带外管理(OOBM)是一种网络弹性策略,其将关键基础设施(如路由器、交换机和服务器)的控制平面移至一个单独的网络。这样做的目的是将控制平面与生产网络隔离,使其不会因设备故障、互联网服务提供商(ISP)中断或勒索软件攻击而受到负面影响。
本指南描述了两种带外部署类型和三种最佳实践,以最大限度地提高您网络弹性。
带外部署类型
行尾式部署:在数据中心每行的末端部署带外管理设备
优势
- 需要更少的带外管理交换机
- 降低成本
- 降低管理复杂性
劣势
- EoR 设备是行的单点故障
- 电缆管理更混乱
- 灵活性较低
顶部部署:在数据中心每个机架的顶部部署带外管理设备
优势
- 电缆留在机架中
- 消除单点故障
- 提供更大的修改、升级或扩展灵活性
劣势
- 需要更多带外管理交换机
- 额外的交换机可能会影响吞吐量、功耗和成本
- 增加管理复杂性
行尾式带外管理部署
在行尾式(EoR)带外管理部署中,每一个数据中心机架行会安装一个或多个带外管理交换机(而不是每个机架都安装)。特定行中所有设备的电缆都会连接到交换机所在位置(通常位于行尾),该交换机也被称为串行控制台或控制台服务器。
与每一个机架都安装带外管理设备的机架顶部部署相比,行尾式部署所需的带外管理设备较少,从而降低了成本和管理复杂性。此外,它简化了扩展过程,因为可以在不增加额外串行控制台的情况下,向行中添加新机架。
然而,该行的带外功能会因单个串行控制台出现故障而受到影响。如果该设备因更新失败或恶意软件攻击而无法使用,管理团队将失去对该行所有设备的带外管理访问权限。此外,由于需要将每一个机柜中的所有设备的电缆都连接到行尾控制台服务器,因此电缆管理也更加困难。而且,行尾式部署的灵活性较低,因为升级或更换单个带外设备会影响整个行的基础设施。
机架顶部带外管理部署
在机架顶部(ToR)带外管理部署中,数据中心的每一个机架都会安装一个或多个带外管理交换机。这种方式将所有串行电缆都保留在机架内部,从而简化了电缆管理。与整行只有一个故障点不同,每一个串行控制台只影响一个机架,增强了系统的弹性。团队还可以在不影响整个行的情况下升级或更换设备,这使得顶部部署更具灵活性。
机架顶部部署的主要缺点是需要比行尾式架构更多的带外管理控制台服务器。这使得带外管理部署的成本更高,并且增加了团队需要管理和监控的设备数量。此外,它还会增加数据中心的功耗,进一步提高成本(以及碳排放量),并且会增加本地流量需求,这可能会影响吞吐量。
多层带外管理部署
第三种不太常见的方法是在机架顶部和行尾都部署带外管理设备。这种方式使带外管理网络对故障和勒索软件攻击具有很高的弹性,同时提供了一个完全隔离的管理环境,并保持机架顶部部署的灵活性。
带外部署最佳实践
以下最佳实践可以帮助提高带外部署的灵活性、安全性、可扩展性和弹性。
厂商中立平台
使用厂商中立的带外管理控制台服务器有助于在单一平台上整合数据中心管理。这些设备可以管理任何厂商的基础设施,并与第三方解决方案集成,用于安全、自动化、故障排除等。厂商中立的带外管理部署可以降低管理复杂性和成本,同时易于扩展。
带外管理安全性
必须保护带外管理设备和网络,防止它们被攻破,以及被恶意行为者接管控制平面。最佳实践是使用具有强大硬件安全性的带外管理交换机,支持 SAML 集成以实现多因素身份验证(MFA)和单点登录(SSO)、嵌入式防火墙以及频繁的固件/软件更新,以修补新的漏洞。
基础设施自动化
带外管理串行控制台应支持自动化,以提高可扩展性和效率,同时减少复杂性和恢复时间。至少,它们需要支持零接触配置(ZTP),以便通过网络自动配置新的基础设施设备。像 Nodegrid 串行控制台Plus这样的高级解决方案还可以托管或集成第三方自动化配置,用于配置管理、安全监控、故障排除,甚至 AIOps。
使用 Nodegrid 简化带外部署
Nodegrid 带外管理交换机可以部署在机架顶部、行尾或同时部署,以提高任何数据中心架构的弹性。它们具有开放架构,可以集成并托管其他厂商的软件和虚拟化网络功能,用于安全、自动化等。Nodegrid 串行控制台和所有连接的设备都可以通过单一的本地或基于云的软件平台进行远程管理,显著降低了管理复杂性。此外,Nodegrid 经常进行修补,并具备诸如 BIOS 保护、UEFI 安全启动、自加密磁盘(SED)、可信平台模块(TPM)2.0、嵌入式防火墙和SAML 2.0集成等安全功能。
