Intel vPro и AMT: организация внеполосного управления домашней лабораторией на мини-ПК

Одним из недостатков домашних серверов является отсутствие встроенных средств внеполосного управления (OOB).

Внеполосное управление — это способ удаленного администрирования оборудования через независимый выделенный канал связи, позволяющий сохранять полный контроль над устройством даже при выключенном питании, зависании или отсутствии операционной системы.

У Dell есть iDRAC, у Supermicro — интерфейс IPMI, у HP — iLO, а у других вендоров — свои технологии. В конечном итоге все они позволяют делать одно и то же: управлять серверной инфраструктурой внеполосно, контролировать питание, использовать KVM и другие функции. Если узел домашней лаборатории зависнет или произойдет сбой, подключиться по SSH не удастся. Веб-интерфейс недоступен, пинги не проходят. Однако при наличии мини-ПК с встроенной технологией Intel vPro, например Minisforum MS-01, пользователь фактически получает внеполосное управление. Ниже рассмотрен процесс настройки доступа к домашней лаборатории на базе Intel vPro, конфигурация AMT, запуск MeshCommander в Docker, а также некоторые нюансы, о которых необходимо знать.

Intel vPro и AMT: организация внеполосного управления домашней лабораторией на мини-ПК

Что такое Intel vPro и какие возможности она предоставляет

Технология Intel vPro — это не просто маркетинговое название. Она включает в себя так называемую Active Management Technology (сокращенно AMT). Как инструмент внеполосного управления, AMT работает на уровне ниже операционной системы. Подобно iDRAC или iLO, это обеспечивает управление вне полосы, что означает наличие не только удаленного KVM (что важно), но и возможности управлять машиной на низком уровне. Сюда входит управление питанием, перезагрузка, настройка BIOS и т.д.

Рассмотрим следующие ситуации:

• Proxmox полностью завис;
• Паника ядра (kernel panic) во время загрузки;
• Сетевой стек ОС случайно настроен неверно и отключен;
• Машина выключена.

С помощью Intel vPro в домашней лаборатории по-прежнему можно выполнить следующие действия:

• Включить или выключить систему удаленно;
• Получить доступ к удаленной консоли KVM;
• Войти в BIOS удаленно;
• Смонтировать ISO по сети;
• Выполнить обновление прошивки и т.д.

По сути, с практической точки зрения это очень похоже на то, что Dell предоставляет с iDRAC или HPE с iLO. Разница в том, что с мини-ПК, такими как Minisforum MS-01, не требуется никаких дополнительных плат расширения. Эта возможность встроена в саму платформу Intel, а не обеспечивается отдельным чипом BMC. Для домашней лаборатории это огромное преимущество.

Это одна из наиболее важных функций, отсутствие которой ощущается при переходе на мини-ПК для рабочих нагрузок домашней лаборатории.

С документацией Intel по vPro и списком поддерживаемых процессоров можно ознакомиться на официальном сайте: Intel vPro® Platform Is Built for Business.

Доступные функции

Это не просто удаленный KVM для сервера, что само по себе мощно, но и многое другое. Доступно множество полезных настроек и инструментов, включая:

• Serial-over-LAN (последовательный порт через локальную сеть);
• Информация об оборудовании;
• Журнал событий;
• Журнал аудита;
• Информация о хранилище;
• Сетевые настройки (можно настраивать и контролировать сеть AMT);
• Действия с питанием — одна из самых важных функций, позволяющая перезагрузить машину, особенно после сбоя.

Использование Intel vPro на Minisforum MS-01

Это одна из причин выбора MS-01 для построения кластера Proxmox Ceph из пяти мини-ПК. Устройство оснащено процессорами Intel с поддержкой vPro. Это сравнимо с получением бесплатного KVM в стоимости MS-01. Данная функция обеспечивает внеполосное управление, необходимое для узлов домашней лаборатории.

Прежде чем полагать, что оборудование поддерживает vPro, убедитесь в следующем:

• Точная модель процессора (в данном примере используется I9-13900H);
• BIOS открывает настройки AMT (используется версия BIOS 1.27);
• Intel ME включен.

Для нового кластера серверов возможности vPro значительно повышают ценность выбора этой платформы для узлов Proxmox. Вместо того чтобы покупать отдельное устройство KVM для каждого мини-ПК, интерфейс vPro AMT выполняет эту функцию. Если нужно зайти в BIOS или просмотреть консоль без физического подключения KVM, это можно сделать через интерфейс vPro AMT. В данной конфигурации каждый узел MS-01 имеет:

• Выделенный VLAN управления;
• Статический IP-адрес управления для интерфейса AMT;
• Сегментированный доступ, чтобы только внутренние системы могли к нему обращаться;
• AMT никогда не выставляется напрямую в интернет.

Относиться к этому следует так же, как к iDRAC в продакшене. Внеполосное управление может быть опасным при отсутствии надлежащей защиты.

Сетевое оборудование и кабельная разводка

Поскольку устройства MS-01 размещены в 10-дюймовой стойке, кабельные соединения желательно оставить в пределах стойки. Для этого был установлен 8-портовый неуправляемый коммутатор для аплинка одного из соединений 2.5 GbE от каждого MS-01. Это позволяет свести к минимуму соединения «снаружи». Теперь используется только один кабель DAC для аплинка к 10-гигабитному коммутатору и один медный аплинк к неуправляемому коммутатору, где скоммутированы индивидуальные соединения.

Неуправляемый коммутатор, установленный в 10-дюймовой стойке для подключений vPro

Вид сзади стойки с аплинками Intel vPro в неуправляемый коммутатор

Настройка Intel AMT на узлах домашней лаборатории

Ниже приведено пошаговое описание конфигурации, реализованной на каждом из узлов Minisforum MS-01 для получения доступа уровня iDRAC.

Необходимо зайти в настройки BIOS Minisforum MS-01. Это можно сделать, нажав клавишу DEL при появлении логотипа Minisforum во время POST. Затем следует выбрать Setup.

Вход в BIOS на Minisforum MS-01

После нажатия Setup нужно перейти в меню MEBx.

Нажатие на меню MEBx

Система запросит пароль MEBx. Если пароль еще не установлен, по умолчанию это admin. При использовании значения по умолчанию система сразу же попросит сменить пароль.

Ввод пароля по умолчанию, если он еще не задан

В меню MEBx следует выбрать пункт Intel AMT Configuration. Аббревиатура MEBx расшифровывается как:

• Management Engine BIOS Extension

Переход к конфигурации AMT для Intel vPro

Сначала выполняется настройка сети. Нажмите на меню Network Setup.

Вход в настройки сети

Затем выберите Intel ME Network Name Settings.

Настройки сетевого имени и TCP/IP

Задайте сетевое имя, которое будет использоваться для конфигурации.

Установка сетевого имени для Intel vPro AMT MEBx

Вернитесь в предыдущее меню и нажмите TCP/IP Settings. Введите здесь выделенный IP-адрес. Следует помнить, что в конфигурации сети нет тегирования VLAN, поэтому необходимо настроить нетегированный трафик на тот VLAN, который планируется использовать для управления.

Настройка параметров TCP/IP для IP-адреса и другой сетевой конфигурации

После настройки IP-адреса вернитесь в родительское меню MEBx и установите Network Access State в значение Network Active.

Установка состояния сетевого доступа в активное

Существуют и другие специфические настройки, которые стоит проверить. Подробное пошаговое руководство по включению Intel vPro на Minisforum MS-01 можно найти в сети (например, статья «Step-by-Step Guide: Enabling Intel® vPro™ on Your Minisforum MS-01»).

После установки всех параметров BIOS для конфигурации vPro необходимо выбрать Save and Exit, чтобы сохранить настройки и перезагрузить MS-01.

Запуск MeshCommander в контейнере Docker

Одним из лучших инструментов для управления Intel AMT является MeshCommander. Его можно запустить в контейнере Docker для удобства использования, что позволяет иметь установленную версию, доступную из любого браузера.

Docker-контейнер

Используется образ Docker: taskinen/meshcommander. Ниже приведен полный файл Docker Compose для тех, кто заинтересован в таком способе запуска.

• Обязательно сначала создайте необходимую структуру каталогов:

Default

services:

meshcommander:

image: taskinen/meshcommander

container_name: meshcommander

restart: unless-stopped

volumes:

- /home/linuxadmin/homelabservices/meshcommander/data:/app/data

security_opt:

- no-new-privileges:true

ports:

- 3000:3000

После запуска и проверки работоспособности контейнера можно перейти по порту 3000 на хосте Docker.

Добавление узла в MeshCommander

После подключения нажмите кнопку Add Computer, чтобы начать процесс добавления нового соединения.

Нажмите кнопку добавления компьютера для создания новой записи

Появится диалоговое окно для добавления соединения. Здесь необходимо указать параметры, соответствующие настройкам MEBx, заданным ранее.

Заполните данные соединения, которые должны совпадать с конфигурацией BIOS

Новый хост добавлен и готов к подключению.

Новая запись добавлена для подключения в MeshCommander

Здесь отображается подробный статус системы в MeshCommander и доступные опции меню.

Успешное подключение к новому узлу

При нажатии на опцию Remote Desktop появится запрос на включение функции. Нажмите на уведомление (ribbon).

Включение удаленного рабочего стола

Выберите Redirection Port и опцию KVM Remote Desktop.

Выбор порта перенаправления и KVM

Теперь можно нажать кнопку Connect, чтобы начать сеанс KVM.

Подключение к удаленному KVM с использованием соединения vPro AMT

Доступ к консоли получен так же, как если бы монитор и клавиатура были подключены непосредственно к хосту.

Подключение к удаленной консоли KVM через Intel vPro к узлу домашней лаборатории Proxmox

Это демонстрирует возможности решения, позволяющего подключаться к узлу и управлять им, как если бы он был подключен к KVM или имел физический монитор и клавиатуру.

Особенности и нюансы использования Intel vPro

Существует несколько нюансов настройки Intel vPro на MS-01, которые, вероятно, актуальны и для других конфигураций. Потребуется разъем HDMI, поддерживающий активный видеосигнал, чтобы vPro позволял «видеть» экран после прохождения этапа BIOS.

Дешевым обходным решением является HDMI-заглушка («dummy plug»), которую можно приобрести на маркетплейсах. Они отлично работают и позволяют всегда иметь видеосигнал при инициации функции KVM из MeshCommander.

HDMI-заглушки

На фото ниже видно, что HDMI-заглушки светятся синим цветом. Также видны аплинки для соединения Intel vPro.

Вид на HDMI-заглушки и аплинки Intel vPro

Также необходимо выделить отдельную сетевую карту (NIC) для vPro, что для некоторых может быть недостатком. Соединение AMT работает только с портом 2.5 GbE (согласно результатам тестирования). Использовать 10-гигабитное соединение только для этих целей в любом случае нецелесообразно.

Кроме того, как уже упоминалось, конфигурация сети для Intel vPro (по крайней мере, на MS-01) не поддерживает тегирование VLAN. Поэтому необходимо убедиться, что нетегированный (native) VLAN установлен на тот VLAN, который планируется использовать для трафика управления.

Заключение

Одним из основных недостатков перехода на мини-ПК изначально казалось отсутствие внеполосного управления. Однако понимание функциональности и возможностей Intel vPro показало, что можно выполнять большинство тех же задач, что и с помощью карт iDRAC или IPMI. Это стало недостающим элементом для возвращения к уровню корпоративного контроля, доступного на серверах.

vPro, возможно, не столь мощна, как специализированные решения, но она очень близка к ним по набору функций. Для домашней лаборатории Intel vPro отлично подходит для удаленного доступа и управления питанием, что является двумя наиболее востребованными функциями на всех упомянутых платформах.

Minisforum MS-01 доступен в разных конфигурация по разным ценам. Посмотрите примеры ниже:

С процессором i5 12-го поколения

С процессором i9 12-го поколения

С процессором i9 13-го поколения

Это не самые доступные решения, но они более других подобных устройств приближают Вас к уровню промышленных серверов.

Источник на английском языке

Читайте про Свой умный дом локально:
🌐 Сайт
📱 Телеграм
📰 Дзен