IP KVM-решения для компаний с филиалами и удаленными офисами.

Дата публикации на сайте
16.04.2010

  Используя IP KVM-системы, системный администратор получает полный набор необходимых инструментов для удаленного управления ИТ-оборудованием компаний различных масштабов и структур.

  Требования к оптимизации расходов на персонал, продвижение компаний в регионы, дефицит там квалифицированного ИТ-персонала – все это способствует росту запросов на решения по удаленному управлению серверным хозяйством и активным оборудованием сетей.

  Развитие сетей широкополосного доступа, с другой стороны, подталкивает производителей на создание, а ИТ-службы – на использование систем KVM-управления с доступом через общедоступные сети передачи данных, Интернет.

Существующие решения

  Сегодня на рынке есть три основных класса решений для удаленного управления компьютерами:

  • Чисто программные средства, встроенные в ОС или устанавливаемые на компьютер в виде самостоятельного программного модуля. К таким средствам можно отнести Remote Desktop, встроенное средство доступа к удаленному рабочему столу Microsoft, программные комплексы Radmin и ему подобные на основе RDP и VNC. Плюсом данных решений является их относительная дешевизна, а порой и бесплатность. Но любые программные средства требуют ресурсов по памяти и производительности, кроме того, они имеют иногда отрицательные воздействия и дестабилизируют систему в целом. Все подобные средства работают под управлением ОС и при возникновения проблем с ОC просто неприменимы.
  • Программно-аппаратные средства, имеющие в основе стандарт IPMI 2.0, такие как ILO, встраиваемые в серверные платформы производителями. Работают вне операционной системы. Предоставляют администраторам больший функционал, интегрируются в системы мониторинга. Это плюсы. Минусы связаны с тем, что, как правило, единая система управления такими решениями ограничена продукцией одного бренда, что мешает реализации задач по диверсификации оборудования в ИТ-подразделениях. Кроме того, существует широкий сегмент низкобюджетного серверного оборудования, где эти решения не могут быть интегрированы в принципе.
  • Аппаратные IP KVM-удлинители и переключатели. Недостатки: такие решения требуют организации дополнительной инфраструктуры в виде кабельного хозяйства и места в стойках. Достоинства: независимость от операционных систем и платформ, обеспечение контакта с управляемым оборудованием при любых аварийных ситуациях, интеграция систем управления электропитанием, единая система управления, централизованная авторизация доступа, аппаратная шифрация.

  В рамках данной статьи мы будем рассматривать третий класс решений, наиболее надежных, функциональных и платформонезависимых.

Что такое IP KVM-переключатель?

  Современный IP KVM-переключатель – это устройство, имеющее N входов (консольных портов, к которым физически или по IP-протоколу подключается KVM-консоль, состоящая из клавиатуры, мыши и монитора) и M выходов (портов, к которым подключаются системные блоки управляющих компьютеров). Такая матрица NxM, где N – от 1 до 8 портов, а M – от 8 до 48 портов, позволяет N пользователям одновременно и независимо работать с N из общего множества M подключенных серверов. Это основная функция устройства. Кроме нее производители вкладывают в свои устройства дополнительные функции, которые мы опишем ниже.

Надежность

  Несмотря на то что задача по управлению удаленными серверами в общем случае не является высококритичным бизнес-приложением, производители часто закладывают такой функционал в свои устройства, предназначенные для корпоративного рынка и рынка операторов связи.

  • Резервирование электропитания. В устройство устанавливаются два блока питания, которые могут поддерживать его работу независимо или делить нагрузку. Такая функция повышает как уровень доступности устройства, так и время его жизни за счет снижения нагрузки на каждый блок питания в отдельности, что препятствует выходу блоков из строя.
  • Резервирование сетевого подключения. Два разъема для подключения сети могут использоваться как в режиме горячей замены (с одним IP-адресом), так и в режиме разделения нагрузки (на каждый интерфейс присваивается свой IP-адрес). В режиме с двумя IP-адресами возможен также вариант дизайна, когда один из интерфейсов помещается в специально организованную сеть управления для повышения уровня безопасности решения.
  • Модемный доступ. Некоторые модели, ориентированные для применения в сетях операторов связи, комплектуются еще и последовательным интерфейсом для подключения внешнего модема. При этом, как правило, ПО устройства имеет возможность перезвонить авторизующемуся клиенту (администратору) по заранее утвержденному номеру (что тоже повышает безопасность решения).

Доступность

  Современное KVM-устройство предоставляет простой надежный доступ к органам управления удаленного компьютера. Для организации такого доступа не требуется установка дополнительного ПО. Кроме KVM-интерфейса есть возможность организовать доступ к последовательным интерфейсам, управлению электропитанием, подключать к удаленному компьютеру USB-накопители или имитировать их подключение, подключая вместо них файл образа диска (.iso) или просто папки на локальном компьютере.

  • Многоплатформенность. Возможность через единый IP KVM-переключатель управлять компьютерами с различными платформами и различными ОС (Windows, Linux, Mac and Sun), поддержка различных интернет-браузеров (IE, Mozilla, Firefox, Safari, Opera).
  • KVM-доступ. Доступ к органам управления не требует установки дополнительного ПО как на локальном, так и на удаленном компьютере. И, соответственно, данная функция никак не воздействует на загрузку и стабильность систем, что абсолютно невозможно при примнениипрограммных средств контроля и управления. На локальном компьютере достаточно иметь браузер с поддержкой Microsoft ActiveX или Java. Клиентский интерфейс предоставляет разнообразные возможности по настройке качества изображения, объемов передаваемого трафика, синхронизации мыши, управлению посредством «горячих клавиш» (специальных комбинаций символов, набираемых на клавиатуре для быстрого доступа к имеющимся функциям).
  • Подключение к последовательным портам. Современный IP KVM-переключатель при помощи специального модуля может выполнять функции консольного сервера для управления устройствами через последовательные порты RS-232. Подобные модули представляют собой эмуляторы терминалов типа VT100, VT52 или других стандартных моделей. Таким образом, через единую точку входа можно управлять компьютерами и сетевыми устройствами серверных помещений, а также при желании – телефонными станциями, магистральным оборудованием сетей.
  • Управление электропитанием. Эту функцию с одинаковым правом можно было бы отнести и к разделу «Надежность». Ни одно электронное устройство не гарантировано от потери функциональности, восстановить которую можно только отключив и подключив вновь электропитание. Во все современные устройства, позиционируемые для корпоративного или Телеком-рынков, добавляется возможность подключения дополнительных модулей управления электропитанием. Функционал таких устройств может включать группировку портов, графики включения/выключения, измерение нагрузок, опережающее выключение части портов при работе от ИБП, «мягкое гашение» операционных систем через дополнительные порты RS-232. Безусловно, возможность управлять электропитанием устройств – это одна из самых востребованных функций при решении задач удаленного управления оборудованием.
  • Virtual Media. Подключение USB-накопителей. Картина была бы неполной, если бы единая платформа не предоставляла автономной возможности передачи данных, и такая функция действительно есть. Маркетинговое название Virtual Media намекает на то, что администратор удаленного компьютера может подключить к нему удаленно (виртуально) флэш-накопитель, CD/DVD-диск или другой носитель информации, как если бы он был непосредственно подключен физически. Поскольку в отличие от программных средств KVM-переключатель дает доступ к устройству и в момент его «физической» загрузки, эту функцию можно использовать не только для передачи файлов, установки прикладного ПО, но и для установки ОС в случае их разрушения или на пустые, неподготовленные удаленные компьютеры.
  • Video DynaSync™. Функция считывания переключателем параметров подключенного монитора (EDID), запоминания их и автоматической передачи информации о мониторе на все подключенные сервера для их автоматической подстройки.
  • Mouse DynaSync™. Функция автоматической синхронизации локального и удаленного курсора мыши облегчает работу и избавляет оператора от необходимости донастраивать устройство под каждый сервер.

Безопасность

  Современный уровень ИТ-угроз диктует жесткие требования по средствам безопасности, в том числе и для IP KVM-переключателей. Современный переключатель должен иметь средства аутентификации, авторизации и шифрования, обеспечивающие безопасный защищенный доступ к удаленному оборудованию.

  • Аутентификация. Современные IP KVM-устройства обеспечивают не только локальную аутентификацию, но и способны взаимодействовать с внешними серверами RADIUS, LDAP, LDAPS и MS Active Directory. Широкий выбор средств аутентификации позволяет легко интегрировать устройства в существующие схемы ИТ-безопасности предприятий.
  • Авторизация. Политики сложных паролей, гибкое разграничение прав доступа на уровне порта устройства являются неотъемлемым инструментарием современных IP KVM-систем. Встроенный IP/MAC-файкрвол позволяет сузить возможности для несанкционированного доступа к устройству.
  • Шифрование. Применение высокоэффективных алгоритмов шифрования RSA, DES, AES, SSL в различных комбинациях; шифрование отдельно потоков данных; видео, клавиатуры и мыши, применение публичных и приватных ключей обеспечивает современный уровень защиты.

  Примеры IP KVM-решений на основе оборудования ATEN В зависимости от технических задач потребителей производители стремятся предложить разнообразные решения аппаратного доступа. Рассмотрим варианты решений удаленного KVM-управления на примере оборудования, производимого компанией ATEN. Основные критерии для выбора оборудования, на которых будет базироваться решение, следующие:

  • Какое число независимых администраторов участвует в удаленном управлении ИТ-оборудованием.
  • Какое количество оборудования подлежит управлению.
  • Какие интерфейсы для управления надо обеспечить.
  • Требуемый дополнительный функционал.
  • Взаимное расположение рабочих мест администраторов и ИТ-оборудования, которым они управляют.

Экономичное IP KVM-решение для малых предприятий

  Для управления ИТ-оборудованием серверной малого предприятия достаточно одного администратора. Решение позволяет администрировать оборудование без непосредственного присутствия администратора в серверной – через LAN/WAN/Интернет. Необходимо обеспечить защиту от несанкционированного доступа на ИТ-оборудовании, однако не требуется разграничение прав доступа.

  Пожалуй, самое экономичное решение удаленного доступа – IP KVM-удлинитель + KVM-переключатель (см. рис. 1). С точки зрения безопасности достаточно лишь защищенного доступа на KVM-переключатель, через который возможно управлять группой ИТ-устройств (серверов, маршрутизаторов и т.п.).


Рисунок 1. Схема удаленного управления ИТ-оборудованием серверной

  IP KVM-удлинитель позволит быстро через Интернет по защищенному соединению подключиться к консольному входу KVM-переключателя, а через переключатель – к любому из серверов. Конкретные модели переключателей ATEN, на которых должно быть реализовано данное решение, приведены в таблице 1.

Таблица 1. Варианты решений: IP KVM-удлинитель + KVM-переключатель

 

Компоненты решения

Возможности системы

IP KVM-удлинитель CN6000 + KVM-переключатель CS9134 (4 порта)/CS9138 (8 портов) + устройство управления питанием PN0108

1) Удаленный доступ к BIOS сервера

2) Управление несколькими серверами 4-8 (при каскадировании до 256)

3) Удаленное включение/выключение электропитания устройств/shutdown

IP KVM-удлинитель CN8000 + KVM-переключатель CS1708A (8 портов) CS1716A (16 портов) + устройство управления питанием PN0108

1) Удаленный доступ к BIOS сервера

2) Управление несколькими серверами 8-16 (при каскадировании до 512)

3) Удаленное включение/выключение электропитания устройств/shutdown

4) Функция Virtual Media

 

  Дополнительно подключив к IP KVM-удлинителю устройство управления питанием PN0108, администратор получит инструмент, дающий возможность полноценно удаленно управлять сервером, включая перезагрузку по питанию, и доступом в BIOS.

  Такие решения могут представлять интерес и для компаний, предоставляющих услуги ИТ-аутсорсинга. Установив в серверных клиентов такое оборудование, можно без выезда на место оперативно решать задачи администрирования.

Решение для предприятий с филиалами 

  При использовании IP KVM-переключателей для управления ИТ-оборудованием филиалов достаточно наличия квалифицированного ИТ-персонала только в центральном офисе предприятия.

  ATEN предлагает для таких компаний KVM-переключатели с интегрированным IP-модулем. Это KVM-переключатели линейки корпоративных KVM-решений ALTUSEN™ KH1508i и KH1516i (см. рис. 2).


Рисунок 2. Диаграмма подключения IP KVM-переключателя KH1516i

  К данным KVM-переключателям можно подключить PDU-устройство управления электропитанием PN0108 или использовать в решении IP PDU-устройство удаленного управления электропитанием с интегрированным IP-модулем PN9108.

  Таблица 2. Варианты решений: IP KVM-переключатель + PDU

 

Компоненты решения

Возможности системы

IP KVM-переключатель KH1508i/KH1516i + устройство управления питанием PN0108

1) Удаленный доступ к BIOS сервера

2) Управление несколькими серверами 8-16 (при каскадировании до 128-256)

3) Удаленное включение/выключение электропитания устройств/shutdown

IP KVM-переключатель CS1708i (8 портов)/CS1716i (16 портов) + устройство управления питанием PN0108

1) Удаленный доступ к BIOS сервера

2) Управление несколькими серверами 8-16 (при каскадировании до 128-256)

3) Удаленное включение/выключение электропитания устройств/shutdown

 

  Особенностью решения с использованием KH1508i/1516i является применение модулей KA9520 (PS/2) и KA9570 (USB) для подключения серверов по кабелю KAT5. Данные модули позволяют подключить сервера, расположенные от переключателя в серверной на расстоянии до 40 м.

Решения для ЦОД

  Специфика центров обработки данных – это не только огромное количество оборудования (тысячи ИТ-устройств – серверы, коммутаторы, маршрутизаторы), но и большое число администраторов с различными правами доступа (см. рис. 3).


Рисунок 3. Схема управления ИТ-оборудованием ЦОД,

реализуемая на IP KVM-переключателях и IP PDU

 

  Собственные администраторы ЦОД – должны иметь локальный доступ к оборудованию и определять права доступа для клиентов.

  Клиенты-администраторы собственного оборудования – решение проблем со своим или арендуемым оборудованием, расположенным в ЦОД удаленно.

  Такое разграничение административных прав требует наличия развитой системы аутентификации и авторизации, а большое количество оборудования – системы централизованного управления всеми устройствами.

  Компания ATEN предлагает решение на основе IP KVM-переключателей линейки ALTUSEN: КN2124v/KN2140v/KN4124v/KN4140v (см. рис. 4).


Рисунок 4. Диаграмма подключения IP KVM-переключателя KN4140v

  Переключатели позволяют одному локальному и двум или четырем (зависит от модели) администраторам по LAN, WAN или через Интернет управлять ИТ-оборудованием ЦОД. Устройства обеспечивают доступ к 40 (или 24, в зависимости от модели) серверам и к нескольким сотням – при каскадировании переключателей. Решения на основе IP KVM серии KN позволяют предоставить независимый доступ на каждый порт и легко масштабируются.

  Некоторые важные особенности переключателей КN2124v/KN2140v/KN4124v/KN4140v:

  • две сетевые карты для резервирования доступа по сети или работы с двумя IP-адресами;
  • два блока электропитания, которые могут быть подключены по двум независимым каналам;
  • поддержка различных интерфейсов подключаемых устройств: PS/2, USB, Sun Legacy(13W3) и RS-232;
  • поддержка звука;
  • функция Virtual Media.

  Вопросы централизации управления решаются при помощи системы управления CC2000. Система управления CC2000 обеспечивает удобный централизованный доступ к ИТ-устройствам и управление их работой в удаленных ЦОД или в отделениях компании, которые могут быть расположены в любой точке земного шара.

  Основными достоинствами системы являются:

  • неограниченное число пользователей и устройств;
  • система ролевого доступа и управления (RBAC) с возможностью создавать и определять права на одного и группу пользователей;
  • единый удобный интерфейс, дающий возможность устанавливать доступ к устройству (маршрутизатору, серверу, Ethernet-переключателю и др.) через KVM-порты, последовательные порты;
  • извещения по электронной почте об определенных событиях в системе;
  • регистрация событий и ведение системного журнала для CC2000 и управляемых устройств;
  • мощная система защиты включает как внутренние, так и внешние средства аутентификации.

  Какое решение выбрать – конечно, зависит от объема финансирования и необходимой функциональности. Используя описываемые аппаратные средства, ИТ-администратор получает полный набор необходимых инструментов для удаленного управления оборудованием серверной.

  Применение специализированного оборудования, предоставляющего удаленный физический доступ, намного сокращает время решения проблемы, а иногда является единственным способом восстановить работоспособность систем.