Sejarah dan Kondisi Terkini IPMI (Intelligent Platform Management Interface)

 (computer.rip)
2 poin oleh GN⁺ 2024-09-04 | 1 komentar | Bagikan ke WhatsApp
  • Computers Are Bad sedang membeli server baru dalam proses memindahkan enterprise cloud ke New Mexico
  • Server Big Iron yang saat ini digunakan adalah perangkat lama berusia sekitar 10 tahun
  • Di industri modern yang berpusat pada cloud, kini jarang membandingkan spesifikasi Dell PowerEdge dan HP ProLiant
  • Pasar server non-hyperscale semakin terintegrasi ke spesifikasi dan reference design Intel

Apa itu server?

  • Ada pertanyaan lama: apakah server hanyalah komputer yang besar dan bertenaga, atau sesuatu yang istimewa?
  • Sejarah server mencakup banyak sejarah industri, dan jawabannya bisa berbeda tergantung konteks
  • Beberapa generalisasi tentang sejarah server:
    • Komputasi client-server terutama bermula sebagai evolusi dari komputasi time-sharing yang menggunakan banyak terminal yang terhubung ke satu komputer
    • Tidak pernah ada harapan bahwa terminal akan memiliki arsitektur yang mirip dengan komputer, dan hal ini berlanjut ke sistem client-server
    • Hingga tahun 2000-an, server umumnya menggunakan sistem operasi dan arsitektur yang berbeda
  • Karena revolusi PC, hingga pertengahan 1990-an sebagian besar komputasi sisi klien menetap menjadi monokultur WinTel

Perubahan arsitektur server

  • Kombinasi SPARC dan Solaris sangat umum pada server, demikian juga arsitektur minikomputer IBM dan berbagai sistem operasinya
  • Salah satu kontribusi komersial utama Java adalah cara ia memungkinkan penulisan aplikasi enterprise untuk backend Solaris/SPARC sambil tetap dapat mendaur ulang kode di lingkungan komputasi bisnis yang lebih "modern" seperti Unix/RISC atau Windows/x86
  • Model komputasi client-server dengan "thick client" menciptakan keterkaitan antara platform server dan "enterprise computing"
  • Arsitektur yang dulunya terbatas pada server makin menjadi pasar niche dan sulit bersaing dengan arsitektur PC dalam hal biaya dan performa
  • Arsitektur umum perangkat lunak server bergeser dari "scale-up dan sistem dengan uptime tinggi" menjadi "scale-out dan persyaratan keandalan yang lebih longgar", sehingga keunggulan komputer kelas enterprise banyak berkurang
  • Saat ini, dalam kebanyakan kasus server hanyalah komputer besar
  • Server jauh lebih mungkin berupa SMP atau NUMA dengan banyak socket prosesor
  • Era SAS dan hardware RAID perlahan memudar, tetapi server tetap menawarkan storage controller dan topologi yang lebih kompleks daripada klien
  • Server hampir selalu menyediakan manajemen out-of-band (OOB)

Manajemen out-of-band

  • Manajemen out-of-band (OOB) adalah fitur yang hampir tidak pernah terdengar di sisi klien
  • Sebuah komputer manajemen kecil yang terpisah memungkinkan akses jarak jauh ke server
  • Manajemen OOB tidak memerlukan sistem operasi maupun komponen umum
  • Sebagian besar server menyediakan remote console sehingga bisa berinteraksi seolah-olah terhubung ke monitor dan keyboard lokal
  • Produk manajemen OOB menyediakan fitur "virtual media" yang memungkinkan file ISO diunggah dan dikenali seperti perangkat fisik

Manajemen out-of-band (Out-of-Band Management)

  • Out-of-band, yang kadang juga disebut manajemen tanpa pengawasan, menandai fitur yang hampir tak pernah ditemukan pada klien
  • Melalui komputer manajemen kecil yang terpisah, akses jarak jauh tetap dimungkinkan bahkan saat server dimatikan
  • Istilah "out-of-band" dan "in-band" berasal dari makna yang umum dipakai di jaringan dan komunikasi, tetapi dalam praktiknya maknanya telah berubah
    • Mungkin lebih tepat memandang manajemen out-of-band sebagai sesuatu yang tidak membutuhkan sistem operasi dan komponen serbaguna
  • Contoh yang sangat standar untuk manajemen in-band adalah SSH, yaitu layanan yang disediakan oleh software pada komputer
  • Sebaliknya, manajemen out-of-band disediakan oleh hardware dan software stack khusus, dan tidak memerlukan kerja sama dari sistem operasi atau, secara tradisional, CPU
  • Contoh terbaik manajemen out-of-band saat ini adalah remote console yang disediakan sebagian besar server
    • Pada dasarnya ini adalah IP KVM bawaan, sehingga Anda bisa berinteraksi dengan mesin seperti ada monitor dan keyboard yang terhubung secara lokal
  • Banyak produk manajemen OOB juga menyediakan "virtual media", yaitu mengunggah file ISO ke antarmuka manajemen lalu membuatnya muncul di komputer seolah-olah itu perangkat fisik sungguhan
    • Ini sangat berguna untuk menginstal sistem operasi

Sejarah manajemen OOB

  • Manajemen OOB adalah salah satu area kecil yang menarik dalam sejarah komputer
  • Sebenarnya ini bukan gagasan yang benar-benar baru, sampai-sampai fitur serupa bisa ditemukan sepanjang sejarah komputasi bisnis
  • Seiring waktu, manajemen OOB menjadi lebih sederhana dan lebih membosankan
  • Menjadi ciri umum server sejak akhir 1980-an hingga awal 1990-an
    • Semacam antarmuka operator lokal yang memberikan informasi level rendah tentang status hardware, seperti layar matriks LCD atau kisi indikator LED
    • Serial console dengan akses ke bootloader awal dan sistem manajemen level rendah yang persisten
    • Sistem manajemen level lebih tinggi, dengan posisi yang bervariasi dalam stack tergantung arsitektur, untuk pengelolaan jarak jauh beban kerja mesin
  • Kondisi manajemen OOB saat ini
    • Sebagian besar server dapat memberi tahu dari panel depan apakah komponen redundan seperti kipas atau power supply mengalami kegagalan
    • Namun jumlah komponen yang redundan dan bisa diganti saat online telah menyusut dari "segala hal termasuk CPU" pada 1990-an menjadi kadang hanya kipas
    • Manajemen serial masih cukup umum karena tetap menjadi metode populer untuk instalasi dan pemeliharaan OS pada mesin headless
    • Namun dalam banyak kasus, manajemen OOB telah terintegrasi ke Intel IPMI dengan cara yang hampir sama seperti arsitektur prosesor terstandarisasi

Hal yang membingungkan dari IPMI

  • IPMI adalah spesifikasi, bukan implementasi
    • Sebagian besar vendor besar memiliki implementasi IPMI mereka sendiri dengan fitur di luar spesifikasi inti IPMI, dan menamakannya dengan singkatan aneh seperti HP iLO, Dell DRAC, dan sebagainya
    • Karena implementasi khusus vendor ini lebih tua daripada IPMI, mengatakan "sekadar IPMI" tidak sepenuhnya tepat
    • Di sisi lain, produsen yang lebih baru lebih mungkin menyebutnya IPMI, dan dalam kasus itu bisa jadi merupakan produk standar dari vendor firmware
  • Software IPMI biasanya berjalan pada prosesor yang umum disebut baseboard management controller (BMC), sehingga istilah IPMI dan BMC kadang dipakai dengan makna yang sama
  • Lights-out management (LOM) sebagian besar sudah menjadi istilah yang tidak terlalu berguna, tetapi tetap dipakai karena HP(E) menyukainya dan menamai implementasi IPMI mereka Integrated Lights-Out
  • BMC tidak boleh disamakan dengan system management controller (SMC), komponen yang ada pada komputer klien
    • SMC adalah salah satu dari beberapa istilah yang dipakai untuk menangani hal-hal seperti kontrol kecepatan kipas
    • BMC dan SMC punya sejarah yang saling terkait, dan pada kenyataannya BMC menangani fungsi-fungsi ini pada sebagian besar server
  • IPMI menentukan dua antarmuka
    • Antarmuka out-of-band yang dapat digunakan melalui koneksi jaringan atau serial
    • Antarmuka in-band yang dapat digunakan dari sistem operasi melalui driver (komunikasi antara CPU dan BMC melalui bus LPC, sisa kecil ISA yang aneh namun masih ada di sebagian besar komputer modern)
  • Hasilnya, Anda bisa berinteraksi dengan IPMI dari alat yang berjalan di sistem operasi seperti ipmitool di Linux
  • Jika tidak memahami bahwa IPMI adalah sistem yang sepenuhnya independen dan memiliki antarmuka lokal ke sistem operasi yang sedang berjalan demi kenyamanan, Anda bisa sedikit bingung tentang apa sebenarnya yang sedang terjadi

Fungsi IPMI

  • IPMI kini pada dasarnya menjadi webapp
    • Antarmuka web terlalu praktis untuk ditolak
    • Banyak produk IPMI memiliki software klien khusus, tetapi semua fungsi terus dipindahkan ke embedded web application
  • Kualitas antarmuka web sangat bervariasi, tetapi kebanyakan tidak terlalu bagus
  • Cara mengakses antarmuka web IPMI
    • Sebagian besar server di pasaran memiliki antarmuka Ethernet khusus berlabel "IPMI", "management", dan sebagainya
    • Cara terbaik menggunakan IPMI adalah menempatkan antarmuka jaringan manajemen pada jaringan fisik khusus
      • Demi keamanan dan keandalan (Anda tetap harus bisa mengakses IPMI meskipun jaringan utama mengalami masalah performa atau stabilitas)
    • Namun jaringan fisik khusus memakan waktu, ruang, dan biaya
      • "Jaringan manajemen" kemungkinan besar adalah VLAN pada perangkat jaringan biasa
      • Ini mirip dengan apa yang disebut AT&T sebagai common communications carrier switching arrangement (CCSA)
      • Ia berperilaku seperti jaringan privat dan independen, tetapi peralatan fisiknya berbagi dengan semua yang lain, dan isolasinya diterapkan lewat software
  • Sideband networking IPMI
    • Dengan sideband management, BMC berkomunikasi langsung melalui NIC yang sama dengan yang digunakan sistem operasi
    • Cara implementasinya agak aneh
      • NIC berpura-pura seperti dua antarmuka berbeda, mencampurkan traffic IPMI ke dalam aliran paket yang sama dengan traffic host tetapi menggunakan alamat MAC yang berbeda
      • Dengan cara ini, bagi peralatan jaringan lain tampak seolah dua antarmuka jaringan yang berbeda sedang digunakan seperti biasa
    • Ada pertimbangan keamanan yang jelas terkait berkurangnya pemisahan antara IPMI dan traffic aplikasi
  • Masalah keamanan IPMI
    • Banyak implementasi IPMI terbukti menjadi mimpi buruk keamanan
    • Orang yang tidak tepercaya sama sekali tidak boleh punya akses
  • Fitur jaringan IPMI
    • Detail fungsi jaringan berbeda-beda antar implementasi IPMI, tetapi ada antarmuka standar di UDP 623 yang dapat dipakai untuk discovery dan perintah dasar
    • Sering kali juga ada SSH dan antarmuka web, sementara VNC sangat umum untuk remote console

Fungsi dasar IPMI

  • Ada sejumlah fungsi dasar yang keren yang bisa dilakukan dengan IPMI, baik melalui jaringan maupun dengan klien IPMI in-band
  • Salah satu fungsi yang berguna jika Anda pelupa dan tidak rajin mencatat adalah menampilkan daftar modul hardware penyusun sistem pada level FRU atau nomor part vendor
  • Anda juga bisa berinteraksi dengan fungsi hardware dasar seperti sensor, status daya, kipas, dan sebagainya
  • IPMI menyediakan watchdog timer standar, yang bila digabungkan dengan software yang berjalan pada sistem operasi dapat membuat server melakukan reset ketika aplikasi masuk ke kondisi buruk
  • Anda perlu menetapkan timeout yang cukup panjang agar sistem sempat boot dan terhubung untuk menonaktifkan watchdog timer

Hubungan IPMI dengan komputer klien sehari-hari

  • IPMI sangat umum pada server enterprise, tetapi sangat jarang di tempat lain
  • Ini cukup membuat frustrasi bagi orang yang tidak punya toleransi ruang atau kebisingan untuk 1U pizza box
  • Jika Anda ingin tetap menggunakan komputer kecil atau berdaya rendah, Anda harus hidup tanpa IPMI

Intel ME dan AMD ST

  • Controller manajemen OOB yang ada secara de facto di hampir semua prosesor Intel dan AMD
  • Intel ME (Management Engine) adalah komponen pengaktif dari Intel Active Management Technology (Intel AMT)
  • AMT adalah upaya memopulerkan manajemen OOB untuk mesin klien, dan menyediakan fungsi yang hampir sama dengan IPMI
  • Namun jauh kurang berhasil, kemungkinan besar terutama karena harga
    • Intel membatasi hampir semua fungsi AMT agar dipakai bersama platform manajemen enterprise yang sangat mahal
  • Ada klien AMT open source, tetapi masalah berikutnya adalah menemukan mesin yang benar-benar bisa menggunakan AMT

Fungsi sideband management dan masalah keamanan Intel AMT

  • Intel AMT memiliki kemampuan sideband management, sehingga fakta bahwa komponen Intel ME tempat AMT berjalan juga memiliki kemampuan sideband management telah menjadi sumber kekhawatiran besar di komunitas keamanan
  • Faktor yang meringankan: sideband management hanya mungkin jika prosesor, chipset motherboard, dan NIC semuanya mendukung AMT
    • Pilihan untuk ketiga perangkat ini terbatas pada produk Intel dengan badge vPro
    • Ketidakpopuleran NIC Intel pada perangkat konsumen saja sudah berarti akses sideband hampir mustahil
  • vPro juga terbatas pada prosesor dan chipset yang relatif kelas atas
    • Kabar buruknya, ini berarti sulit memakai AMT untuk homelab, meskipun sebagian orang tentu melakukannya
    • Sisi baiknya, "fakta" yang banyak diberitakan bahwa Intel ME pada perangkat konsumen bisa diakses melalui sideband networking umumnya tidak benar, dan alasannya lebih dari sekadar lisensi software Intel

Alasan keberadaan Intel ME

  • Tanpa AMT, muncullah pertanyaan aneh tentang Intel ME itu sendiri yang sebenarnya tidak memiliki fungsi manajemen OOB
  • Mengapa hampir semua prosesor memiliki Intel ME?
    • Ini spekulasi, tetapi tampaknya Intel ME terutama ada sebagai cara yang praktis untuk menampung dan mengelola komponen trusted execution yang digunakan untuk hal-hal seperti secure boot dan DRM
    • Fungsi-fungsi ini semuanya berjalan pada prosesor yang sama dengan ME dan berbagi sebagian technology stack yang sama
  • Karena itu, bagian "management" dari Intel ME sebagian besar hanyalah jejak historis, dan sebenarnya merupakan bagian dari infrastruktur komputasi aman

Ini bukan pembelaan untuk Intel ME

  • Ini bukan pembelaan terhadap Intel ME, yang sama sekali tidak dapat diaudit oleh pihak ketiga dan di masa lalu telah mengandung kerentanan keamanan yang serius
  • Karena kita semua memakai arsitektur prosesor dari salah satu dari dua vendor, Intel tidak terlalu punya insentif untuk berbuat lebih baik
  • Sebelum menjawab bahwa ARM adalah solusinya, ingatlah bahwa ARM SoC modern yang dipakai pada perangkat konsumen juga memiliki fungsi yang nyaris sama

Catatan: definisi headless

  • Definisi "headless" memang rumit dan sebaiknya tidak perlu terlalu dipermasalahkan
  • Orang cenderung mengatakan "headless" berarti tidak ada monitor dan keyboard yang terhubung
  • Namun slide-out rack console dan IP KVM telah lama menjadi hal umum, jadi perlu diingat bahwa di lingkungan non-hyperscale, sistem yang benar-benar headless lebih jarang daripada yang dibayangkan
  • Sebagian alasannya adalah karena menggunakan serial console sangat menyiksa, sehingga operator komputer biasa akan melakukan banyak hal untuk menghindari harus menanganinya

Opini GN⁺

  • Artikel ini memberikan wawasan menarik tentang definisi dan sejarah server. Berlawanan dengan persepsi umum bahwa server hanyalah komputer besar, artikel ini menunjukkan bahwa server telah memainkan peran khusus selama sejarah panjangnya.
  • Dengan menelusuri sejarah server, kita dapat melihat bagaimana konsep server berubah seiring perkembangan teknologi. Khususnya, menarik bahwa setelah revolusi PC, batas antara server dan klien semakin kabur.
  • Manajemen out-of-band adalah fungsi khas milik server yang memungkinkan pengelolaan server tanpa bantuan sistem operasi atau CPU. Ini bisa menjadi fitur yang sangat berguna bagi administrator server.
  • Belakangan ini, teknologi manajemen OOB semakin distandardisasi dengan berpusat pada Intel IPMI. Ini meningkatkan kemudahan pengelolaan server, tetapi juga membawa risiko ketergantungan pada satu vendor.
  • Solusi lain yang menyediakan fungsi manajemen OOB serupa antara lain HP iLO dan Dell iDRAC. Jika ingin menghindari ketergantungan pada vendor tertentu, alternatif semacam ini juga layak dipertimbangkan.

Bacaan terkait

1 komentar

 
GN⁺ 2024-09-04
Opini Hacker News

  • Intel tertinggal dibanding AMD dalam performa CPU dan GPU

    • Sebagai pengecualian, CPU seri N100 cocok untuk aplikasi berdaya rendah dan tanpa kipas
    • Sebagian besar organisasi membeli CPU Intel untuk memperbarui lingkungan yang sudah ada
    • Fitur EVC di vSphere memungkinkan hot migration antar arsitektur CPU

  • NIC Intel secara umum unggul dan juga populer di perangkat konsumen

    • PC atau laptop dengan CPU Intel hampir selalu menyertakan NIC Intel

  • Saat membeli server, Supermicro adalah pilihan yang baik

    • Harganya murah dan menawarkan fleksibilitas tinggi dalam form factor, chassis, komponen, jumlah slot, dan lain-lain
    • Namun, dukungannya kurang dapat diandalkan dibanding Dell/HPE sehingga lebih cocok untuk konfigurasi redundan

  • Spesifikasi IPMI sedang digantikan oleh Redfish

    • Redfish menyediakan API yang lebih lengkap, aman, dan terstandarisasi

  • Perangkat keras Supermicro masih tetap unggul, tetapi riset terbaru dari Hindenburg menyoroti beberapa masalah

  • IPMI umum digunakan di server enterprise, tetapi jarang untuk penggunaan rumahan

    • Dengan menggunakan board Supermicro MicroATX berbasis Atom dan kipas Noctua, pendinginan bisa dibuat senyap

  • Sebaiknya jangan menghubungkan port IPMI ke LAN utama

    • Fitur ini berguna jika digunakan dalam kondisi terisolasi

  • Untuk menambahkan kemampuan akses jarak jauh ke mesin tanpa IPMI, bisa menggunakan NanoKVM RISC-V seharga $30

    • Menyediakan HDMI capture, Ethernet/WiFi, kontrol daya ATX, dan lain-lain

  • Berbagi pengalaman memasang server Intel pada akhir 1990-an

    • Menggunakan perangkat lunak LANDesk Server Manager Pro dan Emergency Management Card
    • Kata sandi default EMC adalah "calvin"

  • Solusi seperti IPMI memang bagus, tetapi antarmuka serial standar lebih disukai

  • IPMI kekurangan dukungan perangkat keras dalam jangka panjang

    • Jika bisa memuat OS sendiri ke perangkat keras IPMI, kegunaannya akan lebih besar

  • Intel ME dan AMD PSP memainkan peran penting dalam inisialisasi CPU

    • Karena kompleksitas inisialisasi tinggi, lebih masuk akal jika ditangani oleh core embedded terpisah

  • Dell sedang berupaya mengganti IPMI dengan Redfish

    • Redfish menggunakan HTTP/JSON REST API

  • Saat menggunakan homelab, konsumsi daya siaga sekitar 5W dari IPMI menjadi masalah

    • Ada rencana mencoba fungsi manajemen jarak jauh dengan PiKVM(V2) dan Raspberry 4

  • Kunci default IPMI adalah masalah penting

    • Jika kunci tambahan dipasang dalam rantai pasok, manajemen jarak jauh bisa menjadi mungkin