L’IPMI (Intelligent Platform Management Interface) est un puissant protocole de surveillance des serveurs que tout administrateur de centre de données devrait connaître. Il permet à quiconque de contrôler entièrement un serveur à distance s’il dispose d’une connexion internet au serveur. Vous vous demandez surement : mais quels en sont les avantages ? Eh bien, vous pouvez utiliser l’IMPI et travailler sur le serveur comme si vous étiez à proximité de ce dernier, alors qu’en réalité vous pourriez être à l’autre bout du monde. Avec des fonctionnalités comme celles que du KVM (Key Vidéo Mouse) à distance, la surveillance du matériel, la santé du serveur avec les rapports d’événements, les lecteurs visuels et bien plus, l’IPMI est l’outil de base pour tous les administrateurs de serveur Supermicro !
L’IMPI utilise une Baseboard Management Controller (BMC). C’est en réalité une petite puce sur la carte-mère qui est conçue spécifiquement pour gérer le serveur. L’avantage du BMC est qu’il est indépendant des autres composants dans le serveur comme le CPU et qu’il possède sa propre interface réseau, ce qui en fait un utilitaire de gestion « Out Of Band ».
Dans cette série de tutoriels, nous parlerons d’abord des bases de l’installation du BMC en utilisant l’implémentation de l’IPMI Supermicro. Dans les prochains articles, nous explorerons des options plus poussées, comme la gestion du serveur en ligne de commande, les mises à jour de firmware, la gestion RAID et plus encore.
Installation du IPMI
Une fois que l’on vous a livré votre étincelant nouveau serveur, il est sage de configure l’IMPI avant de déployer le serveur dans le centre de données ou quel que soit l’endroit où il sera en action. Cela signifie que vous devriez le configurer dès que la réception du colis ou bien que vous devriez demander que les détails IP soient configurés avant la réception du serveur. Nos ingénieurs à Boston peuvent les configurer pour vous. Autrement, si le serveur contient déjà un système d’exploitation (OS) et que vous avez un accès au contrôle, alors il est possible de configurer l’IMPI, après l’installation, à partir de l’OS.
Il serait aussi de noter dès maintenant le mot de passe unique IMPI inscrit sur la carte-mère du serveur ou sur l’étiquette d’identification. Nous reviendrons sur les mots de passe plus tard.
Premièrement, l’IMPI a besoin d’une connexion internet. Pour des raisons de sécurité, il est recommandé d’utiliser une connexion non tournée vers l’internet pour l’IMPI afin d’isoler le débit en interne uniquement. La plupart des serveurs possèdent soit un port LAN IMPI dédié, soit un port partagé IMPI et LAN ordinaire. Le port partagé a deux adresses MAC pour acheminer le trafic afin de permettre tant à l’IMPI qu’au port LAN ordinaire de communiquer indépendamment sur le réseau.
Port dédié au IPMI versus port commun LAN/IMPI
Par défaut, l’IMPI utilise le DHCP (Dynamic Host Configuration Protocol). Une adresse devra donc être attribué par le serveur DHCP, s’il en existe une sur le réseau. Avoir une adresse IP fixe est l’une des premières choses que vous devriez faire afin d’éviter que le changement adresse n’entraine une perte d’accès. Nous vous expliquerons comment plus bas.
L’adresse IP BMC apparaît dans le coin inférieur droit pendant le POST.
Une alternative existe. Il suffit d’appuyer sur la touche DEL pendant le POST pour entrer dans le BIOS puis naviguer jusqu’à IMPI > BMC Network Configuration. Ici, vous pouvez voir l’adresse IP et configurer les paramètres tels qu’une adresse IP fixe et une passerelle. Dans l’exemple ci-dessous, nous avons défini une IP fixe en choisissant ‘Update IMPI LAN Configuration’ et en modifiant l’IP, le Subnet Mark et la Gateway. Après avoir enregistré et redémarré, la nouvelle adresse sera appliquée.
Adresse IP localisée dans « IMPI > BMC Network Configuration » dans le BIOS.
A ce stade, le serveur entier est prêt au contrôle à distance !
Se connecter au serveur
Nombreuses sont les façons de se connecter à l’interface BMC. Les interfaces web ainsi que les logiciels basés sur l’interface graphique sont les options plus simples ; les plus avancées se basent sur la ligne de commande (CLI) en utilisant différents outils IMPI de Supermicro. Dans la Partie 1 de cette série d’articles, nous analyserons l’interface WEB IMPI de Supermicro.
Pendant plusieurs années, Supermicro a utilisé une interface graphique web plutôt dépassé par rapport aux normes actuelles. Récemment, ils ont mis à niveau la plateforme de manière significative et utilisent à présent la norme OpenBMC. Il s’agit d’un BMC plus récent, à code source ouvert plus simple à développer et à enrichir en paramètres. En outre, cette plateforme est plus sécurisée que l’ancienne version fermée de BMC qui a connu plusieurs problèmes de sécurité par le passé.
Comme vous l’avez compris, la sécurité est intérêt primordial quand il s’agit d’une puce qui peut permettre à un utilisateur d’accéder à la quasi-totalité du serveur à distance.
Par-delà la mise à jour d’OpenBMC, Supermicro a introduit une nouvelle interface web plus belle et plus facile à naviguer. L’interface graphique mise à jour est utilisée dans quelques serveurs de Supermicro plus récents, utilisant les plateformes X12 et H12 (Intel Xeon Scalable et AMD EPYC). C’est cette interface auquel nous jetterons un œil aujourd’hui.
Que vous soyez sur un serveur commun ou routable et qu’il s’agit de celui auquel le BCM est connecté, il vous suffit d’ouvrir un navigateur web et de saisir l’adresse IP pour obtenir l’écran ci-dessous.
Ecran d’identification IMPI
Par défaut, le mot de passe est ADMIN/ADMIN mais ceci a évolué vers un mot de passe à usage unique ces dernières années. Le mot de passe à usage unique signifie que si vous ne protégez pas votre serveur avec un mot de passe personnel, il est moins probable qu’un intrus puisse le découvrir par hasard et accéder au système. Ce mot de passe se trouve sur l’étiquette amovible du serveur, généralement placé à l’avant du serveur. Il est également imprimé sur la carte-mère, sur un autocollant muni d’un code-barres.
Etiquette de service du serveur indiquant l’adresse MAC du BMC et le mot de passe à usage unique.
Adresses MAC IMPI et mot de passe à usage unique imprimée sur la carte-mère
L’interface graphique web
Une fois connecté, la page d'accueil / tableau de bord offre un résumé de l'état du serveur et un accès rapide à certaines fonctions utiles. Ces liens se trouvent en haut de l'écran et vous permettent d'accéder à d'autres sections : Système, Stockage, Contrôle UID, Mise à jour du Firmware et Lectures des capteurs.
Le tableau de bord
Rien que sur le tableau de bord, vous disposez d’informations telles que les révisions du BIOS et du firmware, les adresses IP et MAC et les informations sur le nom d’hôte. Vous y trouverez également un résumé et un graphique de la consommation d’énergie récente et des journaux d’événements récents. Il y a même un accès rapide pour lancer le contrôle à distance et voir un petit aperçu de ce qui est actuellement à l’écran. Ceci vous donnera le contrôle KVM (clavier/souris/écran) du serveur (nous y reviendrons plus tard). Ici, l’option est d’utiliser Java ou le nouveau HTLM5. Selon moi, HTLM5 est plus rapide à lancer et offre une expérience bien plus fluide, sans compter qu’il n’est pas nécessaire d’installer Java sur votre machine locale ; ce que de nombreux professionnels de l’informatique préfèrent ne pas faire.
Les raccourcis mentionnés précédemment en haut du tableau de bord vous mèneront à des sous-catégories pertinentes de l’interface graphiques.
Le système
Dans la section dédiée au Système, la première sous-catégorie est ‘Component Info’ (Informations du composant). Dans cette section, vous pourrez voir bon nombre d’informations intéressantes à propos du serveur. L’Overview (Vue globale) contient un inventaire d’informations utiles telles que les codes produits, les étiquettes d’actifs et les numéros de série, etc.
Vue globale
En outre, en haut de l’écran, vous pouvez voir différentes catégories de composants, vous permettant de vérifier rapidement si un composant signale un problème ou nécessite une maintenance ; ceci est indiqué avec une coche verte ou rouge. Par exemple, si vous avez un module de mémoire défectueux, l'icône de la mémoire aura une coche rouge et un clic sur cette icône vous montrera le module spécifique qui est en panne.
Pour toutes les catégories, vous pouvez voir l’ensemble des composants installés : le CPU, les alimentations, les cartes réseau et les cartes graphiques. Ces derniers vous signaleront si un problème est survenu. Dans la section des ventilateurs, vous pouvez vérifier l’état et la vitesse de ces derniers et définir un des modes suivants :
- Standard – Fournir la vitesse standard du ventilateur
- Turbo – Refroidissement maximal
- Optimal – Vitesse du ventilateur et consommation d’énergie équilibrées en fonction de la température détectée des composants.
- Heavy I/O – Renforcement du refroidissement dans la zone des cartes d’extension.
Contrôle des ventilateurs
Un autre point essentiel repose sur les révélés de puissance, utile afin de voir la quantité d’énergie consommé et les données histoires.
Données de la puissance IMPI
La section Sensor est un outil essentiel de l’IMPI pour la surveillance de votre serveur. Elle affiche entre autres une série de températures pour les CPU, la mémoire, les NICS et les SSD. Les tensions seront également affichées ainsi que les autres états de composants comme la vitesse des ventilateurs, l’état de l’alimentation et plus encore. Il s’agit donc d’un outil très utile pour obtenir un aperçu de la santé du système.
Lecteurs du Sensor
La section suivante est la ‘Health Event Log’. Ceci vous montera des registres simples tels que le démarrage d’un système d’exploitation, le retrait d’un lecteur de disque ou l’intrusion dans le châssis (sécurité). La défaillance des composants constitue d’autres registres beaucoup plus utiles. Vous pouvez avoir un événement pour une panne de ventilateur ou pour un DIMM de mémoire défectueux. L’événement indique aussi le composant exact qui est tombé en panne (par exemple, PS1 pour Power Supply 1 dans un serveur contenant 2 PSU) ; un élément utile lorsque des pièces doivent être retirées pour des raisons de RMA.
Exemple de panne d’alimentation
Les événements sont classés par importance allant du rouge (alerte critique) au vert (information générale).
Journal des événements de santé
En fin de compte, la section Système contient aussi ‘Storage Monitoring’. Il s’agit d’une fonction très utile qui vous permet de surveiller des lecteurs tels que les disques durs, les disques SSD et même les lecteurs NMVe. Vous pouvez obtenir un aperçu général de l’état de santé ainsi que des vues physiques et logiques des supports de stockage. Les vues logiques s’afficheront une fois que vous aurez créé des volumes RAID. Enfin, dans la « Controller View », vous pouvez observer et gérer le contrôleur RAID dédié, comprenant la création de volumes RAID et la gestion de micrologiciel. Nous examinerons ces fonctions plus en détail dans un prochain module
Aperçu général du contrôle de stockage
Vue physique du contrôle de stockage
Configuration
L’onglet Configuration est l’une des prochaines sections principales. Cette dernière est liée aux nombreux paramètres qui peuvent être configurée dans l’IMPI.
Dans ‘Account Services’, vous pouvez créer des utilisateurs avec des droits d’administrateurs ou inférieurs et créer des règles de « verrouillage » pour les tentatives de connexion échouées.
Utilisateur IMPI et Contrôle d’Identification.
‘Under Directory Service’ permet un contrôle d’accès plus précis. Vous pouvez y établir un lien vers un service Active Directory et donc configurer les protocoles d’authentification LDAP et RADIUS.
Configuration LDAP, Active Directory et RADIUS
D’autres puissantes fonctions de surveillance d’IPMI peuvent être configurées dans la section Notifications. Cela permet aux administrateurs de configurer des alertes qui peuvent envoyer des informations concernant certains événements tels que l’état du serveur, les défaillances de certain composant ou les tentatives d’accès à l’IPMI, pour ne citer que quelques exemples. Ces alertes peuvent utiliser le protocole Redfish, les trappes SNMP avec un serveur de réception capable de recevoir les alertes ou bien cela peut être configuré avec le SMTP pour recevoir des alertes par mail.
Configuration des alertes
La section suivante dans ‘Configuration’ est ‘Networks’ dans laquelle on peut y configurer les paramètres réseau pour la connexion IPMI. La définition d’une IP statique est primordiale pour l’IPMI et c’est ici précisément qu’elle peut être configurée, au même titre que le BIOS comme on l’a vu précédemment. Vous pouvez également définir ici le nom d’hôte de chaque serveur pour les différencier et vous connecter à un VLAN si nécessaire. Vous pouvez aussi spécifier quel port LAN doit être utilisé. Par exemple, si vous ne souhaitez pas connecter un câble LAN au port IDMI dédie, vous pouvez partager la connexion LAN1 pour le trafic réseau et IPMI. Aucune inquiétude, les deux sont toujours séparés car l’IPMI a sa propre adresse MAC, il n’y aura donc aucune interférence entre les deux connexions. L’autre option est le Failover (Basculement), et c’est ici que vous pouvez utiliser le port IMPI dédié mais s’il ne parvient pas à se connecter pendant le démarrage pour une raison quelconque, l’IPMI se déplacera sur le LAN1.
Configuration du réseau IPMI
Les ports réseaux peuvent aussi être modifiés, ce qui procure plus de sécurité en utilisant des valeurs par défaut pour des protocoles tels que le SSL, l’IKVM, le SSH et bien d’autres. Cela peut contribuer à atténuer les attaques sur les ports connus. L'accès IP peut également être configuré de sorte que seules certaines adresses IP puissent accéder à l'IPMI. D’autres fonctions de sécurité permettent de configurer des certificats SSL avec des clés privées afin de restreindre davantage l’accès et fournir une sécurité renforcée. Ce sont tous des facteurs importants et chacun d’entre eux doivent être considéré avec attention, car une intrusion à l’IMPI serait désastreuse pour n’importe quelle structure du serveur.
Dans la section « Virtual Media », vous pouvez ajouter des périphériques utilisables sur le serveur, comme un module de stockage ou un fichier .iso à utiliser comme support pour l’installation d’un système d’exploitation. Dans l’image ci-dessous, vous verrez que j’ai entré le chemin d’accès à l’ISO stocké sur un stockage réseau partagé. Ainsi, l’image suivant montre que l’ISO peut être vu comme un périphérique de démarrage (CDROM virtuel) en utilisant sur F11 pendant le POST. Si on démarre d’ici, on peut installer un système d’exploitation comme si un support local était attaché au serveur
Ajouter un ISO dans le Media Virtuel
L’ISO attaché apparaît maintenant dans la chaîne de démarrage
L’ultime section dans ‘Configuration’ sont les paramètres BMC directement en lien avec le BMC (Baseboard Management Controller, soit la puce IPMI). Les éléments à remarquer sont la Date et l’Heure ; vous pouvez utiliser un serveur NTP pour vous assurer que la date et l’heure sont toujours synchronisées.
Utilisation un serveur NTP pour la Date et le Temps
Vous pouvez également enregistrer la configuration IMPI actuelle dans un fichier dans une optique de sauvegarde, ce qui est utile si vous devez réinitialiser le BCM ou si la carte mère est remplacée. Dans la session Web, vous pouvez définir le délai d’expiration de la connexion IPMI après une période d’inactivité, une bonne pratique de sécurité qui est réglée par défaut à 30 minutes.
Contrôle à distance
L'une des grandes caractéristiques de l'IPMI est la possibilité de contrôler entièrement le serveur comme si vous étiez à proximité de ce dernier. Un outil d'administration effectivement puissant !
Options de contrôle à distance de l’IPMI
Vous pouvez lancer la console en utilisant Java ou la nouvelle version d’HTML5. Pour une expérience plus fluide, nous recommandons la dernière version d’HTML5, moins sujette aux problèmes du fait qu’il n’est pas nécessaire d’installer Java en local, ce qui peut être une restriction pour des raisons de sécurité. La seule difficulté résulte dans le fait que la console HTML5 ne prend pas en charge l’ajout de médias virtuels par défaut. Pour y remédier, il suffit de mettre à jour la licence de Supermicro ; nous parlerons davantage des caractéristiques de la licence dans un prochain article.
La console se lance simplement en appuyant sur le bouton Launch Console pour l’interface sélectionnée. La console Java nécessite le téléchargement et l'exécution d'un petit fichier JNLP (Java Network Launching Protocol). Les éléments à noter ici sont les médias virtuels où vous pouvez ajouter des médias comme dans l'interface Web. De ce fait, vous pouvez ajouter un ISO local depuis votre machine et installer un système d’exploitation de cette façon, par exemple. Sous Macro, il y a quelques raccourcis utiles dont vous aurez besoin, comme CTRL-ALT-DEL, si vous devez faire de telles entrées. Dans Préférences, vous pouvez définir diverses options d'affichage, de saisie et de langue, mais nous n’avons jamais ressenti le besoin d’y faire de grandes modifications. Power Control fait ce qu’il dit sur la boîte et est très utile pour s’éteindre en toute sécurité (en utilisant l’option d’arrêt logiciel), forcer un arrêt, effectuer une mise sous tension, etc.
Console JAVA avec stockage virtuel sélectionné
Quant à la console HTML, elle se lancera simplement dans un navigateur. Plus réactive et plus rapide à lancer, elle constitue la voie à suivre pour IMPI KVM. Les options ici sont sensiblement identiques à l’exception de l’absence de Virtual Media en fonction de votre licence IPMI.
Console IMPI HTML5
Maintenance
La section finale de cet article portera sur l’onglet « Maintenance ».
Maintenance IPMI onglet Firmware Management
Dans cet exemple, nous montrerons comment mettre à jour le firmware du BMC IPMI. Comme vous pouvez le voir dans l’image ci-dessus, l’option par défaut est de préserver les paramètres IPMI actuels, mais vous pouvez choisir de les désélectionner. Typiquement, les paramètres peuvent être préservés ici. Après avoir cliqué sur 'Next', vous pouvez sélectionner le fichier du firmware (téléchargé sur le site web de Supermicro ou obtenu auprès de votre revendeur) et appuyer sur 'Upload'. Une fois le téléchargement terminé, le logiciel affichera la version existante et la nouvelle version à installer.
Mise à jour firmware IPMI
En bas de page, on remarque que l’IPMI est en mode ‘Firmware Update’ (Mise à jour du firmware), il est recommandé de ne pas utiliser d’autres fonctions de l’IPMI à ce moment. Après avoir cliqué sur "update", la mise à jour commencera et vous serez informés de sa progression grâce à une roue de progression. Une fois la mise à jour effectuée, vous pouvez vérifier la version du firmware sur le tableau de bord ; ici nous observons une mise à jour réussie à 01.00.17:
Tableau de bord indiquant la dernière version du firmware IPMI
Dans la section Troubleshooting, des crash dumps peuvent surgir en cas de blocage ou d’écran bleu du serveur. Ces données peuvent être envoyées pour analyse à Supermicro ou à votre revendeur pour essayer d'identifier tout problème matériel.
BMC Reset est exactement ce qu'il semble être, s'il y a des problèmes avec IPMI, c'est ici que vous pouvez le réinitialiser ou même faire une réinitialisation d'usine pour effacer complètement tous les paramètres existants. Par conséquent, il est conseillé de tout effacer et de changer l'adresse IP du contrôleur BMC.
Le "Maintenance Event Log" affichera les rapports liés aux interactions de la BMC, tels que les tentatives de connexion Web, les mises à jour de firmware, les événements d'alimentation et d'autres éléments liés aux paramètres et à la sécurité.
Comme il est mentionné précédemment, l’IPMI possède certaines fonctionnalités disponibles uniquement avec la ou les licences correspondantes. Si vous achetez une licence, l'onglet ‘Licence Activitation’ est l'endroit où vous pouvez l'appliquer. Une fois achetée, il suffit d'entrer la clé ici pour l'appliquer au BMC des serveurs.
Conclusion
Nous espérons que cela vous a donné un bon aperçu de la nouvelle interface IPMI et de ce que vous pouvez faire avec cette dernière. Il s'agit d'un outil particulièrement utile pour les administrateurs de serveurs, car il permet de contrôler le système à distance. Mais ce n'est que le début, dans les prochains articles, nous examinerons l'interface en ligne de commande. Elle nous permet d’effectuer tout ce que nous avons montré aujourd'hui, ainsi que d'autres fonctions telles que la gestion du stockage, la gestion des groupes de serveurs et les options de licence sans utiliser d’interface graphique
Gardez un œil sur notre blog et nos réseaux pour la partie 2 de la série « How to » Supermicro IPMI !
Tags: ipmi, supermicro, series, interface, gui
