Пошаговая настройка HP Integrated Lights Out (ILO)
Одной из основных замечательных вещей в серверах HP является наличие интерфейса удаленного управления Integrated Lights Out (ILO). Этот инструмент позволяет в любой момент осуществить удаленный доступ к консоли сервера HP (будь то этап POST проверки или загрузки ОС). Стандартные функции ILO включают в себя: удаленное включении/выключение сервера, виртуальные устройства, перенаправление режима текстовой консоли, доступ к логам оборудования, доступ к утилитам диагностики. Возможность полного перенаправления графического интерфейса доступна только с лицензией типа advanced. В этой статье я пошагово расскажу про первоначальную настройку и доступ к ILO на сервере Proliant ML350 G5.
Во-первых, подключите ваш интерфейс ILO в вашу сеть LAN (обычно это отдельная выделенная сеть управления).
Сервера HP поставляются со специальной биркой. На данной бирке напечатан серийный номер и информация для доступа к Integrated Lights Out (заводские имя пользователя и пароль).
Самый простой способ получения доступа к утилите настройки ILO – нажать во время POST клавишу F8.
Меню является достаточно простым и понятным. Для навигации используйте стрелки.
Первым делом нужно перейти в меню настройки сети (Network), где мы должны отключить DHCP и ввести DNS имя этого интерфейса.
Далее нужно настроить статический IP адрес.
Далее нужно будет установить пароль администратора или создать новых пользователей.
Обратите внимание, имя пользователя и пароль вводятся с учетом регистра. Чтобы сохранить настройки и перезапустить сервер выберите Exit.
Попробуйте получить доступ к веб-интерфейсу ILO. Для чего в браузере наберите: https://ip_adres_ilo_interface и появится примерно такое окно.
Также возможно настройка ILO прямо из установленной операционной системы, для чего можно воспользоваться консольной утилитой HPONCFG. HPONCFG – это утилита HP, которая позволяет взаимодействовать и управлять настройками ILO. Эту утилиту можно использовать в различных скриптах и сценариях.
Рекомендую познакомиться также со статьей о настройке доменной аутентификации на HP iLO. Данная настройка позволяет авторизоваться на управляющем интерфейсе ILO при помощи обыкновенной доменной учетной записи и удобно управлять большим парком серверов, без необходимости хранить и помнить пароль от ILO на каждом сервере.
забыл написать, что лучше адмнить ило через веб, иначе можно потерять его совсем
Спасибо! Очень помогли
Добрый день
хотел спросить при добавлении пользователя, в чем разница между username и login name?
спасибо заранее
username — отображаемое имя пользователя (может быть произвольныи)
login name — логин пользователя, логин под которым осуществляется вход
Может ли помочь использование iLO, если сервер HP ProLiant ML350 G4 не выходит на видео, клавиатуру, флоп
Да, iLO карты там нет. Вы не могли бы прокомментировать полное сообщение в топике? http://monitor.espec.ws/section5/post1850746.html#1850746
Спасибо.
Я вас явно какая-то аппаратная проблема с сервером. Все, чем могла бы помочь плата ILO — возможностью прочитать диагностическое сообщение (и то не факт)….
Здравствуйте. Не могу подключиться к iLO, не пингуется, даже нет индикации на порту. iLO сконфигурирован на статический адрес… Что может быть? Прошу помощи
Кабель рабочий 100%
Линка но порту как я понял нет?
Вообще, похоже на неисправность самой платы ILO…
Попробуйте на сервере установить HP Lights-Out Online Configuration utility, посмотреть видит ли она плату ILO. Если получится сбросить конфигурацию на default.
Еще раз проверьте настройки…
Если ничего не помогает, открывайте кейс в HP.
Большое спасибо! Вы правы, сброс на заводские настройки iLO помог. Правда пришлось сбрасывать в двух средах: дос и IntelligProvisi…
А как можно сбросить iLO на заводские настройки если сервер не включается? Была попытка прошивки ОА корзины, и после этого не включается лезвие, пишет менеджмент процессор фаулт.
Спасибо.
З.Ы. гулянье с перемыками 6 (1,5,6) не помогло.
Если интерфейс ILO доступен по сети, можно попробовать подключится к нему по ssh/telnet и сбросить конфиг ILO такими командами:
cd /Map1
reset
На блейд серверах:
Подключаетесь по SSH на Onboard Administrator и сбрасываете командой:
CONNECT SERVER [bay_number]
CD /MAP1
RESET
или так
Reset ILO [bay_number]
Если же не доступен — в конфигурационном режиме ILO (F8 при загрузке, File->Set Defaults)
а если по сети не доступен? что делать?
Если интерфейс ILO по сети недоступен, в первую очередь проверьте коммутацию портов и маршрутизацию пакетов между вашими подсетями. Если проблем не обнаружится — остается одно — сбросить настройки ILO локально через POST меню на консоли сервера.
А можете подсказать в пошаговом варианте (сбросить настройки ILO локально через POST меню на консоли сервера.), где что нажимать, вводить?
Вот мануал для локального сброса настроек ILO на серверах HP Gen 9 (_http://h17007.www1.hp.com/docs/iss/proliant_uefi/s_Resetting_iLO_to_the_factory_default_settings_by_using_the.html)
Либо через диск Smart Start (_http://www.serverhead.com/restore-hp-ilo-factory-defaults-hp-smartstart-cd/)
подскажите, пожалуйста, а что можно сделать если ило пингуется, но ни по ssh/telnet/web не откликается?
Как вариант сбросить сетевые параметры и после перезагрузки опять внести
этот вариант уже пробовал, сброс в дефолтные настройки и после ребута настройка с нуля. не помогло.
если сброс не помог, попробуйте перезалить прошивку ilo карты
этот вариант уже пробовал, сброс в дефолт и после ребута настройка с нуля — не помогло.
Сбрасывали в досе? 22 марта прошлого года у меня была подобная проблема, вот как решил:
22.03.2015
Большое спасибо! Вы правы, сброс на заводские настройки iLO помог. Правда пришлось сбрасывать в двух средах: дос и IntelligProvisi…
Подскажите пожалуйста как узнать IP ILO зная имя сервера?
Спс.
Подскажите пожалуйста как узнать IP ILO зная имя сервера?
Спс.
Посмотреть IP iLO можно из веб интерфейса ОА — это самый быстрый способ. или через CLI интерфейс ОА.
Добрый день.
На плате ILO есть отдельный джампер. Насколько я помню для сброса настроек нужно переключить его.
Вот что-то нашел похожее:
You need to set jumper (J29)the Integrated Lights-Out Security Override Switch.
To set the iLO Security Override Jumper:
1. Power down the server.
2. Remove the server from the rack.
3. Remove the server access panel.
4. Locate the three pins of J29 and move the jumper from the front and center pins to the center and rear pins to override password security. J29 is to the front of the 30 pin Remote Insight Connector.
5. Replace the server access panel and put the server back into the rack.
6. Power on the server.
7. Logon to the iLO and reset the passwords.
Можно ли менять порт для доступа на iLO, т.е. не по дефолтному ходить, а по тому, который мне нужен?
О спасибо) пробросил заодно и Virtual Media, если нужно будет HDD смонтировать)
Добрый день
подскажите, выключили электричество, после включения на панеле самого сервера моргала красная лампочка. С веб-интерфейса включить не удалось, только физическое нажатие кнопки на самом сервере (при корректном выключении включается без проблем). Бывает такое, что нет людей в офисе, чтобы нажать кому-то кнопку, при таком отключении. Можно как то обойти данную опцию и включить удаленно?
В ILO есть несколько вариантов включения/выключения. ЧТо-то вроде Momentary Press, Press & Hold, Cold Boot и Reset. Все варианты пробовали?
Hp ilo что это такое
В данной заметке хочу рассказать и для себя зафиксировать такой вопрос,ч то такое ILO и MSM порты. Integrated Lights-Out — механизм управления серверами в условиях отсутствия физического доступа к ним. Применяется фирмой Hewlett Packard для всех своих серверов (кроме серверов 100 серии до марта 2009 года (до G6)). Это некое устройство, которое по функционалу схоже с KVM. Оно позволяет получить доступ к серверу даже тогда, когда «отвалился» основной интерфейс. У ILOсвой IP-адрес и попасть на него можно прямо через браузер. Как настроить ILO управление на сервере HP dl380 g7
На любом из серверов HP вы сможете обнаружить наклейку в которой содержится информация по умолчанию для подключения к порту управления. Ниже представлен пример такой наклейки. Так же есть и другие методы определения IP-адреса ILO порта, в случаях, когда у вас может не быть физического доступа к серверу.
Версии ILO
На начало 2019 года у компании HP технология Integrated Lights-Out насчитывает 5 версий. Версия ILO 1 уже не поддерживается с 2014 года, 2-4 версии последнее обновление получили в 2018 году после очередного нахождения лазеек в безопасности. Был выпущен для ILO 3 бюллетень безопасности CVE-2017-8987. Сама дыра безопасности задействовала физическое соединение для того, чтобы атаковать процессы и критические службы, напомню, что HP iLO 3, это карточка с дискретным сетевым соединением. Rapid7 составила отчет из которого следует, что если хакер будет использовать данную уязвимость, то он сможет управлять полностью сетевым соединением на протяжении 10 минут до перезагрузки сервера службой безопасности. Вот согласитесь, что за 10 минут можно успеть многое, залочить нужные учетные записи, поменять пароли и многое другое. Данная лазейка была в прошивке v1.88. Так, что срочно обновлять ILO.
В серверах HP ProLiant Gen8 и Gen9 уже используется ILO 4 в качестве порта управления. Тут она представлена с дискретным чипом ARM на физическом уровне, он архитектурно независим от серверного CPU, из-за того, что подключен напрямую к шине PCI-Express. Прошивка хранится на дискретном флеш-чипе, что позволяет интерфейсу ILO 4 быть работоспособным когда сервер отключен. Но есть огромное но, есть операционная система от компании RTOS GreenHills Integrity, которая почему-то открывала на прямую доступ в интернет некоторым интерфейсам iLO 4. Логично, что добрые люди из интернета с радостью отыскивают такие сервера и не против посмотреть, что на них расположено.
При атаке они переполняют heap-буфер при обработке HTTP-заголовка. В момент, когда новый клиент подключается к web-серверу, один из четырех потоков обрабатывает соединение и начинает анализ HTTP-запроса. Обработка производится функцией, поочередно считывающей каждую строку, идентифицируя и анализируя таким образом возможные варианты HTTP-заголовка. Основная проблема возникает при обработке заголовка соединения функцией sscanf, которая вызывается небезопасной строкой.
Соответственно, при обработке сверхдлинного заголовка соединения возможно переполнение буфера и выполнение произвольного кода. В Hewlett Packard подчеркивают, что угроза не является лишь теоретически возможной. Известно, что выявившие уязвимость специалисты получили таким образом доступ к управлению сервером. ILO 5 актуальна на 4 февраля 2019 года и имеет версию 1.40.
Существует несколько API для взаимодействия с HP iLO:
Вот так вот выглядит веб-интерфейс при подключении к порту управления ILO 4 на Prolient DL380 Gen9. Тут вы на основном дашборде увидите сводную системную информацию:
Загрузить последние версии ILO прошивок вы можете на сайте производителя:
Или же использовать SPP диски обновления от HP, где очень удобно все обновить за один подход, но из минусов этого метода, то что ISO образа очень объемные.
Лицензия iLO Advanced. Для чего она нужна именно сейчас?
В статье рассмотрел наиболее важные, на мой взгляд, преимущества лицензии iLO Advanced для процессора управления HPE Proliant Light-Out. И, самое главное, написал инструкцию, как получить временную лицензию со сроком действия до 1 января 2021 года.
В эти непростые времена мы решили поддержать малый и средний бизнес на «удаленке». Теперь каждый из вас может скачать себе ключ на активацию функционала HPE iLO Advanced на серверах HPE ProLiant, доступ к которому будет действовать до конца 2020 года.
Корпоративные заказчики продолжают пользоваться всеми преимуществами лицензии HPE iLO Advanced, а компании поменьше на ней экономят. Сейчас у них появилась возможность оценить расширенный функционал ПО.
Давайте сравним возможности стандартной и расширенной версии HPE iLO:
| Функционал | HPE iLO Standard | HPE iLO Advanced |
| Поддержка платформ | Есть во всех серверах, где присутствует контроллер управления iLO. Бесплатно> | Все серверы ProLiant, блейд-серверы, вычислители Synergy, картриджи Moonshot в шасси Edgeline |
| Диагностика «Active Health» | — | + |
| Расширенное управление питанием «Advanced Power Management» (графики энергопотребления во времени, возможность динамического ограничения энергопотребления | — | + |
| Автоматическое восстановление безопасной конфигурации | — | + |
| Безагентный мониторинг | + | + |
| Резервное копирование и восстановление конфигурации | + | + |
| Режим Commercial National Security Algorithm (CNSA) | — | + |
| Аутентификация через доменную службу | — | + |
| Встроенная удаленная поддержка | + | + |
| Встроенная система мониторинга состояния сервера | + | + |
| Система коллективной работы через интегрированную консоль удаленного доступа | — | + |
| Поиск через службу «iLO Federation Discovery» | + | + |
| Управление через службу «iLO Federation Discovery» | — | + |
| Перезагрузка HPE iLO | + | + |
| HPE iLO RESTful API | + | + |
| Встроенная консоль удаленного управления | Для BL и WS – стандартно, для остальных серверов – до загрузки в ОС | + |
| Видеозапись действий в консоли удаленного управления | — | + |
| IPMI через LAN/DCMI | + | + |
| IPv6 | + | + |
| Поддержка технологии «Jitter Smothing» | — | + |
| Запись и просмотр состояния сервера на момент загрузки | + | + |
| Передача данных в формате «Syslog» | — | + |
| RIBC | + | + |
| Верификация микрокодов в процессе работы сервера | — | + |
| Доступ к виртуальному дисководу «Virtual Media» из скриптов | — | + |
| Безопасная чистка данных из постоянной памяти HPE iLO (NAND/пользовательские данные) | — | + |
| Технология «Silicon Root of Trust» | + | + |
| Доступ по SSH | + | + |
| Доступ к удаленной текстовой консоли сервера по SSH | — | + |
| Двухфакторная авторизация (Kerberos, Smart Card – PIV/Common Access Card) | — | + |
| Доступ к виртуальному дисководу «Virtual Media» из консоли удаленного доступа | Для BL и WS – стандартно | + |
| Виртуальные кнопки управления питанием (Вкл/Вкл/Перезагрузка) | + | + |
| Виртуальный последовательный порт | + | + |
| Запись вывода и проигрывание с виртуального последовательного порта | — | + |
| Веб-интерфейс | + | + |
| Технология «Профили нагрузки» | + | + |
Подробнее о лицензировании вы можете узнать здесь.
Обращаю ваше внимание на функции удаленной графической консоли и виртуального привода DVD/ носителя USB. Это – возможность полноценного администрирования сервера удаленно без физического доступа к нему: полезная возможность для удаленной работы.
С лицензией жизнь начинает играть другими красками: можно смонтировать образ CD/DVD, лежащий на локальном диске вашего компьютера, или подключить папку на него же:
А с лицензией – есть:
Режим работы сервера:
Серверы можно объединять в группы (всегда есть группа по умолчанию) и настраивать их по общим правилам: присвоить всем один виртуальный носитель, задать для группы ограничения по энергопотреблению (если питание в стойке ограничено), раздать всем лицензию HPE iLO Advanced (попробуйте с нашей временной лицензией), сравнить и при необходимости довести микрокоды на серверах группы до одной версии, и даже включить и выключить все серверы одновременно (мечта хакера). Рекомендую присмотреться к федерации.
Мы рассмотрели далеко не все дополнительные возможности, приобретаемые сервером. Изучить остальные вы можете сами, воспользовавшись лицензией.
Итак, рассказываю, как же получить ключ. Всё просто
А теперь рассказываю, как установить ключ
А если у вас есть свободное время в самоизоляции, то рекомендую попробовать еще несколько решений.
HPE iLO Amplifier Pack – бесплатное ПО, которое поставляется в виде виртуальной машины. Оно повзоляет проводить инвентаризацию серверов, обновлять микрокоды, сохранять и восстанавливать настройки HPE iLO.
Полностью возможности раскрываются при наличии на серверах лицензии HPE iLO Advanced. Есть возможность оценить и сравнить HPE iLO Amplifier Pack с лицензией HPE iLO Advanced и без.
Документация доступна по этой ссылке.
Для серверов работает в связке с HPE iLO Amplifier Pack. HPE InfoSight for Servers – облачный сервис по диагностике и мониторингу вашего оборудования. Чтобы им воспользоваться, необходимо иметь поддержку на оборудование (гарантия – тоже поддержка). В сервисе можно также отслеживать статус заявок.
Этот сервис полезен при удаленной работе, если вы не боитесь передать телеметрию (не пользовательские данные, конечно) на серверы компании.
