在日常运维过程中,运维人员通过远程方式来管理服务器,经常会遇到服务器出现无法远程登录情况,只能安排现场人员进机房来,如果服务器配置了ipmi管理地址,就会方便很多。
IPMI是一个独立于操作系统、CPU、Blos的带外管理方式,是服务器上BMC提供的一种服务器带外管理,只要接通电源就能通过IPMI管理服务器。虽然不同厂商实现的功能不尽相同,但是日常的服务器重启、查看系统日志、查看电源状态、查看硬件状态、重装操作系统等都是可以实现的。在企业环境中,需要规划单独的服务器IPMI带外管理地址,使管理通道与业务通道分离,并且单独配置一台服务器来专门管理带外网络,这台服务器可以叫做带外管理跳板机,方便后续监控管理系统对接数据、日常维护调整,各系统模块化管理对于后续的架构变更很有必要。
带外管理架构
该架构图通过Mermaid语法实现,可直接在支持Markdown的编辑器或平台中渲染,清晰展示了运维人员通过带外管理跳板机统一管理多台服务器BMC地址的架构设计,适用于大规模服务器运维管理,小规模服务器可酌情配置带外管理网络和架构。
运维带外管理架构图
图表说明
节点说明:
🔵 蓝色服务器节点:代表被管理的物理服务器
🟣 紫色运维节点:代表运维人员操作入口
🟢 绿色跳板节点:带外管理专用跳板机
连接逻辑:
运维人员通过跳板机集中访问所有服务器的BMC带外地址
采用星型拓扑结构,跳板机作为唯一入口点
支持动态扩展服务器数量(通过BMC地址节点复制实现)
安全特性:
所有BMC访问强制经过跳板机审计
支持双因素认证和操作录像
跳板机部署在独立管理网络
扩展能力:
可添加负载均衡器实现高可用
支持对接堡垒机实现操作审计
可扩展IPMI/Redfish等管理协议
跳板机服务器
带外管理跳板机作为运维管理的核心入口,需通过多层次策略配置保障安全性和可审计性,按照实际需求配置,实现基本的访问控制即可,其他功能逐步完善即可。
网络隔离:部署在单独的管理网络(vlan),于业务网络物理隔离。
#iptables设置允许特定的ssh/https访问跳板机access-list 100 permit tcp 192.168.10.0 0.0.0.255 host 10.0.0.1 eq 22access-list 100 deny tcp any any eq 22#禁用IPMI原始端口iptables -A INPUT -p tcp --dport 623 -j DROPiptables -A INPUT -p tcp --dport 443 -m conntrack --ctstate NEW -j ACCEPT
会话审计策略:部署castle/jumpserver等功能,关键命令告警
# /etc/rsyslog.conf 添加:msg, contains, "Command phase" /var/log/ssh_audit.log
会话超时:空闲会话自动断开
#SSH配置(/etc/ssh/sshd_config)ClientAliveInterval 300ClientAliveCountMax 3
固件安全:启用BMC签名认证
#HP iLO配置ipmitool -H 10.0.0.100 -U admin raw 0x3c 0x42 0x01 0x01 # 启用UEFI安全启动#
日志留存:审计日志留存≥180天
/var/log/ssh_audit.log { daily rotate 180 compress missingok}
IPMI配置
[root@test ~]# yum provides ipmitoolLoading mirror speeds from cached hostfileipmitool-1.8.18-9.el7_7.x86_64 : Utility for IPMI control源 :local[root@test ~]# yum -y install ipmitool-1.8.18-9.el7_7.x86_64
#ipmitool通用格式ipmitool -I connect_type -H hostname -U username -P password <command>#-I connect_type:指定连接被管理设备的方式,connect_type的取值为lanplus,表示使用IPMI v2.0规范进行远程连接#-H hostname:指定被管理设备的IP地址#-U username -P password:指定被管理设备的HDM用户名及其密码#<command>:IPMI命令执行的具体动作#-L:会话权限,默认Administrator,访客需要添加-L oem
[root@model ~]# cat daiwai.sh#!/bin/basha=`cat /root/test.txt`for i in $a do echo $i ipmitool -I lanplus -H $i -U lebron -P 'Lebron@20230815' sol payload status 1 3 ipmitool -I lanplus -H $i -U lebron -P 'Lebron@20230815' sol payload status 1 5 done
1. 查看开关机状态:ipmitool –H (BMC的管理IP地址) –I lanplus –U (BMC登录用户名) –P (BMC 登录用户名的密码) power status2. 开机:ipmitool –H (BMC的管理IP地址) –I lanplus –U (BMC登录用户名) –P (BMC 登录用户名的密码) power on3. 关机:ipmitool –H (BMC的管理IP地址) –I lanplus –U (BMC登录用户名) –P (BMC 登录用户名的密码) power off4. 重启:ipmitool –H (BMC的管理IP地址) –I lanplus –U (BMC登录用户名) –P (BMC 登录用户名的密码) power reset1. 查看用户信息:ipmitool –H (BMC的管理IP地址) –I lanplus –U (BMC登录用户名) –P (BMC 登录用户名的密码) user list [ChannelNo]2. 增加用户:ipmitool –H (BMC的管理IP地址) –I lanplus –U (BMC登录用户名) –P (BMC 登录用户名的密码) user set name3. 设置密码:ipmitool –H (BMC的管理IP地址) –I lanplus –U (BMC登录用户名) –P (BMC 登录用户名的密码) user set password4. 设置用户权限:ipmitool –H (BMC的管理IP地址) –I lanplus –U (BMC登录用户名) –P (BMC 登录用户名的密码) user priv [ChannelNo]5. 启用/禁用用户:ipmitool –H (BMC的管理IP地址) –I lanplus –U (BMC登录用户名) –P (BMC 登录用户名的密码) user enable/disable1. 查看网络信息:ipmitool –H (BMC的管理IP地址) –I lanplus –U (BMC登录用户名) –P (BMC 登录用户名的密码) lan print [ChannelNo]2. 修改IP为静态还是DHCP模式:ipmitool –H (BMC的管理IP地址) –I lanplus –U (BMC登录用户名) –P (BMC 登录用户名的密码) lan set ipsrc3. 修改IP地址:ipmitool –H (BMC的管理IP地址) –I lanplus –U (BMC登录用户名) –P (BMC 登录用户名的密码) lan set ipaddr4. 修改子网掩码:ipmitool –H (BMC的管理IP地址) –I lanplus –U (BMC登录用户名) –P (BMC 登录用户名的密码) lan set netmask5. 修改默认网关:ipmitool –H (BMC的管理IP地址) –I lanplus –U (BMC登录用户名) –P (BMC 登录用户名的密码) lan set defgw ipaddr
微信扫一扫,打赏作者吧~本文链接:https://www.jingber.cn/post/3845.html 转载需授权!
