Удаленное управление серверами. Часть 4
Автор
Сергей Грицачук
Как выключить сервер по TCP/IP? В заключение цикла поговорим про удаленное управление электропитанием сетевого оборудования.
Первые три части статьи, надеюсь, убедительно показали, что управлять собственными серверами и прочими сетевыми устройствами можно, даже не приближаясь к серверной комнате. Впрочем, это вряд ли следует назвать откровением: те же убежденные юниксоиды, как правило, никогда не опускаются до управления сервером посредством локальной консоли – только удаленная терминальная сессия. Хотя даже юниксоидам непросто произвести настройки BIOS или заменить загудевший вентилятор, но для решения чисто аппаратных проблем применяются зачастую весьма неординарные решения.
Так, решение проблемы с зависанием любого из двух серверов было сделано с высокой долей юмора и могло считаться изящным: на второй, «живой», сервер подавалась команда открытия лотка оптического привода, который нажимал кнопку RESET на зависшем сервере. Тот, естественно, перезагружался. Похожим образом решалась задача с зависающим сетевым маршрутизатором: использовался внешний оптический привод, чей лоток был механически соединен c выключателем питания. При возникновении проблем достаточно было позвонить на известный номер, соединиться с модемом и затем – с сервером, после чего подачей команд «открыть лоток» – пауза 10 секунд – «закрыть лоток» производилось включение и возобновление подачи электричества на маршрутизатор. Как говорится, голь на выдумки хитра: подобных решений множество, и все они стали порождением безысходности – перезапустить подвисшее устройство методом нажатия кнопки аппаратного сброса или включением/выключением питания можно было только непосредственно, присутствуя рядом с устройством, что в выходной день оказалось бы проблематичным.
Впрочем, большинство системных администраторов, читая описания «вкусностей и полезностей» удаленного управления, и сейчас наверняка скептически ухмыляются, предвкушая ситуацию, в которой хочешь не хочешь, а надо бежать в серверную комнату. Например, к зависшему намертво серверу или сетевому маршрутизатору. Что толку в том, что устройство подключено ко всем средствам удаленного управления, если оно не способно откликаться на команды оператора? В таких случаях спасает только принудительное отключение питания с последующим подключением и перезагрузкой. То есть идем в серверную, выдергиваем из розетки сетевой шлюз, выжидаем положенные пару десятков секунд, включаем вновь и возвращаемся на рабочее место для последующей работы посредством решений для удаленного управления.
На самом деле – так, да не так. Поскольку разработчики средств удаленного управления доступом (УУД) предусмотрели и такой вариант, выпустив устройство, именуемое «Распределитель питания (power distribution unit, PDU) PN9108 с управлением через сеть (Power over the NET)». Именно с его помощью решается задача удаленного управления восемью розетками, каждая из которых может пропускать ток до 10 А, посредством удаленного подключения по протоколу TCP/IP. Применение этого устройства позволяет администратору управлять различными режимами: выполнять включение или отключение питания, назначать отключение/включение по расписанию, системно отключать/перезагружать сервер (shutdown) с любого компьютера, подсоединенного к Интернету, где бы он ни находился.
Если с перезагрузкой, отключением или включением все понятно, то остальные функции требуют более подробного рассмотрения.
Работа по расписанию предусматривает включение и выключение оборудования в строго установленное время, помогая, таким образом, избежать излишних расходов на оплату потребляемой электроэнергии. Кроме этого, можно с легкостью решать некоторые задачи обеспечения безопасности: для устройства, позволяющего устанавливать удаленную сессию подключения к локальной сети, достаточно прописать график включения/отключения питания, что автоматически снимет проблему защиты от несанкционированного доступа в неположенное время.
Отдельного упоминания заслуживает и функция контроля энергопотребления (потребляемой мощности) для подключенного устройства. В первую очередь это защита от перегрузки: короткое замыкание в блоке питания не приведет к срабатыванию защиты на пульте и не отключит всю серверную от энергоснабжения (а такие случаи бывали!). Во вторую – отслеживая потребляемую сервером мощность, оператор может не только зафиксировать момент возникновения неполадок (заклинивший вентилятор, вышедший из режима жесткий диск, перегрев внутри корпуса – любые факторы, вызывающие повышение показателя потребляемой мощности), но и предотвратить появление более серьезных неисправностей.
Кстати, для каждого порта существует и возможность восстановления предыдущего несанкционированному отключению состояния: даже если отключится электроснабжение во всем здании, после его восстановления не придется вручную активировать все устройства. Помимо этого предусмотрена и аварийная схема работы, которая может оказаться востребованной после аварийного отключения электроэнергии или сбоя сетевого устройства (маршрутизатора), обеспечивающего функционирование сети TCP/IP. Традиционно схема построена на основе последовательного порта, к которому можно подключить модем. Системному администратору придется дозвониться до требуемого номера, установить терминальную сессию и получить возможность работы с модулем управления питанием, что позволит, например, произвести перезагрузку зависшего сетевого коммутатора.
Поскольку уже неоднократно упоминалось о возможности выключения серверов, необходимо отметить, что PN9108, помимо средств коммутации электропитания, обладает набором средств для корректного выключения или перезапуска операционной системы. Делается это следующим образом: модуль управления помимо кабеля питания подсоединяется к серверу еще и сигнальным проводом – по нему и передается управляющая команда останова системы. Гарантированная беспроблемная выгрузка операционной системы Windows достигается благодаря применению специальной утилиты. Кстати, благодаря продуманности интерфейса можно не только по отдельности управлять каждой розеткой, но и собрать их в функциональные группы и управлять питанием каждой группы в отдельности.
В некоторых случаях может возникнуть необходимость в расширении системы управления электропитанием или внедрении модуля Power-over-NET в систему, уже оснащенную средствами удаленного управления по сети с протоколом TCP/IP. Для этих целей необязательно приобретать УУД с LAN-интерфейсом, если в системе установлен любой из перечисленных модулей, оснащенный портом PON (RS-232): CN-8000, PN9108, CS1708i или SN0108. Достаточно подключить к любому из них устройство PN0108, чтобы получить те же самые функции, которые предоставляет PN9108. Разумеется, есть возможность организовать и каскадирование с целью охватить множество устройств.
Вот мы и подошли к завершающей стадии нашего цикла по описанию возможностей аппаратного управления серверами и сетевыми устройствами при помощи сети TCP/IP. Благодаря этим
полезнейшим модулям, легко встраиваемым и в стойку и размещаемым вне ее, у любого администратора появляется возможность осуществлять любые манипуляции с обслуживаемыми узлами – от управления подачей электроэнергии до удаленной работы с операционной системой.
И здесь как никогда уместен вопрос: сколько же потребуется дополнительных сетевых кабелей, гнезд на кросс-панели и, конечно же, свободных IP-адресов для данного парка техники, если предположить, что задействованы все типы устройств?
Ответ прост: в такой ситуации минимально – один кабель, один слот и один IP-адрес. Почему? Да потому, что ради удобства в подобной конфигурации целесообразнее приобрести один модуль с возможностью работы по IP, к которому каскадно подсоединить остальные. В таком режиме можно управлять всеми приборами по одному IP. В остальных конфигурациях потребуется столько каналов подключения, сколько есть устройств. Впрочем, это нельзя назвать недостатком, скорее, наоборот: например, управление питанием сетевых маршрутизаторов (если их несколько) настоятельно рекомендуют делать перекрестным, чтобы в случае сбоя отказавший маршрутизатор можно было бы перезапустить, воспользовавшись входом через другой.
Понимая ситуацию, специалисты компании ATEN решили не обижать администраторов, у которых на балансе всего один сервер «три-в-одном», выполняющий все корпоративные функции – от сервера 1С до принт-сервера, и выпустили простое и удобное многофункциональное устройство. KN1000 сочетает практически все описанные выше функции – он содержит и KVM-переключатель, и средство управления устройствами по последовательному порту RS-232, и блок управления питанием. Для одного сервера более чем достаточно.
Но это не означает, что этим возможности устройства исчерпываются: у него предусмотрен разъем для каскадного подключения PON, к которому подсоединяют дополнительные модули – например, блок управления электропитанием или консольный сервер. В зависимости от ситуации можно управлять несколькими компьютерами, если подсоединить KN1000 не к портам сервера, а к KVM-переключателю: тогда количество серверов будет ограничено лишь функционалом выбранного KVM. Разумеется, и управление электрической цепью работает только с одним из них, но иногда и это – очень полезное решение; повторюсь, можно добавить и еще один модуль «розеточного» контроллера PN0108.
Практический минимум, который описан в этом цикле статей, позволит любому IT-специалисту установить без особого труда и настроить собственную схему удаленного управления серверным хозяйством любой сложности: фактически она ограничена только фантазией системного администратора. Основные преимущества такой системы – экономия времени и средств на обслуживание, оперативная реакция на возникающие проблемы, снижение периода простоя и экономия на текущих расходах. Недостатков у подобных решений практически нет (если не считать капиталовложений на приобретение оборудования).
Единственное, на чем бы хотелось акцентировать внимание, – вопросы безопасности. Любые средства управления по сети предоставляют потенциальному злоумышленнику дополнительную лазейку, поэтому необходимо применять все доступные методы защиты от несанкционированного доступа. В первую очередь не следует пренебрегать теми инструментами, которые заложены в самих устройствах, во вторую – организовать дополнительные. При необходимости канал доступа к средствам УУД организуется в отдельном сетевом пространстве, можно применить и VPN-решения. Если планируется создать доступ через Интернет, категорически не рекомендуется назначать корневым устройствам прямой IP-адрес. Также настоятельно советую предусмотреть резервный канал доступа, как сетевой (кабельный), так и модемный – это позволит застраховаться от возможных проблем при отказе основного сетевого маршрутизатора (коммутатора). И наконец, обязательно следует запитать все устройства удаленного доступа от отдельного ИБП, который сможет обеспечить достаточно длительный режим автономной работы – таким образом появится возможность выполнить аварийные работы по пуску/останову устройств даже при длительных перебоях с подачей электроэнергии.
Опубликовано 16.08.2011