IPMI - це незамінна річ як для моніторингу здоров’я виділеного сервера, так і для доступу до операційної системи сервера в позаштатних ситуаціях, коли недоступні сервіси віддаленого доступу (SSH, RDP).
Проблема
Як прикро буває в самий невідповідний момент виявити, що IPMI недоступно. А останнім часом це буває досить часто, особливо на більш старих серверах. Вся справа в тому, що в інтернеті постійно відбуваються автоматизовані brute force атаки. IPMI виконується на окремому чіпі, потужності якого достатньо для забезпечення працездатності веб-інтерфейсу, але його легко вивести з ладу шляхом підбору пароля по SSH або великою кількістю підключень.
Рішення
Тепер IPMI всіх серверів є доступним тільки всередині нашої мережі, де значно безпечніше, ніж в інтернеті. Ми розробили спеціальний додаток, що працює як шлюз. Таким чином, IPMI доступне по протоколах SSH і RMCP тільки всередині мережі, а веб-інтерфейс доступний в інтернет через шлюз на нестандартному порту.
Доступ здійснюється по доменному імені через безпечне HTTPS-з’єднання з сучасним SSL-сертифікат навіть для тих серверів, де IPMI працює тільки по HTTP. Крім веб-інтерфейсу шлюз також обслуговує консоль (iKVM) і Virtual Media.
Сучасні вимоги безпеки
У зв’язку з виявленням вразливостей, а також зростанням продуктивності, деякі протоколи шифрування досить швидко застаріли. Таким чином, відносно сучасні на поточний момент сервери HP 7-го покоління, які мають 3-ю версію iLO, вже неможливо відкрити в жодному браузері актуальної версії. Завдяки нашому рішенню став доступний веб-інтерфейс і iLO2 і iLO3.
Крім того, для iLO2 ми реалізували можливість підключення ISO-образів і Java веб-консоль.