Re: Palm Tungsten T / externes IrDA

Marian Hettwer <MH(at)kernel32.de> wrote:
> On Do, 21.04.2005, 12:47, Oliver Fromme sagte:
> > Marian Hettwer <MH(at)kernel32.de> wrote:
> > > Alle von dir genannten Methoden sind propritär
> >
> > Na und? Da es keinen Standard gibt, existieren natürlich
> > unterschiedliche Lösungen bei den verschiedenen Herstel-
> > lern. Das interessiert mich aber erstmal genausowenig wie
> > die Farbe des Gehäuses, solange die Lösungen funktionieren.
>
> Tun sie das einwandfrei ?

Ja.

> Braucht nicht auch iLO einen Javafähigen Browser

Nur wenn Du eine _graphische_ Oberfläche vom Server zu Dir
auf den Browser umleiten willst. Dann ist das Java-Applet
Pflicht.

> und dann funktioniert das Applet auch nur dann und wann (will heissen mit
> _genau_ der richtigen JRE ?)

Es scheint mir durchaus recht robust zu sein, zumindest
sind mir keine Probleme bekannt. HP nennt auch offiziell
Firefox als unterstützten Browser, d.h. nicht nur Windows
mit MS-IE.

> > > Ebenso lassen sich diese nicht gut, oder nur unter
> > > Vernachlässigung von Budget (Teuer) und Sicherheit skalieren.
> >
> > Blödsinn. Das skaliert nicht schlechter als ein Ratten-
> > schwanz von RS232-Kabeln. Eher besser, da Du nicht für
>
> Ob ich jetzt ein CAT-5 Kabel pro seriellen Port hernehme, oder 1 CAT-5
> Kabel pro iLO, wo also einmal Ethernet drüber läuft und einmal RS232,
> macht vom Platzbedarf keinen Unterschied.

Erstens crimpt man sich für eine RS232-Verbindung kein
Cat5-Kabel, wie Bernd ganz richtig bemerkte. Zweitens
ist nicht der Platzbedarf das entscheidende, sondern
die Tatsache, daß Du zusätzliche proprietäre Hardware
benötigst (ein Cyclades o.ä.). Drittens bietet iLO
auch einen sogenannten Shared-Mode, wo der bereits vor-
handene System-NIC mitverwendet wird, d.h. _keinerlei_
zusätzliche Kabel sind dann notwendig.

> > jedes Rack zweiundvierzig RS232-Ethernet-Konverter oder
> > einen (proprietären, auwei auwei!) Terminal-/Consolen-
> > Access-Server o.ä. benötigst (z.B. Cyclades), auf dem
> > möglicherweise noch Linux läuft (igittigitt!).
>
> hehe.
> Was ihn ja im Falle von Cyclades nicht propritär macht (GPL).

Das kommt drauf an, welche Definition von »proprietär« Du
verwendest. Auf jeden Fall ist es ein teures, zusätzliches
Gerät, das man nicht unbedingt haben muß. Einen Switch hat
man eh in jedem Rack, und wenn der nicht genug Ports hat,
steckt man noch einen dazu.

> Genauer
> genommen, hast du dank solcher 1 HE Büchsen die Möglichkeit bis zu 48
> serielle Geräte anzuschließen. Der Platzbedarf ist also minimal im Rack.

In 1 HE kann ich ebenso einen Standard-Switch einbauen, der
erheblich billiger sein dürfte, insbesondere da ein RZ so-
was ja eh im Dutzend kauft und managed.

> Und auf der Clientseite reicht ein stinknormaler SSH Client.

Dito.

> > > iLO, heißt eine IP Adresse pro Server zusätzlich
> >
> > Wo ist das Problem? Man verwendet selbstverständlich ein
> > eigenes, privates Management-Netz dafür. In 10/8 hast Du
> > ca. 2^24 IP-Adressen zur Verfügung. Im Idealfall gehen
> > die Strippen an einen eigenen Management-Switch bzw. in
> > ein eigenes Management-VLAN.
>
> Und dann fährst du beruhigt telnet ?

Wenn das ein separiertes VLAN ist (und man weiß, über wel-
che Komponenten die Verbindung geht), kann man das machen.
Ansonsten halt ssh.

> Musst also zusätzlich noch sichere
> Möglichkeiten schaffen um von anderen Netzen (von draussen) sicher
> reinzukommen.

Die Möglichkeiten müssen eh existieren. Du loggst Dich
sicherlich nicht direkt von daheim oder einem Internet-
Cafe auf einem Konsolenserver in einem Rechenzentrum ein,
auch nicht per ssh.
Wenn doch, dann weißt Du nichts von Security.

> Das ist doch Konfigurationsseitig Overkill.

Ein Konsolenserver ist Overkill.

> Geldlich im übrigen auch teurer.

Ein Konsolenserver ist teurer.

> Ein ordentlicher Switch, nebst der Infrastruktur um von daheim in
> dieses abgeschottete Management LAN zu kommen, könnte mehr Kosten, als ein
> Konsolenserver, wo ich 48 Endgeräte anschließe.

Die Infrastruktur für ein Management-LAN (bzw. -VLAN)
brauchst Du eh. Ich würde einen Konsolenserver nicht
in ein Produktions-LAN stecken, möglichst nichtmal
hinter dieselbe Firewall. Das spielt für die Investi-
tionskosten also keine Rolle.

> > > und keine einheitliche sichere Managementoberfläche
> >
> > Kannst Du das präzisieren, was Du mit »einheitlich sicher«
> > meinst? Ich kann den Kritikpunkt nicht nachvollziehen.
>
> mit einheitlich und sicher meine ich, die Möglichkeit auf jedes serielles
> Interface via SSH raufzukommen.

Ich _will_ ja gar nicht auf serielle Interfaces kommen,
sondern auf die Systemkonsole, bzw. ich will die Server
remote managen können.

Genau das kann man mit iLO. Einfach und sicher.

> Einheitlich: Immer der selbe Client, immer der selbe Verbindungsaufbau
> Sicher: SSH

Ja, genau.

Wobei ich es für gefährlich und falsch halte, »sicher« mit
SSH gleichzusetzen. Es gibt genug Sicherheitsprobleme, die
SSH nicht löst, mal von den regelmäßigen Bugs in SSH selbst
ganz abgesehen. Und TELNET ist sicher genug, wenn man ge-
nau weiß, unter welchen Bedingungen man es einsetzen kann;
siehe oben.

Und falls es Dich beruhigt: iLO kann SSH, und dies ist so-
gar der Default (TELNET ist per Default aus Sicherheits-
gründen disabled). Und das ist sogar sicherer als Dein
toller Konsolenserver, denn der verschlüsselt nur bis zu
sich selbst. Auf dem RS232-Kabel wird im Klartext kommuni-
ziert. Bei iLO geht die Verschlüsselung bis in die Büchse.

> Wenn deine iLO Boards in einem eigenen Netz hängen und du einen Browser
> brauchst um drauf zu kommen,

Browser brauch ich nicht unbedingt.

> wird's auf einmal sehr schwierig falls du von
> sehr weit draussen (aka Internet) rauf musst.

Überhaupt nicht.

> > > falls man mal 500 iLO Server hat.
> >
> > Und wenn's 5000 sind. Was soll's.
>
> Es wird um so schwieriger.

Nein, es skaliert linear (Anzahl der Kabel und Ports).

> Bietet dir HP für die iLOs eine zentrale Möglichkeit zum User verwalten
> auf diesen Kisten ?

Es unterstützt z.B. LDAP.

> Wie machst du ein Update auf 5000 iLO Boards, falls mal ein Bugfix oder
> neue Features von HP rauskommen ?
> 5000 mal mit nem Browser auf die entsprechende HP Maschine surfen ?

Natürlich nicht.

> Ich könnte diese Liste ewig fortführen ;-)

Und ich kann jeden einzelnen Punkt entkräften.

> > > Dell hat ebenso wie iLO das selbe Manko. Ein Serviceprozessor pro
> > > Server.
> >
> > Wieso, wieviele willst Du denn pro Server haben? Zwei,
> > vier, ...? Im Falle von HP ist das ein kleiner, billiger
> > (Embedded-)MIPS-Prozessor, wie er in jedem besseren Kühl-
> > schrank eingebaut ist.
>
> So war das nicht gemeint ;)
> Natürlich nur einen, nicht vier. Im Idealfall keinen, sondern ein BIOS was
> ordentlich nen Redirect-to-Serial kann.

Wieso Idealfall? Ein unabhängiger Management-Prozessor ist
natürlich besser als ein Redirect-Krücke im BIOS, die ei-
gentlich -- außer Konsolenumleitung -- keine nennenswerten
Manegement-Features bieten kann.

> > Naja, Konsolenzugang (d.h. Zugang zur UNIX-Systemcnsole)
> > alleine ist noch kein vollwertiges Remote-Management.
> > Da gehört noch einiges mehr dazu, und das kann ein Kon-
> > solenserver nicht leisten, egal ob RS232 oder Firewire.
>
> Man nehme eine Steckdosenleiste, die serielle am Konsolenserver hängt.

*argl* Noch so eine Pfusch-Lösung, noch mehr proprietäre,
überflüssige Hardware, noch mehr Kabel ... Weiche von mir,
Satan ... :-)

Um's nochmal zu wiederholen: Zu Remote-Management gehört
_viel_ mehr als Konsolenzugriff und den Strom auszuknipsen.

> Okay, vollständig isses erst, wenn das BIOS seinen Output auf die serielle
> umlenken lässt, aber das ist zum Beispiel bei den HP Maschinen mit iLO der
> Fall.
> Die können das BIOS auf seriell umlenken :)

Ja, das funktioniert aber nicht richtig, z.B. gehen nicht
alle Funktionstasten. Probier's mal aus ... Vermutlich
hat das niemand richtig getestet, weil die meisten einfach
iLO benutzen. ;-)

Und Übrigens kann man per iLO _auch_ auf die seriellen
Ports (RS232) zugreifen, wenn man das braucht. Ich wüßte
jetzt aber keinen Grund dafür.

> Du gewinnst genausowenig einen Blumenstrauß mit einer Galerie an Lösungen
> die nur bei einem Hersteller funktionieren.

»ssh $server_mgt« funktioniert nur bei einem Hersteller?

Davon abgesehen: Wenn man eine Farm für einen bestimmten
Zweck aufbaut, kauft man normalerweise die Rechner beim
selben Hersteller. Nicht etwa zehn bei HP, sieben bei
Dell, vier bei IBM ...

Selbst wenn man bei einer späteren Aufrüstung aus irgend-
einem Grund den Hersteller wechselt (was auch aus anderen
Gründen eher eine schlechte Idee ist), dann kann man das
Remote-Management normalerweise unter einen Hut kriegen.

> Es mag vielleicht eine Frage des Geschmacks sein, aber ich manage meine
> FreeBSD (und Linux) Server doch über SSH an der ner Shell.

Das tue ich auch, und zwar ganz normal über TCP/IP, ohne
daß da irgendeine RS232-Bremse dazwischen ist. Und ich
finde es auch gut, daß die Server SNMP-Traps schicken,
wenn sie downgehen. Und daß ich remote auf den Reset-
Knopf drücken und remote eine virtuelle CD einlegen kann.
Und daß in den Racks keine unnötigen Kabel im Weg herum-
hängen, und keine proprietäre Geräte drinstecken, die Geld
kosten und um die man sich kümmern muß.

> Ich komme auf Webbasierte Anwendungen von zu Hause nicht ran, da ich nur
> via SSH auf diverse Randrechner komme und von dort mich weiterhangeln
> kann.

Schonmal was von Port-Forwarding oder Tunneln gehört?
(Nicht daß das notwendig wäre, aber gehen tut das.)

> An sich reicht mir das auch. Für's remote Management eines Servers, falls
> sein Netzwerkinterface mal ein Problem hat, funktioniert nunmal am Besten
> eine Umsetzung von RS232 auf Ethernet

Und wenn der Umsetzer ein Problem hat? Du hast dort in
jedem Fall einen weiteren potentiellen Point-of-failure.

> (und dann bitte ssh, nicht telnet).

Bitte keine blinde SSH-Gläubigkeit. Immer wenn ich dieses
gebetsmühlenartige »ssh ist sicher, telnet ist unsicher«
höre, kriege ich Zuckungen. :-)

> Aber nungut. Jedem sein Weltbild auf die Thematik "Remote Management".
> Meins ist ziemlich RS232 festgefahren ;)

Offensichtlich. :-)

So ist das mit vielen alten Dingen, die die Leute lange
Jahre kennen und an denen sie festhalten und alles Neue
erstmal mit Skepsis betrachten. Ich nehme mich da nicht
aus, sonst würde ich inzwischen vermutlich mutt statt elm
benutzen.

Gruß
   Olli

-- 
Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
"IRIX is about as stable as a one-legged drunk with hypothermia
in a four-hundred mile per hour wind, balancing on a banana
peel on a greased cookie sheet -- when someone throws him an
elephant with bad breath and a worse temper."
        -- Ralf Hildebrandt
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message