HPE ProLiant Server Gen10 представляет собой сервер, разработанный в том числе и для рабочих сред среднего бизнеса. При этом обеспечивается простой доступ к жестким дискам, модулям памяти и слотам. Особенно для СМБ подойдут серверы, построенные на процессорах Intel Xeon Scalable Silver (4200). Илья Семухин, сотрудник компании HPE, подробно рассказал об особенностях линейки этих серверов и новинках.
Рис. 1.
На рис. 1 изображены позиции серверов HPE ProLiant Gen 10 во времени, которые подтверждают, что они находятся примерно в середине жизненного цикла. Однако в эти серверы теперь можно установить новые процессоры Intel и новую энергонезависимую память, но об этом расскажем попозже.
Integrated Lights-Out или iLO
Сердцем сервера ProLiant является чип iLO (Integrated Lights-Out). При развертывании сервера надо сначала его настроить и только потом устанавливать операционную систему. Если серверов не много, то для этого можно использовать функционал Intelligent Provisioning, это простой графический интерфейс для настройки сервера и развертывания ОС буквально в несколько кликов мыши. Доступ в IP осуществляется через консоль iLO или F10 при запуске, доступна также встроенная возможность стирания настроек. Имеется доступ к расширенным настройкам BIOS (RBSU) из IP.
Если серверов много и среди них есть серверы разных производителей, то может возникнуть потребность управлять ими с помощью индустриальных программ или скриптов, а можно управление доверить системе Redfish, через которую можно настраивать отдельные компоненты сервера.
Теперь дошла очередь за управлением. Управлять можно с помощью iLO, либо с помощью скриптованных команд. Но оптимально ли при этом будет работать имеющаяся инфраструктура?
Дело в том, что в серверах HPE ProLiant есть специальный «черный ящик», в котором собирается информация о том, что происходит с сервером, а прочитать этот лог может помочь инструмент, который описывает то, что происходит с сервером понятным человеческим языком. Этот лог надо загрузить на сайт HPE в Active Health System Viewer и прочитать, что это программа советует сделать с сервером. Таким образом осуществляется самодиагностика неполадок без обращения к специалистам HPE, также производится анализ прошивок и рекомендации по обновлению, кроме того, автоматически заводятся кейсы при поломках, требующих вмешательства Центра поддержки HPE.
Кстати, прошивки выпускаются вендором примерно раз в квартал. Можно обновление и инвентаризацию осуществить с помощью специального инструмента, построенного на iLO REST API и утилитах HPE SUM, SUT и AMS, и который работает с серверами HPE поколений Gen8, Gen9, Gen10 с iLO. Этот инструмент позволяет мониторить до 10 тысяч серверов и осуществлять групповые операции, например, обновление прошивок параллельно по всей группе сразу.
2 апреля 2019 года в iLO появилась возможность анализировать производительность сервера, нагрузку, потребление за разные периоды времени, но самое важное, что iLO Amplifier Pak подсказывает что нужно изменить в настройках сервера, чтобы серверы работали более оптимально.
InfoSight с искусственным интеллектом
Пресловутый черный ящик достаточно давно используется в компании HPE в серверах. Из этого ящика заказчики извлекают сервисный лог и отправляют его в службу поддержки. Естественно все эти логи анализируются и на базе этого анализа инженеры вендора набирают используемые потом знания. HPE InfoSight теперь выполняет функции этого черного ящика, при этом он использует искусственный интеллект. Обучение происходит с использованием продвинутых алгоритмов для выявления паттернов (цепочек событий) в данных с датчиков со всех устройств со всего мира. После обучения InfoSight ищет закономерности в присланных логах и дает советы как избежать возможных проблем, улучшить производительность и оптимизировать используемые ресурсы.
Рис. 2.
Рис. 3.
Что с безопасностью
В системе защиты серверов HPE ProLiant Secure с iLO 5 ver. 1.40 в апреле текущего года появились следующие новые функции: Server Configuration Lock, Security Dashboard, One Button Secure Erase, 3-rd party Key Manager Integration.
Рис. 4.
Давно известно, что безопасность – это комплексная проблема. Поэтому комплексная защита серверов начинается с Silicon of Trust, и только потом обеспечивается обнаружение атак во время работы.
Очень важно знать, что iLO имеет правильную не скомпрометированную прошивку. В чип iLO встроена специальная хэш-сумма, которая позволяет проверить прошивку на наличие вредоносного кода, она зашита на заводе в Silicon of Trust. Когда мы полностью уверены в правильности прошивки, тогда мы сможет проверить компоненты, которые встроены в материнскую плату, это касается UEFI BIOS, и только потом имеет смысл проверять операционную систему.
Рис. 5.
Если обнаруживается какая-то несуразность, есть возможность откатиться назад и восстановить версию прошивки как iLO, так и материнской платы и BIOS до нескомпрометированной версии.
Как уже было сказано выше, с апреля 2019 года у серверов HPE ProLiant появилась технология Server Configuration Lock, которая позволяет подтвердить заказчику, что он получил именно тот сервер, который заказывал и что во время транспортировки сервер не подвергался атакам.
Рис. 6.
Заказчик может предоставить свой уникальный пароль и с помощью партнера осуществить блокировку конфигурации: версии прошивок и всевозможные аппаратные изменения. Когда эти параметры зафиксированы, создается цифровой отпечаток. Если в сервере что-то поменялось, например, была заменена память, то сервер попросит ввести пароль, чтобы разблокировать эту конфигурацию. Пока нет возможности использовать Server Configuration Lock на пути от завода до заказчика, но есть – от партнера до заказчика. Если серверы надо довезти до нескольких филиалов эта функция дает возможность быть уверенным, что в пути с серверами ничего не случилось.
В iLO есть несколько режимов безопасности и сервер, в соответствии с выбранным уровнем, будет требовать, например двухуровневую идентификацию или специальный сертификат.
Рис. 7.
Также с апреля 2019-го появилась новая функция Security Dashboard в iLO 5 ver. 1.40, которая подсказывает администратору, что доступ к iLO может быть неоптимальным. Если администратор решает, что его сеть должна иметь более высокий уровень защищенности, он включает Dashboard и тот ему рекомендует какие параметры стоит изменить.
Кроме того, появилась специальная кнопка, которая стирает все возможные данные с дисков, с подсистемы iLO, что упрощает вывод северов из эксплуатации, например, для гарантийной замены. При этом администратор уверен, что никакой полезной информации на сервере не осталось, а конфигурация сервера возвращается к заводским настройкам.
Немаловажный аспект безопасности – это возможность восстановления. Что делать, если вирус-шифровальщик все же проник в сеть? Есть возможность восстановить микрокод к последней исправной версии до обнаружения скомпрометированного кода. Это сделает iLO Amplifier Pak. Он может восстанавливать не только микрокод, но и настройки iLO и операционные системы.
Рис. 8.
Производительность
Конечно производительность в первую очередь зависит от установленных в серверах процессоров, тем не менее iLO имеет дополнительные функции, которые позволяют выжать из процессоров как можно больше. Скажем, Jitter Smoothing отслеживает изменение частоты процессора в режиме TurboBoost и сглаживает перепады частоты для устранения задержек обращения к памяти, которые возникают при резком изменении частоты. Другая функция Workload Matching позволяет выбрать профиль нагрузки, под который сервер настроится автоматически. А технология Core Boosting позволит увеличить частоту процессоров Intel выше заявленной производителем.
Не так давно произошло обновление процессоров Intel Xeon Scalable. Помимо того, что изменилась вторая цифра в наименовании («2»), теперь серии называются (Platinum) 8200 – предназначена для ERP, in-memory Analytics, OLAP, virtualization; (Gold) 6200/5200 – ориентированы на analytics, AI, OLTP, server-side Java, VDI, HPC; (Silver) 4200 – подходит для SMB loadwork, web front end, network @ storage applications; (Bronze) 3200 – ориентированы на SMB workload. Процессоры при этом стали поддерживать новый тип памяти и каналов памяти стало больше.
Рис. 9.
Переход на новый процессор целесообразен, если уже попробован новый тип энергонезависимой памяти, который недавно был анонсирован и поддерживается системами HPE.
Напомним, что существует два типа памяти для Gen 10 Server Memory: стандартная (8 и 16 Гбайт) и SmartMemory (8, 16 … 128 Гбайт). Причем, чем ближе данные к процессору, тем быстрее эти данные обрабатываются.
По словам Ильи Семухина, два года назад вендор представил свои планки NVDIMM – HPE Persistent Memory – это энергонезависимая память, которая физически представляет собой модуль оперативной памяти с флэшкой, последняя и делает эту память энергонезависимой. Если на сервере неожиданно пропадет питание, то все данные с этого NVDIMM окажутся на этой флэшку, что обеспечит их безопасность. Преимущество этой технологии в быстродействии DIMM и в надежности SSD. Но здесь накладывается ограничение объема: только до 16 Гбайт на один модуль. В сервер можно поставить 12 таких планок, таким образом большая база данных туда не поместится. Ее лучше эту память использовать под кэш в базах данных, но могут быть и другие сценарии, поскольку эта память самая быстрая.
Рис. 10.
И вот появляется новый тип энергонезависимой памяти HPE Next-Generation Persistent Memory – это, по словам Ильи Семухина, скорее SSD-диск в формате планки памяти. Преимущество этой технологии в ее объемах: 128 Гбайт, 256 Гбайт и 512 Гбайт. В иерархии скорости по работе с данными они имеют несколько меньшую производительность, чем обычные ОЗУ.
Рис. 11.
В этой технологии Intel Optane используется новый тип упаковки данных в формате модуля оперативной памяти, это работает только с новыми процессорами Intel и всё это обязательно должно поддерживать соответствующее приложение. Все это в результате выливается в новую планку памяти.
Рис. 12.
Эти модули могут работать в двух режимах: App Direct Mode и Memory Mode (см. рис. 13)
Рис. 13.
Применение этих модулей возможно в разных сферах (см. рис. 14)
Рис. 14.