Rövidre fogva a hátteret: van egy HP ProLiant DL380 G4, pár napja egy régi gép helyett. A régi, ha jól emlékszem, egy DL360 volt.
Az új gépbe a régiből egyszerűen átdugták a harddiskeket. Elindul, de nem jön fel a hálózat, nem ismeri fel a hálózati eszközöket - bizonyára más a hw és más modult kellene betölteni.
A régi gép iLO portját sosem tudtam beköttetni, most, mivel a rendes interfész nem működik, megkértem, hogy a patch kábelt tolják be az iLO-ba.
Eddig jó.
Webes felületen be tudok lépni, látom a státuszt és a konfigurációt.
A következő lépés az lenne, hogy be tudjak lépni valahogy. Igazából az lenne jó, ha a bootolást is látnám, de elfogadom azt is most, ha csak a futó gépre tudok bejelentkezni.
Az első, amit próbáltam, az a remote console. Ez az előző gépnél működött jól, régen. Újraindításkor láttam a POST üzeneteket meg mindent. Olyan volt, mintha ott ültem volna a gép monitora előtt. Ez jó lenne most is, nagyon.
Ezen a gépen ha kiválasztom a Remote Console menüből a Remote Console-t, megnyílik egy igen nagy új ablak. Miután a saját gépemen kikapcsoltam mindenféle java security dolgot és whitelistre tettem ezt a gépet, végre csak panaszkodott, hogy self signed certificate, de elindul.
Viszont csak egy fekete hátteret kapok egy villogó kurzorral.
Alatta ezt írja: java.net.ConnectException: Connection timed out: connect
És hiába nyomok returnt, vagy ilyesmit, nem kapok mondjuk login promptot vagy ilyesmit, amit valamire tudnék használni. Újraindítani nem próbáltam még, így nem tudom, hogy a POST üzenetek látszanának-e.
Ahogy nézelődtem az opciók között, látom, hogy van telnet (ami nem megy át a tűzfalon) és ssh.
Megpróbáltam az ssh-t, kapok egy login promptot.
usert és pass-t kér. Az iLO login user/pass nem működik.
Kipróbáltam a sajátomat is, bár nem fűztem hozzá sok reményt. És persze nem megy.
Nem tudom, itt milyen user és pass kellene.
Az Administration/SSH Key authorization menüben megpróbáltam feltölteni ssh publikus kulcsot. Készítettem egy RSA-t et putty-val és a saját formátumát és az OpenSSH formátumot is megpróbáltam. Ugyanazt kapom:
The SSH key could not be authorized.
One of the following may be the reason:
1. The key store is full. There is only enough storage for 4 SSH keys.
2. The user identified in the key file does not exist in the local user database of this iLO.
3. The supplied key file is not formatted correctly.
1: nem hiszem, nem látom nyomát.
2: mi az, hogy user identified in the key file? Ilyesmiről most hallok először.
3: vajon milyen publikus kulcs formátumot kér?
Szóval most épp itt akadtam el. Valaki tud esetleg valami tanácsot adni?
Hozzászólások
Nagyon egyszerű a gond egy tűzfal valahol a hálózatban megfogja a remote console-hoz szükséges portokat.
Itt egy lista, hogy kb mi kell neki (nem biztos, hogy 100%-ig jó, de kiindulásnak jó lesz):
ILO FUNCTION SOCKET TYPE PORT NUMBER
---------------------- ----------- -----------
Secure Shell (SSH) TCP 22
Remote Console/Telnet TCP 23
Web Server Non-SSL TCP 80
Web Server SSL TCP 443
Terminal Services TCP 3389
Virtual Media TCP 17988
Shared Remote Console TCP 9300
Console Replay TCP 17990
Raw Serial Data TCP 3002
http://blog.nachotech.com/?p=119
+1-ezek erre,
Ezt a portot kell beengedni:
Console Replay (bár erre nálunk Remote Console Port van írva) TCP 17990
Ezt meg akkor, ha használod a virtual mediat (cd/usb image a saját gépedről):
Virtual Media TCP 17988
De a portok állíthatóak is.
Nálam a beállításokban a következő portok vannak:
Web Server Non-SSL Port 80
Web Server SSL Port 443
Virtual Media Port 17988
Remote Console Port 23
Terminal Services Port 3389
Raw Serial Data Port 3002
Secure Shell (SSH) Port 22
A te 17990-es portod az ugyanaz, mint nekem a Remote Console 23?
Azt feltételeztem, hogy ott simán telneten figyel.
Vagy ez, amit írsz, 17990-es, ez egy nem állítható default?
Illetve ehhez kapcsolódva: biztonságos mindezeket a portokat a külvilág számára elérhetővé tenni?
Nem tud valaki mondjuk telnet vagy serial kapcsolatot kezdeni és a gép felett átvenni a hatalmat?
Ha a remote console-hoz nem kellene, akkor legszívesebben letiltanám azokat.
80, 443, 17988, 22 mellett mi kellene még? A listámban nem szereplő 17990?
Sajnos nem tudok próbálgatni, még az se biztos, hogy ezeket egyáltalán megnyitják nekem.
Igen, a 17990 kell a grafikus konzolhoz. Állítható ez is, legalábbis a DL370 G7-en biztosan. A 22,23 ssh, telnet konzolok csak akkor mennek, amikor szöveges módban lenne a képernyő. És igen, ezeket azért nem engedném be közvetlen a netről.
Csak az bizonytalanít el, hogy e fent bemásolt listámban nem szerepel a 17990-es port.
Neked oda a 23-as van írva, ami telnet lenne. Na most oda be tudsz menni a telnet paranccsal? Vagy csak valaki átírta 23-ra a grafikus konzol portját?
Nem próbáltam, a 23-as port szűrve van jelenleg. Most a rendes portban van a kábel ráadásul, nem az iLO-ban.
Az iLO beállításokban mindenesetre szerepelt a telnet elérés engedélyezése, szóval azt feltételezem, hogy ha nyitva lenne a port, be lehetne menni telnettel.
Viszont a tiédben ilyen is van:
Terminal Services Port 3389
rdesktoppal (vagy a TS klienssel) ezt is meg lehetne próbálni. A miénkben ilyet nem láttam.
Hát, akkor ez valószínű nem fog menni.
Az elmúlt kb. 7 év alatt nem csak azt nem tudtam elérni, hogy az iLO kábelt kössék be, de azt se, hogy a 22, 25, 80, 110, 143, 443, 993, 995 portokon kívül az 587-est is kinyissák.
Maradna az ssh. Erre tud valaki mondani valamit, hogyan használható (és mire)?
Én annak idején ssh port forwardot alkalmaztam az iLO portjainak elérésére. Ha java nem megy, ott a .Net.
ssh: Arra használtam, hogy egy-egy blade-ből virtuálisan kirántsam a tápkábelt amikor már nem volt más mód a rebootra.
-
Na de hová kapcsolódott az ssh kliensed?
Az iLO az egy másik eth interfészen figyel, tehát ezt valahová be kellene kábelezni.
Nekem annak kapcsán, amit írtál, csak az jut eszembe, hogy ssh az egyébként jól működő gépre, és az eth1 portján át egy cross kábellel az iLO elérhető. ssh port forwarddal megy.
De persze ha a gép nem működik, akkor meg vagyok lőve.
Több tíz gépünk volt egy lokáción általában, szóval valahogy mindig megoldottam.
Azt hogy hogyan kapcsolódtam nem mondhatom el (biztonsági okokból).
Jól látod, az általam vázolt tunelles megoldás csak mégegy gép igénybevételével használható.
Nem tudod megoldani sehogy sem, hogy legyen ott mégegy gép amit ssh-ra használsz csak?
Ha ugyanabba a gépbe rakod switch helyett az iLO kábelét, akkor az egyik legfontosabb funkciójától fosztod meg, ugyanis ha a gép offline, nem tudod iLO-val bebootolni.
-
Á, esélytelen.
Leselejtezett olcsó gép, amire egy baráti társaság dobta össze a pénzt.
Szívességből betéve valami gépterembe valahol.
7 éve egy új portot nem nyitnak meg nekünk, mert szívességből elfér ugyan a gép a polcon, de foglalkozni nem akar vele senki.
iLO azért nincs leginkább, azon kívül, hogy foglalkozni kéne vele, mert nem akarnak publikus fix IP címet adni.
Ha lenne csak ezért egy másik gép, amit szintén be lehetne tenni, akkor ugyanott vagyunk, hogy nincs IP cím és nem akar vele senki foglalkozni.
Ha a másik gépet be tudnák tenni, akkor a routerből rögtön az iLO portba is mehetne a patch kábel.
azt hiszem, itt már többször volt erről szó.
Ha veszel egy routert (wrt v mikrotik) azzal gond nélkül meg tudod oldani, pl azt, h minden forgalom megy a gépnek, de ha VPN-el belépsz, akkor eléred az ILO-t.
Nem, egyaltalan nem egyszeru a gond. Nekunk is van DL370 G6, "iLO 2 Advanced features have been activated", helyi halon, szuretlen forgalommal is baszik mukodni, mind az ActiveX, mind a Java verzio. BIOS upgrade megvolt, iLO FW update megvolt. Meg azt is kiprobaltam, hogy az iLO altal javasolt Java 1.4.2_13 + IE7 (meg egy csomo mas) komboval megnezni, de nyilvan ugyanez az eredmeny. Java-n fekete, AX-en szurkes kepernyo. Sot, igazabol a a javasolt Java verzioval el se indul a konzol, mert valami class-t nem talal, es elszall. Az a vicc, hogy pl. ISO-t tudok mountolni AX-en keresztul, meg is jelenik a szerveren, csak a kurva kep nem jon at.
Tanulsag: az iLO egy fos.
40+ gépen működik itt hibátlanul.
Tanulság: az iLO király cucc.
Gratulálok.
Kiraly. Jo neked. Koszonom. Ellenben az Intel IPMI-je hibatlanul mukodik, ugyhogy koszonjuk szepen, az iLO tovabbra is fos. Gugliban is akad erre talalat boven, nagyjabol annyit tudnak ra mondani, hogy vegyel licenszet (van), vagy contact support. Ugyhogy a teny, hogy nalad mukodik, eleg sovany vigasz.
100+ HP Proliant, G6/G7/G8, blade/rack vegyesen, ILO megy mindegyiknél a világ túlfelére is.
Volt egy széria ami pár hét után fagyott (olynakor mindkét tápkábel ki, vissza, megy megint), de egy firmware verzió update megoldotta.
Szuper!
FYI: lehet, h Java verzio a mas (en frissiteni szoktam amikor feldobja h tegyem meg - marmint win alatt) de en IE-t csak akkor hasznalok, ha massal nem megy az applikacio. az iLO nem ilyen. az frankon megy firefox-al. Sot, az ujabb (g8-hoz biztosan, talan g7-hez is) verziohoz van ffox plugin is.
Mint mondtam, egy raklap kombinacioval kiprobaltam, meg virtualis XP-t is feltettem, hogy olyan osi IE-ben megnezhessem az ActiveX-et, Java 4-5-6-7, stb. Mindegyikben teljesen hullamerev.
mégegyszer (v először) az ILO-t direkt vagy portfwd-n át éred el?
ps: azt ugye tudod, hogyha SSH-val lépsz be az ILO-ra akkor a szöveges konzolt át tudod venni ugye?
Nincs semmi forward, helyi halorol erem el.
A szoveges konzol megvan, ahhoz nem kell SSH, ott van a "Remote Serial Console" a webes feluleten is, az ugy ahogy hasznalhato boot soran. Viszont a szoveges konzollal tul sokat nem erek, ha pl. a Windows Server feluletet szeretnem elerni, amikor benazik a Remote Desktop...
Milyen licensz van az iLO-hoz? Ugyanis Advanced szükséges, hogy a grafikus konzolon megjelenő tartalmat a boot után is láthasd.
Arra szerintem figyelmeztet ha nincs/nem jó a licenc.
Product Version: iLO Advanced
Mit jelent a grafikus konzol itt?
A régi gépen boot után a karakteres konzolt tudtam használni. Most se kéne más.
Milyen ILO és firmware verzió? .Net kliens nincs benne? Java verzió? (régebbiek csak 1.6-os Javaval mennek néha)
iLO Firmware Version: 1.95
10/05/2009
.net, fogalmam sincs, nem tudom, hol derül ez ki.
Nálam friss java van, Version 7 Update 51, akármit is jelent ez.
A gép azt mondja, hogy a remote console-hoz 1.4.2-es Java kell, csak azzal működik megfelelően.
Egy ILO reboot kellene először, ha utána sem megy én megpróbálnám egy 1.6.x Java verzióval
Ha az ILO reboot az az iLO webes felületén kezdeményezett reboot, akkor az megvolt tegnap éjjel.
Ma este nem lesz rá időm, de holnap majd a linuxomra keresek valami régi javát.
Bár akkor már célszerűbb lenne a gép által kért 1.4.2-es verzióval próbálkozni az 1.6 helyett. Nem?
Mi volt hogy a videokártyát letiltottuk és ugye az összes ilyen új vacaknak kell hogy megjelenjen valami a képernyőn. Még annyit megnézhetnél hogy a videokártya engedélyezve van-e BIOSban. Mondjuk ha nincs úgyis helyileg kell bohockodni hogy láss valamit.
"HP ProLiant DL380 G4, pár napja egy régi gép helyett" - Nem kérdezem meg, milyen lehetett az a régi gép :-P
DL360 volt. Leselejtezésen vettük 2007 február/március környékén.
Hétvégén tervezett leállítás után nem volt hajlandó a POST folyamaton túlmenni - azt állította, hogy nem megy a prociventilátor. Persze ment, és állítólag ki is írta máshol, hogy megy.
Lehet, hogy egy cr2032 csere megoldotta volna...
Lehet. Hétfőn azt mondta a haver, aki viszonylag közel dolgozik és be tud oda menni, hogy: nem indul el, azt írja, hogy nem megy a prociventilátor.
Kedden ugyanő azt mondta: Figyelj, azt írja ki, hogy nem tudta elindítani az akármi programot. Küldött egy fényképet, amiből látszott, hogy nincs olyan IP cím, ami kéne. Pár perc távirányított gépelés után valamit kibökött, hogy hát a régi gépen akármi.
Így derült ki számomra, hogy új gépünk van :-D
Nemtudom mennyire üzletkritikus dolog, de ha belefér akkor pár perc google után annyi iLO kulcsod lehet, amennyit nem szégyelsz :D
most látom fentebb h írtad, Advanced iLO van :D
félig-meddig megoldottam a dolgot.
Létrehoztam egy új RSA ssh kulcsot PuTTYgennel.
Létrehoztam egy új iLO usert gee felhasználónévvel és gee login névvel.
A PUTTYgenben beállítottam, hogy az új kulcs commentje: gee
Készítettem OpenSSH formátumú publikus kulcsot belőle.
Ezt a publikus kulcsot fel tudtam tölteni.
Ezután ssh-n a gee userrel be tudtam lépni egy iLO felületre.
Itt a help parancs kilistázta, hogy miket lehet, a REMCONS parancs hatására elindult a remote console, és az ssh csatornán szépen jön minden.
Lehet rebootolni, lehet látni a boot folyamatot, aztán a login promptnál be lehet lépni.
A webes remote consol valószínű a zárt portok miatt nem megy - a remote media szintén valószínű nem (nem próbáltam, de a port szűrve van).
Van ssh-n keresztül is Virtual Media elméletileg.
Lehetne valami ilyesmit tolni, ha jól értem:
vm cdrom insert http://server/cdrom.iso
Az eredeti problémát is sikerült megoldani.
Ugyanaz a tg3 modul kell, mint eddig, viszont az udev az új MAC címek miatt az eth0-t átnevezte eth3-ra, és ezért a korábbi konfiguráció nem működött.
Erről lebeszéltem, így most amit a kernel eth0-nak gondolt, az eth0 is marad ezentúl.
Konfig megint jó, mindenki örülhet.
G