一种服务器带内IPMI通信方法与系统与流程

本发明涉及服务器bmc，具体涉及一种服务器带内ipmi通信方法与系统。

背景技术：

1、在服务器管理中，除了带外的bmc(board management controller，基板管理控制器)管理外，还支持通过带内ipmi(intelligent platform management interface，智能平台管理接口)的kcs通道进行os(operating system，操作系统)和bmc的通信，此时os下加载ipmi驱动，通过驱动和bmc进行ipmi通信，包括通道初始化和bmc交互内核线程。

2、在目前的方案中，os下通过kcs访问bmc的管理面，目前ipmi协议和带外访问不同，不需要bmc的用户名和密码就可以访问bmc的ipmi相关监控和管理功能，包括，重启bmc、重启服务器、传感器检测、服务器监控日志、服务器告警日志、服务器sol功能等。在一个os的系统上，该方案还比较安全，但是当有两路或者多路独立的os运行节点，共用一个bmc监控的时候，此方案就会有非常大的安全隐患，比如运行os1的节点系统，可以在不知道os2节点的系统用户名和密码的情况下，访问到os2的sol输出信息、查看到业务配置输出信息、bmc监控和告警信息、传感器信息等，还可以直接对os2进行重启或者关机操作，这属于重大的安全漏洞。

技术实现思路

1、针对现有技术中存在的缺陷，本发明第一方面提供一种服务器带内ipmi通信方法，其提高了服务器跨节点os带内ipmi访问的健壮性和安全性。

2、为达到以上目的，本发明采取的技术方案是：

3、一种服务器带内ipmi通信方法，该方法包括以下步骤：

4、生成每个节点操作系统os的标识，并发送至基板管理控制器bmc进行存储；

5、在跨节点os访问智能平台管理接口ipmi时，bmc基于自身存储的节点os的标识，对请求访问的节点os进行标识校验，以确定是否允许访问。

6、一些实施例中，所述在跨节点os访问智能平台管理接口ipmi时，bmc基于自身存储的节点os的标识，对请求访问的节点os进行标识校验，以确定是否允许访问，包括：

7、当节点os收到ipmi访问请求的时候，判断是否为跨节点os访问ipmi的请求；

8、若为跨节点os访问ipmi，则向bmc发送增加异节点os的标识的ipmi访问请求；

9、bmc判断为跨节点os访问ipmi后，比较自身储的节点os的标识和异节点os的标识是否相同，若相同，则允许访问。

10、一些实施例中，在bmc判断为跨节点os访问ipmi后，在比较自身储的节点os的标识和异节点os的标识是否相同之前，还包括：

11、bmc检查配置的异节点访问策略全局开关，若全局开关设置为不允许访问，则程序退出；

12、若全局开关设置为允许访问，再检查节点os的ipmi访问资源策略开关，若ipmi访问资源策略开关设置为不允许访问，则程序退出；

13、若ipmi访问资源策略开关设置为允许访问，则比较自身储的节点os的标识和异节点os的标识是否相同。

14、一些实施例中，所述ipmi访问资源策略开关包括sol、传感器查看、告警查询、节点重启和节点关机开关。

15、一些实施例中，还包括：

16、当bmc判定自身储的节点os的标识和异节点os的标识不相同时，bmc记录异节点osipmi非法访问安全日志；

17、当记录次数超过bmc配置的跨节点非法访问阈值时，触发bmc的异节点ipmi访问安全告警。

18、一些实施例中，所述生成每个节点操作系统os的标识，包括：

19、将节点硬件的唯一md5校验值作为节点os的标识。

20、一些实施例中，还包括：

21、设置与bmc连接的控制选路芯片；

22、将每个节点cpu通过两个gpio连接到控制选路芯片上，使用一个gpio进行通道切换选择，并使用另一个gpio指示控制选路芯片的状态。

23、本发明第二方面提供了一种服务器带内ipmi通信系统，其提高了服务器跨节点os带内ipmi访问的健壮性和安全性。

24、为达到以上目的，本发明采取的技术方案是：

25、一种服务器带内ipmi通信系统，包括：

26、基板管理控制器bmc；

27、多个节点，用于与所述bmc进行ipmi通信，且每个所述节点的os的ipmi驱动模块用于生成每个节点操作系统os的标识，并发送至基板管理控制器bmc进行存储；

28、所述bmc还用于在跨节点os访问智能平台管理接口ipmi时，基于自身存储的节点os的标识，对请求访问的节点os进行标识校验，以确定是否允许访问。

29、一些实施例中，所述bmc在跨节点os访问智能平台管理接口ipmi时，基于自身存储的节点os的标识，对请求访问的节点os进行标识校验，以确定是否允许访问，包括：

30、当节点os收到ipmi访问请求的时候，判断是否为跨节点os访问ipmi的请求；

31、若为跨节点os访问ipmi，则向bmc发送增加异节点os的标识的ipmi访问请求；

32、bmc判断为跨节点os访问ipmi后，比较自身储的节点os的标识和异节点os的标识是否相同，若相同，则允许访问。

33、一些实施例中，在bmc判断为跨节点os访问ipmi后，在比较自身储的节点os的标识和异节点os的标识是否相同之前，所述bmc还用于：

34、检查配置的异节点访问策略全局开关，若全局开关设置为不允许访问，则程序退出；

35、若全局开关设置为允许访问，再检查节点os的ipmi访问资源策略开关，若ipmi访问资源策略开关设置为不允许访问，则程序退出；

36、若ipmi访问资源策略开关设置为允许访问，则比较自身储的节点os的标识和异节点os的标识是否相同。

37、与现有技术相比，本发明的优点在于：

38、本发明中的服务器带内ipmi通信方法，通过设计一种多通道lpc或espi通道mux开关芯片，实现多节点cpu共用一个bmc芯片进行多节点os带内ipmi通信，在节点os的ipmi驱动模块里增加对多通道开关芯片的状态检查和控制，实现节点os和bmc芯片的ipmi通信。同时增加基于节点硬件的md5校验值作为跨节点ipmi访问的安全校验值，增加到跨节点ipmi访问的ipmi参数中，bmc会自动记录各个节点的安全校验md5值，并和跨节点os访问的ipmi请求md5参数进行校验，从而实现安全的跨节点带内ipmi通信和访问。同时为了提高系统的灵活性和安全性，用户可以通过bmc设置跨节点ipmi访问的全局总开关和不同类型ipmi资源的访问控制开关策略。同时用户可以通过bmc配置跨节点ipmi访问安全阈值，自动记录跨节点ipmi非法访问安全日志并触发安全告警，提高了系统的可运维性和安全性。