Intel AMT jako Out-of-band správa domácího serveru

[Ondřej Caletka]

Přemýšlím nad domácím serverem a jeho vzdálenou správou. Vím, že existují projekty jako PiKVM nebo TinyPilot, ale nedávno mi byla vnuknuta myšlenka, že něco takového vlastně má spousta desktopů v sobě pod názvem AMT.

Máte s tím někdo zkušenosti?

[Reklama]

[ogdru6jahad]

ruzne serverove desky obsahuji samostatne bezici modul, ktery ma sitove pripojeni a umoznuje ovladat desku.

jmenuje se to ipmi, ilo podle firmy, ktera to dela.

pro bezne zakladni desky, ktere to nemaji jsou projekty zalozene treba na rpi, ktere ovladaji zakladni desku zvenku.

[ja.]

Přemýšlím nad domácím serverem a jeho vzdálenou správou. Vím, že existují projekty jako PiKVM nebo TinyPilot, ale nedávno mi byla vnuknuta myšlenka, že něco takového vlastně má spousta desktopů v sobě pod názvem AMT.

Máte s tím někdo zkušenosti?

Máme.

Ono je to občas trochu pomalé a chybové, ale v princípe to funguje. Podmienkou je použiť intel lan alebo wifi adaptér (zvyčajne tie, čo sú na doske), v linuxe to nejde použiť z localhostu, keďže to odchytáva packety na úrovni sieťového adaptéra (v podstate ovládač pre windows je len redirektor, aby traffic na správny port na localhost cez sieťový adaptér išiel).

Ako remote konzolu používam meshcommander, ktorý intel prednedávnom zrušil (a AMT prekrstil na "Intel vPro Enterprise"). Na githube to stále je, a deep linky na meshcommander.com fungujú. Ide cez to ovládať powerstate, má to "IDER" (remote floppy alebo cdrom image), remote konzolu, systém accountov (vrátane Kerberos/AD) a permissions, dá sa to skriptovať.

Len sa s tým človek trocha vytrápi, keď to rozbeháva prvý krát. A pozor, musí to podporovať aj CPU, nie iba doska. Nie všetky CPU to podporujú, v arku je info, či áno alebo nie, napr. i7-1360p to nepodporuje, ale i7-1370p áno.

[honzako]

Musíš mít vpro procesor, a lepší je ten s podporou vpro enterprise. Typ si dohledáš na Intel ARK.

Ale můžeš si vybrat základní desku.
Osobně ti doporučím ASUS, a aby to byla verze CSM (je určena pro firemní sektor) a měla by být s chipsetem Qxxx-něco
Např. https://www.asus.com/motherboards-components/motherboards/csm/pro-q670m-c-csm/

A pak s tím získáš program ACC - https://www.asus.com/campaign/ASUS-Control-Center-Express/global/

Za ty peníze dobré a funkční.

[RDa]

I kdyz hejtim kdyz je odpovedi "video", v tomto pripade je to spise uzitecne - k pochopeni jak to funguje. Udelej si kafe/caj a dej tomu 16 minut u snidane:

https://www.youtube.com/watch?v=mhq0bsWJEOw

Vim, ze to zavisi na Qxx/Qxxx chipsetu (mam Q87) - ale nezkousel jsem to nakonec - protoze u me nastal prechod na serverovy hw kvuli ECC a mnozstvi konektivity.. a tam uz IPMI byva standardem. Mozna casem, az jednou budu stavet neco na COMexpress modulech co mam, tak tomu dam jeste sanci - taky je tam Q87 + i7-4700EQ tj. vcetne ECC)

[Reklama]

[APC_SMT1000I]

Ano funguje to dobře
musíš mít desku(dříve Q řada bral jsem Gigabyte MTB) i cpu( i5> ) které to podporuji,

pak po nastavení máš webové rozhraní(myslím port 19662) na mngmt a vnc pro pro ovládaní

ja to měl na stanicích které byli bez obsluhy

[robac]

Přemýšlím nad domácím serverem a jeho vzdálenou správou. Vím, že existují projekty jako PiKVM nebo TinyPilot, ale nedávno mi byla vnuknuta myšlenka, že něco takového vlastně má spousta desktopů v sobě pod názvem AMT.

Máte s tím někdo zkušenosti?

Takovou myšlenku jsem měl také, ale přišla zrovna v době CVE-2017-5689. Od jisté doby mám za to, že je AMT z bepečnostního pohledu považované za neopravitelné, ale třeba se pletu.

https://www.cvedetails.com/vulnerability-list/vendor_id-238/product_id-37542/Intel-Active-Management-Technology-Firmware.html?page=1&order=1&trc=54&sha=8602cfc8bef2d5744cc216d9ef16aac3a0992227

[Pavel Borecki]

pak po nastavení máš webové rozhraní(myslím port 19662) na mngmt a vnc pro pro ovládaní

Webové rozhraní přímo na ovládaném stroji už Intel zrušil - viz:
https://github.com/Ylianst/MeshCentral/issues/3125#issuecomment-917684464
(takže už žádný MeshCommander do novějších desek)

Navíc zrušil i veškerou podporu ne-embedded varianty - MeshCentral:
https://www.intel.com/content/www/us/en/content-details/773384/intel-discontinues-contribution-to-mesh-open-source-project.html

...a to tak, že vyhodil oba dlouholeté autory:
https://www.reddit.com/r/sysadmin/comments/110wr2i/the_future_of_meshcentral/

Náhrada, která by šla provozovat v Linuxu není - viz jejich přehled v pdf od Intelu výše

Závěr: Intel zajímá jen řešení pro správu rozsáhlých nasazení desktopů/notebooků, začleněného do nákladných řešení, např:
https://www.beyondtrust.com/products/remote-support/features/intel-vpro
...pro což asi AMT bylo od začátku určené

Ideál by byl, mít na desce BMC s FLOSS firmware - https://www.openbmc.org/
občas je k dispozici i pro dostupnější hw, jako např:
https://www.phoronix.com/news/ASRock-X570D4U-OpenBMC-Prep

...ale spíš je to prozatím záležitostí dodávek pro velké zákazníky (a žel jen pro ně), pro které to dovedou dodávat jako alternativu i tradiční dodavatelé, např.:
https://www.hpe.com/us/en/compute/openbmc-proliant-servers.html

Takže prozatím asi buď desku s serverovým BMC (na Aspeed AS2X00?) s proprietárním firmwarem, nebo externě něco jako PiKVM. AMD DASH (dodávaný Realtekem - Broadcom a Qualcom už s tím síťovky nedělají) žel nelze doporučit (ač založené na otevřených standardech, je to výrazně horší řešení, než bylo vPro-AMT, než Intel naprováděl výše zmíněné - např. to nelze ovládat z ničeho jiného než z Windows - zkušenost s obojím)

[Ondřej Caletka]

Díky moc za tipy! Moje představa je použít nějaký vyřazený desktop z enterprise prostředí, který se dá koupit z druhé ruky za pakatel, bude mít vPro a tedy AMT, bude dělat málo hluku a žrát v idle málo proudu. Myslel jsem na PiKVM jako OOB, ale tam je stejně problém se zapínáním (je potřeba to řešit třeba Wi-Fi zásuvkou), zatímco použití AMT se zdá jako ideální pro tento typ nasazení.

[🇺🇦 GPU]

Pokud to nemá být NAS, ale nenáročný 24/7 server, místo desktopu bych volil laptop. Já jedu Proxmox na Eliteboocích (8460p a podobné). Ty jsou taky s vPro a tedy asi umí též zmíněné AMT.

Spotřeba cca 20W, desktop bude mít okolo 50W.

[Ondřej Caletka]

Pokud to nemá být NAS, ale nenáročný 24/7 server, místo desktopu bych volil laptop. Já jedu Proxmox na Eliteboocích (8460p a podobné). Ty jsou taky s vPro a tedy asi umí též zmíněné AMT.

Spotřeba cca 20W, desktop bude mít okolo 50W.

Jo! A navíc to může mít i UPSku a lokální konzoli zadarmo. Něco takového používají na FOSDEMu.

[Jose D]

Něco takového používají na FOSDEMu.

tyjo ale to snad ani nemůže mít technický opodstatnění, není za tím spíš o tom v jaké formě jsou sponzoři schopni dodat/zapůjčit "výpočetní výkon"?

[lazywriter]

Myslel jsem na PiKVM jako OOB, ale tam je stejně problém se zapínáním (je potřeba to řešit třeba Wi-Fi zásuvkou)

Co je myšlené tím problémem při zapínání? Zapínání desky lze řešit přes ATX (https://docs.pikvm.org/atx_board/). A provoz samotného PiKVM nebude IMHO brát o moc víc než kolik si vezme deska s ipmi, které musí také běžet i ve vypnutém stavu.

[jjrsk]

Díky moc za tipy! Moje představa je použít nějaký vyřazený desktop z enterprise prostředí, který se dá koupit z druhé ruky za pakatel, ...

A nemas lepsi si koupit trebas nejaky G8 microserver? Ma to ilo, deravy je to samozrejme taky, ale alespon to funguje? Podotykam, ze aby ilo fungovalo, kdyz stroj bezi, je treba ho aktivovat cislem, ale sn se vali vsude po netu a daji se ziskat ... treba primo z toho ila, pokud je verejne dostupny. (ve skutecnosti se z toho bez prihlaseni da vycist kompletni konfigurace vcetne SN komponent)

[Ondřej Caletka]

Myslel jsem na PiKVM jako OOB, ale tam je stejně problém se zapínáním (je potřeba to řešit třeba Wi-Fi zásuvkou)

Co je myšlené tím problémem při zapínání? Zapínání desky lze řešit přes ATX (https://docs.pikvm.org/atx_board/). A provoz samotného PiKVM nebude IMHO brát o moc víc než kolik si vezme deska s ipmi, které musí také běžet i ve vypnutém stavu.

Bylo myšleno právě to, že když seženu vyřazený korporátní desktop, takový rozhodně nebude mít standardní ATX konektory. Takže pokud se počítač vypne, už ho nezapnu. Jednoduché řešení, které se nabízí, je zapojit počítač do Wi-Fi zásuvky a nastavit ho, aby se vždy zapnul po výpadku napájení.