Полезные мелочи в дата-центре: Wi-Fi IP KVM

KVM over IP, или просто IP KVM, — способ удаленного подключения к консоли сервера по протоколу TCP. Без него не обойтись, когда штатный удаленный доступ через Интернет (RDP, SSH) пропадает, сервер нужно срочно перезагрузить или переустановить ОС.
Обычно в дата-центрах IP KVM — это отдельная услуга, на которой часто экономят при заказе colocation или dedicated-серверов. Когда при форс-мажоре клиент все-таки обращается за IP KVM, то доступ к консоли приходится ждать: провайдеру нужно проложить кроссировку, организовать и настроить отдельный интернет-канал до стойки, где располагается пострадавший сервер. Для таких экстренных ситуаций мы и сделали Wi-Fi-вариант IP KVM. Получилось сердито, но эффективно.
b126e9f25d134b95b0eca14690727fbf.jpg

Схема работы

Беспроводная сеть дата-центров DataLine состоит из 66 точек доступа моделей Cisco AIR-LAP1041N и AIR-CAP1602I под управлением трех контроллеров Сisco 2504 (Wireless LAN controller, WLC), один из которых резервный. Площадка OST общей площадью 10000 кв. м покрывается 37 точками доступа. 29 точек доступа работает в дата-центрах NORD.
Применение нескольких SSID позволяет использовать одни и те же точки доступа и контроллер для нескольких нужд: Wi-Fi-телефония, гостевая и локальная беспроводные сети. На контроллере каждому SSID соответствует свой VLAN. Для IP KVM выделены отдельные SSID и VLAN. Wi-Fi сеть защищаем с помощью WPA2-Enterprise (алгоритм шифрования AES) и RADIUS.
835dd97e810a491284740233f82f8532.JPG
Одна из точек доступа, закрепленная на лотке СКС машинного зала. Для залов до 200 кв.м — одна точка доступа, от 200–400 кв. м — две.

В машинном зале установлены точки доступа. IP KVM-коммутатор ATEN CN8000 подключается через Wi-Fi-мост Trendnet TEW-800 к Wi-Fi-сети дата-центра.
По отношению к контроллеру (WLC) KVM — пассивное оборудование со статическим IP-адресом. По умолчанию WLC работает как proxy-ARP, т.е. отвечает на внешние ARP-запросы самостоятельно, зная IP-адрес беспроводного абонента. Когда у устройства статический IP-адрес, WLC не знает его IP-адрес и не может ответить на ARP-запрос. Поэтому при подключении KVM-коммутатора к беспроводной сети обязательно активируем на WLC опцию Passive client. В этом случае ARP-запросы будут отправляться напрямую конечным устройствам без участия WLC.

Теперь, когда клиенту внезапно понадобится удаленное подключение к консоли сервера, дежурный инженер просто подключает KVM-коммутатор в оборудование. Для владельца оборудования создается учетная запись, сообщается внешний IP и учетные данные для доступа на IP KVM.
С момента получения заявки до подключения клиента к консоли теперь проходит не более 30 минут.
b04b546edd25419e968fe553d90831c9.jpg
По запросу клиента к стойке подвозят IP KVM, подключенный к Wi-Fi-мосту. Выглядит вот так.

Пользователь может подключаться к KVM через браузер с помощью Win- или Java-приложения.
f16ec995661140078bcd632cfb60c0f9.PNG
Интерфейс KVM CN8000. Для открытия консоли нужно кликнуть «Просмотрщик» и скачать приложение.

1b7928b1eaec440796beb411557fe50b.PNG
Вход в консоль через Win-приложение.

662098b9a5ed47d58eb1f1c80b86a3ee.PNG
Консоль оборудования. В верхней части закреплена панель инструментов. позволяющая регулировать картинку, работу клавиатуры, мыши и другие настройки.

Выбор метода Wi-Fi-подключения

Сначала мы искали IP-KVM с интегрированным модулем Wi-Fi, но готового, коробочного, варианта не нашлось. Ранее ATEN выпускала беспроводной вариант IP KVM — KW1000, но модель была снята с производства.
Тогда мы стали подбирать отдельный девайс в качестве Wi-Fi-моста для обычного IP KVM-коммутатора. Конструктивно Wi-Fi-мост должен быть компактным и удобным при эксплуатации, желательно с минимальным тепловыделением: связка «KVM — Wi-Fi-модуль» используется в горячих коридорах машинных залов ЦОД.
Первой идеей было использование в качестве Wi-Fi-моста точки доступа Cisco Aironet 1600 в режиме Workgroup Bridge. Решение выходило громоздким, и использовать целую точку доступа для этой задачи было нерационально. Мы решили немного поэкспериментировать с микрокомпьютером Raspberry PI 2B в сочетании с USB Wi-Fi-модулем edup N8508GS.
fc2ff28f6ed0412087282f58274d86b5.png
Одноплатный компьютер Raspberry PI 2B на базе процессора Broadcom BCM2836 и Wi-Fi-модуль edup N8508GS.

Raspberry PI 2B поддерживает различные ОС. При желании можно его приспособить под различные задачи. Мы поставили на него ОС Raspbian, подключили к нему usb Wi-Fi-модуль edup N8508GS и стали использовать в качестве Wi-Fi-маршрутизатора.
В этой схеме Wi-Fi-маршрутизатор на базе Raspberry выполняет функцию NAT — транслирует публичные IP-адреса во внутренние IP-адреса (private).

e5e4a44b16b3409ba5556b0f4f979b84.png
Схема беспроводного KVM с участием Raspberry PI 2B и Wi-Fi-модуля edup N8508GS.

Эта связка работала, но не стабильно: сессии часто прерывались. Когда удавалось подключиться, из-за большого джиттера и потери пакетов картинка на стороне пользователя сильно подвисала.

ICMP-запросы до Raspberry выглядят следующим образом:

Ответ от 10.7.19.50: число байт=32 время=42 мс TTL=63
Ответ от 10.7.19.50: число байт=32 время=77 мс TTL=63
Ответ от 10.7.19.50: число байт=32 время=106 мс TTL=63
Ответ от 10.7.19.50: число байт=32 время=34 мс TTL=63
Ответ от 10.7.19.50: число байт=32 время=66 мс TTL=63
Ответ от 10.7.19.50: число байт=32 время=7 мс TTL=63
Ответ от 10.7.19.50: число байт=32 время=132 мс TTL=63
Ответ от 10.7.19.50: число байт=32 время=84 мс TTL=63
Ответ от 10.7.19.50: число байт=32 время=81 мс TTL=63
Ответ от 10.7.19.50: число байт=32 время=96 мс TTL=63
Ответ от 10.7.19.50: число байт=32 время=232 мс TTL=63
Ответ от 10.7.19.50: число байт=32 время=68 мс TTL=63
Ответ от 10.7.19.50: число байт=32 время=86 мс TTL=63
Ответ от 10.7.19.50: число байт=32 время=111 мс TTL=63
Ответ от 10.7.19.50: число байт=32 время=33 мс TTL=63

Следующим вариантом опробовали простенький домашний Trendnet TEW-800. Устройство имеет низкое энергопотребление 12 Вт (построен на процессоре ARM), и несильно греется. Работает в двух диапазонах — 2.4 и 5 ГГц.
eca96ec9f6c14928835eb1830d0ede1c.jpeg
Wi-Fi-мост Trendnet TEW-800

Raspberry PI 2B мы использовали в качестве маршрутизатора с функцией NAT: внешний IP «смотрит» в Wi-Fi-эфир, а внутренний — на KVM. Trendnet TEW-800 же в нашей схеме выступает в роли Wi-Fi-моста, т. е. на канальном уровне (L2) связывает Wi-Fi-среду и KVM-коммутатор. Публичный IP-адрес находится на самом IP KVM. Это упрощает схему, убирает лишний анализ пакетов (lookup) на транзитном узле и NAT connection tracking-данные.

e3db0224b30a4d65a66ff8598bd76cda.png
Схема беспроводного KVM с участием Wi-Fi-моста Trendnet TEW-800.

ICMP-запросы до Trendnet выглядят следующим образом:

Ответ от 10.7.19.80: число байт=32 время=1 мс TTL=127
Ответ от 10.7.19.80: число байт=32 время=3 мс TTL=127
Ответ от 10.7.19.80: число байт=32 время=2 мс TTL=127
Ответ от 10.7.19.80: число байт=32 время=1 мс TTL=127
Ответ от 10.7.19.80: число байт=32 время=1 мс TTL=127
Ответ от 10.7.19.80: число байт=32 время=2 мс TTL=127
Ответ от 10.7.19.80: число байт=32 время=2 мс TTL=127
Ответ от 10.7.19.80: число байт=32 время=1 мс TTL=127
Ответ от 10.7.19.80: число байт=32 время=1 мс TTL=127
Ответ от 10.7.19.80: число байт=32 время=1 мс TTL=127
Ответ от 10.7.19.80: число байт=32 время=2 мс TTL=127
Ответ от 10.7.19.80: число байт=32 время=1 мс TTL=127
Ответ от 10.7.19.80: число байт=32 время=1 мс TTL=127
Ответ от 10.7.19.80: число байт=32 время=1 мс TTL=127
Ответ от 10.7.19.80: число байт=32 время=1 мс TTL=127
Ответ от 10.7.19.80: число байт=32 время=2 мс TTL=127
Ответ от 10.7.19.80: число байт=32 время=1 мс TTL=127
Ответ от 10.7.19.80: число байт=32 время=1 мс TTL=127
Ответ от 10.7.19.80: число байт=32 время=1 мс TTL=127

Выбор IP KVM-коммутатора

Выбирали из двух моделей — D-Link DKVM IP1 и Aten CN8000. Модель D-Link мы традиционно использовали для проводного варианта IP KVM.
Для задачи подключения по Wi-Fi обе модели подходили, но у Aten CN8000 было больше возможностей для проводного подключения. Wi-Fi IP KVM — это все-таки экстренный вариант, и на постоянное время лучше использовать проводное подключение.
eda666c2440d41d785fedaa434556b36.jpg
Aten CN8000.

В проводном варианте есть возможность организовать управление всеми коммутаторами и пользователями через централизованный сервер. Для этого Aten предоставляет программное средство управления CC2000. В едином интерфейсе Личного кабинета инженер со стороны дата-центра cможет управлять учетными данными пользователей, просматривать журнал событий доступа, управлять всеми IP KVM-коммутаторами. Доступ пользователя к Личному кабинету осуществляется по https.

e0c1ec1c0ef2449e934d35d6aea66b98.png
Схема подключения инженера к KVM-инфраструктуре дата-центра центра через СС 2000.

ef8a3cd0519d47d7b2414fede44b258b.PNG
Интерфейс Личного кабинета СС 2000. Вкладка с пользователями.

Вместо заключения

Если удаленный доступ нужен постоянно, то лучше воспользоваться проводной версией. Она обеспечивает стабильное качество работы с IP KVM, на которое не влияет расстояние между IP KVM-коммутатором и точкой доступа. Зато Wi-Fi IP KVM спасет, когда с оборудованием случилась беда и подключиться к нему нужно быстро.

Комментарии (0)

© Habrahabr.ru