IT-Infrastruktur muss heutzutage fernwartbar sein. Das betrifft nicht nur Bare-Metal-Server, sondern auch Router, Switches und Firewalls. Diese lassen sich über Web-GUI oder SSH in-band verwalten. Doch zuweilen benötigt man einen Konsolenzugang, etwa wenn ein Software-Update missglückt ist oder man aus der Ferne einem der verwalteten Geräte über einen Power Switch den Strom nehmen will, um es kaltstarten zu können. Für derlei Anwendungszwecke gibt es Konsolen-Server wie jene von WTI.

Es ist eine der schmerzhaften Wahrheiten, dass man in der IT glaubt, die gesamte IT-Infrastruktur sei immer erreichbar und im Zugriff, bis der Tag kommt, an dem eine zentrale Komponente im Netzwerk eben nicht mehr aus der Ferne zu erreichen ist und der Administrator dem Gerät per serieller Konsole auf den Pelz rücken muss. Hat man erstmal erkannt, dass Konsolen-Server (auch Terminal-Server genannt) eine gute Investition sind, um Ausfallzeit möglichst gering zu halten, sieht man sich vor die Aufgabe gestellt, das passende Modell zu finden. In diesem Beitrag stellen wir eine elegante Lösung des Herstellers WTI vor, mit der Administratoren zusätzlich zur seriellen Konsole auch die Stromversorgung der angeschlossenen Geräte steuern können. Zudem macht eine RESTful API die Server für die Automation besonders interessant.

Bild 1. WTIs CPM-800-2-ECA kombiniert einen Konsolen-Server mit einer einzeln schaltbaren PDU für bis zu acht Geräte.

Der US-Hersteller Western Telematic, Incorporated (WTI) bietet Lösungen für das Remote-Infrastructure-Management mit intelligenter schaltbarer Stromversorgung (Power Distribution Units) und Out-of-Band-Zugang zu Geräten aus der Ferne im 19-Zoll-Rack-Format an. Für unseren Test lag uns ein Server namens CPM-800-2-ECA vor. Dieser ist eine Kombination aus Konsolen-Server und einzeln schaltbarer PDU für bis zu acht Geräte. Er hat zwei GbE-Ports an Bord, sodass man den Konsolen-Server im firmeneigenen privaten Netzwerk lokal und mit dem zweiten Anschluss in einer DMZ auch aus der Ferne erreichen kann. Zur Erstkonfiguration des Konsolen-Servers selbst ist ein Mini-USB-Port vorgesehen, der sich über ein entsprechendes Kabel mit jedem Laptop verbinden lässt. Ein besonderes Schmankerl ist die Möglichkeit, den Konsolen-Server mit einer Mobilfunk-SIM-Karte auszustatten, sodass er später im Betrieb – eine feste IP-Adresse vorausgesetzt – auch per Mobilfunk zu erreichen ist.

Laut WTI ist das Gerät der weltweit erste Konsolen-Server mit integriertem 4G/LTE-Modem. Zur Nutzung erforderlich ist idealerweise entweder ein Datenvertrag mit fester IPv6-Adresse oder mit VPN-Option, wie beispielsweise die Telekom ihn anbietet. Alternativ lässt sich das Gerät auch über dynamisches DNS von außen erreichbar machen. Das Mobilfunk-Feature war allerdings nicht Gegenstand dieses Tests.

Bild 2. Neben einer CLI gibt es auch ein Web-GUI.

Die Installation kann man auf zwei Arten erledigen: Einerseits kann man das Gerät klassisch mit einem Terminalprogramm wie PuTTY über eine serielle Verbindung mit einem Rechner per Mini-USB und CLI konfigurieren, oder man verbindet den Konsolen-Server mittels des externen Ethernet-Ports mit dem lokalen Netzwerk. Eine IP-Adresse bezieht er dann via DHCP. IPv6 ist ebenfalls nutzbar. Hat der Konsolen-Server eine IP-Adresse via DHCP erhalten, lässt er sich entweder mit PuTTY oder via Web-GUI zur weiteren Konfiguration ansprechen. Die Konfiguration per Web-GUI ist simpel, da die Menüstruktur einfach gehalten ist.

Dort kann der Benutzer allgemeine Einstellungen wie den Gerätenamen („SiteID“ genannt) konfigurieren. Die weiteren Bereiche in der GUI sind die Konfiguration der acht seriellen Ports (Geschwindigkeit etc.), Netzwerk (Ethernet-Ports, DNS, DHCP etc.), lokale Benutzerkonten, VPN Access zum Konsolen-Server via OpenVPN oder IPSec, die Einstellungen für die Stromausgänge (Gruppierungen etc.) sowie die Konfiguration des Reboot-Verhalten und diverser Alarmierungen. Die GUI hat sich beim Test als einfach, aber nicht ganz übersichtlich erwiesen. So würde man beispielsweise die Konfiguration von LDAP/Tacacs+/Radius im Menü „User Configuration“ erwarten, findet sie stattdessen aber im Netzwerkmenü.

Die Konfiguration über die CLI ist nicht vergleichbar mit der von anderen Herstellern wie Avocent (jetzt Vertiv), aber durchaus gelungen. Während Avocents CLI hierarchisch angelegt ist (zum Beispiel config admin, config network, config ipmi etc.) ist die Command Line vom WTIs Konsolen-Server reduziert auf einbuchstabige Kommandokürzel, die auf einen Schrägstrich folgen. Die Netzwerkkonfiguration für den WAN-Port (eth0) erreicht man beispielsweise über das Kommando /N . Die einzelnen Parameter wie IP-Addresse, Netzwerkmaske sowie andere Werte lassen sich dann über die Menüauswahlnummern festlegen.

Bild 3. Einstellung der seriellen Ports per CLI.

Damit ist der Konsolen-Server erreichbar, und man kann sich an die Konfiguration der seriellen Ports und der Stromausgänge machen. Stets gefordert ist die Möglichkeit, per SSH oder Telnet die einzelnen seriellen Ports und darüber die angeschlossenen Geräte erreichen zu können. Im vorliegenden Beispiel soll auf Port 1 der WAN-Router, auf Port 2 der LAN-Switch und auf Port 3 die DMZ-Firewall verbunden werden. Um die drei Ports aus der Ferne erreichbar zu machen, muss der Administrator unter den jeweiligen Einstellungen für den seriellen Port den Punkt 31 „Direct Connect“ von „Off“ auf „On“ einstellen (Bild 3).

Für den Port 1 zum Beispiel gibt man zunächst auf der Konsole /P 1 ein und ändert die Einstellungen für Menüpunkt 31. Hier gibt es die Auswahlmöglichkeiten „Off“, „On – No Password“, „On – With Password“ und „Off – Break on raw connect“. Mit der Einstellungsänderung auf On vergibt der Terminal-Server drei TCP-Ports, auf die wir uns im Anschluss verbinden können: 220x für SSH, 230x für Telnet und 330x für Raw Connect. Das „x“ steht jeweils für die Nummer des serielle Ports. Danach empfiehlt es sich, die Power Outlets entsprechend der angeschlossenen Geräte zu benennen, denn Outlet_A1 bis Outlet_A8 sind keine intuitiv verständlichen Namen. Dazu nutzten wir das Kommando /PL und vergaben dann die Namen für die Outlets.

Nun wollten wir sehen, wie es mit dem Stromverbrauch (in der GUI: „Power Metering“) – der angeschlossenen Geräte aussieht. Dazu wechselten wir in die Web-GUI zum Menüpunkt Metering → Power Metering → Power Range und wählten einen Zeitraum für die Verbrauchsanzeige aus (Bild 4). Alternativ lässt sich der Verbrauch auch in Ampere im Menüpunkt „Current Metering“ anzeigen. Die acht Power-Outlet-Ports sind konform mit IEC 60320 C13. Der Konsolen-Server bezieht seinen Strom aus zwei 230-Watt-Netzteilen mit 20A-Absicherung. Er ist damit sowohl im Büro ebenso einsetzbar wie im Rechenzentrum.

Bild 4. Anzeige des Stromverbrauchs.

Inzwischen ist es in allen Bereichen der IT üblich, den Anforderungen der Kunden in Sachen Automation Rechnung zu tragen. Der aktuell übliche Weg dafür ist die Bereitstellung einer RESTful API, bei der die Funktionsaufrufe auf einfache Weise per HTTP(S) und Kommandos wie GET, PUT, POST und DELETE erreichbar sind. Diesen Weg geht auch WTI und bietet für die aktuellen Konsolen-Server ab der Firmware Version 6.51 eine nach dem REST-Paradigma gestrickte Programmierschnittstelle an. Die komplette Funktionalität des Konsolen-Servers ist Stand heute noch nicht über die REST-API erreichbar, aber wichtige Zustandsabfragen (Temperatur, Alarme, Stromverbrauch und Teile der Konfiguration) lassen sich bereits abfragen (via HTTP GET) und in Teilen auch konfigurieren (via der HTTP-Primitive POST/PUT/DELETE). Die Dokumentation der API-Aufrufe stellt der Hersteller ebenso bereit wie einfache Beispiele zur Bedienung der API via Python (siehe Infokasten).

Im Test haben wir über das API-Werkzeug Postman den WTI-Konsolen-Server via REST-API angesprochen, was nach dem Abschalten der SSL-Zertifikatsüberprüfung durch Postman auf Anhieb funktionierte. Auf die Abfrage der Temperatur über GET meldete das Gerät die aktuelle Temperatur als JSON-formatierten Text. Spannender sind natürlich Aufrufe, die in die Konfiguration eingreifen. Mittels API-Aufruf via POST von Konsolen-Server-IP/api/v2/config/powerplug und Mitliefern des in JSON formulierten Funktionsaufrufs kann man beispielsweise den Strom-Port 1 abschalten:

{ „plug“: 1, „plugname“: „Outlet_WAN_Router“, „state“: „off“}

Durch die Programmierbarkeit des Konsolen-Servers mittels REST-API kann der Administrator das Gerät einfach überwachen und automatisieren. Der Konsolen-Server kann für vordefinierte Events Alarme per Syslog, SNMP oder E-Mail auslösen (Bild 5) und bietet die gängigen Syslog-Funktionen sowie SNMP zur Überwachung an.

Beispiele zur Bedienung der API via Python:

Der Anwender kann bis zu vier Syslog-Server konfigurieren. Erfreulicherweise lässt sich neben den SNMP-Versionen 1 und 2 auch die neuere Version 3 verwenden. SNMPv3 bietet gegenüber den früheren Versionen mehr Sicherheitsfunktionen. So kann der Administrator für den Zugriff auf den Konsolen-Server via SNMP Benutzer mit UserID und Passwort mit SHA1 verschlüsselt authentisieren. Vom Konsolen-Server generierte Nachrichten (SNMP-Inform-Messages) werden in SNMPv3 mit einem Passwort und Sicherheitsprotokoll wie AES verschlüsselt und versandt. Ein Mitlauschen mit Wireshark führt damit zu unleserlichen Ergebnissen. Der Administrator kann natürlich den Zugriff auf den Konsolen-Server auf sichere Protokolle wie SSH beschränken und Klartextprotokolle wie Telnet verbieten.

Oft ist heute gewünscht, dass der Zugriff auf alle Geräte und Dienste über ein gemeinsames User-ID/Passwort-Paar erfolgt anstelle individueller Kennungen auf jedem einzelnen Gerät. Hier funktionierte die Integration über LDAP in unserer Laborumgebung einwandfrei.

Bild 5. Die Alarmierungsmöglichkeiten des Konsolen-Servers.

Fazit

Mit dem Konsolen-Server CPM-800-2-ECA mit integrierter schaltbarer PDU und der Überwachungsmöglichkeit des Stromverbrauchs der angeschlossenen Geräte ist WTI eine elegante Kombination gelungen, um für bis zu acht Geräte eine solide Out-of-Band-Management-Lösung zu realisieren. Die Bedienung ist einfach, der Konsolen-Server lässt sich sogar per 3G/4G-Mobilfunk ansprechen. Eine feste IP-Adresse für die SIM-Karte stellt dabei eine wünschenswerte Option dar, der Hersteller hat aber auch die Erreichbarkeit über dynamisches DNS eingebaut. Für alle IT-Organisationen, die einen Out-of-Band-Zugang zu Netzwerkgeräten wie Switches, Routern oder Firewalls benötigen, ist dieser Konsolen-Server eine gute Investition und eine runde Sache. Zudem macht die Automatisierbarkeit per REST-API das Gerät auch für moderne Umgebungen attraktiv, in denen man Umgebungen mit DevOps-Techniken oder Workflows orchestrieren will. In Labor- oder Büroumgebungen kann der kleine Konsolen-Server nicht zuletzt damit punkten, dass die Geräuschentwicklung im laufenden Betrieb kaum wahrnehmbar ist.

 

Firmen-Info
WTIWeb: www.wti.com