TWI595377B - 用於免認證組態的電腦實施方法與系統及其相關非暫態電腦可讀取存取媒體 - Google Patents

用於免認證組態的電腦實施方法與系統及其相關非暫態電腦可讀取存取媒體 Download PDF

Info

Publication number
TWI595377B
TWI595377B TW104125260A TW104125260A TWI595377B TW I595377 B TWI595377 B TW I595377B TW 104125260 A TW104125260 A TW 104125260A TW 104125260 A TW104125260 A TW 104125260A TW I595377 B TWI595377 B TW I595377B
Authority
TW
Taiwan
Prior art keywords
controller
node
service
data
management
Prior art date
Application number
TW104125260A
Other languages
English (en)
Other versions
TW201624338A (zh
Inventor
施青志
Original Assignee
廣達電腦股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 廣達電腦股份有限公司 filed Critical 廣達電腦股份有限公司
Publication of TW201624338A publication Critical patent/TW201624338A/zh
Application granted granted Critical
Publication of TWI595377B publication Critical patent/TWI595377B/zh

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/41User authentication where a single sign-on provides access to a plurality of computers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)
  • Small-Scale Networks (AREA)

Description

用於免認證組態的電腦實施方式與系統及其相關非暫態電腦可讀取存取媒體
本揭示內容是有關於一種計算系統的頻外管理。
高密度伺服器系統的遠端伺服器管理是重要的,但是仍然具有其挑戰性。例如:一個資料中心往往具有一個複雜的網路拓撲,其常常包含大量的機架,且每一個機架要支援眾多的伺服器,而在每一個伺服器中又包含了它自己獨立的中央處理單元(CPU)、網路介面、或是作業系統。
據此,伺服器管理系統需要一個有效率並且高可靠性的管理協定。此管理協定不僅要能夠處理高頻寬的資料傳輸,也必須要符合網路的安全需求。
本揭示內容之一方面是揭露使用一種用於多個服 務控制器於一機架內的機架式憑證組態(如:登入資訊例如一使用者名稱及一密碼),以提高頻外管理效率的技術。依據一些實施例,憑證組態可為機架式或式機箱式。依據一些實施例,此憑證組態可為基於客戶端或是基於多種因素的憑證組態。
依據一些實施例,本技術可使用一免認證協定(如:I2C)以修改一群組服務控制器的不同形式的組態。這些不同形式的組態包含一憑證組態、一網路組態、或是與一服務控制器之節點管理功能相關的其他功能性組態。
依據一些實施例,本揭示內容可使一主要服務控制器(如:一機架管理控制器(RMC)、一機箱管理控制器(CMC)、或是一資料中心管理控制器)提供多個次要服務控制器(如:機板管理控制器(BMC))之一集中式組態,以使它們可以共用一相同的使用者名稱與密碼。由於一伺服器管理裝置可用此相同的憑證與這些次要服務控制器通信,因而可為伺服器管理裝置提供一有效率的憑證管理。
例如,本技術可使用智慧平台管理介面(Intelligent Platform Management Interface,IPMI)訊息,經由一受信任且免認證的系統匯流排例如內部整合電路(Inter-Integrated Circuit,I2C),令一主要服務控制器傳輸一新的組態(如:一使用者名稱與一密碼)至多個次要服務控制器。與遠程管理控制協定(Remote Management Control Protocol,RMCP)通過區域網路(Local Area Network,LAN)不同的是,IPMI通過I2C是用於受信任的內部通信並且不需要認證。據此,這些次要服務控制器之預設組態可被 修正,而不需要一個會造成驗證延遲的複雜認證程序。
依據一些實施例,在一個機架式的憑證組態之下,一主要服務控制器可以提供一憑證至一機架內的所有次要服務控制器。例如:一機架之一機架管理控制器可以指派此相同的使用者名稱與密碼至此機架內的所有基板管理控制器。類似地,一主要服務控制器可以提供一新的組態至一機架內的所有次要服務控制器。
依據一些實施例,一主要服務控制器可以依據不同的分段因素或是資料,提供一新的憑證至一被選擇群組的次要服務控制器。此被選擇群組的次要服務控制器可位於一相同的機架或是橫跨多個機架。類似地,一主要服務控制器可以依據不同的分段因素或是資料,提供一新的組態至一被選擇群組的次要服務控制器。
此外,一伺服器管理裝置可使用RMCP或是RMCP+,經由一網路例如LAN,傳輸一新的憑證或是一新的組態至一主要服務控制器。RMCP+是一種基於用戶資料元協定(User Datagram Protocol Based,UDP-based)的協定具有較RMCP更強的認證能力。除此之外,一伺服器管理裝置可傳輸此新的憑證或是此新的組態至一開關,而開關可將新的憑證或是新的組態傳輸至此主要服務控制器。
雖然本文中的多個例子係參照LAN及I2C,應當理解的是這些僅僅是例示,並且本技術不限於此。相反地,任何可提供電腦組件之間連接的協定均可被使用。
102、122、124‧‧‧機架
104、108、112、116‧‧‧節點
105、109、113、117‧‧‧機箱管理控制器
106、110、114、118‧‧‧基板管理控制器
120‧‧‧交換器
126‧‧‧伺服器管理裝置
128‧‧‧機架管理控制器
130‧‧‧資料中心控制器
200‧‧‧機架
210‧‧‧機架管理控制器
214、224、264‧‧‧網路介面控制器
220、230、240‧‧‧節點
222、232、242‧‧‧基板管理控制器
226、236、246‧‧‧CPU
228‧‧‧憑證快取記憶體
250‧‧‧交換器
260‧‧‧伺服器管理裝置
302~306、402~410、502~506‧‧‧步驟
602‧‧‧基板管理控制器
604‧‧‧處理器
606‧‧‧輸入元件
608‧‧‧機架管理控制器
610‧‧‧網路介面
612‧‧‧顯示器
614‧‧‧存儲元件
624‧‧‧滙流排
626‧‧‧系統記憶體
為讓本揭露之上述和其他目的、特徵、優點與實施例能更明顯易懂,所附圖式之說明如下:第1圖係依據一些實施例繪示包含多個伺服器機架以及一伺服器管理裝置之一整體系統圖;第2圖係依據一些實施例之一群組服務控制器之一免認證組態系統之一例的方塊示意圖;第3圖係依據一些實施例之一免認證組態系統之一例示性流程圖;第4圖係依據一些實施例之一免認證組態系統之另一例示性流程圖;第5圖係依據一些實施例之一免認證組態系統之又一例示性流程圖;以及第6圖係依據一些實施例之一計算裝置之一計算平台。
本技術的各種實施例將在下面詳細討論。雖然具體的實施被討論,應當理解的是這麼做僅是於說明性的目地。相關領域的熟知該項技藝者將認識到可以使用其他的部件和配置,而不脫離本技術的精神和範圍。
頻外管理是一種被廣泛地採用,用於資料中心可被擴展並且靈活的管理機制。頻外管理可以使用一個專屬的頻道以管理網路裝置。使用頻外管理時,系統管理員可以使用一個伺服器管理裝置(如:電腦),經由網路例如LAN監控大量伺服器的作 業狀態。並且,不管伺服器或是作業系統是否可作用,系統管理員都可以利用遠端控制監控並管理大量的伺服器及其他裝置。例如:頻外管理可以調整基本輸入/輸出系統(Basic Input/Output System,BIOS)的設定或是監控伺服器的物理狀態,例如溫度、電壓、風扇轉速等。
頻外管理可以利用獨立的硬體,例如:基板管理控制器(Baseboard Management Controller,BMC)及其他衛星服務控制器,外加上相應的操作介面例如智慧平台管理介面所實現。一般來說,一伺服器管理裝置可以使用RMCP通過LAN與基板管理控制器及/或機架管理控制器(Rack Management Controller,RMC)通信。
RMCP或是RMCP+是一種專門用來通過LAN提供智慧平台管理介面的連線協定。為了要提供網路的資料安全,RMCP需要認證及加密的機制,而認證及加密的機制可能為複雜與耗時的。換句話說,為了要經由RMCP與基板管理控制器建立一通信階段,伺服器管理裝置在與基板管理控制器通信前,需要驗證必要的憑證(如:使用者名稱及密碼)。因此,管理大量基板管理控制器的複雜度將因所需的認證機制而大為提高。此外,縱使只為大量的基板管理控制器執行最簡單的任務也是具有挑戰性的。例如,為大量的基板管理控制器彙集並且更新個別的憑證會很困難,從而降低了頻外管理的效率。
因此,如何能提供一種最佳化的機制以配置並且管理大量服務控制器的的憑證,進而增進頻外管理的效率,實屬當前重要研發課題之一。並且,如何能夠使用有效率的機制 為多個服務控制器修改各種不同的組態,也是當前重要研發課題之一。
本技術揭露可使一機架管理控制器,配置多個關聯於一同一組態的基板管理控制器的技術。依據一些實施例,一機架管理控制器可以利用一叫做智慧平臺管理匯流排/橋接器(Intelligent Platform Management Bus/Bridge,IPMB)的系統介面,傳輸一新的憑證至一群組的基板管理控制器。於一些實施例中,一機架管理控制器可以用IPMB傳輸一新的組態(如:憑證、網路設定、或節點操作設定)至一群組的基板管理控制器。
作為內部整合電路的加強實施,IPMB係為一種基於訊息、硬體層的基本介面規格,因為它是用於受信任的內部通信,所以不需要認證。據此,一機架管理控制器可以用IPMB去配置大量的基板管理控制器,所以它們可以共用一個相同的憑證或是一個相同的組態,以便於被一伺服器管理裝置所方便管理。
第1圖係依據一些實施例繪示包含多個伺服器機架以及一伺服器管理裝置之一整體系統圖。應當理解的是,在第1圖中的拓撲僅是一個例子,任何數目的機架、控制器、開關、以及網路組件均可能包含於第1圖的系統中。
在一些實施例中,一管理員可以使用一伺服器管理裝置126,經由頻外管理,遠端管理大量的伺服器機架(如:機架102、機架122、或機架124)。例如:機架102可以包含多個節點,例如節點104、節點108、節點112、及節點116。依據它們個別的多個功能,這些節點可為儲存節點或是計算節點,或是兩者的組合。這些節點可以設置不同的客戶端應用程式,例如:電子郵件 或是網頁應用程式。此外,它們可經由內建於機架架構中的多層交換光纖傳輸資料。例如:一交換器120可以被內建於一機架並提供網路功能給機架內102的所有節點。交換器120例如可為一頂架式交換機(Top of Rack,TOR),一般被置放於機架的頂端。
依據一些實施例,此系統可利用各種位於不同管理階層的服務控制器以監控並管理系統中眾多的節點。舉例來說,一資料中心控制器130可以使用一專屬的網路介面管理機架102、機架122、與機架124之間的資料傳輸。例如:每一個位於機架內102的機箱可與一個機箱管理控制器(如:CMC105、CMC109、CMC113、與CMC117)相關聯,而每一個機箱管理控制器可管理一機箱內的資料傳輸以及該機箱內的所有節點。
如第1圖所示,每一個節點可與一個用於管理其節點資料的服務控制器相關聯。節點資料包含有任何與節點狀態相關的資料,例如錯誤訊息、機箱內部溫度、電壓、及風扇轉速。
舉例而言,基板管理控制器106、基板管理控制器110、基板管理控制器114、與基板管理控制器118可分別管理節點104、節點108、節點112、及節點116。基板管理控制器係為獨立且嵌入式的微控制器,並且於一些實施例中,負責週邊裝置(如:開關、計算節點、與儲存節點)的管理與監控。依據一些實施例,一基板管理控制器可藉由接收由安裝於機箱內的多個感測器所傳來的資料(如:風扇轉速、CPU溫度、電力消耗位準等),以監測伺服器的硬體組件。一基板管理控制器可以使用一內部整合電路彙流排經由IPMB與其他基板管理控制器或是一機架管理控制器通信。一基板管理控制器可以使用RMCP經由LAN與一伺 服器管理裝置通信。
在一些實施例中,一機架管理控制器128可以管理機架102內的多個基板管理控制器。由於一機架管理控制器可以管理一群組的基板管理控制器,機架管理控制器128可為一主要服務控制器,而基板管理控制器可為一次要服務控制器。舉例來說:每一個基板管理控制器及機架管理控制器可以經由例如RMCP或RMCP+訊息,通過LAN與伺服器管理裝置126通信。
一機架管理控制器可以匯集一伺服器機架內的網路流量,並通常經由一交換器與一伺服器管理裝置通信。例如,機架管理控制器128可以使用IPMB訊息通過內部整合電路與基板管理控制器及交換器120通信。此外,機架管理控制器128可以與關聯於其他機架的其他機架管理控制器經由LAN通信,例如機架122或是機架124。
舉例而言,當節點104當機或失去電力時,因為基板管理控制器106具有獨立的電源以及作業系統。仍然可維持運作。因此,藉著與基板管理控制器106通信,伺服器管理裝置126可擷取與節點104相關的系統錯誤訊息以執行診斷。伺服器管理裝置126可例如利用RMCP通過LAN連接至基板管理控制器106。伺服器管理裝置126可以監控節點狀態或獲得節點資料。節點資料可包含有任何與節點狀態相關的資料,例如錯誤訊息、機箱內部溫度、電壓、及風扇轉速以用於診斷。
傳統上,每一個服務控制器都被配置為具有個別的預設憑證,但於頻外管理時維護及更新這些憑證可能產生困難。例如:一個基板管理控制器的製造商可以為基板管理控制器106 提供一預設且隨機的使用者名稱/密碼,並因此建立與基板管理控制器106的網路通信,用於管理節點104的節點資料。伺服器管理裝置126必需擁有與基板管理控制器106之預設使用者名稱/密碼相關的資訊。據此,為了要符合處理不同的基板管理控制器(如:基板管理控制器110)的原則,伺服器管理裝置126必需分開擷取其他的使用者名稱與密碼。
依據一些實施例,機架管理控制器128可以配置基板管理控制器106、110、114及118的每一個,使它們可以共用一個相同的使用者名稱與密碼。如此便可以為伺服器管理裝置126提供有效率的憑證管理。此外,因為IPMB是為了用於受信任的內部通信而且不需要認證,機架管理控制器128可以配置這些基板管理控制器免除一複雜的認證程序。
在一些實施例中,機架管理控制器128可以依據例如分段資料,決定一被選擇群組的基板管理控制器被關聯至該相同的使用者名稱與密碼。分段資料可以為使用者之前的活動資料、節點所有權資料、節點使用資料、或是任何適當的資料。舉例來說,一被選擇群組的次要服務控制器,可位於同一機架內或是橫跨多個機架。例如:因為基板管理控制器106與基板管理控制器104係與客戶A相關,它們可被指派一第一使用者名稱與一第一密碼。因為基板管理控制器114與基板管理控制器118係與客戶B相關,它們可被指派一第二使用者名稱與一第二密碼。據此,如果與客戶C相關的這些基板管理控制器是被置於不同的機架內,這些基板管理控制器可被指派相同的使用者名稱與密碼。最佳化的客戶節點管理可因此被提供。
另外,機架管理控制器128可以配置基板管理控制器106、110、114及118的每一個,使它們可以共用一個相同的組態,例如一網路組態,或是其他類型的節點管理組態。
依據一些實施例,機架管理控制器128可以經由RMCP通過LAN從伺服器管理裝置126接收一個新的憑證。或者,機架管理控制器128可以通過LAN使用表示狀態傳輸(Representational State Transfer,REST),或其他適當的用於無線資料傳輸的規格。
第2圖係依據一些實施例之一群組服務控制器之一免認證組態系統之一例的方塊示意圖。如第2圖所示,機架200可至少包含一交換器250,交換器250可使用一個專屬並由網路介面控制器(network interface controller,NIC)264所實現的網路介面,來管理一群組節點(如:節點220、節點230、及節點240)的網路流量。
在一些實施例中,每一個節點可以包含一主要CPU以及一獨立於該主要CPU的服務控制器。舉例而言,節點220可包含一CPU226以及其服務控制器即基板管理控制器222,而基板管理控制器222另包含一專屬的網路介面控制器224以及一憑證快取記憶體228。網路介面控制器224可被指派一唯一的媒體存取控制(media access control,MAC)位址用於網路流量的選路。類似地,節點230可包含一CPU236以及其服務控制器即基板管理控制器232,而基板管理控制器232包含一專屬的網路介面控制器(未顯示於圖中)以及一憑證快取記憶體(未顯示於圖中)。節點240可包含一CPU246以及其服務控制器即基板管理控制器242,而基板管 理控制器242具有一專屬的網路介面控制器(未顯示於圖中)以及一憑證快取記憶體(未顯示於圖中)。
在一些實施例中,基板管理控制器222可為一嵌入式並且獨立的微處理器,具有一作業系統(如:IPMI)與CPU226的作業系統(如:LINUX)不同。基板管理控制器222可具有一與CPU226分開的電源供應。於一些實施例中,基板管理控制器222可經由多個感測器(如:溫度計、功率計等)接收伺服器的性能資料,並且傳輸這些資料至一伺服器管理裝置260。
另外,每一個基板管理控制器係與一個預設的憑證(如:一使用者名稱及一密碼)相關聯,用於建立一基板管理控制器與一伺服器管理裝置間經由LAN的數據傳輸。依據一些實施例,一基板管理控制器的製造商可以配置一使用者名稱及一密碼,並且將它們提供給基板管理控制器的買方。另外,一基板管理控制器可關聯至與另一基板管理控制器不同之一使用者名稱及密碼。
於一些實施例中,機架200可包含一機架管理控制器210,用以選路以及管理機架200內外部不同節點間通常經由LAN的資料通信。機架管理控制器210可為一嵌入式並且獨立的微處理器,被設計用來管理機架200內的一或多個機箱。在一些實施例中,伺服器管理裝置260可以由機架管理控制器210的介面,而非分散的多個機板管理控制器介面,執行特定的系統功能,例如使系統更新、改變設定、或是開啟一個遠端控制台階段。此外,機架管理控制器210可使系統設定得以被備份,或是調整基本輸入/輸出系統設定並發送至機架210。
依據一些實施例,機架管理控制器210可以從例如伺服器管理裝置260接收一新的憑證(如:一新的使用者名稱及密碼)。機架管理控制器210可進一步傳輸此新的憑證到機架200內的這些基板管理控制器,以取代一或多個憑證。於收到此新的憑證後,每一個基板管理控制器(如:基板管理控制器222與基板管理控制器232)可將與其相關的憑證,用此新的認證憑證取代。稍後,每一個基板管理控制器,於例如利用RMCP或REST通過LAN驗證此新的憑證後,可與伺服器管理裝置260通信。
在一些實施例中,機架管理控制器210可例如決定一被選擇群組的基板管理控制器與該新的憑證相關聯。這樣的決定可以基於例如由一節點管理裝置所提供的分段資料。分段資料可以為使用者之前的活動資料、使用者所有權資、或是任何適當的資料。
舉例而言,因為基板管理控制器222與基板管理控制器232係與客戶A相關,它們可被指派一第一使用者名稱與一第一密碼。因為基板管理控制器242係與客戶B相關,它可被指派一第二使用者名稱與一第二密碼。據此,如果與客戶C相關的這些基板管理控制器是被置於不同的機架內,這些基板管理控制器可被指派相同的使用者名稱與密碼。
於一些實施例中,基板管理控制器222可使用一受信任並且免認證的系統匯流排,例如內部整合電路,接收由機架管理控制器210傳輸過來的一新的憑證(如:一新的使用者名稱及密碼)。基板管理控制器222可以進一步將一預設憑證用該新的憑證取代。基板管理控制器222可以將該新的憑證儲存於憑證快取記憶 體228。
基板管理控制器222可接收一驗證請求以允許伺服器管理裝置260存取與節點220相關的節點資料。當驗證請求包含一與該新的憑證吻合的憑證時,可決定伺服器管理裝置260對該節點資料具有一存取權利。而相反地,如果與此請求關聯之該憑證不同於該新的憑證,伺服器管理裝置260被拒絕存取該節點資料。於確認完伺服器管理裝置260的存取權利後,基板管理控制器222可接著使用例如RMCP,通過LAN傳輸該節點資料至伺服器管理裝置260。除此之外,節點資料為任何與節點狀態相關的資料,例如錯誤訊息、機箱內部溫度、電壓、及風扇轉速。
此外,伺服器管理裝置260可以藉著與基板管理控制器222通信,調整基本輸入/輸出系統設定,或是監控節點220的物理狀態,例如溫度、電壓、風扇轉速等。
除了修改一群組的服務控制器的預設憑證之外,第2圖之免認證組態系統可以使用本文所揭露的機制修改該群組的服務控制器之其他組態。
第3圖係依據一些實施例之一免認證組態系統之一例示性流程圖。應當理解的是,除非另有說明,額外的、較少的、或是替代的步驟可以以類似或是替代的順序執行,或是以平行的方式執行,均在各實施例的範圍之內。
於步驟302中,一主要服務控制器可以使用一認證協定建立與一遠端節點管理裝置的數據傳輸。主要服務控制器可以與一群組的次要服務控制器相關聯。例如:如第1圖所示,機架管理控制器128可以使用一專屬的網路介面控制器,與伺服器管理裝 置126建立一乙太網路連線。此外,乙太網路連線可要求一認證程序以用於資料傳輸。
於步驟304中,主要服務控制器可以使用該認證協定,接收一新的憑證,該新的憑證並與該群組的次要服務控制器之任一相關聯。另外,該群組的次要服務控制器之任一係被用以管理一群組之節點之一節點的節點資料。舉例來說,如第1圖所示,機架管理控制器128可以經由LAN,為基板管理控制器106、基板管理控制器110、基板管理控制器114、與基板管理控制器118從伺服器管理裝置126接收一新的使用者名稱與密碼。除此之外,機架管理控制器128可以從交換器120(如:頂架式交換器),接收一新的使用者名稱與一新的密碼,而交換器120可經由LAN從伺服器管理裝置126接收該新的使用者名稱與密碼。
此外,一主要服務控制器可以決定一被選擇群組的次要服務控制器被配置一新的憑證。依據一些實施例,此決定可部分基於分段資料,例如使用者對節點的所有權或是使用者之前的活動資料。舉例而言,相應於客戶A的節點與服務控制器,可被指派一相同的使用者名稱及密碼,以使憑證管理有效率。
於步驟306中,主要服務控制器可經由一免認證的系統匯流排,傳輸該新的憑證至該群組的次要服務控制器。例如:機架管理控制器128可以使用IPMB通過內部整合電路,將該新的使用者名稱及密碼傳輸至一機架內的所有基板管理控制器(如:基板管理控制器106、110、114、與118)。於收到該新的使用者名稱及密碼後,一基板管理控制器可將一個別的預設使用者名稱及密碼修改至該新的使用者名稱及密碼,以與其他網路裝置通信。
第4圖係依據一些實施例之一免認證組態系統之另一例示性流程圖。應當理解的是,除非另有說明,額外的、較少的、或是替代的步驟可以以類似或是替代的順序執行,或是以平行的方式執行,均在各實施例的範圍之內。
於步驟402中,一次要控制器可使用一免認證的系統匯流排,從一主要控制器接收一新的憑證。例如,如第1圖所示,基板管理控制器106可以使用IPMB通過內部整合電路,從一機架管理控制器接收一憑證。
於步驟404中,該次要控制器可將一預設憑證用該新的憑證取代。例如:基板管理控制器106可用由IPMB通過內部整合電路提供之該新的憑證取代一預設憑證。
於步驟406中,該次要控制器可以從一節點管理裝置接收一存取節點資料的驗證請求。例如:基板管理控制器106可以從伺服器管理裝置126接收一請求,以允許一專屬的並由該基板管理控制器106之一網路介面控制器所實現的網路介面存取節點資料。於一些實施例中,此請求可經由與基板管理控制器106關聯的交換器120被傳輸。
於步驟408中,該次要控制器可以依據該新的憑證,確認該節點管理裝置之一存取權利。例如:當來自於伺服器管理裝置126之請求包含一與該新的憑證吻合的憑證時,可決定伺服器管理裝置126對該節點資料具有一存取權利。而相反地,如果與此請求關聯之該憑證不同於該新的憑證,伺服器管理裝置126被拒絕存取該節點資料。
於步驟410中,該次要控制器可傳輸該節點資料至該 節點管理裝置。例如:基板管理控制器106可經由LAN,傳輸與其所管理之一節點關聯的節點資料至一節點管理裝置。基板管理控制器106也可以從伺服器管理裝置126接收節點管理命令,例如基本輸入/輸出系統命令,以管理節點104的運作。
第5圖係依據一些實施例之一免認證組態系統之又一例示性流程圖。應當理解的是,除非另有說明,額外的、較少的、或是替代的步驟可以以類似或是替代的順序執行,或是以平行的方式執行,均在各實施例的範圍之內。
於步驟502中,一第一服務控制器可以使用一認證協定建立與一遠端節點管理裝置之資料傳輸。該第一服務控制器可與一第二服務控制器相關聯。例如:如第1圖所示,機架管理控制器128可以使用一專用的網路介面控制器與伺服器管理裝置126建立一乙太網路連線。此外,該乙太網路連線可要求一認證程序以用於資料傳輸。
於步驟504中,該第一服務控制器可使用該認證協定接收與該第二服務控制器關聯之一新的組態。並且,該第二服務控制器係用以管理一節點之節點資料。例如:如第1圖所示,機架管理控制器128可以為基板管理控制器106,經由LAN從伺服器管理裝置126接收一新的組態。另外,機架管理控制器128可以從交換器120(如:頂架式交換器),接收一新的組態,而交換器120可經由LAN從伺服器管理裝置126接收該新的組態。
於步驟506中,該第一服務控制器可經由一免認證系統匯流排,傳輸該新的組態至該第二服務控制器。例如:機架管理控制器128可以使用IPMB通過內部整合電路傳輸該新的組態 至基板管理控制器106。於收到該新的組態之後,基板管理控制器106可以將一個別的預設組態修改為該新的組態。
第6圖繪示用於實現第1圖至第5圖之系統及流程之一例示系統架構。一計算平台600包含一滙流排624其使子系統及元件互連,例如:一基板管理控制器602、一處理器604、一存儲元件614、一系統記憶體626、一或多個網路介面610、以及一機架管理控制器608。處理器604可以用一或多個中央處理單元(CPUs)實施,例如由英特爾公司製造的,或是用一個或多個虛擬處理器實施,或是由中央處理單元與虛擬處理器的任意組合實施。計算平台600經由一或個輸入元件606以及顯示器612交換代表輸入以及輸出的資料,輸入元件606以及顯示器612包含但不限於:鍵盤、滑鼠、音頻輸入(如語音至文字元件)、使用者介面、顯示器、監視器、游標、觸控顯示器、LCD或LED顯示器、以及其它I/O相關的設備。
依據一些實例,計算平台600由處理器604執行特定的操作,並執行儲存於系統記憶體626中的一或多個序列的一或多個指令。計算平台600可以在客戶端-伺服器架構下或是同級架構下以一伺服器裝置或一客戶裝置實現,或是可以任何移動計算裝置,例如智慧型手機等實現。指令以及資料可以從另一電腦可讀取媒體中讀進系統記憶體626,例如存儲元件614。於一些實例中,硬佈線電路可被用於代替軟體指令或是與軟體指令組合使用。指令可以被嵌入在軟體或韌體中。“電腦可讀取媒體”這個名詞係指任何參與提供指令給處理器604以用於執行的有形媒體。這樣的媒體可以採取多種形式,包括但不限於非揮發性媒體及揮發 性媒體。非揮發性媒體包含例如,光碟、磁碟等。揮發性媒體包含動態記憶體,例如系統記憶體626。
電腦可讀取媒體的常見形式包含,例如:軟磁蝶、軟性磁碟、硬碟、磁帶、任何其他磁性媒體、唯讀光碟、任何其他光學媒體、打孔卡、紙帶、任何其他具有打孔圖案的實體媒體、隨機存取記憶體、可程式化唯讀記憶體、可抹除可程式化唯讀記憶體、快閃可抹除可程式化唯讀記憶體、任何其他記憶體晶片或是卡匣、或是任何其他電腦可讀的媒體。指令還可以使用一傳輸媒體被傳輸或接收。“傳輸媒體”這個名詞可以包含任何有形的或無形的媒體,其能夠存儲、編碼、或傳送用於被機器執行的指令,並且包括數位或類比通信信號或其它無形媒體,以促進這些指令的通信。傳輸媒體包含有同軸電纜、銅線、或光纖,並包含導線其具有滙流排624用以傳輸電腦資料信號。
由上例可知,系統記憶體626可包含不同模組,其具有可執行指令以實現本文所述的功能性。在示出的實例中,系統記憶體626包含一記錄管理器、一記錄緩衝器、或是一記錄儲存庫,每一個都可以被配置為提供本文所述的一個或多個功能。
雖然本發明已以實施例揭露如上,然其並非用以限定本發明,任何熟習此技藝者,在不脫離本發明之精神和範圍內,當可作各種之更動與潤飾,因此本發明之保護範圍當視後附之申請專利範圍所界定者為準。
102、122、124‧‧‧機架
104、108、112、116‧‧‧節點
105、109、113、117‧‧‧機箱管理控制器
106、110、114、118‧‧‧基板管理控制器
120‧‧‧交換器
126‧‧‧伺服器管理裝置
128‧‧‧機架管理控制器
130‧‧‧資料中心控制器

Claims (18)

  1. 一電腦實施方法,包含:於一主要服務控制器使用一認證協定建立與一遠端節點管理裝置之資料傳輸,該主要服務控制器係與複數次要服務控制器相關聯;該主要服務控制器使用該認證協定從該遠端節點管理裝置接收與任一該些次要服務控制器相關聯之一新憑證,該些次要服務控制器係用以管理複數節點之節點資料;以及該主要服務控制器使用一免認證協定傳輸該新憑證至該些次要服務控制器,該些次要服務控制器係用以將該新憑證取代一個別憑證;其中該遠端節點管理裝置係用以使用該新憑證與該些次要服務控制器通信。
  2. 如請求項1所述之電腦實施方法,更包含:依據分段資料之至少部分決定與該新憑證關聯之該些次要服務控制器。
  3. 如請求項2所述之電腦實施方法,其中該分段資料包含節點所有權資料、使用者之前的活動資料或節點使用資料之至少一者。
  4. 如請求項1所述之電腦實施方法,其中該遠端節點管理裝置係更用以傳輸與該些次要服務控制器相關之該些節點資料之至少一部分。
  5. 如請求項1所述之電腦實施方法,其中該遠端節點管理裝置更用以藉由與該些次要服務控制器通信以管理該些節點。
  6. 如請求項1所述之電腦實施方法,其中與該些次要服務控制器之任一相關之該個別憑證係與其他的憑證不同。
  7. 如請求項1所述之電腦實施方法,其中該個別憑證包含一預設使用者名稱以及一預設密碼,其中該新憑證包含一客製化使用者名稱以及一客製化密碼。
  8. 如請求項1所述之電腦實施方法,其中該主要服務控制器包含一機架管理控制器、一機箱管理控制器以及一資料中心管理控制器之一者,其中該次要服務控制器包含一基板管理控制器。
  9. 一用於免認證組態的系統,包含:一處理器;以及一記憶體元件,該記憶體元件包含複數個指令,當該些指令被該處理器執行時,令該系統: 於一次要控制器使用一免認證協定接收由一主要控制器傳輸之一新憑證,該次要控制器係用以管理一節點之節點資料;將該新憑證取代一預設憑證;接收一允許一節點管理裝置存取該節點資料之驗證請求,該驗證請求係包含有與該新憑證相關之資訊;依據該新憑證之至少部分以確認該節點管理裝置之一存取權利;以及傳輸該節點資料之至少部分至該節點管理裝置。
  10. 如請求項9所述之系統,其中該主要控制器係用以傳輸該新憑證至包含該次要控制器之複數次要控制器,該些次要控制器係用以管理複數節點之節點資料。
  11. 如請求項9所述之系統,更包含複數指令,當該些指令被該處理器執行時,令該系統:接收與該節點關聯之該節點資料,該節點資料係由與該節點相關聯之至少一感測器所產生。
  12. 如請求項9所述之系統,更包含複數指令,當該些指令被該處理器執行時,令該系統:從該節點管理裝置接收一節點管理命令。
  13. 如請求項10所述之系統,其中該主要控制器更用以依據分段資料之至少部分以決定該些次要服務控制器。
  14. 如請求項9所述之系統,其中該主要控制器包含一機架管理控制器、一機箱管理控制器以及一資料中心管理控制器之一者,其中該次要服務器包含一基板管理控制器。
  15. 一儲存有複數指令的非暫態電腦可讀取儲存媒體,當該些指令被一處理器執行時,令該處理器:使用一認證協定於一第一服務控制器建立與一遠端節點管理裝置之資料傳輸,該第一服務控制器係與一第二服務控制器相關聯;該第一服務控制器使用該認證協定從該遠端節點管理裝置接收與該第二服務控制器相關之一新組態,該第二服務控制器係用以管理一節點之節點資料;以及該第一服務控制器使用一免認證協定傳輸該新組態至該第二服務控制器,該第二服務控制器係用以將該新組態取代一個別組態。
  16. 如請求項15所述之非暫態電腦可讀取儲存媒體,其中該遠端節點管理裝置係用以傳輸與該第二服務控制器相關之該節點資料之至少一部分,其中該遠端節 點管理裝置更用以藉由與該第二服務控制器通信以管理該節點。
  17. 如請求項16所述之非暫態電腦可讀取儲存媒體,其中該新組態包含一使用者名稱及一密碼、一網路組態以及一通用控制器組態之至少一者。
  18. 如請求項15所述之非暫態電腦可讀取儲存媒體,其中該主要服務控制器包含一機架管理控制器、一機箱管理控制器以及一資料中心管理控制器之一者,其中該次要服務控制器包含一基板管理控制器。
TW104125260A 2014-12-17 2015-08-04 用於免認證組態的電腦實施方法與系統及其相關非暫態電腦可讀取存取媒體 TWI595377B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US201462093290P 2014-12-17 2014-12-17
US14/686,325 US9866548B2 (en) 2014-12-17 2015-04-14 Authentication-free configuration for service controllers

Publications (2)

Publication Number Publication Date
TW201624338A TW201624338A (zh) 2016-07-01
TWI595377B true TWI595377B (zh) 2017-08-11

Family

ID=56130839

Family Applications (1)

Application Number Title Priority Date Filing Date
TW104125260A TWI595377B (zh) 2014-12-17 2015-08-04 用於免認證組態的電腦實施方法與系統及其相關非暫態電腦可讀取存取媒體

Country Status (3)

Country Link
US (2) US9866548B2 (zh)
CN (1) CN105718785B (zh)
TW (1) TWI595377B (zh)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9866548B2 (en) 2014-12-17 2018-01-09 Quanta Computer Inc. Authentication-free configuration for service controllers
US10257268B2 (en) 2015-03-09 2019-04-09 Vapor IO Inc. Distributed peer-to-peer data center management
US10404523B2 (en) * 2015-03-09 2019-09-03 Vapor IO Inc. Data center management with rack-controllers
US10509456B2 (en) * 2016-05-06 2019-12-17 Quanta Computer Inc. Server rack power management
CN108289040A (zh) * 2018-01-24 2018-07-17 郑州云海信息技术有限公司 一种节点用户的集中管理方法、装置及系统
US10979497B2 (en) * 2018-07-19 2021-04-13 Cisco Technology, Inc. Multi-node discovery and master election process for chassis management
CN109040051A (zh) * 2018-07-27 2018-12-18 郑州云海信息技术有限公司 一种bmc登录方法、系统、设备及计算机可读存储介质
TWI709045B (zh) * 2019-08-12 2020-11-01 神雲科技股份有限公司 遠端查看伺服器開機狀態的方法與伺服器
US11477033B2 (en) * 2020-02-05 2022-10-18 Nxp B.V. Authentication without pre-known credentials
US11669645B2 (en) * 2021-07-27 2023-06-06 Dell Products L.P. Delegated authorization via chassis management controller
CN113778667B (zh) * 2021-08-17 2024-01-23 华东计算技术研究所(中国电子科技集团公司第三十二研究所) 服务器节点信息管理系统和方法、可读介质
EP4145314A1 (en) * 2021-09-06 2023-03-08 Bull SAS High performance computing machine and method implemented in such a hpc machine
US11799714B2 (en) 2022-02-24 2023-10-24 Hewlett Packard Enterprise Development Lp Device management using baseboard management controllers and management processors

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TW561369B (en) * 1999-08-31 2003-11-11 Andersen Consulting Llp A system, method and article of manufacture for remote demonstration of business capabilities in an e-commerce environment
CN1988438A (zh) * 2005-12-20 2007-06-27 国际商业机器公司 用于对事务进行认证的系统和方法
TW200833056A (en) * 2006-11-08 2008-08-01 Micron Technology Inc Method and system for encryption of information stored in an external nonvolatile memory
US20110107079A1 (en) * 2006-01-18 2011-05-05 Pfu Limited Target device, method and system for managing device, and external device
US20140044265A1 (en) * 2012-08-10 2014-02-13 Cryptography Research, Inc. Secure feature and key management in integrated circuits

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100465907C (zh) * 2006-08-04 2009-03-04 华为技术有限公司 一种cmos参数的设置维护装置及方法
CN102170366B (zh) * 2010-02-25 2014-04-16 华为技术有限公司 与单板进行通信的方法、装置和系统
CN103048667A (zh) * 2011-10-14 2013-04-17 鸿富锦精密工业(深圳)有限公司 服务器定位系统
CN103188106A (zh) * 2011-12-29 2013-07-03 英业达股份有限公司 远端监控节点服务器的方法
US20130238785A1 (en) * 2012-03-06 2013-09-12 Rackspace Us, Inc. System and Method for Metadata Discovery and Metadata-Aware Scheduling
US9148465B2 (en) * 2013-04-01 2015-09-29 Oracle International Corporation Update management for a distributed computing system
US9125050B2 (en) * 2013-09-26 2015-09-01 Dell Products L.P. Secure near field communication server information handling system lock
US9967749B2 (en) * 2013-09-26 2018-05-08 Dell Products L.P. Secure near field communication server information handling system support
TWI519100B (zh) * 2014-01-16 2016-01-21 廣達電腦股份有限公司 機櫃伺服器系統及其自動定址方法
US10097409B2 (en) * 2014-03-01 2018-10-09 Dell Products, Lp System and method for managing multi-tenant chassis environment using virtual private chassis management controllers
CN104104543B (zh) * 2014-07-17 2017-05-10 浪潮集团有限公司 一种基于snmp和ipmi协议的服务器管理系统及方法
US9866548B2 (en) 2014-12-17 2018-01-09 Quanta Computer Inc. Authentication-free configuration for service controllers
US9509376B2 (en) * 2014-12-23 2016-11-29 Dell Products L.P. Information handling system with multi-purpose NFC antenna
US9537840B2 (en) * 2014-12-23 2017-01-03 Dell Products L.P. Information handling system secure RF wireless communication management with out-of-band encryption information handshake
US9678552B2 (en) * 2015-10-30 2017-06-13 Dell Products, Lp System and method for powering a wireless end point in a server rack of a data center
US9942935B2 (en) * 2015-11-17 2018-04-10 Dell Products, Lp System and method for providing a wireless failover of a management connection in a server rack of a data center
US10298460B2 (en) * 2015-12-21 2019-05-21 Dell Products, Lp System and method for aggregating communication and control of wireless end-points in a data center

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TW561369B (en) * 1999-08-31 2003-11-11 Andersen Consulting Llp A system, method and article of manufacture for remote demonstration of business capabilities in an e-commerce environment
CN1988438A (zh) * 2005-12-20 2007-06-27 国际商业机器公司 用于对事务进行认证的系统和方法
US20110107079A1 (en) * 2006-01-18 2011-05-05 Pfu Limited Target device, method and system for managing device, and external device
TW200833056A (en) * 2006-11-08 2008-08-01 Micron Technology Inc Method and system for encryption of information stored in an external nonvolatile memory
US20140044265A1 (en) * 2012-08-10 2014-02-13 Cryptography Research, Inc. Secure feature and key management in integrated circuits

Also Published As

Publication number Publication date
US9866548B2 (en) 2018-01-09
CN105718785B (zh) 2018-08-31
US20160182484A1 (en) 2016-06-23
TW201624338A (zh) 2016-07-01
US10404690B2 (en) 2019-09-03
CN105718785A (zh) 2016-06-29
US20180109514A1 (en) 2018-04-19

Similar Documents

Publication Publication Date Title
TWI595377B (zh) 用於免認證組態的電腦實施方法與系統及其相關非暫態電腦可讀取存取媒體
KR102388673B1 (ko) IoT 디바이스의 자동 프로비저닝
EP3526987B1 (en) Iot provisioning service
TWI580221B (zh) 用於高頻寬伺服器管理的方法與系統及其相關非暫態電腦可讀取存取媒體
US9424148B2 (en) Automatic failover in modular chassis systems
US9979798B2 (en) Thin/zero client provisioning and management using centralized management software
US9846899B1 (en) Dynamic software licensing
EP3267314A2 (en) Crowd-sourced cloud computing resource validation
US11811784B2 (en) Integrity verified paths between entities in a container-orchestration system
US11153300B2 (en) Secure node-initiated discovery
US10129203B2 (en) Network client ID from external managment host via management network
US20210234716A1 (en) Automatic component discovery mechanism
WO2017032159A1 (zh) 一种网元管理方法及系统
US20180232290A1 (en) Systems and methods for high availability of management controllers
US20230394493A1 (en) Unmediated and mediated transfer of ownership of devices
US20230353359A1 (en) Secure onboarding of external compute fabric in an edge horizontal platform
US9172583B1 (en) Actively provisioning a managed node
US20170038822A1 (en) Power management for a computer system