Корисні дрібниці в дата-центрі: Wi-Fi IP KVM

KVM over IP, або просто IP KVM, – спосіб віддаленого підключення до консолі сервера по протоколу TCP. Без нього не обійтися, коли штатний віддалений доступ через Інтернет (RDP, SSH) пропадає, сервер потрібно терміново перезавантажити або перевстановити ОС.
Зазвичай в дата-центрах IP KVM — це окрема послуга, на якій часто економлять при замовленні colocation або dedicated-серверів. Коли при форс-мажорі клієнт все-таки звертається за IP KVM-доступ до консолі доводиться чекати: провайдеру потрібно прокласти кроссировку, організувати та налаштувати окремий інтернет-канал до стійки, де розташовується потерпілий сервер. Для таких екстрених ситуацій ми і зробили Wi-Fi-варіант IP KVM. Вийшло сердито, але ефективно.



Схема роботи

Бездротова мережа дата-центрів DataLine складається з 66 точок доступу моделей Cisco AIR-LAP1041N і AIR-CAP1602I під управлінням трьох контролерів Сіѕсо 2504 (Wireless LAN controller, WLC), один з яких резервний. Майданчик OST загальною площею 10000 кв. м покривається 37 точками доступу. 29 точок доступу працює в дата-центрах NORD.
Застосування декількох SSID дозволяє використовувати одні і ті ж точки доступу і контролер для кількох потреб: Wi-Fi-телефонія, гостьова і локальна бездротові мережі. На кожному контролері SSID відповідає свій VLAN. Для IP KVM виділені окремі SSID і VLAN. Wi-Fi мережа захищаємо за допомогою WPA2-Enterprise (алгоритм шифрування AES) і RADIUS.

Одна з точок доступу, закріплена на лотку СКС машинного залу. Для залів до 200 кв. м – одна точка доступу, від 200-400 кв. м – два.

У машинному залі встановлено точки доступу. IP KVM комутатор ATEN CN8000 підключається через Wi-Fi-міст Trendnet TEW-800 до Wi-Fi-мережі дата-центру.
По відношенню до контролера (WLC) KVM – пасивне обладнання зі статичним IP-адресою. За замовчуванням WLC працює як proxy-ARP, тобто відповідає на зовнішні ARP-запити самостійно, знаючи IP-адреса бездротового абонента. Коли у пристрої статичний IP-адресу, WLC не знає його IP-адресу і не може відповісти на ARP-запит. Тому при підключенні KVM-комутатора до бездротової мережі обов'язково активуємо на WLC опцію Passive client. У цьому випадку ARP-запити надсилаються безпосередньо кінцевим пристроїв без участі WLC.

Тепер, коли клієнту раптово знадобиться віддалене підключення до консолі сервера, черговий інженер просто підключає KVM-перемикач обладнання. Для власника обладнання створюється обліковий запис, повідомляється зовнішній IP і облікові дані для доступу на IP KVM.
З моменту отримання заявки до підключення клієнта до консолі тепер проходить не більше 30 хвилин.

За запитом клієнта до стійки підвозять IP KVM, підключений до Wi-Fi-мосту. Виглядає ось так.

Користувач може підключатися до KVM через браузер за допомогою Win — або Java-програми.

Інтерфейс KVM CN8000. Для відкриття консолі потрібно клікнути «Переглядач» і завантажити додаток.


Вхід в консоль через Win-додаток.


Консоль обладнання. У верхній частині закріплена панель інструментів. дозволяє регулювати картинку, роботу клавіатури, миші та інші налаштування.

Вибір методу Wi-Fi-підключення

Спочатку ми шукали IP-KVM з інтегрованим модулем Wi-Fi, але готового, коробкового, варіанти не знайшлося. Раніше ATEN випускала бездротовий варіант IP KVM – KW1000, але модель була знята з виробництва.
Тоді ми стали підбирати окремий девайс в якості Wi-Fi-моста для звичайного IP KVM-комутатора. Конструктивно Wi-Fi-міст повинен бути компактним і зручним при експлуатації, бажано з мінімальним тепловиділенням: зв'язка «KVM – Wi-Fi-модуль» використовується в гарячих коридорах машинних залів ЦОД.
Першою ідеєю було використання в якості Wi-Fi-мосту точки доступу Cisco Aironet 1600 в режимі Workgroup Bridge. Рішення виходило громіздким, і використовувати цілу точку доступу для цієї задачі було нераціонально. Ми вирішили трохи поекспериментувати з мікрокомп'ютером Raspberry PI 2B у поєднанні з USB Wi-Fi-модулем edup N8508GS.

Одноплатний комп'ютер Raspberry PI 2B на базі процесора Broadcom BCM2836 і Wi-Fi-модуль edup N8508GS.

Raspberry PI 2B підтримує різні ОС. При бажанні його можна пристосувати під різні завдання. Ми поставили на нього ОС Raspbian, підключили до нього usb Wi-Fi-модуль edup N8508GS і стали використовувати в якості Wi-Fi-маршрутизатора.
У цій схемі Wi-Fi маршрутизатор на базі Raspberry виконує функцію NAT – транслює публічні IP-адреси у внутрішні IP-адреси (private).


Схема бездротового KVM з участю Raspberry PI 2B і Wi-Fi-модуля edup N8508GS.

Ця зв'язка працювала, але не стабільно: сесії часто переривалися. Коли вдавалося підключитися, з-за великого джиттера і втрати пакетів картинка на стороні користувача сильно підвисає.

ICMP-запити до Raspberry виглядають наступним чином:

Відповідь від 10.7.19.50: число байт=32 час=42 мс TTL=63
Відповідь від 10.7.19.50: число байт=32 час=77 мс TTL=63
Відповідь від 10.7.19.50: число байт=32 час=106 мс TTL=63
Відповідь від 10.7.19.50: число байт=32 час=34 мс TTL=63
Відповідь від 10.7.19.50: число байт=32 час=66 мс TTL=63
Відповідь від 10.7.19.50: число байт=32 час=7 мс TTL=63
Відповідь від 10.7.19.50: число байт=32 час=132 мс TTL=63
Відповідь від 10.7.19.50: число байт=32 час=84 мс TTL=63
Відповідь від 10.7.19.50: число байт=32 час=81 мс TTL=63
Відповідь від 10.7.19.50: число байт=32 час=96 мс TTL=63
Відповідь від 10.7.19.50: число байт=32 час=232 мс TTL=63
Відповідь від 10.7.19.50: число байт=32 час=68 мс TTL=63
Відповідь від 10.7.19.50: число байт=32 час=86 мс TTL=63
Відповідь від 10.7.19.50: число байт=32 час=111 мс TTL=63
Відповідь від 10.7.19.50: число байт=32 час=33 мс TTL=63

Наступним варіантом випробували простенький домашній Trendnet TEW-800. Пристрій має низьке енергоспоживання 12 Вт ( побудований на процесорі ARM), і несильно гріється. Працює у двох діапазонах – 2.4 и 5 ГГц.

Wi-Fi-міст Trendnet TEW-800

Raspberry PI 2B ми використовували в якості маршрутизатора з функцією NAT: зовнішній IP «дивиться» в Wi-Fi-ефір, а внутрішній – на KVM. Trendnet TEW-800 ж у нашій схемі виступає в ролі Wi-Fi-моста, тобто на канальному рівні (L2) пов'язує Wi-Fi-середовище і KVM-комутатор. Публічний IP-адресу знаходиться на самому IP KVM. Це спрощує схему, прибирає зайвий аналіз пакетів (lookup) на транзитному вузлі і NAT connection tracking-дані.


Схема бездротового KVM з участю Wi-Fi-мосту Trendnet TEW-800.

ICMP-запити до Trendnet виглядають наступним чином:

Відповідь від 10.7.19.80: число байт=32 час=1 мс TTL=127
Відповідь від 10.7.19.80: число байт=32 час=3 мс TTL=127
Відповідь від 10.7.19.80: число байт=32 час=2 мс TTL=127
Відповідь від 10.7.19.80: число байт=32 час=1 мс TTL=127
Відповідь від 10.7.19.80: число байт=32 час=1 мс TTL=127
Відповідь від 10.7.19.80: число байт=32 час=2 мс TTL=127
Відповідь від 10.7.19.80: число байт=32 час=2 мс TTL=127
Відповідь від 10.7.19.80: число байт=32 час=1 мс TTL=127
Відповідь від 10.7.19.80: число байт=32 час=1 мс TTL=127
Відповідь від 10.7.19.80: число байт=32 час=1 мс TTL=127
Відповідь від 10.7.19.80: число байт=32 час=2 мс TTL=127
Відповідь від 10.7.19.80: число байт=32 час=1 мс TTL=127
Відповідь від 10.7.19.80: число байт=32 час=1 мс TTL=127
Відповідь від 10.7.19.80: число байт=32 час=1 мс TTL=127
Відповідь від 10.7.19.80: число байт=32 час=1 мс TTL=127
Відповідь від 10.7.19.80: число байт=32 час=2 мс TTL=127
Відповідь від 10.7.19.80: число байт=32 час=1 мс TTL=127
Відповідь від 10.7.19.80: число байт=32 час=1 мс TTL=127
Відповідь від 10.7.19.80: число байт=32 час=1 мс TTL=127

Вибір IP KVM-комутатора

Вибирали з двох моделей – D-Link DKVM IP1 і Aten CN8000. Модель D-Link ми традиційно використовували для проводового варіанти IP KVM.
Для завдання підключення по Wi-Fi обидві моделі підходили, але у Aten CN8000 було більше можливостей для проводового підключення. Wi-Fi IP KVM – це все-таки екстрений варіант, і на постійний час краще використовувати дротове підключення.

Aten CN8000.

У провідному варіанті є можливість організувати управління всіма комутаторами і користувачами через централізований сервер. Для цього Aten надає програмний засіб управління CC2000. В єдиному інтерфейсі Особистого кабінету інженер з боку дата-центру зможе керувати обліковими записами користувачів, переглядати журнал подій доступу, управляти всіма IP KVM-комутаторами. Доступ користувача до Особистого кабінету здійснюється по https.


Схема підключення інженера до KVM-інфраструктурі дата-центру центру через СС 2000.


Інтерфейс Особистого кабінету СС 2000. Вкладка з користувачами.

Замість висновку

Якщо віддалений доступ потрібен постійно, то краще скористатися провідний версією. Вона забезпечує стабільну якість роботи з IP KVM, на яке не впливає відстань між IP KVM-комутатором і точкою доступу. Зате Wi-Fi IP KVM врятує, коли з обладнанням трапилася біда і підключитися до нього потрібно швидко.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.