從2017年起,每逢兩大x86伺服器處理器平臺改朝換代時,主要系統廠商往往也跟著推出新一代機型,而在今年11月AMD發表第四代EPYC處理器的同時,HPE正式公開第11代x86伺服器產品線的最新成員。
在此之前,HPE分別於2017年6月、2019年11月、2021年3月,推出Gen 10、Gen 10 Plus、Gen 10 Plus v2世代的x86伺服器,當時所要呼應的處理器平臺,各為英特爾第一代Xeon Scalable系列、AMD第二代EPYC系列,以及AMD第三代EPYC系列,而在2022年6月,HPE終於釋出即將邁入Gen 11世代伺服器的消息,然而,打頭陣的機型RL300 Gen11,而且,搭配的運算平臺是Ampere Computing公司的Arm架構處理器,並非英特爾與AMD的x86架構處理器,讓大家嚇了一大跳,此款伺服器機型的詳細規格在10月底公諸於世。
由於可搭配單顆Ampere公司的Altra Max系列處理器,HPE ProLiant RL300 Gen11最多可提供128顆運算核心,搭配的電源供應器為800瓦規格。
到了11月1日,ProLiant Gen11系列伺服器正式浮出檯面,HPE預告將廣泛支援多種架構的處理器,除了先前已揭露的Arm處理器:Ampere公司Altra與Altra Max系列,也將包含陸續即將問世的新一代x86處理器:AMD第四代EPYC系列、英特爾第四代Xeon Scalabe系列,而在HPE當天釋出的多支YouTube宣傳短片中,提到新一代伺服器將搭配AMD EPYC 9004系列處理器,以及ProLiant Gen11會有4款新機型,針對1U與2U尺寸的機箱均各自提供單路與雙路等兩種運算組態。
在AMD發表第四代EPYC處理器的前一週,HPE其實已在2022年11月1日發布第11代ProLiant系列伺服器,就公開透露他們將發表4種基於此款處理器平臺的機型,以單路、雙路處理器架構搭配1U、2U尺寸機箱提供4種組合,並且對應4種伺服器用途。
10天後,AMD宣布推出EPYC 9004系列處理器,單顆CPU最多可內建96顆運算核心,HPE也隨之發表4款打著ProLiant Gen11旗號的伺服器機型,它們分別是:採用1U機箱、單路配置的DL325,強調成本最佳化特色,支援軟體定義運算應用;採用2U機箱、單路配置的DL345,強調儲存最佳化特色(最多可搭配36臺EDSFF外形NVMe SSD),支援軟體定義儲存應用;採用1U機箱、雙路配置的是DL365,強調運算密度最佳化特色,支援高效能運算應用;採用2U機箱、雙路配置的DL385,強調加速運算最佳化特色,支援大量GPU應用(可搭配4張雙寬尺寸或8張單寬尺寸GPU)。
強調高效能、易於管理、安全性提升等特色
關於ProLiant Gen11伺服器的發表,HPE總裁暨執行長Antonio Neri在2022年11月1日表示,身處在數位經濟當中,資料是新的貨幣,許多事物的發展都逐漸走向資料驅動,像是為顧客或員工創造新體驗、確保企業的安全、產生新的持續營收商機,而為了實現資料的價值,客戶需要合適的運算環境,因為這是企業與組織實現混合雲策略的基礎,而HPE推出的新一代伺服器,正是專門為了新的混合雲世界所設計出來的產品。
後續於12月6日在臺舉行的HPE新世代運算平台發表研討會,企業產品事業群總經理蕭舜華強調,ProLiant Gen11具有效能、管理、安全性等三大特色,相較於上一代產品,效能增加99%,電力卻能節省43%;透過GreenLake for Compute Ops Management提供雲端維運管理,用戶能得到更好的支援服務等級,減少管理眾多伺服器的時間,尤其是韌體更新、系統管理、產品生命周期管理的部分,也能運用上面產生的碳足跡統計報告,協助實現ESG與環境永續的目標;伺服器管理技術iLO帶來的安全性機制也大幅提升,針對伺服器產品供應鏈所提供的控制、信任,以及安全性方法論,都有了更嚴格的管理,可使用更多認定機制提升伺服器整體安全性,而不只是仰賴ProLiant在先前世代就已提供的矽信任根(Silicon Root of Trust)。
HPE針對ProLiant Gen11系列第一波總共發布5款機型,其中4款是x86架構伺服器,是採用AMD在2022年11月發表的EPYC 9004系列處理器,支援1U、2U等兩種外形,以及單路與雙路等運算配置,位於圖中最右邊的這一款則是在2022年6月發表、10月底揭露詳細規格的Arm架構伺服器RL300 Gen11,搭配Ampere公司的Altra系列或Altra Max系列處理器。憑藉著強大效能,這些機型均可支援多種工作負載。
到了相隔數日後舉行的Discover Frankfurt 2022大會,HPE執行副總裁暨運算事業群總經理Neil MacDonald也以簡單明快的方式,介紹新一代ProLiant伺服器的重點特色。
他表示,Gen 11是HPE伺服器運算產品線5年來的最大改版,代表公司內部、與多個廠商進行大量工作之後的豐碩成果,並強調這是因應混合世界需求而對HPE運算平臺所進行的改造工程。
ProLiant Gen11系列伺服器正式推出1個月之後,適逢HPE舉行Discover Frankfurt 2022大會,在技術長主題演講的場次中,HPE執行副總裁暨運算部總經理Neil MacDonald也上臺闡釋這一代伺服器推出的定義。
對於新款伺服器何以成為奠定這個混合世界的基石,他提出三個重點。首先,需要處理設備的離散,因為運算資源的涵蓋範圍,已從邊緣橫跨到資料中心,並延伸至雲端服務,同時,還需要以有效率的方式提供直覺的雲端維運體驗。
第二,要從最基礎的平臺建構可被大家信任的安全,長期以來,HPE發展的硬體、信任根是業界指標,而基於HPE提供的所有安全性特色,他們期盼Gen 11能持續推動這樣的創新,特別的是,已用於全球數百萬臺伺服器韌體免於受到攻擊的即時持續保護機制,現在可延伸至其他子系統,像是儲存控制器、網路連線介面。
第三是工作負載,除了提供直覺的雲端維運管理體驗,擁有可信任的安全設計,用戶當然也需要強大的運算能力,以便從資料獲取洞察分析,從而支撐他們的業務,為此HPE耗費很多功夫廣泛研究各式工作負載類型,進行運算效能的調校,他們透過擴充系統的頻寬、處理器核心數量、系統組態設定彈性等方式來達成要求,並因應不同應用案例,建立最佳化組態。
2022年11月9日,HPE副總裁暨亞太區運算與核心現代化事業群總經理Sandeep Kapoor召開ProLiant Gen11線上發表會,介紹這批伺服器的三大特色。
搭配新處理器,連帶支援新一代記憶體、I/O、硬碟外觀
HPE發表ProLiant Gen11系列伺服器的時機,既然是選在AMD推出最新一代的伺服器處理器平臺,首先標榜的特色自然是運算效能的突破。
根據他們提交至SPEC效能測試網站的數據,可看出這樣的差異。例如,在SPEC CPU2017的整數運算測試中,搭配2顆64核心AMD EPYC 7763 處理器的DL385 Gen10 Plus v2的最高紀錄為821分,搭配2顆96核心AMD EPYC 9654處理器的DL385 Gen11拿到1,630分,效能提升了99%。
關於能源使用效率的表現上,在SPECpower_ssj2008的耗電量與效能測試中,搭配2顆64核心AMD EPYC 7763 處理器的DL385 Gen10 Plus每瓦效能(ssj_ops/watt)為18,329分,搭配2顆96核心AMD EPYC 9654處理器的DL385 Gen11每瓦效能為26,228分,提升了43%。
從上述的效能測試結果顯示,伴隨著處理器更新與核心數量增加,HPE新世代伺服器的運算效能與能源效率也以線性方式增長。
除了搭配更新進的處理器,最新推出的ProLiant Gen11另一個硬體運算資源大變革,則是採用DDR5記憶體。先前開始採用DDR4記憶體的HPE伺服器世代是ProLiant Gen9系列,經歷7年的發展,支援的記憶體存取速度從2133 MT/s,逐漸增加到3200 MT/s,支援的記憶體通道也從4個擴增到8個。
適逢AMD最新發表的第四代EPYC系列處理器,以及即將登場的英特爾第四代Xeon Scalable系列處理器,都支援DDR5記憶體,HPE在採用上述兩大平臺的ProLiant Gen11伺服器機型,都將開始支援DDR5記憶體。
就記憶體通道架構而言,DDR4是1條DIMM模組搭配1個通道,寬度是72位元,其中的64位元用來傳送資料,8位元用來修正錯誤;DDR5是1條DIMM模組搭配2個通道,寬度是40位元,其中的32位元用來傳送資料,8位元用來修正錯誤,因此有更高的效率與更低的延遲。
在存取速度上,DDR5記憶體目前可支援4800 MT/s,具有比DDR4更大的存取頻寬,再加上AMD第四代EPYC內建12個記憶體通道,能為整臺伺服器提供更大的記憶體頻寬。
除此之外,DDR5記憶體電壓為1.1伏特(DDR4記憶體為1.2伏特),並且直接內建電力管理晶片(PMIC),而不像過去靠主機板進行這方面的控管,電力控制效率比以前更好。在錯誤修正的部分,DDR5記憶體支援晶粒內建ECC(On-Die ECC)的設計,能在晶片內部進行錯誤修正,而非到備用位元去處理,進而改善可靠度。
DDR4與DDR5之間究竟有何差異?HPE全球運算大使暨技術架構師Türker ATA在土耳其IT社群Çözümpark舉行的線上研討會中,談到DDR5帶來的效益。
因應處理器平臺更新,ProLiant Gen11系列不只支援存取速度更快、更省電的DDR5記憶體,也支援新一代I/O介面PCIe 5.0,其原始傳輸率為32 GT/s、1個通道的單向頻寬為3.94 GB/s,相較於躍居主流的PCIe 4.0,提供兩倍的資料傳輸率與頻寬。
由於搭配AMD第四代EPYC處理器平臺,HPE去年11月發表的ProLiant Gen11系列機型,比起上一代機型搭配的AMD第三代EPYC處理器,運算核心增加了50%(96顆核心 vs. 64顆核心);搭配DDR5-4800記憶體與12個記憶體通道,比起搭配DDR4-3200記憶體與8個記憶體通道提升125%(460.8 GB/s vs. 204.8 GB/s);I/O頻寬相較於PCIe 3.0提升3倍(3.938 GB/s vs. 0.985 GB/s)。
而在處理器與PCIe通道的配置上,若伺服器採用AMD EPYC 9004系列處理器,單路組態可獲得的PCIe 5.0通道為128個,雙路組態提供160個PCIe通道,能搭配數量更多的PCIe/NVMe裝置。
基於這樣的規格,AMD EPYC 9004系列處理器也帶來更大的伺服器I/O吞吐量。以現行搭配英特爾第三代Xeon Scalable系列處理器的單路伺服器為例,可運用64個PCIe 4.0通道,資料傳輸率是1024 GT/s(64 x 16 GT/s),單向頻寬為126.08 GB/s(64 x 1.97 GB/s),而搭配AMD第四代EPYC處理器的單路伺服器,不僅能運用128個PCIe 5.0通道,還有8個PCIe 3.0通道,此時的資料傳輸率是4160 GT/s(128 x 32 GT/s + 8 x 8 GT/s),1個通道的單向頻寬為512.2 GB/s(128 x 3.94 GB/s+ 8 x 0.985 GB/s)。相較之下,AMD最新伺服器運算平臺具備更強大的I/O能力,增長幅度達到4倍之多。
針對ProLiant Gen11系列與先前的Gen10、Gen10 Plus的差異,Türker ATA列出一張比較表,除了處理器平臺更新帶來記憶體、I/O介面的革新,以及搭配新一代伺服器管理晶片:iLO6,在新的硬碟儲存外形與規格更高的電源供應器等元件上,第11代HPE伺服器也都支援這樣的搭配。
關於運算加速卡的搭配上,在ProLiant Gen10世代的產品中,受限於高度有限的機箱空間,1U尺寸機型無法置入單寬尺寸(Single Width)GPU加速卡,2U尺寸機型最多可安裝3張GPU加速卡;而在ProLiant Gen11系列當中,提供更大的擴充彈性。
以HPE最新推出的AMD平臺1U機型DL325與DL365而言,若搭配專屬擴充槽,能在機箱前段安裝2張GPU加速卡,無論外形是單寬尺寸或雙寬尺寸(Double Width)均可搭配。而在2U機型當中,若搭配專屬擴充槽,能在機箱前段安裝4張單寬尺寸GPU加速卡,或2張雙寬尺寸GPU加速卡,此時的伺服器單位GPU運算密度比前一代2U機型提升33%,而不需為此購買特殊的GPU伺服器機型。
在同樣為2U尺寸的伺服器標準機箱當中,ProLiant Gen11系列可容納的GPU加速卡數量比起前代多了33%(4張雙寬GPU vs. 3張雙寬GPU)。
以採用1U尺寸機箱的ProLiant Gen11系列AMD平臺而言,最多可安裝2張雙寬GPU或4張單寬GPU。
以採用2U尺寸機箱的ProLiant Gen11系列AMD平臺而言,DL385最多可安裝4張雙寬GPU或8張單寬GPU;DL345最多可安裝2張雙寬GPU或4張單寬GPU。
在硬碟儲存的部分,為了因應軟體定義儲存應用需要搭配更大量的硬碟,ProLiant Gen11系列將提供更大的儲存裝置容量。
以傳統硬碟而言,1U尺寸的DL325與DL365,可容納10臺2.5吋硬碟或4臺3.5吋硬碟,2U尺寸的DL345與DL385,可容納34臺2.5吋硬碟(前24中8後2)或20臺3.5吋硬碟(前12中4後4);若是EDSFF外形固態硬碟,搭配HPE提供的EDSFF專屬擴充槽之後,就機箱前段而言,1U尺寸的DL325與DL365可容納20臺E3.S 1T與E3.S 2T規格的儲存裝置,2U尺寸的DL345與DL385可容納36臺這類儲存裝置。
在硬碟容納數量上,HPE ProLiant Gen11系列2023年將推出支援EDSFF外形固態硬碟的機箱前段插槽,以1U機型而言,最多可安裝20臺EDSFF E3.S外形的固態硬碟或10臺EDSFF E3.S 2T外形的固態硬碟,以2U機型而言,最多可安裝36臺EDSFF E3.S外形的固態硬碟或18臺EDSFF E3.S 2T外形的固態硬碟。
導入新的模組化設計
值得注意的是,ProLiant Gen11系列硬體配置採用更徹底的模組化設計,因此,在有限的機箱空間當中,伺服器得以容納更多硬碟與GPU加速卡。
HPE針對ProLiant Gen11系列伺服器導入更徹底的模組化設計,機箱不僅有1U與2U尺寸高度,也提供標準、中、大等三種外形選擇,而在機箱的前段與後段部位,也各自提供多種搭配組合方式,而能置入更多裝置元件。
以機箱而言,除了1U與2U高度等兩種尺寸,HPE在此提供標準型、中型、大型等三種選擇;在主機板的部分,這裡提供單顆處理器插槽與兩顆處理器插槽等兩種類型,以最新推出的4款AMD平臺機型而言,對應的DDR5記憶體插槽各為12個與24個,至於Arm架構伺服器機型RL300,則是內建單顆處理器插槽,以及16個DDR4記憶體插槽。
而在伺服器機箱的前段,現在也是可以用作擴充各種元件的空間。ProLiant系列以往只能容納2.5吋或3.5吋硬碟儲存裝置,到了Gen11系列的AMD平臺機型,預計在2023年上半提供EDSFF、GPU等專屬擴充槽支援,屆時可搭配不同背板(backplane),使得伺服器機箱前段的部分區域,可換成EDSFF外形硬碟、GPU加速卡,或是EDSFF與GPU並用的裝置組態。
DL365 Gen11機箱前端面板預設採用8個硬碟槽,而有額外的2個硬碟槽的空間,可搭配2個U.3規格的固態硬碟,或是置入DVD光碟機。
但這裡也能換成可安裝20臺EDSFF外形的固態硬碟,或是2張單寬尺寸GPU或雙寬尺寸GPU。
除了機箱的整體配置,在冷卻與電力的相關元件上,ProLiant Gen11系列也引進新的搭配選擇。例如,關於處理器散熱元件的搭配,HPE在ProLiant Gen10系列,僅針對DL360、380、385提供高效能型冷卻套件(High Performance Heat Sink Kit);在Gen10 Plus系列當中,更多機型能搭配標準型(Standard)、高效能型冷卻套件,也開始提供最大效能型(Max Performance)。
到了ProLiant Gen11系列,HPE針對AMD平臺的機型,提供以DL3X5 Gen11 Heat Sink Kit為名的5款冷卻套件。以1U尺寸伺服器為例,可搭配標準型或高效能型的冷卻套件,分別對應熱設計功耗為240瓦以下、240瓦到300瓦的處理器,而在2U尺寸伺服器當中,還可搭配最大效能型(Max Performance)的冷卻套件,對應熱設計功耗為300瓦以上的處理器。
若搭配的處理器熱設計功耗高於240瓦,此時DL365 Gen11可搭配高效能散熱器與風扇模組,可針對處理器插槽附近區域。
除了搭配更有效率的處理器散熱元件,ProLiant Gen11系列也將提供新款更有效率、支援更大功耗需求的電源供應器。以HPE目前發表的5款ProLiant Gen11機型而言,可搭配Gen9系列以後採用的Flexible Slot Power Supplies,有500瓦、800瓦、1600瓦等規格可選,供電效率均為80Plus白金級(94%)。
隨著處理器熱設計功耗增高,以及DDR5記憶體與PCIe 5.0介面的支援,單臺伺服器用電需求也呈現水漲船高的態勢,為此,HPE在2023年將推出供應1000瓦,以及1800瓦至2200瓦等兩款電源供應器,供電效率為80Plus鈦金級(96%),促使ProLiant Gen11伺服器成為企業資料中心實現低碳足跡的新標準。
圖中的2個OCP外形的PCIe介面卡插槽,不再是專屬於安裝特定功能的擴充卡插槽,可選擇各自安裝一張RAID卡與一張網路卡,或是兩個都安裝RAID卡,或是兩個都安裝網路卡。
為何具備這樣的彈性?實際上,這是一個逐步改良的過程。在Gen10 Plus世代的ProLiant伺服器,HPE將專門安裝網路卡的插槽FlexLOM slot,改為安裝OCP外形網路卡插槽,到了Gen11世代的ProLiant伺服器,HPE也將專門安裝RAID卡的插槽AROC slot,改為安裝OCP外形RAID卡的插槽。
圖中MCIO接頭的MCIO是指Mini Cool Edge IO,HPE表示,在ProLiant現行世代的機型當中,PCIe插槽的線路都是固定在主機板,再接上轉接卡(Riser),以此轉換為多個PCIe插槽,然而,現在有越來越多的周邊設備如NVMe SSD,透過PCIe的匯流排連接至處理器,以獲得更高的效能,可是CPU的PCIe通道數量是有限的, 這時會影響每臺伺服器能連接的NVMe SSD數量多寡,而且,這類狀況會在SSD外形走向EDSFF E3.S規格之後會更明顯,因為能連接的SSD數量變多了,但這又導致PCIe通道數量不足的問題。為了讓PCIe通道的資源使用更彈性,於是,HPE在此透過MCIO的接頭來彈性分配連接,不再把PCIe通道固定配置給PCIe插槽或是NVMe SSD專用。
伺服器管理平臺iLO與管理軟體OneView均推新版
HPE發表ProLiant Gen11系列之際,同時強調產品具有多種可信賴的安全性設計與平臺更新。以該公司伺服器內建的系統管理ASIC晶片iLO(Integrated Lights-Out)為例,正式邁入第6版(iLO6),搭配1.10版韌體。
相較於過去的版本,iLO6新支援「安全協定與資料模型(Security Protocol and Data Model,SPDM)」,這是開放IT管理標準組織DMTF推動的身分認證規格,伺服器可運用這項機制,對自身搭配的各種裝置元件進行身分查核,以及安全性監控。以目前而言,iLO6能透過SPDM的幫忙,查驗PCIe裝置韌體的身分,確保安裝在伺服器的這些元件具有完整性。
在此同時,平臺憑證(Platform Certificates),以及安全設備身分識別(Initial Device Identity Certificates,iDevID),也成為iLO6預設啟用的保護功能,可預防伺服器設備專屬身分遭到竄改。其實,這兩種供應鏈安全機制是在2021年下半出現,隨著ProLiant Gen10 Plus系列伺服器推出而浮出檯面,當時被列為額外的產品出廠整合選項(Factory Integratable Options,FIO)。
ProLiant系列伺服器搭配的平臺憑證是遵循TCG訂定的標準所實作而成,在工廠製造時就會建立,並由HPE進行數位簽署,置入設備當中。若伺服器從工廠出貨、送至用戶端環境,可運用平臺憑證驗證工具PCVT來驗證設備在製造與交付過程中是否遭遇竄改。
在ProLiant伺服器開機啟動的過程中,會確認平臺憑證的驗證、簽署,以及IAK憑證信任供應鏈、iDevID憑證信任供應鏈等狀態。圖中是硬碟遭到更換而會被上述機制所察覺。
而在信賴平臺模組(TPM)的運用上,ProLiant Gen11系列能以此監督安全開機與系統狀態,進行額外的身分認證檢核措施,確保伺服器不會在這段過程遭到異常行為的侵入。
基於這些安全元件的普遍使用與持續發展,HPE強調他們建構的信賴供應鏈(Trusted Supply Chain)能夠提供最高等級的防護,在產品製造期間,透過已完成身分驗證的伺服器,以及強化的資料保護等機制,精進每個環節的安全性,而提供通過安全性驗證伺服器的產品供應上,現在他們也延伸更多選項,從原本以美國廠區製造為主要信賴來源,如今可拓展至全球生產與出貨。
關於信賴供應鏈,HPE企業事業群技術規畫處資深技術顧問羅文達表示,他們使用世界上最安全的加密機制,因為從邊緣運算到雲端服務的環境,安全性是首先要被考量的,而HPE從工廠製造到運送、出貨的過程當中,都有完整機制確保伺服器的韌體是安全的。
HPE伺服器現行所導入信賴供應鏈,包含了基礎防護(預設啟用平臺憑證、iDevID、TPM)、元件生態系統防護(透過iLO6與SPDM的運用,驗證元件的身分),以及整個供應鏈防護(從美國拓展至全球)。
這類型的產品供應方式,其實,可回溯至ProLiant Gen10 Plus系列上市,當時HPE推出一個特別的T-Model系列,與既有機型區隔。以ProLiant DL380 Gen10為例,HPE從2020年10月開始提供ProLiant DL380T Gen10;在另一款ProLiant DL360 Gen10,HPE從2021年3月開始提供ProLiant DL360T Gen10,都是為了因應美國政府要求而設置的機型,代表產品是在美國製造,所有元件與生產流程都必須符合美國政府對安全的要求。於是HPE在美國建立這樣的供應鏈與工廠生產機制,而對於用戶而言,購買T Model機型,可確保從頭到尾都從美國這一端生產。
這是ProLiant系列伺服器最近三代以來的安全性功能創新進展歷程。在5年前發表的Gen10系列,HPE就已導入矽信任根;到了Gen10 Plus系列,HPE開始普遍提供TPM 2.0晶片,以及推出基於HPE信賴供應鏈所生產的特殊機型;在最新發表的Gen11系列當中,HPE開始支援DMTF組織發展的SPDM標準,推動基礎架構元件的身分檢查、見證、金鑰交換機制,並且預設啟用平臺憑證與IDevID的識別。
到了ProLiant Gen11系列,HPE將供應鏈的標準擴增到全世界,只要是Gen11系列伺服器的供應商,他們提供的元件都必須符合HPE的規範,組裝的工廠也要比照辦理。基於這樣的供應鏈架構,現在有超過150個國家都能訂購此類機型。
ProLiant Gen11內建HPE發展已久的矽信任根,並透過預設多種身分憑證強化安全基礎、延伸至周邊裝置元件生態系的保護,以及將信賴供應鏈擴展至全球,確保伺服器在生產、交付流程,以及日常執行時,具有足夠的防護力。
關於設備出廠之後的安全性,HPE從ProLiant G7伺服器搭配iLO4管理晶片起,至今都是基於矽信任根(Silicon Root of Trust)的保護,提供不被竄改的硬體機制,確保產品是安全的,後續HPE也針對設備運送過程提供完整性驗證機制——如果有人打開伺服器機箱、置入不明元件,系統會記錄機箱曾被開啟、安裝未知設定,後續將會基於這樣的認證,比對伺服器在啟動電源之前的組態是否出現改變,以及是否與工廠生產過程時的狀態不一致,若發生這類狀況,就會告知相關人員,代表伺服器有可能被入侵。
而在ProLiant Gen10之後,HPE導入了平臺憑證的選項,到了最新發表的ProLiant Gen11,平臺憑證改為預設啟動。
基於這樣的安全性配置,當伺服器從工廠出貨,HPE會針對組態設定、BIOS設定,以及擴充介面卡的設定,製作數位簽署的檔案,而這個檔案會跟隨產品交付到用戶端環境之後,再透過工具解開、以此稽核送來的伺服器是否出現組態設定變更的狀況,確保運送過程中都受到保護。
隨著平臺憑證、iDevID、TPM都成為ProLiant Gen11系列伺服器預設使用或整合的安全性元件,HPE這批新一代伺服器機型能獲得更大的完整性保護,而對於上層集中管理多臺運算設備的OneView管理系統,以及GreenLake for Compute Ops Management雲端管理服務而言,也能以安全的方式連接這些裝置。
值得注意的是,在HPE先前推出的ProLiant伺服器當中,iLO雖然提供矽信任根,對於主機板上的任何元件都能稽核,但無法涵蓋到安裝在伺服器的RAID卡、網路卡等擴充介面卡韌體。事實上,過去業界並無相關的標準可依循,因此,難以要求周邊裝置與元件廠商配合,而現在iLO6支援DMTF的SPDM,只要相關供應商的產品符合這個規範,iLO就能對這些元件進行身分查驗。
舉例來說,iLO在伺服器系統啟動過程中,可以檢查每一張擴充介面卡的韌體是否躲藏了惡意軟體,若有,會觸發警報,將系統有RAID卡、網卡被入侵的狀況通知管理者,這時能選擇暫停開機程序,或繼續開機但同時發出警告。
目前HPE在此可涵蓋的伺服器元件主要是網路卡、RAID卡,可透過iLO6的驗證,與SPDM的搭配,查核PCIe裝置韌體身分,確保這些元件的完整性,下一步會針對GPU這類介面卡,敦促廠商去符合這樣的標準,使伺服器的每一個元件裡面的韌體都會是最安全的環境。
除了內建新版iLO管理晶片,HPE旗下的IT基礎架構軟體系統OneView,也隨著ProLiant Gen11系列推出而發表8.0最新版。
基本上,OneView可用來集中管理多種HPE基礎架構產品,涵蓋運算、儲存、網路等三大類型,提供IT基礎架構自動化建置、系統狀態主動監控,以及伺服器系統、BIOS、韌體的排程更新。IT人員可在這套管理軟體當中,建立多種工作負載最佳化範本,以便快速設置運算、儲存、網路資源,以及套用指定BIOS設定、RAID儲存組態、韌體版本基準的實體、虛擬、容器化的系統。
以8.0版而言,OneView目前可支援4款搭配AMD平臺的ProLiant Gen11機型。而在兩者搭配之後,OneView匯集的伺服器硬體警訊,可基於Redfish API進行整合,由OneView「訂閱」ProLiant Gen11伺服器的iLO6,若iLO6發現問題,可以直接對應、將相關訊息推送至OneView,比起過往使用SNMP traps進行廣播,將會更加準確、快速,也能檢視更多警示資訊。
HPE推出內建iLO6伺服器管理晶片ProLiant Gen11系列伺服器,可集中管理多臺HPE伺服器的軟體系統OneView也隨之發布8.0版,可透過Redfish API進行資產、事件、組態的管理,而不需使用舊型API。
關於ProLiant伺服器韌體更新版本的部署,除了可借助OneView上述自動化處理範本而能套用,若要及早掌握發布動態,OneView也能主動連到HPE網站,針對用戶環境伺服器機型的韌體去確認是否有更新版本,一旦有這樣的內容,OneView會通知IT人員目前有新版的服務套件(Service Pack for ProLiant,SPP),之後可下載、套用這個匯集韌體、驅動程式、系統軟體更新的軟體套件。
除了每一臺ProLiant伺服器內建的iLO管理晶片,以及設置於企業內部網路環境、管理多臺ProLiant伺服器的OneView管理軟體,HPE也提供他們維運的伺服器雲端管理服務平臺,名為GreenLake for Compute Ops Management,透過HPE發展與管理的GreenLake雲端原生架構,而能針對設置在不同地理區域的HPE伺服器,以統一、逐年訂閱服務的方式進行遠端維運的工作,並且以此呈現安全的雲端服務使用體驗,背後同樣基於HPE發展的供應鏈安全、矽信任根、TPM、安全UEFI與BIOS韌體,以及作業系統、工作負載等層層身分驗證來進行把關。
伺服器安全性的確保是企業資料中心與IT服務得以穩健發展的重大關鍵,為此HPE在伺服器產品、IT基礎架構管理軟體、IT即服務平臺,建構橫跨供應鏈、基礎架構、工作負載等三大環境的硬體保護體系,透過生產製造期間的身分驗證、伺服器內建矽信任根的比對、處理器安全晶片的見證、BIOS/UEFI與韌體的復原,以至作業系統、中介軟體平臺、工作負載的層層把關,提供遍及各環節的完整性驗證,實現更全面的安全設計(Security by Design)理念。
而從2022年11月起,GreenLake for Compute Ops Management也正式支援ProLiant Gen11伺服器,將其納入可列管的設備。
值得注意的是,根據12月HPE在臺舉行的活動所言,GreenLake for Compute Ops Management目前並不支援RL300,而此時揭露的支援ProLiant Gen11系列機型,也預告了現行4款AMD平臺機型之後可能發表的11款機型。
伺服器管理晶片的韌體可改用開放式伺服器遠端管理軟體平臺OpenBMC,方便企業用戶與服務商進行跨廠牌伺服器集中管控
ProLiant系列Gen11伺服器繼承與發揚HPE長期發展的各種技術特色之餘,也積極支援多種開放標準。
除了上述的DMTF組織制定與推動的SPDM,HPE在ProLiant Gen10系列、Gen10 Plus系列機型搭配的iLO5,就已經實作DMTF組織的另一項管理標準PLDM(Platform Level Data Model for Redfish Device Enablement,亦可簡稱為PLDM for RDE),而得以與伺服器內部元件底層進行溝通,例如盤點資產、監控狀態、管理事件,以及傳輸資料或參數,因此,若要更新位於RAID卡與背板之後接取的固態硬碟韌體,,IT人員可透過支援此標準的iLO來進行這樣的工作,而不需啟動伺服器上層的作業系統再從中處理。
以RAID卡而言,如果是基於PLDM實作出Redfish功能,IT人員就能透過iLO以標準RDE的一致方式,設定或讀取RAID卡的服務。
而在許多伺服器廠商支援的開放運算計畫組織(OCP)標準,HPE在ProLiant Gen11系列伺服器目前推出的機型,都提供2個OCP 3.0規格的PCIe介面卡擴充插槽,而且,並未限制這些插槽只能安裝網路卡或RAID卡,可同時安裝2張網路卡或RAID卡。
對於伺服器設備內建的遠端管理平臺,HPE長期提供與主打特色是自家發展的iLO專屬設計晶片,然而,他們與Arm架構處理器廠商Ampere在2022年6月發表RL300 Gen11時,也提到ProLiant伺服器可支援OpenBMC這套開放原始碼平臺,提供更有彈性的管理架構選擇。
而12月初HPE在臺灣舉行的伺服器發表會活動現場,他們對這部分特色與市場需求,提出比較清楚的介紹。
HPE企業事業群技術規畫處資深技術顧問羅文達表示,許多客戶買了白牌伺服器設備,當中採用的基板管理控制器晶片(BMC)可能都不一樣,他們希望能有標準化的BMC,透過iLO這樣的硬體控制晶片來提供,但裡面採用的系統希望是開放原始碼、標準的BMC軟體;對此,HPE在ProLiant Gen11系列產品當中,也正視這樣的需求,允許iLO6晶片抹除原本搭配的作業系統,換上OpenBMC軟體,使客戶不僅使用HPE提供的伺服器設備、獲得好的運算效能之餘,管理方式也能維持一致,用標準的開放原始碼系統來進行大量伺服器管理。
事實上,HPE從2017年就開始投入相關的研究,2018年建立此類應用的原型,歷經好幾年的努力,在2021年10月舉行的OCP全球高峰會期間,向外界宣告他們已簽署Linux基金會授權同意書,而對於OpenBMC移植到ProLiant伺服器執行,已完成基本的作業,雖然當時仍處於概念驗證階段,尚未正式提供至伺服器產品線,但他們已經陸續移植至DL360、DL325、Apollo 2000系統的運算節點(XL225n),促使程式碼基礎更為成熟。
整體而言,發展至第11代的ProLiant系列伺服器,已經有超過30年之久的歷史,在每一次產品世代交替的過程中,並不只是依附著處理器平臺革新而順勢推出的產品,發揮新一代運算平臺帶來的優勢——這些僅是符合眾人期待的應有特色,HPE這次新伺服器產品發表,具體展現他們強化硬體與供應鏈整體資安的多種技術應用成果,並且提供更多開放標準支援、甚至是開放管理平臺選擇特性,而這些顯然也將是所有一線伺服器大廠必備的條件,才能同時滿足當前企業對於效能、穩定性、安全性的嚴苛要求,也能充分支援雲端服務業者超大規模的開放管理需求。
熱門新聞
2024-08-14
2024-12-20
2024-12-22
2024-12-23