเปก ไม่ใช่อิมพลีเมนเทชัน
    • ผู้ขายรายใหญ่ส่วนมากมีอิมพลีเมนเทชัน IPMI ของตัวเองที่เพิ่มความสามารถเกินกว่าสเปกแกนกลางของ IPMI และเรียกด้วยตัวย่อแปลก ๆ เช่น HP iLO, Dell DRAC เป็นต้น
    • อิมพลีเมนเทชันเฉพาะผู้ขายเหล่านี้มีมาก่อน IPMI เองด้วยซ้ำ ดังนั้นการเรียกว่า "แค่ IPMI" จึงไม่ค่อยถูกต้องนัก
    • ในทางกลับกัน ผู้ผลิตหน้าใหม่มักเรียกมันว่า IPMI มากกว่า และในกรณีนั้นอาจเป็นผลิตภัณฑ์มาตรฐานจากผู้ขายเฟิร์มแวร์
  • ซอฟต์แวร์ IPMI โดยทั่วไปทำงานอยู่บนโปรเซสเซอร์ที่มักเรียกว่า baseboard management controller (BMC) จึงมีบางครั้งที่คำว่า IPMI กับ BMC ถูกใช้แทนกัน
  • Lights-out management (LOM) เป็นคำที่แทบไม่ค่อยมีประโยชน์แล้ว แต่ยังคงใช้ต่อเพราะ HP(E) ชอบคำนี้และเรียกอิมพลีเมนเทชัน IPMI ของตนว่า Integrated Lights-Out
  • BMC ไม่ควรถูกสับสนกับ system management controller (SMC) ซึ่งเป็นส่วนประกอบที่พบในคอมพิวเตอร์ไคลเอนต์
    • SMC เป็นหนึ่งในหลายคำที่ใช้เรียกองค์ประกอบที่ดูแลงานอย่างการควบคุมความเร็วพัดลม
    • BMC และ SMC มีประวัติที่เชื่อมโยงกัน และในความเป็นจริง BMC มักรับหน้าที่เหล่านี้ในเซิร์ฟเวอร์ส่วนใหญ่
  • IPMI กำหนดอินเทอร์เฟซไว้สองแบบ
    • อินเทอร์เฟซ out-of-band ที่ใช้ได้ผ่านเครือข่ายหรือการเชื่อมต่อแบบซีเรียล
    • อินเทอร์เฟซ in-band ที่ระบบปฏิบัติการใช้ผ่านไดรเวอร์ได้ (โดยสื่อสารระหว่าง CPU กับ BMC ผ่านบัส LPC ซึ่งเป็นเศษซากเล็ก ๆ แปลกประหลาดของ ISA ที่ยังเหลืออยู่ในคอมพิวเตอร์สมัยใหม่ส่วนใหญ่)
  • ผลก็คือสามารถโต้ตอบกับ IPMI ได้จากเครื่องมือที่รันในระบบปฏิบัติการ เช่น ipmitool บน Linux
  • หากไม่เข้าใจว่า IPMI เป็นระบบอิสระเต็มรูปแบบที่มีอินเทอร์เฟซภายในเครื่องสำหรับระบบปฏิบัติการที่กำลังรันอยู่เพื่อความสะดวก ก็อาจทำให้งงได้ว่าแท้จริงแล้วเกิดอะไรขึ้น

ความสามารถของ IPMI

  • IPMI ส่วนใหญ่กลายเป็นเว็บแอปไปแล้ว
    • อินเทอร์เฟซเว็บสะดวกเกินกว่าจะปฏิเสธได้
    • ผลิตภัณฑ์ IPMI หลายตัวมีซอฟต์แวร์ไคลเอนต์เฉพาะ แต่กำลังย้ายความสามารถทั้งหมดไปเป็นเว็บแอปพลิเคชันแบบฝัง
  • คุณภาพของเว็บอินเทอร์เฟซแตกต่างกันมาก แต่ส่วนใหญ่ก็ไม่ได้ดีนัก
  • วิธีเข้าถึงเว็บอินเทอร์เฟซของ IPMI
    • เซิร์ฟเวอร์ส่วนใหญ่ในตลาดมีพอร์ตอีเธอร์เน็ตเฉพาะที่ติดป้ายว่า "IPMI", "management" หรือคล้ายกัน
    • วิธีที่ดีที่สุดในการใช้ IPMI คือวางอินเทอร์เฟซเครือข่ายสำหรับจัดการไว้บนเครือข่ายกายภาพเฉพาะ
      • เพื่อความปลอดภัยและความเสถียร (แม้เครือข่ายหลักจะมีปัญหาด้านประสิทธิภาพหรือความเสถียร ก็ยังควรเข้าถึง IPMI ได้)
    • แต่เครือข่ายกายภาพเฉพาะย่อมใช้เวลา พื้นที่ และค่าใช้จ่าย
      • "เครือข่ายจัดการ" จึงมีแนวโน้มสูงมากที่จะเป็น VLAN บนอุปกรณ์เครือข่ายทั่วไป
      • คล้ายกับสิ่งที่ AT&T เรียกว่า common carrier switching arrangement (CCSA)
      • มันทำงานเหมือนเครือข่ายส่วนตัวที่เป็นอิสระ แต่ใช้อุปกรณ์จริงร่วมกับทุกอย่างอื่น และการแยกส่วนถูกทำด้วยซอฟต์แวร์
  • เครือข่าย sideband ของ IPMI
    • การจัดการแบบ sideband ทำให้ BMC สื่อสารโดยตรงผ่าน NIC เดียวกับที่ระบบปฏิบัติการใช้งาน
    • วิธีอิมพลีเมนต์ค่อนข้างแปลกเล็กน้อย
      • NIC จะแสร้งทำเป็นว่าตัวเองเป็นสองอินเทอร์เฟซที่ต่างกัน และผสมทราฟฟิก IPMI เข้าไปในสตรีมแพ็กเก็ตเดียวกับทราฟฟิกของโฮสต์ แต่ใช้ MAC address คนละตัว
      • ด้วยวิธีนี้ สำหรับอุปกรณ์เครือข่ายอื่น ๆ จะดูเหมือนมีอินเทอร์เฟซเครือข่ายสองตัวแยกกันถูกใช้งานตามปกติ
    • จึงมีข้อพิจารณาด้านความปลอดภัยที่ชัดเจนเกี่ยวกับการลดการแยกส่วนระหว่าง IPMI กับทราฟฟิกของแอปพลิเคชัน
  • ปัญหาความปลอดภัยของ IPMI
    • อิมพลีเมนเทชัน IPMI จำนวนมากกลายเป็นฝันร้ายด้านความปลอดภัย
    • คนที่ไม่น่าเชื่อถือไม่ควรเข้าถึงมันโดยเด็ดขาด
  • ฟังก์ชันเครือข่ายของ IPMI
    • รายละเอียดของความสามารถด้านเครือข่ายแตกต่างกันไปในแต่ละอิมพลีเมนเทชัน IPMI แต่มีอินเทอร์เฟซมาตรฐานบน UDP 623 สำหรับการค้นหาและคำสั่งพื้นฐาน
    • มักมี SSH และเว็บอินเทอร์เฟซ และสำหรับรีโมตคอนโซลนั้น VNC พบได้บ่อยมาก

ความสามารถพื้นฐานของ IPMI

  • มีความสามารถพื้นฐานที่มีประโยชน์หลายอย่างที่ทำได้กับ IPMI ทั้งผ่านเครือข่ายหรือผ่านไคลเอนต์ IPMI แบบ in-band
  • ถ้าคุณขี้ลืมและเก็บบันทึกไม่เก่ง หนึ่งในความสามารถที่มีประโยชน์คือการแสดงรายการโมดูลฮาร์ดแวร์ที่ประกอบเป็นระบบ ในระดับ FRU หรือหมายเลขชิ้นส่วนของผู้ขาย
  • ยังสามารถโต้ตอบกับฟังก์ชันฮาร์ดแวร์พื้นฐาน เช่น เซ็นเซอร์ สถานะพลังงาน พัดลม และอื่น ๆ ได้
  • IPMI มีมาตรฐาน watchdog timer ซึ่งเมื่อใช้ร่วมกับซอฟต์แวร์ที่รันอยู่ในระบบปฏิบัติการ ก็ทำให้เซิร์ฟเวอร์รีเซ็ตได้หากแอปพลิเคชันเข้าสู่สภาวะผิดปกติ
  • ต้องตั้งค่าระยะหมดเวลาให้ยาวพอที่ระบบจะบูตขึ้นมาและเชื่อมต่อเพื่อปิดการทำงานของ watchdog timer ได้

ความสัมพันธ์ระหว่าง IPMI กับคอมพิวเตอร์ไคลเอนต์ทั่วไป

  • IPMI พบได้ทั่วไปมากในเซิร์ฟเวอร์ระดับเอนเทอร์ไพรซ์ แต่พบได้น้อยมากในที่อื่น
  • เรื่องนี้น่าหงุดหงิดสำหรับคนที่ไม่มีพื้นที่หรือไม่สามารถทนเสียงดังระดับเครื่อง 1U pizza box ได้
  • หากพยายามยึดคอมพิวเตอร์ขนาดเล็กหรือกินไฟต่ำ คุณก็อาจต้องอยู่โดยไม่มี IPMI

Intel ME และ AMD ST

  • มีคอนโทรลเลอร์สำหรับการจัดการแบบ OOB อยู่แทบจะในโปรเซสเซอร์ Intel และ AMD ทุกตัว
  • Intel ME (Management Engine) คือองค์ประกอบที่ทำให้ Intel Active Management Technology (Intel AMT) ทำงานได้
  • AMT เป็นความพยายามทำให้การจัดการ OOB แพร่หลายในเครื่องไคลเอนต์ และมีความสามารถแทบเหมือนกับ IPMI
  • แต่มันประสบความสำเร็จน้อยกว่ามาก ซึ่งส่วนใหญ่น่าจะเป็นเพราะราคา
    • Intel จำกัดความสามารถ AMT เกือบทั้งหมดให้ใช้งานร่วมกับแพลตฟอร์มจัดการระดับเอนเทอร์ไพรซ์ที่มีราคาแพงมาก
  • มีไคลเอนต์ AMT แบบโอเพนซอร์สอยู่ แต่ปัญหาถัดมาคือการหาเครื่องที่สามารถใช้ AMT ได้จริง

ความสามารถ sideband ของ Intel AMT และปัญหาความปลอดภัย

  • Intel AMT มีความสามารถในการจัดการแบบ sideband ดังนั้นข้อเท็จจริงที่ว่าองค์ประกอบ Intel ME ที่ AMT รันอยู่นั้นก็มีความสามารถนี้ด้วย จึงเป็นประเด็นที่ชุมชนด้านความปลอดภัยกังวลอย่างมาก
  • ปัจจัยบรรเทาความเสี่ยง: การจัดการแบบ sideband จะทำได้ก็ต่อเมื่อโปรเซสเซอร์ ชิปเซ็ตเมนบอร์ด และ NIC ต่างก็รองรับ AMT ทั้งหมด
    • ตัวเลือกสำหรับอุปกรณ์ทั้งสามชนิดนี้ถูกจำกัดอยู่กับผลิตภัณฑ์ Intel ที่มีตรา vPro
    • เพียงแค่ Intel NIC ไม่เป็นที่นิยมในอุปกรณ์ผู้บริโภค ก็แทบทำให้การเข้าถึงแบบ sideband เป็นไปไม่ได้อยู่แล้ว
  • vPro เองก็ยังถูกจำกัดอยู่กับโปรเซสเซอร์และชิปเซ็ตระดับค่อนข้างสูง
    • ข่าวร้ายคือการใช้ AMT ในโฮมแล็บอาจทำได้ยาก แม้ว่าจะมีบางคนใช้อยู่แน่นอน
    • ข่าวดีคือ "ข้อเท็จจริง" ที่ถูกเผยแพร่อย่างกว้างขวางว่า Intel ME บนอุปกรณ์ผู้บริโภคสามารถเข้าถึงผ่าน sideband networking ได้นั้น โดยทั่วไปไม่เป็นความจริง และไม่ใช่แค่เพราะข้อจำกัดด้านไลเซนส์ซอฟต์แวร์ของ Intel เท่านั้น

เหตุผลที่ Intel ME มีอยู่

  • หากไม่มี AMT ก็จะเหลือคำถามชวนประหลาดเกี่ยวกับตัว Intel ME เอง ซึ่งจริง ๆ แล้วไม่มีความสามารถด้านการจัดการ OOB
  • ทำไมโปรเซสเซอร์แทบทุกตัวถึงมี Intel ME?
    • นี่เป็นเพียงข้อสันนิษฐาน แต่ดูเหมือนว่า Intel ME มีอยู่หลัก ๆ เพื่อเป็นวิธีที่สะดวกในการโฮสต์และจัดการองค์ประกอบ trusted execution ที่ใช้กับสิ่งต่าง ๆ อย่าง secure boot และ DRM
    • ความสามารถเหล่านี้ทั้งหมดรันอยู่บนโปรเซสเซอร์เดียวกันกับ ME และใช้เทคโนโลยีสแตกบางส่วนร่วมกัน
  • ดังนั้นส่วนที่เป็น "management" ของ Intel ME จึงค่อนข้างเป็นเพียงร่องรอยหลงเหลือ และแท้จริงเป็นส่วนหนึ่งของโครงสร้างพื้นฐานด้าน secure computing

นี่ไม่ใช่การแก้ตัวให้ Intel ME

  • นี่ไม่ใช่การแก้ตัวให้ Intel ME ซึ่งบุคคลที่สามตรวจสอบได้แทบไม่ได้เลย และในอดีตก็เคยมีช่องโหว่ด้านความปลอดภัยร้ายแรงอยู่ด้วย
  • เราทุกคนล้วนใช้สถาปัตยกรรมโปรเซสเซอร์จากหนึ่งในสองผู้ขายนี้ จึงแทบไม่มีแรงจูงใจให้ Intel ทำอะไรที่ดีกว่านี้
  • และก่อนจะตอบว่า ARM คือทางออก ก็ควรจำไว้ว่าชิป SoC ARM สมัยใหม่ที่ใช้ในอุปกรณ์ผู้บริโภคก็มีความสามารถแบบเดียวกันแทบทั้งหมดเช่นกัน

หมายเหตุ: นิยามของ headless

  • นิยามของคำว่า "headless" นั้นชวนลำบากและไม่ควรยึดติดมากเกินไป
  • ผู้คนมักใช้คำว่า "headless" เพื่อหมายถึงเครื่องที่ไม่ได้ต่อจอภาพและคีย์บอร์ด
  • แต่เนื่องจากทั้ง slide-out rack console และ IP KVM เป็นเรื่องปกติมานานแล้ว จึงควรจำไว้ว่าในสภาพแวดล้อมที่ไม่ใช่ไฮเปอร์สเกล ระบบที่เป็น headless อย่างแท้จริงนั้นพบได้น้อยกว่าที่คิด
  • ส่วนหนึ่งก็เพราะการใช้ซีเรียลคอนโซลนั้นเจ็บปวดอย่างยิ่ง จนผู้ดูแลระบบคอมพิวเตอร์ทั่วไปมักยอมทำหลายอย่างเพื่อหลีกเลี่ยงมัน

ความเห็นของ GN⁺

  • บทความนี้ให้มุมมองที่น่าสนใจเกี่ยวกับนิยามและประวัติของเซิร์ฟเวอร์ ตรงกันข้ามกับความเข้าใจทั่วไปที่ว่าเซิร์ฟเวอร์เป็นเพียงคอมพิวเตอร์ขนาดใหญ่ บทความนี้ชี้ให้เห็นว่าเซิร์ฟเวอร์เคยมีบทบาทพิเศษมาอย่างยาวนาน
  • เมื่อมองย้อนดูประวัติของเซิร์ฟเวอร์ จะเห็นได้ว่าแนวคิดของเซิร์ฟเวอร์เปลี่ยนแปลงไปอย่างไรตามพัฒนาการของเทคโนโลยี โดยเฉพาะอย่างยิ่งความน่าสนใจที่เส้นแบ่งระหว่างเซิร์ฟเวอร์กับไคลเอนต์เริ่มพร่าเลือนไปเรื่อย ๆ หลังการปฏิวัติพีซี
  • การจัดการแบบ out-of-band เป็นความสามารถเฉพาะตัวของเซิร์ฟเวอร์ ที่ช่วยให้สามารถดูแลเซิร์ฟเวอร์ได้โดยไม่ต้องพึ่งระบบปฏิบัติการหรือ CPU ซึ่งเป็นคุณสมบัติที่มีประโยชน์อย่างมากสำหรับผู้ดูแลระบบเซิร์ฟเวอร์
  • ระยะหลัง เทคโนโลยีการจัดการ OOB กำลังถูกทำให้เป็นมาตรฐานมากขึ้นโดยมี Intel IPMI เป็นศูนย์กลาง ซึ่งช่วยเพิ่มความสะดวกในการดูแลเซิร์ฟเวอร์ แต่ก็มีความเสี่ยงเรื่องการผูกติดกับผู้ขายรายเดียวเช่นกัน
  • โซลูชันอื่นที่ให้ความสามารถ OOB ใกล้เคียงกันยังมีอย่าง HP iLO, Dell iDRAC เป็นต้น หากไม่ต้องการผูกติดกับผู้ขายรายใดรายหนึ่งมากเกินไป ก็ควรพิจารณาทางเลือกเหล่านี้ด้วย

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2024-09-04
ความเห็นจาก Hacker News

  • Intel กำลังตามหลัง AMD ในด้านประสิทธิภาพ CPU และ GPU

    • ข้อยกเว้นคือ CPU ซีรีส์ N100 ที่เหมาะกับแอปพลิเคชันพลังงานต่ำและแบบไม่มีพัดลม
    • องค์กรส่วนใหญ่ซื้อ CPU ของ Intel เพื่ออัปเดตสภาพแวดล้อมเดิมที่มีอยู่
    • ฟีเจอร์ EVC ของ vSphere ทำให้สามารถ hot migration ข้ามสถาปัตยกรรม CPU ได้

  • โดยรวมแล้ว Intel NIC มีคุณภาพดีและยังได้รับความนิยมในอุปกรณ์ผู้บริโภค

    • PC หรือโน้ตบุ๊กที่ใช้ Intel CPU แทบจะมี Intel NIC มาด้วยเสมอ

  • เวลาซื้อเซิร์ฟเวอร์ Supermicro เป็นตัวเลือกที่ดี

    • ราคาถูกและมีความยืดหยุ่นสูงในด้าน form factor, chassis, องค์ประกอบต่างๆ และจำนวนสล็อต
    • อย่างไรก็ตาม การสนับสนุนยังเชื่อถือได้น้อยกว่า Dell/HPE จึงเหมาะกับการตั้งค่าที่มีระบบสำรองซ้ำซ้อน

  • สเปกของ IPMI กำลังถูกแทนที่ด้วย Redfish

    • Redfish มี API ที่ครบถ้วนกว่า ปลอดภัยกว่า และเป็นมาตรฐานมากกว่า

  • ฮาร์ดแวร์ของ Supermicro ยังยอดเยี่ยมอยู่ แต่รายงานวิจัยล่าสุดของ Hindenburg ก็ชี้ให้เห็นปัญหาบางประการ

  • IPMI พบได้ทั่วไปในเซิร์ฟเวอร์ระดับองค์กร แต่ไม่ค่อยพบในงานใช้งานตามบ้าน

    • หากใช้บอร์ด Supermicro MicroATX ที่ใช้ Atom และพัดลม Noctua ก็สามารถระบายความร้อนได้เงียบ

  • ไม่แนะนำให้ต่อพอร์ต IPMI เข้ากับ LAN หลัก

    • จะมีประโยชน์เมื่อใช้งานแบบแยกเครือข่าย

  • หากต้องการเพิ่มความสามารถในการเข้าถึงระยะไกลให้เครื่องที่ไม่มี IPMI สามารถใช้ RISC-V NanoKVM ราคา $30 ได้

    • มี HDMI capture, Ethernet/WiFi, การควบคุมไฟเลี้ยง ATX และอื่นๆ

  • มีการแชร์ประสบการณ์ติดตั้งเซิร์ฟเวอร์ Intel ช่วงปลายยุค 90

    • ใช้ซอฟต์แวร์ LANDesk Server Manager Pro และ Emergency Management Card
    • รหัสผ่านเริ่มต้นของ EMC คือ "calvin"

  • โซลูชันอย่าง IPMI ก็ดี แต่ยังชอบอินเทอร์เฟซ serial มาตรฐานมากกว่า

  • ในระยะยาว IPMI ขาดการรองรับฮาร์ดแวร์

    • ถ้าสามารถโหลด OS ของตัวเองลงบนฮาร์ดแวร์ IPMI ได้ก็น่าจะมีประโยชน์มากขึ้น

  • Intel ME และ AMD PSP มีบทบาทสำคัญในการเริ่มต้น CPU

    • ความซับซ้อนของการเริ่มต้นสูงมาก จึงสมเหตุสมผลกว่าที่จะให้ embedded core แยกต่างหากจัดการ

  • Dell กำลังพยายามแทนที่ IPMI ด้วย Redfish

    • Redfish ใช้ HTTP/JSON REST API

  • สำหรับการใช้งาน home lab ปัญหาของ IPMI คือการกินไฟขณะสแตนด์บายราว 5W

    • มีแผนจะลองใช้ PiKVM(V2) และ Raspberry 4 เพื่อทำความสามารถด้านการจัดการระยะไกล

  • default key ของ IPMI เป็นปัญหาสำคัญ

    • หากมีการติดตั้งคีย์เพิ่มเติมในซัพพลายเชน ก็อาจทำให้สามารถจัดการจากระยะไกลได้