Intel(R) AMT KVM功能初體驗(yàn)

"天眼"數(shù)字遠(yuǎn)程監(jiān)控系統(tǒng) CoolKing1.1

• 類型：遠(yuǎn)程監(jiān)控大�。�4.6M語(yǔ)言：中文 評(píng)分：5.7
• 標(biāo)簽：

立即下載

【MEBX 設(shè)置】
Intel(R) AMT KVM特性需要能用起來(lái)，首先需要在MEBX中將AMT KVM特性激活：Ctrl+P進(jìn)入MEBX菜單后，INTEL(R) AMT CONFIGURATION --> KVM Configuration --> KVM Feature Selection --> ENABLED。
考慮到接管用戶桌面帶來(lái)的隱私和安全問(wèn)題，AMT設(shè)計(jì)了Opt-in用來(lái)完成一次性密碼認(rèn)證；同時(shí)為了企業(yè)IT管理的自動(dòng)化和方便性，在MEBX菜單中提供了選項(xiàng)來(lái)打開(kāi)或關(guān)閉Opt-in。“User Opt-in”菜單用來(lái)設(shè)置，當(dāng)遠(yuǎn)程控制臺(tái)需要與客戶機(jī)端建立KVM連接時(shí)，是否需要通過(guò)一次性密碼來(lái)認(rèn)證。如下圖所示，有兩個(gè)選項(xiàng)，一個(gè)是不需要，一個(gè)是需要。
當(dāng)配置成“User Consent is not required for KVM session”時(shí)，控制臺(tái)發(fā)起KVM連接后，通過(guò)AMT的用戶認(rèn)證機(jī)制或VNC的認(rèn)證機(jī)制后，就可以直接看到客戶端的屏幕顯示，并可以遠(yuǎn)程操作鼠標(biāo)和鍵盤；如果配置成“User Consent is required for KVM Session”，則在控制臺(tái)可以看到客戶端屏幕和操作鍵盤鼠標(biāo)之前，客戶端本地顯示會(huì)先彈出一個(gè)框，顯示本次KVM連接需要的一次性密碼，如下圖所示，一個(gè)是用戶本地屏幕顯示，一個(gè)是控制臺(tái)顯示：
用戶必須通過(guò)其他途徑（比如電話，短信或郵件等方式），將此隨機(jī)生成的一次性密碼告知控制臺(tái)端的操作人員，控制臺(tái)端操作人員輸入用戶告知的一次性密碼后遠(yuǎn)程操作才能繼續(xù)。
上圖客戶端本地顯示的一次性密碼的提示框是不依賴于操作系統(tǒng)的，也就是這個(gè)提示框即使是在BIOS啟動(dòng)過(guò)程中，或操作系統(tǒng)啟動(dòng)過(guò)程中都能顯示出來(lái)。如果試圖在操作系統(tǒng)通過(guò)截屏來(lái)獲取此提示框，是無(wú)法做到的，有興趣的讀者可以自己試試。
回到MEBX關(guān)于KVM特性選項(xiàng)，菜單“Opt-in Configurable from remote IT”用于設(shè)置是否允許遠(yuǎn)程控制臺(tái)設(shè)置是否需要前面“User Opt-in”菜單提到的需要用戶告知一次性密碼，分Enable和Disable選項(xiàng)。選中Enable后，及時(shí)“User Opt-in”設(shè)置了需要用戶的一次性密碼，遠(yuǎn)程控制臺(tái)也可以通過(guò)遠(yuǎn)程接口設(shè)置成不需要用戶的一次性密碼。
有一點(diǎn)需要注意的是，無(wú)法通過(guò)KVM操作MEBX的菜單。當(dāng)啟用KVM后，在啟動(dòng)過(guò)程中，按ctrl + p進(jìn)入AMT的MEBX菜單的提示是沒(méi)有的。
【KVM控制臺(tái)】
Intel(R) AMT內(nèi)部實(shí)現(xiàn)的KVM Server端是與標(biāo)準(zhǔn)的VNC兼容的，支持RFB 3.8和4.0版本； RFB 4.0版本在性能、可用性和可擴(kuò)展能力上都有提高。因此，可以通過(guò)標(biāo)準(zhǔn)的VNC客戶端軟件連接AMT的KVM，也可以使用Intel(R) AMT SDK里面提供的工具來(lái)連接AMT的KVM。使用后者的性能將會(huì)更好。
Intel(R) AMT的KVM可以通過(guò)標(biāo)準(zhǔn)的RFB端口5900來(lái)呢連接，也可以通過(guò)AMT的傳統(tǒng)重定向端口（16994和16995）來(lái)連接。連接RFB 5900端口時(shí)，走的是RFB的認(rèn)證機(jī)制，需要提供RFB的認(rèn)證密碼；連接AMT重定向端口是，走的AMT本身的認(rèn)證機(jī)制，需要提供具有重定向訪問(wèn)權(quán)限的用戶名和密碼。不管是走5900端口還是重定向窗口，前面提到的過(guò)的一次性密碼是否需要提供，是單獨(dú)設(shè)置的；也就是說(shuō)，在認(rèn)證方式上，可以是RFB密碼+一次性密碼；或僅RFB密碼；或AMT用戶名+密碼+一次性密碼；或僅AMT用戶名+密碼。不管是走RFB 5900端口或者是走AMT重定向端口，這兩個(gè)能夠連接KVM的端口默認(rèn)都是關(guān)閉的，在使用之前需要通過(guò)相應(yīng)的遠(yuǎn)程操作接口將其打開(kāi)，然后才能連接。
1. 通過(guò)標(biāo)準(zhǔn)VNC客戶端連接
筆者這里選擇的是TightVNC來(lái)作為標(biāo)準(zhǔn)的VNC客戶端連接AMT的KVM。標(biāo)準(zhǔn)的VNC客戶端可以連接AMT的5900端口，也可以間接的連接AMT重定向端口來(lái)使用AMT的KVM功能。
第一種方法是直接連接AMT的5900端口；因?yàn)锳MT內(nèi)部的VNC服務(wù)器端是與標(biāo)準(zhǔn)兼容的，毋容置疑，直接連5900端口是可以的。通過(guò)TightVNC的Listen Mode連接AMT的5900，輸入RFB密碼，然后再輸入一次性密碼，就可以看到桌面了。
在使用上述方法連接時(shí)，筆者測(cè)試了做一些普通的桌面操作，比如瀏覽文件夾、打開(kāi)圖片、打開(kāi)應(yīng)用等，所需要的網(wǎng)絡(luò)帶寬大致如下圖所示：
也就是至少需要100Mbps的12.5%的帶寬才能滿足比較流暢的畫(huà)面，相對(duì)來(lái)說(shuō)還是有一些拖尾感的。
有時(shí)候?yàn)榱税踩�考慮，可能無(wú)法直接使用RFB的5900端口，那么這時(shí)候也可以通過(guò)標(biāo)準(zhǔn)的VNC客戶端間接連接AMT的重定向端口，中間需要另外一個(gè)程序來(lái)做代理。AMT的最新SDK中提供了一個(gè)名為KVMTray的程序，運(yùn)行后監(jiān)聽(tīng)在內(nèi)部127.0.0.1地址的5900端口；當(dāng)有VNC客戶端連接時(shí)，會(huì)自動(dòng)彈出一個(gè)輸入AMT連接和用戶認(rèn)證信息的窗口，然后就可以連接到AMT的重定向端口了，如下圖所示。此時(shí)走的還是標(biāo)準(zhǔn)RFB協(xié)議，性能上和前面的數(shù)據(jù)差不多。
另外，如果是標(biāo)準(zhǔn)VNC客戶端想通過(guò)CIRA方式連接KVM，則基本是需要走KVMTray這種代理的方式來(lái)連接；否則需要自己修改VNC客戶端源碼來(lái)支持CIRA連接方式了。
2. 通過(guò)AMT SDK中的KVMConsoleApplication程序
最新AMT SDK中提供的一個(gè)基于C#的例子，通過(guò)第三方優(yōu)化的VNC連接庫(kù)連接AMT的KVM，此程序目前名為KVMConsoleApplication，可以直接連接AMT的5900端口和重定向端口，支持TLS和CIRA方式的連接，還提供了設(shè)置KVM相關(guān)參數(shù)的功能。
通過(guò)“Default Port”連接時(shí)，需要輸入AMT的IP地址和RFB密碼；通過(guò)“Redirection Ports”連接時(shí)，需要輸入AMT的IP地址和用戶名以及密碼。點(diǎn)擊“Start Session”窗口后，就能打開(kāi)KVM操作界面，如下圖：
性能要比直接用VNC客戶端連接要來(lái)得好，在基本相同的畫(huà)質(zhì)情況下，大概只需要一半左右的帶寬，如下圖。打開(kāi)或拖動(dòng)窗口時(shí)，基本已經(jīng)沒(méi)有明顯的拖尾感了。
因此，如果想開(kāi)發(fā)基于Intel(R) AMT KVM的應(yīng)用，在已經(jīng)有VNC客戶端的情況下，如果和RFB 3.8兼容，則可以直接用來(lái)使用AMT的KVM特性；在沒(méi)有VNC客戶端情況下，則可以參考SDK里面的KVM控制臺(tái)的實(shí)現(xiàn)來(lái)實(shí)現(xiàn)滿足按自己需求的KVM控制臺(tái)。