IPMI

Вступление

В этой статье представлен обзор, некоторые руководства и примеры для интерфейса IPMI.

IPMI (Intelligent Platform Management Interface) — это интерфейс для управления и администрирования серверов. Он реализован с помощью BMC (контроллера управления основной платой) материнской платы. Вы можете получить доступ к этому интерфейсу через программу командной строки (например, IPMItool) или через веб-интерфейс, с помощью которого вы можете администрировать сервер. Вы можете выполнить сброс, запустить KVM и прочитать выходные данные датчиков материнской платы.

Информация Hetzner IPMI

Из-за множества проблем с безопасностью в прошлом, вызванных уязвимостями в прошивке производителей, а также из-за количества времени, которое производители потратили на исправление этих проблем, мы решили в 2019 году прекратить возможность получения дополнительных модулей IPMI или KVM. установлен на выделенных корневых серверах. Исключение составляют выделенные серверы DELL и серверы торгов DELL. Для этих серверов мы также оставляем запасные модули IPMI на случай отказа.

Обзор модели

Если вы не уверены, какая модель сервера является основой вашего серверного продукта, не стесняйтесь обращаться в службу поддержки.

  • PX60 (-SSD) / PX70 (-SSD) — BMC включает IPMI (KVM-over-IP как дополнительный платный модуль)
  • PX90 (-SSD) / PX120 (-SSD) — BMC включает IPMI и KVM
  • PX91 (-SSD) / PX121 (-SSD) — платный дополнительный модуль BMC с IPMI / KVM

Активация сетевого интерфейса

Со встроенным BMC конфигурация сети по умолчанию отключена. Чтобы использовать функцию IPMI и последовательного интерфейса через LAN и / или KVM, вам необходимо заказать дополнительный IP-адрес (за небольшую плату) через Robot .

Важно: вам необходимо указать MAC-адрес BMC при заказе дополнительного IP-адреса.

Вы можете прочитать MAC-адрес с помощью IPMItool (см. Сеть ). После того, как мы предоставим вам IP-адрес, вы можете статически настроить или назначить его BMC через DHCP.

Правила техники безопасности

Если BMC становится доступным путем присвоения ему общедоступного IP-адреса, он может быть атакован и при определенных обстоятельствах подвергаться злоупотреблениям, что может привести к компрометации сервера. Поэтому следует принимать меры по противодействию наиболее известным сценариям атак. Чтобы узнать больше об этих атаках, прочтите о наборе инструментов проникновения Metasploit ( https://community.rapid7.com/community/metasploit/blog/2013/07/02/a-penetration-testers-guide-to-ipmi ).

Материнская плата, используемая в моделях PX60 и PX70, не уязвима для опций, описанных в ссылке, поскольку некоторые механизмы защиты уже установлены по умолчанию. Как правило, вам следует изменить пароли по умолчанию и отключить или переименовать уже существующих пользователей. По умолчанию на всех моделях анонимный доступ отключен. Другие векторы атак и их предотвращение описаны в следующих пунктах.

Текущие угрозы

Уязвимости

Поскольку BMC, обеспечивающий функциональность IPMI, представляет собой просто программное обеспечение, в нем могут быть уязвимости.

PX90 / PX120

Для материнских плат моделей PX90 / 120 (Supermicro X9SRi-F) в версии прошивки 2.14 была обнаружена уязвимость, позволяющая читать имена пользователей и пароли в виде обычного текста. Если на вашем сервере установлена ​​эта прошивка, перед активацией сетевого интерфейса необходимо обновить прошивку.

Версию прошивки можно узнать с помощью impitool:

ipmitool mc info
...
Firmware Revision         : 3.50

Если вы уже активировали сеть IPMI, вы можете выполнить обновление через веб-интерфейс. Вы можете найти последнюю версию на download.hetzner.de (учетные данные для входа см. В подготовительной почте вашего сервера (ов)).

В качестве альтернативы также возможно обновление с Linux, если сеть IPMI не была активирована:

wget http://mirror.hetzner.de/tools/Supermicro/tools/SMT_X9_350.tgz
tar -xzf SMT_X9_350.tgz
cd SMT_X9_350
./lUpdate -f SMT_X9_350.bin

Обратите внимание, что это обновление применимо только к PX90 и PX120.

PX91 / PX121

Дополнительный модуль KVM для моделей PX91 и PX121 (Asus Z10PA-U8) использует небезопасные протоколы SSL и устаревший сертификат SSL в версиях до 1.11.

Таким образом, в зависимости от используемого вами браузера безопасные (HTTPS) соединения могут быть недоступны до тех пор, пока вы не выполните обновление.

Вы можете загрузить обновление через веб-интерфейс, а текущую прошивку можно найти на сайте download.hetzner.de (учетные данные для входа см. В сообщении электронной почты вашего сервера (ов)).

Cipher 0 Атаки

Шифр 0 означает, что шифрование не используется, и, таким образом, аутентификация не выполняется. По умолчанию Cipher 0 активирован только на материнской плате для обратного вызова, то есть вход в систему невозможен; вы можете получить только ответ, есть ли BMC или нет. Даже при этом, чтобы гарантировать отсутствие злоупотреблений, Cipher 0 по умолчанию отключен при доставке сервера и, следовательно, больше не может использоваться.

Передача хеша пароля

В спецификации IPMI аутентификация пользователя возможна только на стороне пользователя. Поэтому хеш пароля передается всем запрашивающим пользователям. Поскольку он точно указывает, что содержит этот хэш, можно найти пароль с помощью атаки грубой силы. Поскольку это часть спецификации IPMI, эта проблема встречается на всех BMC и может быть решена только путем изменения спецификации. Поэтому единственная текущая рекомендация по этой проблеме — использовать действительно длинный и надежный пароль для BMC, чтобы сделать его как можно более трудным для любых злоумышленников. Если для BMC используется короткий или легко угадываемый пароль, его можно взломать в течение нескольких часов или даже минут.

Вот несколько советов по созданию безопасного пароля:

Если вам нужно сделать пароль легко запоминающимся, имеет смысл объединить несколько слов, не связанных друг с другом ( http://correcthorsebatterystaple.net/ ). Это безопасно из-за длины, и все же легко запомнить.

Если вы планируете хранить пароль в базе данных и вам не нужно его запоминать, вы можете использовать достаточно случайные числа и буквы разумной длины (> 30 символов) для создания безопасного пароля.

Отражение SNMP

Несколько модулей IPMI (например, ASMB8-iKVM в моделях PX91 и PX121) разрешают запросы через SNMP. Следовательно, небольшой запрос может привести к потере большого количества данных, если запрос с исходного адреса будет неправильно использован в атаке. Если вы используете SNMP, вам необходимо обязательно использовать надежный пароль (что означает использование строки сообщества SNMP). Если вы не используете SNMP, вы можете использовать брандмауэр, чтобы заблокировать этот порт на модулях ASMB8-iKVM моделей PX91 и PX121. Вы можете использовать веб-интерфейс для выполнения обоих вариантов.

Объяснение отдельных функций

Веб интерфейс

Веб-интерфейс можно использовать для простого и безопасного чтения данных из BMC. Он отображает все датчики, пользователей можно добавлять и изменять, можно настроить конфигурацию сети, и, если у вас есть KVM, ее можно запустить.

Системная информация: на этой странице вы можете найти некоторую информацию о вашем сервере (версия BIOS, текущий статус, информация о ЦП и ОЗУ) и увидеть пользователей, которые в настоящее время вошли в систему.

Состояние сервера: здесь вы можете увидеть выходные данные отдельных датчиков на материнской плате и в процессоре. Если есть какие-либо тепловые проблемы, вы можете их обнаружить здесь. Кроме того, есть журнал событий. В журнале можно найти системные события, такие как критические температуры, перезагрузки и троттлинг процессора. Это может помочь вам диагностировать потенциальную проблему. Страница Power Statisticsне работает с этой моделью, потому что блок питания не имеет необходимого интерфейса PMBUS.

Конфигурация: здесь вы можете настроить многие параметры BMC. Параметры сети обычно не требуется изменять, поскольку конфигурация для IPv4 устанавливается автоматически через DHCP. Вы можете вручную настроить IPv6, но использование шлюза по умолчанию Hetzner fe80::1будет возможно только в будущих версиях прошивки. Вы также можете добавлять сюда новых пользователей, а также изменять и удалять существующих. Кроме того, эта опция Alertsпозволяет вам получать уведомления по SNMP или по электронной почте, когда на сервере происходят определенные события. Это может быть полезно для мониторинга сервера.

Удаленное управление: на этой странице вы можете использовать KVM-функции BMC. Однако опция Console Redirectionдоступна только в том случае, если вы активируете дополнительный модуль. Всегда можно использовать Server Power Control. Это позволяет вам отправить на сервер аппаратный и программный сброс; вы также можете выключить его или запустить.

Конфигурация

В этом разделе показаны некоторые основные параметры конфигурации. Обычно вы можете использовать веб-интерфейс BMC. Также рекомендуется установить ipmitool, который можно установить через диспетчер пакетов всех основных дистрибутивов. Это дает вам доступ к дополнительным функциям, которые нельзя настроить через веб-интерфейс.

Пример для Debian:

Установка через менеджер пакетов:

apt install ipmitool

Для ipmitoolнормальной работы вам необходимо загрузить следующие модули через modprobe:

modprobe ipmi_devintf
modprobe ipmi_si

Чтобы проверить, все ли важное было правильно загружено и установлено, используйте следующий пример команды, которая покажет вам данные со всех доступных датчиков:

ipmitool sensor list

Пользователи

На BMC можно создать несколько пользователей с разными правами. После создания нового пользователя с правами администратора ipmitoolчерез веб-интерфейс вы можете управлять большим количеством пользователей. Существует 4 различных уровня прав / разрешений:

  • Обратный вызов (1) : может только инициировать обратный вызов
  • Пользователь (2) : может отправлять запросы только для чтения, но не может изменять файлы конфигурации.
  • Оператор (3) : может изменять все конфигурации, кроме деактивации канала и изменения прав.
  • Администратор (4) : может изменять все конфигурации

Обычно один или несколько пользователей уже существуют. Обзор существующих идентификаторов пользователей и логинов можно получить через:

ipmitool user list 1

В моделях PX90 / PX120 активный пользователь с правами администратора уже существует:

ID  Name             Callin  Link Auth  IPMI Msg   Channel Priv Limit
2   ADMIN            false   false      true       ADMINISTRATOR

В модулях BMC / KVM моделей PX91 / PX121 есть два активных пользователя с правами администратора:

ID  Name             Callin  Link Auth  IPMI Msg   Channel Priv Limit
1                    false   false      true       ADMINISTRATOR
2   admin            false   false      true       ADMINISTRATOR

В моделях PX60 / PX70 есть 5 стандартных неактивных пользователей. Все они могут быть изменены, кроме первого.

ID  Name             Callin  Link Auth  IPMI Msg   Channel Priv Limit
1                    true    false      true       ADMINISTRATOR
2   root             false   true       true       ADMINISTRATOR
3   test1            true    false      true       ADMINISTRATOR
4   test2            true    false      true       ADMINISTRATOR
5   test3            true    false      true       ADMINISTRATOR

ID пользователя root (или ADMIN) должен быть деактивирован и, по возможности, переименован после создания пользователя-клиента и перед активацией конфигурации сети.

Измените имя для входа через ipmitool:

ipmitool user set name 2 john-doe

Чтобы создать нового пользователя, просто назначьте имя ранее неиспользованному идентификатору. Процедура здесь идентична изменению логина ID. Удаление идентификаторов возможно только путем изменения настроек BMC.

Создайте нового пользователя:

ipmitool user set name 6 max+meier

После этого установить пароль следует:

ipmitool user set password 6 Correct-Battery-Horse-Staple

Теперь активируйте доступ для этого пользователя:

ipmitool channel setaccess 1 6 link=on ipmi=on callin=on privilege=4

Активируйте самого пользователя:

ipmitool user enable 6

Чтобы изменить пароль пользователя, просто введите следующую команду:

ipmitool user set password 6 Battery+Staple-Horse$Correct

Наконец, вы можете отключить администратора по умолчанию:

ipmitool user disable 2

Сеть

Чтобы сделать BMC доступным через Интернет, вам необходимо заказать для него дополнительный (платный) IP-адрес через Robot. Вы можете выполнить настройку IPv4 BMC вручную или через DHCP с помощью ipmitool. Вы можете внести изменения в эту конфигурацию с помощью веб-интерфейса, перейдя в Configuration / IPv4 Network. В настоящее время вы не можете использовать IPv6. Конфигурация с IPv6 станет доступна позже в веб-интерфейсе.

Вы можете установить начальную конфигурацию, используя ipmitool. Соответствующий канал IPMI зависит от материнской платы и интерфейса, который вы хотите настроить.

Общий порт LAN основного IP:

  • PX60 / 70/90/120 и SX131 / 291: канал 1
  • PX91 / 121: канал 8

Чтобы отобразить текущую конфигурацию и MAC-адрес BMC, используйте следующую команду:

  • PX60 / 70/90/120 и SX131 / 291:
  • ipmitool lan print 1
  • PX91 / 121:
  • ipmitool lan print 8

Как показано выше, set 8следует использовать, а не set 1для этой и всех других команд для моделей PX91 и PX121.

Чтобы получить IP-адрес через DHCP, используйте следующую команду:

ipmitool lan set 1 ipsrc dhcp

Если вы хотите использовать статическую конфигурацию по умолчанию, введите:

ipmitool lan set 1 ipsrc static

Чтобы установить IP-адрес, введите:

ipmitool lan set 1 ipaddr <IP address>

Чтобы установить маску сети, введите:

ipmitool lan set 1 netmask <netmask>

Чтобы установить IP-адрес шлюза, введите:

ipmitool lan set 1 defgw ipaddr <gateway IP address>

Последовательный через LAN

Чтобы активировать SOL (Serial over LAN), введите следующую команду:

ipmitool -C 3 -I lanplus -H <ipaddr> -U <user> -P <pass> sol activate

Использование набора шифров 3 необходимо (если это не по умолчанию), потому что в LANplusпротивном случае связь через посредство невозможна.

Если появляется следующее сообщение об ошибке, вам необходимо активировать SOL для пользователя:

ipmitool -C 3 -I lanplus -H <ipaddr> -U <user> -P <pass> sol activate
Info: SOL payload disabled
ipmitool -C 3 -I lanplus -H <ipaddr> -U <user> -P <pass> sol payload enable <channel> <user-id>

После этого вы можете увидеть вывод BIOS. Для доступа к загрузчику и / или загруженной системе требуются дополнительные настройки.

GRUB2

Для GRUB2 просто измените некоторые строки, чтобы они соответствовали приведенным ниже, /etc/default/grubи заново сгенерируйте настройки.

В PX90 / 120 (Supermicro X9SRi-F) последовательная консоль включена ttyS2/unit=2. На PX91 / 121 (Asus Z10PA-U8) он включен ttyS1/unit=1. А с PX60 / 70 (Intel S1200V3RPL) он включен ttyS0/unit=0. Также следует отметить, что скорость передачи данных должна быть установлена ​​на 57600 для PX91 / 121 и 115200 для всех остальных.

PX60 / 70

GRUB_CMDLINE_LINUX_DEFAULT="nomodeset console=tty0 console=ttyS0,115200n8"
GRUB_TERMINAL=serial
GRUB_SERIAL_COMMAND="serial --speed=115200 --unit=0 --word=8 --parity=no --stop=1"

PX90 / 120, SX131 / 291

GRUB_CMDLINE_LINUX_DEFAULT="nomodeset console=tty0 console=ttyS2,115200n8"
GRUB_TERMINAL=serial
GRUB_SERIAL_COMMAND="serial --speed=115200 --unit=2 --word=8 --parity=no --stop=1"

PX91 / 121

GRUB_CMDLINE_LINUX_DEFAULT="nomodeset console=tty0 console=ttyS1,57600n8"
GRUB_TERMINAL=serial
GRUB_SERIAL_COMMAND="serial --speed=57600 --unit=1 --word=8 --parity=no --stop=1"

GRUB (grub-наследие)

Для GRUB1 (grub-legacy) добавьте следующие строки в /boot/grub/menu.lstor /boot/grub/grub.conf(CentOS):

PX60 / 70

serial --unit=0 --speed=115200 --word=8 --parity=no --stop=1
terminal --timeout=5 serial console

PX90 / 120, SX131 / 291

serial --unit=2 --speed=57600 --word=8 --parity=no --stop=1
terminal --timeout=5 serial console

PX91 / 121

serial --unit=1 --speed=115200 --word=8 --parity=no --stop=1
terminal --timeout=5 serial console

В то же время тот же последовательный порт необходимо добавить в параметры загрузки ядра. Это ttyS0 с PX60 / 70, ttyS1 с PX91 / 121 и ttyS2 с PX90 / 120.

console=tty0 console=ttyS0,115200n8

Это указывает ядру выводить информацию на первый последовательный порт. Изменение GRUB_TERMINALна serialозначает, что любой ввод / вывод перенаправляется на последовательный порт. На локальном экране больше не будет отображаться меню загрузки, поэтому выбор загрузочной записи через KVM Console или KVM больше не возможен. После перезагрузки вывод будет отправлен параллельно как на локальный экран, так и на последовательный порт.

После этого вам необходимо настроить терминал для последовательного порта в вашей системе.

Ubuntu

Создайте файл /etc/init/ttyS0.confсо следующим содержимым (или, альтернативно, ttyS2.confсо ttyS2скоростью и 115200 бод для моделей PX90 / PX120, или ttyS1.confсо ttyS1скоростью и 57600 бод для моделей PX91 / PX121):

# ttyS0 - getty
#
# This service maintains a getty on ttyS0 from the point the system is
# started until it is shut down again.

start on stopped rc RUNLEVEL=[2345]
stop on runlevel [!2345]

respawn
exec /sbin/getty -L ttyS0 115200 vt100

После этого вы можете активировать терминал, введя start ttyS0.

CentOS

В CentOS конфигурация аналогична Ubuntu. Однако /etc/init/serial.confавтоматически запускается getty для последовательного порта, который добавляет порт /etc/securetty. Итак, вам просто нужно настроить последовательную консоль в grub.conf и подключить соответствующий параметр ядра.

Debian / OpenSuSE / Fedora

Для Debian, OpenSuSE и других дистрибутивов, таких как Fedora, которые используют systemdи GRUB2, просто измените /etc/default/grubсоответствующим образом и обновите конфигурацию, используя grub2-mkconfig. При следующей загрузке systemdавтоматически начнет использовать последовательный порт GRUB2.

Последовательная консоль

Теперь вы быстро увидите логин, если подключитесь через ipmitool:

ipmitool -C 3 -I lanplus -H <ipaddr> -U <user> -P <pass> sol activate
[SOL Session operational.  Use ~? for help]

Debian GNU/Linux 7 Debian-70-wheezy-64-minimal ttyS0

Debian-70-wheezy-64-minimal login:

Serial поверх IPMI

Вступление

Serial Over LAN (SOL) — это механизм, который позволяет перенаправлять входные и выходные данные последовательного порта управляемой системы через IP. Это делается через IPMI .

Активация последовательного порта через LAN

Чтобы активировать SOL (Serial over LAN), введите следующую команду:

ipmitool -C 3 -I lanplus -H <ipaddr> -U <user> -P <pass> sol activate

Использование набора шифров 3 необходимо (если это не по умолчанию), поскольку в противном случае связь через LANplus невозможна.

Если появляется следующее сообщение об ошибке, вам необходимо активировать SOL для пользователя:

$ ipmitool -C 3 -I lanplus -H <ipaddr> -U <user> -P <pass> sol activate
Info: SOL payload disabled
$ ipmitool -C 3 -I lanplus -H <ipaddr> -U <user> -P <pass> sol payload enable <channel> <user-id>

После этого вы можете увидеть вывод BIOS. Для доступа к загрузчику и / или загруженной системе требуются дополнительные настройки.

GRUB2

Для GRUB2 просто измените некоторые строки, чтобы они соответствовали приведенным ниже, /etc/default/grubи заново сгенерируйте настройки.

В PX90 / 120 (Supermicro X9SRi-F) последовательная консоль находится на ttyS2 / unit = 2. У PX91 / 121 (Asus Z10PA-U8) он находится на ttyS1 / unit = 1. А с PX60 / 70 (Intel S1200V3RPL) он находится на ttyS0 / unit = 0. Также следует отметить, что скорость передачи данных должна быть установлена ​​на 57600 для PX91 / 121 и 115200 для всех остальных.

PX60 / 70

GRUB_CMDLINE_LINUX_DEFAULT="nomodeset console=tty0 console=ttyS0,115200n8"
GRUB_TERMINAL=serial
GRUB_SERIAL_COMMAND="serial --speed=115200 --unit=0 --word=8 --parity=no --stop=1"

PX90 / 120, SX131 / 291

GRUB_CMDLINE_LINUX_DEFAULT="nomodeset console=tty0 console=ttyS2,115200n8"
GRUB_TERMINAL=serial
GRUB_SERIAL_COMMAND="serial --speed=115200 --unit=2 --word=8 --parity=no --stop=1"

PX91 / 121

GRUB_CMDLINE_LINUX_DEFAULT="nomodeset console=tty0 console=ttyS1,57600n8"
GRUB_TERMINAL=serial
GRUB_SERIAL_COMMAND="serial --speed=57600 --unit=1 --word=8 --parity=no --stop=1"

GRUB (grub-наследие)

Для GRUB1 (grub-legacy) добавьте следующие строки в /boot/grub/menu.lstor /boot/grub/grub.confCentOS ):

PX60 / 70

serial --unit=0 --speed=115200 --word=8 --parity=no --stop=1
terminal --timeout=5 serial console

PX90 / 120, SX131 / 291

serial --unit=2 --speed=57600 --word=8 --parity=no --stop=1
terminal --timeout=5 serial console

PX91 / 121

serial --unit=1 --speed=115200 --word=8 --parity=no --stop=1
terminal --timeout=5 serial console

В то же время тот же последовательный порт необходимо добавить в параметры загрузки ядра. Это ttyS0 с PX60 / 70, ttyS1 с PX91 / 121 и ttyS2 с PX90 / 120.

console=tty0 console=ttyS0,115200n8

Это указывает ядру выводить информацию на первый последовательный порт. Изменение GRUB_TERMINAL на последовательный означает, что любой ввод / вывод перенаправляется на последовательный порт. На локальном экране больше не будет отображаться меню загрузки, поэтому выбор загрузочной записи через KVM Console или KVM больше не возможен. После перезагрузки вывод будет отправлен параллельно как на локальный экран, так и на последовательный порт.

После этого вам необходимо настроить терминал для последовательного порта в вашей системе. Debian 7.x (wheezy) / Debian 8 с Sys-V Init

Необходимо добавить следующую строку /etc/inittab. Здесь снова используйте ttyS0 и 115200 бод с PX60 / 70, ttyS2 и 115200 бод с PX90 / 120 и ttyS1 и 57600 бод с PX91 / 121:

T0:2345:respawn:/sbin/getty -L ttyS0 115200 vt100

После этого вы можете активировать терминал, введя init q.

Ubuntu (до 14.10 с Upstart)

Создайте файл /etc/init/ttyS0.confсо следующим содержимым (или, альтернативно, ttyS2.conf с ttyS2 и 115200 бод для моделей PX90 / PX120 или ttyS1.conf с ttyS1 и 57600 бод для моделей PX91 / PX121):

# ttyS0 - getty
#
# This service maintains a getty on ttyS0 from the point the system is
# started until it is shut down again.

start on stopped rc RUNLEVEL=[2345]
stop on runlevel [!2345]

respawn
exec /sbin/getty -L ttyS0 115200 vt100

После этого вы можете активировать терминал, введя start ttyS0.

CentOS

В CentOS 6.x конфигурация аналогична Ubuntu. Однако /etc/init/serial.confавтоматически запускается getty для последовательного порта, который добавляет порт /etc/securetty. Поэтому вам просто нужно настроить последовательную консоль grub.confи подключить соответствующий параметр ядра.

Debian 8 / OpenSuSE / Fedora

Для Debian 8 (jessie), OpenSuSE и других дистрибутивов, таких как Fedora, которые используют systemd и GRUB2, просто измените /etc/default/grubсоответствующим образом и обновите конфигурацию, используя grub2-mkconfig. При следующей загрузке systemd автоматически запустится с использованием последовательного порта GRUB2.

Последовательная консоль

Теперь вы быстро увидите логин, если подключитесь через ipmitool:

 $ ipmitool -C 3 -I lanplus -H <ipaddr> -U <user> -P <pass> sol activate
 [SOL Session operational.  Use ~? for help]

 Debian GNU/Linux 7 Debian-70-wheezy-64-minimal ttyS0

 Debian-70-wheezy-64-minimal login:

NVMe

Вступление

NVMe (Non-Volatile Memory Express) — это спецификация для доступа к дискам через PCI Express, которая специально адаптирована к потребностям энергонезависимой памяти. Подключение через PCIe Gen3 x4 (32 ГБит / с) обеспечивает, например, до пяти раз более высокую скорость доступа и меньшие задержки, чем обычные интерфейсы SATA 3 (6 ГБит / с). Благодаря высокой степени параллелизма и низкому энергопотреблению удовлетворяются текущие и будущие требования к памяти.

Характеристики

SSD-диски NVMe адресуются иначе, чем диски SATA. В системе UNIX (Linux / BSD) первый NVMe-SSD вызывается /dev/nvme0n1вместо /dev/sdanПосле nvme0означает «пространство имен». Первый раздел на этом SSD /dev/nvme0n1p1вместо /dev/sda1.

Схема такая:

/dev/nvme<CONTROLLER_NUMBER>n<NAMESPACE>p<PARTITION>

NVMe-CLI

Для управления твердотельными накопителями NVMe в системах UNIX можно использовать инструмент nvme-cli .

В Hetzner Rescue System этот инструмент уже предустановлен.

Показать список всех обнаруженных твердотельных накопителей NVMe

nvme list
Node             SN                   Model                                    Version  Namespace Usage                      Format           FW Rev
---------------- -------------------- ---------------------------------------- -------- --------- -------------------------- ---------------- --------
/dev/nvme0n1     S1XXNYAGAXXXXX       SAMSUNG MZVPV512HDGL-00000               1.1      1         102.40  GB / 512.11  GB    512   B +  0 B   BXW7300Q
/dev/nvme1n1     S1XXNYAGAYYYYY       SAMSUNG MZVPV512HDGL-00000               1.1      1         102.40  GB / 512.11  GB    512   B +  0 B   BXW7300Q

Показать серийный номер конкретного твердотельного накопителя NVMe

nvme id-ctrl /dev/nvme0n1|egrep "sn |mn "
sn      : S1XXNYAGAXXXXX
mn      : SAMSUNG MZVPV512HDGL-00000

Показать журнал SMART

Некоторые модели твердотельных накопителей NVMe поддерживают журнал SMART (технология самоконтроля, анализа и отчетности), считываемый с помощью этого инструмента smartctl, который также используется для дисков SATA и может предоставлять более подробную информацию, чем при использовании nvmeинструмента.

Использование Smartctl

smartctl -a /dev/nvme0n1
smartctl 6.6 2017-11-05 r4594 [x86_64-linux-4.19.101] (local build)
Copyright (C) 2002-17, Bruce Allen, Christian Franke, www.smartmontools.org

=== START OF INFORMATION SECTION ===
[...]
=== START OF SMART DATA SECTION ===
SMART overall-health self-assessment test result: PASSED

SMART/Health Information (NVMe Log 0x02, NSID 0x1)
Critical Warning:                   0x00
Temperature:                        29 Celsius
Available Spare:                    100%
Available Spare Threshold:          10%
Percentage Used:                    0%
Data Units Read:                    113,446 [58.0 GB]
Data Units Written:                 48,760 [24.9 GB]
Host Read Commands:                 111,504,973
Host Write Commands:                41,507,430
Controller Busy Time:               1,395
Power Cycles:                       7
Power On Hours:                     395
Unsafe Shutdowns:                   0
Media and Data Integrity Errors:    0
Error Information Log Entries:      0
Warning  Comp. Temperature Time:    0
Critical Comp. Temperature Time:    0
Temperature Sensor 1:               29 Celsius
Temperature Sensor 2:               30 Celsius

Error Information (NVMe Log 0x01, max 64 entries)
No Errors Logged

Использование NVMe-CLI

nvme smart-log /dev/nvme0n1
Smart Log for NVME device:nvme0n1 namespace-id:ffffffff
critical_warning                    : 0
temperature                         : 29 C
available_spare                     : 100%
available_spare_threshold           : 10%
percentage_used                     : 0%
data_units_read                     : 113,446
data_units_written                  : 48,760
host_read_commands                  : 111,504,973
host_write_commands                 : 41,507,430
controller_busy_time                : 1,395
power_cycles                        : 7
power_on_hours                      : 395
unsafe_shutdowns                    : 0
media_errors                        : 0
num_err_log_entries                 : 0
Warning Temperature Time            : 0
Critical Composite Temperature Time : 0
Temperature Sensor 1                : 29 C
Temperature Sensor 2                : 30 C

Показать журнал ошибок

nvme error-log /dev/nvme0n1
Error Log Entries for device:nvme0n1 entries:1
.................
 Entry[ 0]
.................
error_count  : 0
sqid         : 0
cmdid        : 0
status_field : 0(SUCCESS: The command completed successfully)
parm_err_loc : 0
lba          : 0
nsid         : 0
vs           : 0
cs           : 0
.................

Выполните самотестирование

Короткое самотестирование (продолжительность: до 1 часа) для проверки работоспособности твердотельных накопителей NVMe можно запустить с помощью следующей команды:

nvme device-self-test /dev/nvme0n1 -s 1

После запуска самотестирования вы можете использовать эту команду для проверки текущего состояния:

nvme self-test-log /dev/nvme0n1
  • Вывод при выполнении теста:Test is 21% complete and is still in progress.
  • Если в выходных данных указанной команды указано 0%, что тест либо не запущен, либо не поддерживается установленным твердотельным накопителем NVMe:Test is 0% complete and is still in progress.
  • После завершения теста еще раз проверьте данные о состоянии SMART (см. Соответствующий раздел в этой статье).

KVM-консоль

Вступление

Hetzner предлагает удаленную консоль, которую можно подключить к любому выделенному серверу. Эта удаленная консоль предоставляет возможности KVM (клавиатура, видео и мышь) over-IP и позволяет полностью контролировать сервер на уровне BIOS. Это полезно для устранения неполадок сервера, особенно в тех случаях, когда SSH не может использоваться. Можно получить доступ к меню загрузки и исправить ошибки конфигурации сети. Консоль поддерживает виртуальные носители, поэтому ее можно использовать для установки пользовательской операционной системы путем монтирования файла ISO .

Вызываются удаленные консоли KVM Console. Этот термин происходит от названия первоначальных предлагаемых удаленных консолей. Хотя с тех пор они были модернизированы более современными решениями, название осталось.

KVM-консоль предоставляется бесплатно в течение 3 часов. Если это требуется на более длительный период времени, его можно забронировать за 8,40 евро за дополнительные 3 часа.

Обратите внимание, что при использовании функции консоли KVM требуется Java.

Заказ KVM-консоли

Поскольку количество KVM-консолей в каждом DC ограничено, мы рекомендуем клиентам заказывать KVM-консоль заранее через робота .

Если вам нужна KVM-консоль, запросите ее напрямую через веб-интерфейс Robot . Для этого войдите в Робот, перейдите на Servers, выберите свой сервер и щелкните вкладку Support. Вы увидите форму поддержки. Здесь выберите Remote Console (KVM). Затем вы можете выбрать встречу, когда вы этого хотите и на какой срок.

Вход в систему

После того, как наши специалисты подключат KVM-консоль к вашему серверу, они отправят вам электронное письмо с данными для входа в систему, а также URL-адресом KVM-консоли. Этот URL-адрес можно просто щелкнуть или скопировать и вставить в свой браузер. Вы увидите следующий экран:

После того, как вы вошли в систему, используя данные для входа, указанные в электронном письме, вы увидите следующий экран:

Использование консоли KVM

В разделе KVM Console Preview(см. Снимок экрана выше) вы можете щелкнуть по самому экрану, чтобы открыть консоль, или по Click to open KVM Consoleссылке внизу.

Появится диалоговое окно с вопросом, что вы хотите сделать с файлом spider.jnlp. Это нужно открыть с помощью JAVA(TM) Web Start Launcher, который должен быть выбран автоматически.

Пожалуйста, обратите внимание:

  • Служба поддержки Lantronix заявляет, что KVM Console не будет полностью работать с Java 9 или 10. Чтобы сохранить функциональность, оставайтесь с Java 8.
  • Если Java 8 еще не установлена ​​на вашем компьютере, посетите веб-сайт Java и загрузите, а затем установите последнюю версию.
  • Может появиться предупреждение системы безопасности. Это общее предупреждение от Java и не означает, что у Java-апплета есть какие-либо проблемы с безопасностью. Предупреждение можно смело принимать.
  • К сожалению, некоторые браузеры отменяют загрузку апплета с сообщением об ошибке (файл неполный / недействительный сертификат). В таких случаях используйте альтернативный браузер. Например, в текущей стандартной версии Mozilla Firefox такие проблемы не известны.

После инициализации Java-апплета должна открыться консоль, и вы увидите вывод на экран сервера, как если бы вы сидели прямо перед самим сервером.

Раскладка клавиатуры

Если клавиши, которые вы нажимаете на своей клавиатуре, не отображаются правильно на экране / консоли, то раскладка клавиатуры, скорее всего, настроена неправильно. Это можно изменить в пункте меню Options, перейдя в Local Keyboard. Здесь вам нужно выбрать правильную раскладку клавиатуры, которую вы используете.

перезагружать

С помощью confirm Ctrl+Alt+Deleteкнопки в верхнем левом углу консоли серверу можно отправить ctrl + alt + delete . Это можно использовать для перезапуска сервера или для входа в Windows. После того, как вы нажмете эту кнопку, вам нужно будет подтвердить, что вы хотите отправить на сервер ctrl + alt + delete .

Полноэкранный режим

Вы можете выбрать, чтобы консоль заполняла весь экран, если хотите. Просто нажмите Ctrl + F10 или одну из кнопок в верхней части консоли с буквой A или S и стрелками, указывающими наружу. Выход из полноэкранного режима осуществляется повторным нажатием Ctrl + F10.

Установка ОС

Консоль KVM можно использовать для установки собственной ОС. Это можно сделать, смонтировав файл ISO или попросив наших технических специалистов записать файл ISO на USB-накопитель / DVD .

Обратите внимание, что если вы хотите установить одну из предлагаемых нами стандартных операционных систем Linux, это можно сделать автоматически с помощью робота , на Linuxвкладке сервера или вручную с помощью нашего установочного образа или установки VNC .

Монтирование файла ISO

Чтобы получить доступ к интерфейсу виртуального носителя, щелкните Interfacesвкладку, а затем перейдите по Virtual Mediaссылке. Здесь вы можете ввести подробные сведения о местонахождении файла ISO.

Пожалуйста, обратите внимание:

  • KVM Console поддерживает только монтирование файлов ISO через сетевой протокол SAMBA (SMB) / CIFS.
  • Монтирование файла может занять значительное время, поэтому убедитесь, что соединение с местоположением файла хорошее. К сожалению, индикатора выполнения нет. Вы увидите уведомление, когда файл будет полностью загружен.
  • Мы не можем гарантировать, что монтирование файла ISO и его установка всегда будут работать. По этой причине мы предлагаем нашим техническим специалистам записать файл ISO на USB-накопитель / DVD .

Использование нашего зеркала

Чтобы помочь нашим клиентам установить Windows, мы предоставляем несколько образов этих операционных систем.

Предлагаемые нами изображения можно найти на двух наших зеркалах:

  • http://download.hetzner.de/ доступен из любого места и требует имени пользователя и пароля для входа. Эти данные можно найти в конце электронного письма с активацией сервера, в котором также находятся данные для входа на сам сервер.
  • http://mirror.hetzner.de/ доступен только из сети Hetzner и не требует пароля.

В следующих примерах используется внутреннее зеркало, хотя также упоминается ссылка на внешнее зеркало. Эту ссылку можно использовать для проверки точных имен файлов образов операционной системы.

Windows

Имеющиеся у нас образы Windows можно найти по адресу http://download.hetzner.de/bootimages/windows/ .

Эти образы Windows прямо от Microsoft и не содержат никаких изменений от нас. Они не поставляются с лицензией и, таким образом, могут использоваться для установки чистой Windows на сервере, которая затем может быть активирована вашим собственным лицензионным ключом.

  • Файл изображения с именем пути можно скопировать прямо с нашего зеркала.
  • Поля «Имя пользователя» и «Пароль» можно оставить пустыми, поскольку они не нужны.

Использование резервного пространства

Наше пространство для резервных копий доступно через SAMBA / CIF, что означает, что оно может использоваться для размещения образа, который затем может быть смонтирован через консоль KVM.

См. Также: SAMBA / CIFS в нашем резервном пространстве .

  • <username> — это имя пользователя вашего резервного пространства, которое можно найти на вкладке «Резервное копирование» сервера в Robot.
  • <file_name> это имя файла ISO-файла.
  • Если вы поместили файл ISO в подпапку, укажите это перед именем файла. Например: <sub_folder>/<file_name>.
  • Пароль — это тот пароль, который вы установили для резервного пространства.

Использование собственного хоста

Файл ISO не обязательно должен размещаться у нас. Вы можете разместить ISO-файл где угодно, если он доступен через SAMBA / CIFS. Это может быть другой сервер Hetzner, сторонний сервер или даже ваш собственный компьютер / сервер в вашем офисе / доме.

Обратите внимание, что это может занять много времени, поэтому подождите, пока образ будет смонтирован / загружен.

Использование USB-накопителя / DVD

Если упомянутые выше варианты монтирования файла ISO не работают или занимают слишком много времени, тогда всегда есть возможность попросить наших технических специалистов «записать» образ на USB-накопитель или DVD и прикрепить его к серверу вместе с KVM. Консоль.

Отправьте нашим техническим специалистам ссылку на имеющийся у вас файл ISO. Это можно сделать при заказе консоли KVM напрямую или после этого, ответив на тикет запроса консоли KVM.

Обратите внимание, что в этом случае файл ISO не обязательно должен быть доступен через SAMBA / CIFS, он может быть просто доступен, например, через ftp, поскольку наши технические специалисты будут подключаться к нему напрямую, а не через консоль KVM.

Загрузка сервера

После того, как файл ISO был смонтирован / прикреплен к консоли KVM, вам нужно будет перезапустить сервер и загрузиться с него. Это можно сделать с помощью KVM Consoleфункции консоли KVM.

При загрузке сервера войдите в меню загрузки. На большинстве материнских плат это можно сделать, нажав F11 во время загрузки. Обратите внимание, что на некоторых материнских платах для входа в меню загрузки требуется другая функциональная клавиша, например F6, поэтому следите за соответствующим запросом.

В меню загрузки выберите, подключили PepperC Virtual Disc 1 0.01ли вы файл с помощью консоли KVM. В качестве альтернативы, если наши техники подключили USB-накопитель или DVD, выберите соответствующий вариант для загрузки с него. JetFlashTrascend 16GB 1.00будет примером для USB-накопителя, а HL-DT-STDVDRAM GP50NB40 1.00будет примером для DVD.

Установка ОС

Теперь вы можете просто следовать инструкциям на экране, чтобы установить ОС, которую вы смонтировали / подключили к консоли KVM.

Загрузка установочных файлов для Windows занимает около минуты, если выполняется через USB / DVD, но может занять 10-15 минут через смонтированный файл ISO (через наше зеркало). Если файл ISO был смонтирован откуда-то еще, это может занять еще больше времени.

Цены без НДС, если применимо.