vPro – удалённое управление в вашей сети
В сетях организаций приходится управлять десятками или даже сотнями компьютеров, поддерживая стабильную работу ИТ-инфраструктуры, поскольку она является фундаментом бизнеса. И на эту задачу часто может уходить немало сил, времени и денег. Компьютерами в небольших организациях управлять относительно легко, поскольку не нужно бегать с этажа на этаж и между разными корпусами. Если же бегать приходится, то даже элементарные задачи, такие, как инвентаризация, обновление ПО или замена сбойных комплектующих, могут отнимать немало времени ИТ-персонала, что влетает в копеечку.
На рынке есть разные системы управления, но большинство из них требует для своей работы функционирующей ОС на удалённом ПК или установки специального модуля, который, опять же, стоит денег. Решения, зависящие от ОС, обычно не обеспечивают доступ к настройкам BIOS или не позволяют изменять последовательность загрузки, выполнять “холодную” перезагрузку или схожие действия. Если ОС по каким-то причинам не загружается (например, в результате атаки вируса или серьёзной программной ошибки), получить доступ к удалённой системе уже не получится, и администратору придётся разбираться с проблемой на месте. Хотя есть стандарты, обеспечивающее управление ПК на уровне ниже ОС, им не хватает удобства и гибкости. В качестве примеров можно привести такие функции, как пробуждение по сети, модему или RTC. Есть и окружение PXE (Pre-Boot Execution Environment), которое позволяет загружать компьютер с удалённого сетевого источника. С его помощью можно установить ОС или выполнить обновление BIOS без установки в ПК физического носителя. Сетевая карта ищет сервер загрузки PXE в локальной сети, который обеспечивает доступ к NBP (Network Bootstrap Program). Наконец, формат ASF (Alert Standard Format) отвечает за определение ошибок и сбоев. Он обеспечивает обслуживание независимо от ОС. Но ASF далёк от совершенства, поскольку он не поддерживает аутентификацию, шифрование, возможности перезагрузки, удалённое управление в реальном времени, удалённое обновление BIOS и политики.
Что такое vPro?
vPro – маркетинговое название технологии, аналогично Viiv или Centrino. Под vPro подразумевается набор функций, нацеленных на корпоративное окружение. По сути, мы получаем комбинацию функций и технологий, имеющихся в портфолио Intel: vPro требует определённую версию чипсета 965, а именно, Q965 с поддержкой Intel AMT (Active Management Technology). Наконец, на сайте vPro указан процессор Core 2 Duo как часть vPro, хотя наша тестовая система от Acer была оснащена Pentium D. Здесь важна поддержка VT (Intel Virtualization Technology) со стороны процессора, чтобы он смог запустить раздел ОС обслуживания.
Описание vPro со стороны Intel подчёркивает функции управления и безопасности. vPro позволяет сократить число вызовов специалистов на места и снизить накладные затраты на обслуживание ИТ-инфраструктуры. Причём Intel обещает беспроблемную интеграцию в существующую инфраструктуру управления. Под функциями управления Intel подразумевает возможность инвентаризации ПК, включая комплектующие, через аппаратное соединение, не зависящее от ОС и состояния системы. Можно как собрать системную информацию, так и получить её из небольшой энергонезависимой памяти системы vPro. Уменьшение числа вызовов на клиентские места обеспечивается поддержкой удалённой загрузки, диагностики и восстановления/резервирования. Безопасность обеспечивается с помощью фильтрации сетевого трафика, лёгкой изоляцией и карантином инфицированных систем. Информация о клиентах будет всегда самая свежая, можно будет удалённо устанавливать обновления и опционально создавать виртуальные окружения для обслуживания.
vPro использует собственную подсеть для управления, хотя связь производится по существующей физической инфраструктуре. Расширение vPro в BIOS позволяет динамически получать IP-адрес с DHCP-сервера, но можно выставлять его вручную. Для vPro используется встроенный сетевой контроллер, другие сетевые карты не поддерживаются. Все операции управления будут работать независимо от состояния активности компьютера (гибернация, сон, включён) или состояния ОС.
Куда входит AMT?
vPro по большей части опирается на технологию Intel Active Management Technology (AMT). AMT – комбинация функций платформ и программного обеспечения, которое обычно предоставляется сторонними разработчиками. Большинство из функций, описанных в этой статье, входит в состав AMT.
Нужна ли вам vPro?
Конечно, поддержка vPro не бесплатна, но платформы с vPro стоят не так и дорого. Мы рекомендуем эту технологию для больших корпоративных окружений, но в сфере малого бизнеса принять решение сложнее. vPro требует чипсет Intel Q965, но материнские чипсеты на основе этого чипсета бизнес-класса обычно не подходят для энтузиастов, поскольку на них нет дополнительных аксессуаров или хорошей поддержки разгона. Да, платформа vPro даст возможность управлять компьютерами на совершенно ином уровне, но принимать решение нужно индивидуально.
Настройка системы для AMT/vPro
Настраивать систему для работы с AMT/vPro весьма просто. Нужно войти в BIOS управления, что можно сделать нажатием “CTRL+P” после теста POST (power-on self test), там можно будет указать несколько основных настроек. Не забудьте включить возможности AMT.
Intel Management Engine BIOS Extension
Главное меню Intel Management Engine BIOS Extension. В него попадаешь, нажав “CTRL+P” после теста POST.
Вообще, мы были немного растеряны, когда впервые попытались запустить AMT и настроить технологию. Мы получили материнскую плату с поддержкой vPro от MSI и компьютер vPro от Acer, но в обоих случаях никакой документации не было. Чтобы войти в расширение BIOS на плате MSI, нам пришлось угадывать предварительно заданный пароль (который, кстати, оказался “admin”). Тот же самый пароль по умолчанию был и на ПК Acer.
Перед выполнением дальнейших операций BIOS требует сменить пароль. Но, опять же, эту операцию нельзя назвать интуитивной, поскольку требования к паролю очень строгие, и менее опытные пользователи вряд ли сразу поймут, почему пароль отвергается системой. Пароль должен содержать большие и маленькие буквы, цифры и символы. Кроме того, есть ещё один момент: вы должны ввести host-имя компьютера, только после этого AMT/vPro заработает – настройки IP-адреса (статического или через DHCP) недостаточно. Введённую информацию можно затем изменить.
У нас была документация Intel на нескольких страницах, но там всё же не было инструкции по быстрому старту. Наконец, мы получили 190-страничный документ vPro Deployment Guide. Немалый объём для документации, так что постарайтесь выделить время на её изучение.
Меню настройки AMT содержит ряд важных опций.
vPro для предприятий: с SCS
vPro может работать в двух вариантах, первый предназначен для малого бизнеса, второй нацелен на корпоративную сферу и поддерживает аутентификацию с помощью ключей и шифрование. Корпоративная версия требует наличия сервера SCS (Setup and Configuration Server), отвечающего за шифрование и аутентификацию.
iAMT Commander
AMT Commander – утилита управления функциями AMT, но Intel поставляет её только разработчикам. Обычно окружение vPro строится на приложениях сторонних компаний.
AMT Commander – одна из двух утилит управления vPro. Но она была создана в помощь разработчикам, и в реальных системах вряд ли будет использоваться. Поэтому администраторам придётся опираться на утилиты сторонних разработчиков. Но набор функций, с другой стороны, вполне сравним. Commander подключается к клиентским ПК с поддержкой vPro. Утилита позволяет находить ПК с vPro, просматривать их комплектующие и выполнять базовые настройки AMT.
Network Discovery
AMT Commander позволяет находить компьютеры с поддержкой vPro/AMT, но надо указать диапазон IP-адресов для сканирования. Нажмите на картинку для увеличения.
После успешного поиска систем vPro в заданном диапазоне можно начинать работу с клиентами. Важно проследить, чтобы у каждого клиента было заданное host-имя AMT, иначе утилита управления Intel не подключится. Здесь можно включать или отключать такие функции AMT, как SOL (Serial-over-LAN) или IDE Redirect (для загрузки через LAN).
AMT Commander подключается к любому ПК с vPro, который был правильно настроен и доступен по сети.
Watchdogs
Можно настроить сторожевые схемы (Watchdogs), которые будут отслеживать приложения, работающие на клиентском ПК.
iAMT Director
Нажмите на картинку для увеличения.
AMT Director – второй программный пакет, который мы получили для тестирования. Это, опять же, инструмент, предназначенный для разработчиков, поэтому реальные окружения будут использовать другие решения. Основная цель AMT Director заключается в настройке и инициализации. В принципе, программа работает как сервер инициализации.
Опять же, сначала нужно подключиться.
Provisioning Server
Сервер инициализации (Provisioning Server) для корпоративного окружения выдаёт сертификаты безопасности и шаблоны клиентам vPro. Следует упомянуть, что все подключения с клиентами шифруются, если только AMT работает в корпоративном режиме.
Zero-Touch Setup
Если производитель ПК предустановил так называемые программные ключи (software keys), необходимые для корпоративного режима AMT, первый контакт клиента vPro с сервером инициализации запустит так называемую процедуру Zero-Touch Setup, представляющую собой полностью автоматизированную настройку служб AMT.
Web-интерфейс iAMT
Нажмите на картинку для увеличения.
Web-интерфейс AMT является, наверное, самым простым средством управления компьютерами vPro, поскольку он легко доступен после инициализации и настройки служб AMT. Независимо от решений сторонних разработчиков, каждым компьютером vPro/AMT можно управлять с помощью встроенного web-сервера. К web-интерфейсу можно обратиться по IP-адресу клиентской системы или по host-имени, которое задаётся у клиентов (без него AMT вообще не будет работать). Функция удалённого управления (Remote Control) кажется нам особенно полезной, поскольку она позволяет выключать и включать систему, загружаться с разными опциями накопителей или просто “сбросить” машины. Здесь есть существенное отличие от соединения “Удалённый рабочий стол” (Remote Desktop) под Windows: если под Windows выключение – процесс программный, который выполняет ОС, то выключение AMT ближе всего к простому тумблеру питания.
Информация об аппаратном обеспечении (Hardware Information)
Информация о системе весьма детальна, здесь можно найти немало информации, которую обычно получаешь только через средства управления, работающие через ОС.
Журнал событий (Event Log)
Журнал событий тоже подробен.
Удалённое управление (Remote Control)
Функция удалённого управления весьма полезна. Представьте, что один из ваших компьютеров отказался загружаться, и вы не можете получить доступ к традиционным средствам дистанционного управления, таким, как VNC или Remote Desktop. В таком случае функция сброса AMT приведёт к аппаратному сбросу системы (reset).
Сетевые настройки (Network Settings)
AMT поддерживает виртуальные LAN, позволяющие запускать два разных сетевых соединения через две логические сети по одному физическому кабелю. Обычно для поддержки таких сетей используются коммутаторы с VLAN, но функция VLAN у AMT работает с обычным сетевым “железом”, не мешая передаче обычных данных.
Учётные записи пользователей (User Accounts)
Мы вошли в качестве администратора, но AMT/vPro поддерживает создание отдельных пользователей с правами управления.
Обновление прошивки (Firmware Update)
Прошивку AMT можно обновлять независимо от BIOS материнской платы.
iAMT Terminal Tool: удалённое управление BIOS
Нажмите на картинку для увеличения
Утилиту Terminal Tool, которую мы тоже попробовали, можно использовать для доступа к BIOS клиентской машины через SOL (Serial-over-LAN). То есть утилита создаёт последовательное соединение по сети. Мы использовали утилиту для доступа к настройкам BIOS, причём опций здесь намного больше, чем у стандартного интерфейса управления AMT. Можно выполнять все необходимые изменения удалённо. Можно использовать Terminal Tool для перенаправления дисковых запросов (чтобы можно было загружаться с удалённого диска по сети).
Материнская плата с vPro: MSI Q965MDO
Нажмите на картинку для увеличения.
Мы получили одну из первых материнских плат с поддержкой vPro – MSI Q965MDO. Она использует чипсет Intel Q965, который напомнил нам G965 с добавленной поддержкой ATM/vPro. Плата использует твёрдотельные конденсаторы и четырёхфазный стабилизатор напряжения, который достаточно мощный, чтобы с платой заработал процессор Core 2 Quad. Охлаждение пассивное, что, как нам кажется, немаловажно для офисного ПК, поскольку лишний шум никому не нужен.
Южный мост поддерживает шесть портов Serial ATA/300, на плате есть четыре слота DIMM, что вполне нормально для форм-фактора MicroATX. Многие недорогие модели на рынке предлагают всего два слота DIMM. Экономия на слотах не очень хороша, если позднее вы решите увеличить объём памяти.
Есть звуковая система HD, гигабитный контроллер Ethernet от Intel, модуль Trusted Platform Module (TPM), встроенное графическое ядро и набор интерфейсов USB 2.0. Для карт расширения на плате предусмотрено два 32-битных слота PCI и слот PCI Express x1. Если вы пожелаете установить мощную видеокарту, есть и слот PCIe x16.
MSI не вложила в комплект поставки документацию vPro. Компания явно желает продавать платы с поддержкой vPro, но программное обеспечение, сборка и настройка переложены на компании, занимающиеся внедрением.
Acer Veriton 3900 Pro с поддержкой VPro
Поскольку первый опыт запуска vPro на MSI Q965MDO оказался неудачным, мы решили протестировать полностью собранный ПК с поддержкой vPro. Мы получили соответствующую модель от Acer, а именно: Veriton 3900 Pro. Это довольно любопытная система, хотя она оснащена уже не самым современным процессором Pentium D и всего 512 Мбайт памяти (DDR2-533, в двухканальном режиме). Кроме того, вы не сможете устанавливать стандартные карты расширения, поскольку форм-фактор предусматривает только карты с низким профилем. Вполне понятно, что перед нами офисный ПК, который вряд ли станет лидером в тестах, да и гибкость ограниченная. Но компьютер поддерживает vPro, что нам требовалось в первую очередь. Причём поддержка осуществляется с помощью чипсета 945G, что наглядно говорит о маркетинговых корнях слова vPro. На самом деле эта технология к “железу” привязана не так сильно, как хотелось бы Intel.
Система прекрасно работала, мы смогли на деле проверить все функции удалённого управления vPro. Хотя повод для критики тоже есть: вентилятор очень сильно шумит во время старта системы, а также, если отключить управление скоростью вращения в BIOS. Впрочем, система вряд ли перегреется. Но всё же шум пылесоса по соседству вряд ли приятен.
Заключение
Вообще, называть vPro новым великим изобретением язык не поворачивается. Технология и в самом деле не требует последнего поколения “железа” Intel, да и подобные функции мы встречали раньше (скажем, AMT). Но vPro – очень умная маркетинговая инициатива, которая сочетает несколько полезных функций, что позволяет Intel продавать как можно больше чипов под столь привлекательной маркой. Подобный подход хорошо зарекомендовал себя с Centrino, он более-менее сработал и в случае с Viiv. Но, опять же, важно понимать, что vPro не требует последние чипсеты или процессоры Core 2, чтобы насладиться всеми прелестями технологии удалённого управления Intel. Хотя, конечно, следует уделить внимание тому, чтобы получить самое последнее “железо”, если вы хотите использовать какие-либо специфические функции управления, либо желаете в будущем обновлять AMT/vPro. Например, в ближайшем будущем будет добавлена возможность работы vPro через беспроводное соединение, но и аппаратное обеспечение должно быть совместимо.
С технологической точки зрения негативных моментов у нас не возникло. Если вы знаете, чему уделить внимание, то сможете за считанные минуты настроить клиентские ПК для удалённого управления с помощью vPro. Для корпоративного окружения понадобится соответствующий уровень с сервером инициализации, который обеспечивает дополнительный уровень безопасности путём выдачи сертификатов. Но подобное решение требует и подготовленных администраторов.
В общем, польза от внедрения компьютеров с поддержкой vPro в существующую сеть есть. Вы сможете пользоваться на них как существующими средствами удалённого управления, так и добавить поддержку vPro/AMT. То есть сначала можно вложить деньги в соответствующее оборудование, а позднее внедрить систему дистанционного управления.
vPro весьма любопытна и для энтузиастов и оверклокеров, поскольку добавляет новый уровень контроля и управления системой. Компьютер можно включать, выключать и перезагружать по сети. Можно даже предсказать появление переделанных решений vPro, которые позволяют через web-интерфейс предоставлять простые сервисы даже при выключенном компьютере. Впрочем, если вам по душе высокая производительность, богатый набор функций и возможность разгона, то придётся выбирать между ними и vPro, поскольку мы пока так и не обнаружили материнских плат, на которых была бы одновременная поддержка vPro и опций для энтузиастов.
По нашему мнению, каждый ПК должен содержать те или иные средства удалённого управления без дополнительных затрат. Корпоративные клиенты наверняка захотят потратить деньги на более сложные системы управления, но конечному пользователю вряд ли помешают дополнительные функции практически задаром.
Таблица конфигураций
Система I | |
Socket 775 | Intel Core 2 Extreme E6300 (Allendale 65 нм, 1,86 ГГц, кэш L2 2 Мбайт) |
Материнская плата | MSI Q965MDO, чипсет: Intel Q965, BIOS: 2006-12-19 |
Память | 2x 1024 Мбайт DDR2-667 (CL 5,0-5-5-15), Corsair CM2X1024-6400C3 XMS6403v1.1 |
Видеокарта | Intel GMA 3000 |
Жёсткий диск | 160 Гбайт, 7 200 об/мин, кэш 8 Мбайт, SATA/300, Western Digital WD1600AAJS |
DVD-ROM | Gigabyte GO-D1600C (16x) |
Система II | |
Socket 775 | Intel Pentium D 925 (Presler 65 нм, 3,0 ГГц, кэш L2 2×2 Мбайт) |
Материнская плата | Acer FQ965M, чипсет: Intel Q965, BIOS: R01-A3 |
Память | 1x 512 Мбайт DDR2-533 (CL 5,0-4-4-12), Apacer |
Видеокарта | Intel GMA 3000 |
Жёсткий диск | 80 Гбайт, 7 200 об/мин, кэш 8 Мбайт, SATA/150, Western Digital WD800JD |
DVD-ROM | Gigabyte GO-D1600C (16x) |
Программное обеспечение | |
Платформа Intel | INF 8.1.1.1010 |
DirectX | Version: 9.0c (4.09.0000.0904) |
ОС | Windows XP, Build 2600 SP2 |