PR

毎回クライアントをダウンロード

 どのようにディジタルKVMスイッチを使ったリモート管理システムが働くのかを簡単に見ていこう。ここでは,ある製品を使った場合を例に取り上げる。

 まずサーバーを操作するための準備段階として,ユーザーはコンソールとなるパソコン上のWebブラウザから認証サーバーにアクセスする。

 認証サーバーは,まず認証用のWebページを返す。ユーザーがそのページ上の入力欄にユーザー名とパスワードを入力して認証に成功すると,Webブラウザは認証サーバーからJavaの専用プログラムをダウンロードする。

 この専用プログラムは,キーボードやマウスの操作信号をIPパケットにして操作対象のサーバーに送る役割を果たす。ユーザーによるキーボードやマウスの操作情報は,専用プログラムによってIPパケット化され,認証サーバーに送られる。認証サーバーはその操作情報をKVMスイッチに中継する。なお,コンソールと認証サーバーの間の通信は盗み見られないように暗号化している。

 サーバーの画像データがコンソール側に送られる手順も追ってみよう。KVMスイッチは画像データをIPパケット化して認証サーバーに送り,さらにそのサーバーはユーザーのパソコンに画像データを転送する。パソコン上の専用プログラムは画像データをディスプレイ上の一つのウインドウに表示する。

 サーバーの画面の変化分だけを送信するなどの工夫で,できるだけ小さな帯域でも画像データを送れるようにしている。表示サイズによるが,ベンダーが推奨する帯域は128k~256kビット/秒程度である。

電源も遠隔からオン・オフできる

 ディジタルKVMスイッチでは,電源のオン・オフやサーバーの温度管理などもネットワーク経由でできる製品もある。例えば,LAN上のサーバーの電源などを管理する「IPMI」と呼ぶ規格を利用する。

 IPMIは,もともとサーバーなどのハードウエアをリモート監視するために作られた規格である。サーバーのマザーボードなどに,メイン・プロセッサとは別に管理通信用のコントローラを搭載する。ユーザーのコンソールとそのコントローラが通信することで,サーバーが立ち上がっていなくても,サーバー・マシンのハードウエアの情報を取得したり,操作したりできる。

 IPMIの仕様では,制御情報をUDPのパケットで運ぶように決められている。ところが,外部からの不正アクセスを防ぐために,企業のファイアウォールやWANルーターは不必要

なUDPのパケットを遮断するケースが多い。そこで,企業LAN内までは操作情報をTCPパケットで運び,そのLAN内に置いた「IPMIプロキシ」と呼ぶ装置でUDPパケットに変換してサーバーに届ける。

 また,IPMIに対応していないサーバーの電源をリモートでオン・オフするには,シリアル・インタフェースを備える電源タップを利用する。シリアル・インタフェースを備えるKVMスイッチでは,キーボードやマウスの操作と同じ要領で電源タップをオン・オフできる。

シン・クライアントを実現

 KVMスイッチは,単純なリモート管理だけではなく,セキュリティ対策にも利用され始めている。最後に,そのようなKVMスイッチによるセキュリティ対策ソリューションを紹介しよう。

 まず,一般ユーザーが利用するパソコン本体は,入退室管理が厳重なパソコン・ルームの中に置き,直接触れられないようにする。一般ユーザーが操作するのは,KVMエクステンダを利用してLANケーブルでつないだコンソールである。いわゆるシン・クライアントをKVMスイッチを使って実現したものだ。このようなしくみによってユーザーがパソコン本体に直接触れないようにすれば,企業情報などを勝手に持ち出せなくなる。

 同様に,ネットワーク管理者についても,入退室が厳しく管理されているサーバー・ルームの外部から運用するようにする。さらに,ディジタルKVMスイッチと組み合わせることで,緊急時に外部からの操作も可能となる。