Community
5
HostiServer
2026-07-12 14:09

Automatizace BMC v roce 2026: ipmitool, Redfish API, Prometheus a Grafana pro hardware monitoring

⏱️ Doba čtení: ~11 minut | 📅 Aktualizováno: červenec 2026

ipmitool a Redfish API: CLI správa BMC a integrace do monitoringu

Webové rozhraní BMC je pohodlné pro jednorázové úkoly: přihlásit se, podívat se na teplotu, restartovat server, odhlásit se. Ale jakmile máte více než deset serverů, nebo potřebujete integrovat BMC data do monitoringu, nebo automatizovat aktualizace firmwaru, webové rozhraní přestává fungovat. Nikdo nebude klikat po deseti samostatných stránkách, aby restartoval stovku serverů po plánovaném servisním okně. A nikdo nebude ručně stahovat teplotu CPU z každého iDRACu, aby postavil graf v Grafaně.

Pro takové scénáře existují dva hlavní nástroje. ipmitool je klasický CLI klient pro protokol IPMI, který funguje prakticky s jakýmkoli BMC vydaným za posledních dvacet let. Redfish API je moderní REST/JSON standard od DMTF, který postupně nahrazuje IPMI v nových integracích. V praxi v roce 2026 se vyplatí umět oba: ipmitool pro legacy hardware a rychlé one-linery, Redfish pro nové automatizace a monitoring.

ℹ️ Související článek: v našem materiálu „Out-of-band správa serveru: IPMI, iDRAC, iLO a Redfish API" jsme rozebrali, co je BMC, jak hardwarově funguje, čím se liší Dell iDRAC, HPE iLO a Supermicro BMC. Tento článek je o další úrovni: jak to všechno spravovat z příkazové řádky, automatizovat pomocí skriptů a sbírat metriky do Prometheus/Grafana.

1. Proč CLI, ne webové rozhraní

Webové rozhraní a CLI si vzájemně nekonkurují, jsou to nástroje pro různé úkoly.

Web je pohodlný pro ruční zásah: když je potřeba jednou něco udělat na jednom serveru, když je potřeba vizuální informace (grafy, topologie), nebo když přesně nevíte, co potřebujete, a chcete si proklikat menu. Web dobře funguje pro začátečníky, pro jednorázové havarijní scénáře, pro prohlížení stavu hardware před rozhodnutím.

CLI a API jsou potřeba tam, kde web přestává škálovat. Klasické scénáře:

  • Hromadné operace. Je potřeba restartovat 40 serverů po aktualizaci firmwaru switche? Přes web je to 40 přihlášení, 40 kliknutí, 40 potvrzení. Přes CLI je to jeden příkaz v cyklu.
  • Sběr metrik do monitoringu. Prometheus neumí klikat na webová rozhraní. Potřebuje endpoint, ze kterého bude stahovat metriky teploty, otáček ventilátorů, stavu PSU každých 1-5 minut (častěji pro BMC je obvykle zbytečné, protože samotný kontroler odpovídá pomalu).
  • CI/CD a provisioning. Terraform, Ansible, GitLab CI zavádějí nový server: PXE-boot, instalace OS, konfigurace RAID. To vše vyžaduje programový přístup k BMC.
  • Audit a compliance. Jednou měsíčně je potřeba zkontrolovat, že na všech serverech je zapnutý secure boot, je nainstalován nejnovější firmware, výchozí hesla jsou změněna. Přes web to funguje teoreticky, přes API je to realita.
  • Havarijní diagnostika při úplné izolaci. Webové rozhraní BMC se občas samo zasekne (obzvlášť na starších Supermicro), a CLI přes SSH nebo IPMI-over-LAN dál funguje.

2. ipmitool: klasický způsob

2.1 Co to je a jak to funguje

ipmitool je open-source CLI klient pro protokol IPMI, který existuje přibližně od roku 2003. Napsaný v C, funguje na Linuxu, BSD a macOS, podporuje IPMI 1.5 a 2.0. Původně vyvinutý Duncanem Lauriem v Sun Microsystems, později předaný komunitě a nyní je udržovaný na GitHubu. Jeho hlavní výhodou je univerzálnost: funguje téměř s jakýmkoli serverem s BMC, nezávisle na výrobci.

Existují dva způsoby komunikace. Z lokálního linuxového hosta, který stojí na samotném serveru, ipmitool komunikuje s BMC přes KCS rozhraní (Keyboard Controller Style) — to je sběrnice uvnitř hardwaru, přístup ke které nevyžaduje síť ani heslo. Ze vzdáleného hosta ipmitool dělá IPMI-over-LAN na UDP portu 623 s autentizací.

2.2 Instalace

Na Debian/Ubuntu:

sudo apt update
sudo apt install ipmitool

Na Rocky Linux / AlmaLinux / RHEL:

sudo dnf install ipmitool

Pro lokální režim je také potřeba ovladač jádra. V moderních distribucích (Rocky Linux 9, Ubuntu 24.04 s jádry 5.x/6.x) stačí načíst jeden modul:

sudo modprobe ipmi_devintf

Hlavní ovladač ipmi_si v moderních jádrech je již vestavěný (built-in) a automaticky se inicializuje přes ACPI/SMBIOS při startu systému. Pokud pracujete na staré distribuci (RHEL 6, starý Debian) nebo se /dev/ipmi0 neobjevil po načtení ipmi_devintf, zkuste navíc:

sudo modprobe ipmi_si

Poté se objeví zařízení /dev/ipmi0 nebo /dev/ipmidev/0. Aby se ovladač automaticky načítal při startu, přidejte ipmi_devintf do /etc/modules-load.d/ipmi.conf.

2.3 Připojení

Lokální režim (ze samotného serveru, který je monitorován):

sudo ipmitool sensor list

Zde ipmitool komunikuje s BMC přímo přes KCS, autentizace není potřeba.

Vzdálený režim (z jiného stroje po síti):

ipmitool -I lanplus -H 192.0.2.10 -U admin -P password sensor list

Rozbor přepínačů: -I lanplus znamená IPMI 2.0 přes LAN s podporou šifrování payloadu přes RMCP+ (používejte to, ne -I lan, který odpovídá IPMI 1.5 — tam je MD5 autentizace, ale není šifrování samotných dat, tedy hesla a příkazy jdou po síti v otevřené podobě), -H je adresa BMC, -U a -P jsou login a heslo.

⚠️ K heslům v příkazu: přepínač -P password klade heslo přímo do shell historie a výstupu ps aux. Přepínač -E (heslo z ENV proměnné IPMI_PASSWORD) pro skripty není mnohem bezpečnější: proměnné prostředí často unikají do logů, do core dumpů, do výstupu /proc/<pid>/environ. Skutečně bezpečná varianta pro skripty je -f /path/to/passfile, kde passfile má práva chmod 600 a patří samostatnému omezenému uživateli. Pro interaktivní práci bez přepínače -P se ipmitool zeptá na heslo z klávesnice, aniž by ho zobrazil na obrazovce.

2.4 Hlavní příkazy

Senzory

Úplný seznam všech senzorů BMC s aktuálními hodnotami a prahy:

ipmitool sdr list

Filtr podle typu — jen teploty:

ipmitool sdr type Temperature

Analogicky lze filtrovat Fan, Voltage, Power Supply, Current. Výstup ukazuje název senzoru, aktuální hodnotu, stav: ok (normální), nc (non-critical, varování), cr (critical, kritický přechod prahu), nr (non-recoverable, stav mimo obnovení), ns (non-specified, stav není definován).

Výstup příkazu ipmitool sensor list: teploty, otáčky ventilátorů, stav PSU s aktuálními hodnotami a prahy

Žurnál hardwarových událostí (SEL)

ipmitool sel list

Vypisuje chronologii událostí: start/zastavení, spuštění prahů teploty, stav PSU, ECC chyby paměti. Pokud je žurnál plný a je potřeba uvolnit místo:

ipmitool sel clear

Před clear se vyplatí uložit obsah do souboru (SEL je často cenný zdroj dat pro post-mortem analýzu).

Správa napájení

# Zjistit aktuální stav
ipmitool power status

# Zapnout (analog krátkého stisknutí tlačítka napájení)
ipmitool power on

# Graceful shutdown přes ACPI (analog krátkého stisknutí)
ipmitool power soft

# Tvrdé vypnutí (analog podržení tlačítka napájení 4+ sec)
ipmitool power off

# Warm reset (analog fyzického tlačítka reset)
ipmitool power reset

# Power cycle: tvrdě vypnout, počkat, znovu zapnout
ipmitool power cycle

ℹ️ K power off a graceful shutdown: chování ipmitool power off závisí na konkrétním BMC a na tom, zda OS zpracovává ACPI události. U mnoha moderních serverů power off posílá ACPI signál (tedy funguje jako graceful), a jen pokud OS neodpoví — nuceně odpojí napájení. Pokud je potřeba zaručeně tvrdé vypnutí bez pokusu o graceful, u některých firmwarů je dostupný přepínač -f (force). Pro čistý graceful shutdown je spolehlivější použít power soft, pro zaručené vypnutí — kontrolovat dokumentaci konkrétního výrobce.

Stav chassis

ipmitool chassis status

Ukazuje souhrn: zda je zapnuté napájení, zda je stisknuté tlačítko front panelu, zda je intrusion-detect (spustil se senzor otevření skříně), co způsobilo poslední restart.

Správa samotného modulu BMC

Příkazy mc (Management Controller — samotný BMC) spravují ne server, ale samotný kontroler:

# Informace o BMC: verze firmwaru, výrobce
ipmitool mc info

# Restartovat samotný BMC (ne server, jen kontroler)
ipmitool mc reset cold

Příkaz mc reset cold je záchranné lano ve scénáři, kdy webové rozhraní BMC zamrzá, a samotný server funguje. BMC se restartuje za 1-3 minuty, po kterých je webové rozhraní opět dostupné. Přitom hlavní OS na serveru si ničeho nevšímá.

2.5 Omezení ipmitool

ipmitool dělá svou práci dobře, ale má strukturální nedostatky, které se s roky stávají čím dál patrnějšími:

  • Binární protokol. IPMI není textový formát, ale binární struktury, které je potřeba interpretovat. Chyby ve firmwaru výrobce vedou k nesrozumitelným zprávám.
  • Nestandardizovaná rozšíření. Každý výrobce přidal vlastní OEM příkazy. Jeden a tentýž senzor na Dellu a Supermicro se může jmenovat různě, mít různé jednotky měření, různé prahy.
  • Slabá autentizace. IPMI 2.0 RAKP protokol má známé zranitelnosti (CVE-2013-4786), které zůstávají aktuální, protože je to problém samotné specifikace. Cipher suite 0 vůbec umožňuje připojení bez hesla, pokud ho výrobce nevypnul.
  • Složité parsování výstupních dat. Výstup ipmitool je text stylizovaný pro člověka, ne pro skripty. K získání jednoho čísla je potřeba psát regexy nebo awk parsery.

Právě proto v roce 2015 DMTF spustil Redfish jako moderní náhradu.

3. Redfish API: moderní způsob

3.1 Co to je

Redfish je REST/JSON standard pro správu serverové infrastruktury, vyvinutý DMTF konsorciem. Místo binárních IPMI paketů na UDP portu 623 jsou v Redfish běžné HTTPS požadavky na TCP portu 443 s JSON odpověďmi. Vše, co umí IPMI (stav senzorů, správa napájení, virtual media, nastavení BMC), je v Redfish dostupné přes běžné GET/POST/PATCH požadavky.

Hlavní výhoda: jednotnost. Specifikace popisuje hierarchii zdrojů (/redfish/v1/Systems, /redfish/v1/Chassis, /redfish/v1/Managers) stejně pro všechny výrobce. Jeden a tentýž skript s minimálními úpravami funguje i na iDRACu, i na iLO, i na Supermicro BMC.

3.2 Podpora napříč generacemi

Redfish se neobjevil okamžitě na všem hardwaru, je to postupné zavádění:

  • Dell iDRAC 7/8: od firmwaru 2.40.40.40 (polovina roku 2015), základní podpora Redfish 1.0
  • Dell iDRAC 9: od firmwaru 3.00.00.00 (2017), plnohodnotná podpora
  • Dell iDRAC 10: Redfish je hlavní API (2024+)
  • HPE iLO 4: od firmwaru 2.30 (2015), základní endpointy
  • HPE iLO 5, 6, 7: plnohodnotná podpora od prvního dne
  • Supermicro: X10 od firmwaru BMC 3.0, X11+ od prvního dne
  • ASUS ASMB9, ASMB10-iKVM: plnohodnotná podpora
  • Lenovo XClarity Controller (XCC): Redfish je podporován od prvního releasu na serverech ThinkSystem SR/SD/SN (od roku 2017)

Jednoduchá kontrola z příkazové řádky, zda je Redfish podporován na konkrétním BMC:

curl -k https://192.0.2.10/redfish/v1/

Pokud jako odpověď přijde JSON s popisem služby, Redfish funguje. Pokud 404, je potřeba zkontrolovat ve webovém rozhraní, zda je samotná služba zapnutá.

3.3 Základní dotazy

Stav systému

curl -k -u admin:password \
https://192.0.2.10/redfish/v1/Systems/1 | jq

V odpovědi: název modelu, sériové číslo, stav napájení (On/Off), počet CPU, velikost RAM, stav zdraví (OK/Warning/Critical). Klíč -k ignoruje samopodepsaný certifikát BMC; v produkci je lepší nakonfigurovat důvěru k certifikátu BMC v klientovi, spíše než vypnout ověření.

JSON odpověď Redfish API na GET /redfish/v1/Systems/1: model, sériové číslo, stav napájení, počet CPU a RAM

Teploty a senzory

curl -k -u admin:password \
https://192.0.2.10/redfish/v1/Chassis/1/Thermal | jq

Vrací pole objektů pro každý teplotní senzor (CPU, čipset, ambient, disky) s aktuální hodnotou, kritickým a warning prahem, stavem. Analogicky /Chassis/1/Power pro napájecí zdroje a spotřebu.

ℹ️ K Thermal a Sensors endpointům: v Redfish 1.7+ je schéma Thermal a Power oficiálně označeno jako „deprecated in favor of" novějšího modelu /Chassis/1/ThermalSubsystem a /Chassis/1/Sensors. Deprecated neznamená „nefunguje": staré endpointy jsou dál podporovány pro kompatibilitu. Ale při psaní nového kódu pro moderní BMC (iDRAC 10, iLO 7) se vyplatí zkontrolovat obě verze a používat novou tam, kde je dostupná.

Správa napájení

Toto je už POST požadavek s tělem:

curl -k -u admin:password -X POST \
-H "Content-Type: application/json" \
-d '{"ResetType": "ForceRestart"}' \
https://192.0.2.10/redfish/v1/Systems/1/Actions/ComputerSystem.Reset

Hodnoty pro ResetType podle specifikace DMTF: On (zapnout), ForceOff (tvrdé vypnutí), GracefulShutdown (korektní vypnutí přes ACPI), GracefulRestart (korektní restart), ForceRestart (tvrdý restart), PowerCycle (vypnout a zapnout), Nmi (non-maskable interrupt pro dump stavu jádra). Ne všechny jsou podporovány na všech BMC — které přesně jsou dostupné, lze zjistit přes GET na /Systems/1, tam je pole Actions se seznamem.

Sessionová autentizace

Pro skripty, které dělají mnoho požadavků za sebou, místo Basic Auth je lepší používat sessionové tokeny: jeden POST pro získání tokenu, dále všechny požadavky s hlavičkou X-Auth-Token. Je to rychlejší (BMC nevynakládá CPU na ověření hesla pokaždé) a bezpečnější (heslo po síti jde jen jednou při přihlášení).

# Login
curl -k -X POST -H "Content-Type: application/json" \
-d '{"UserName":"admin","Password":"password"}' \
https://192.0.2.10/redfish/v1/SessionService/Sessions \
-D headers.txt

# Token bude v hlavičce X-Auth-Token v souboru headers.txt
# Dále všechny požadavky:
curl -k -H "X-Auth-Token: $TOKEN" \
https://192.0.2.10/redfish/v1/Systems/1

3.4 Srovnání ipmitool vs Redfish

Parametr ipmitool (IPMI) Redfish
Transport UDP 623 (RMCP+) HTTPS TCP 443
Formát dat Binární JSON
Šifrování Cipher suites (existuje Cipher 0) TLS 1.2/1.3
Jednotnost mezi výrobci Nízká (OEM rozšíření) Vysoká (jednotné schéma DMTF)
Podpora ve skriptech Parsovat text JSON z krabice
Podpora na legacy hardwaru Prakticky vše Od iDRAC 7 FW 2.40 a iLO 4 FW 2.30
Rychlý one-liner Jeden příkaz curl + jq (delší)
Zralost ekosystému ~23 let (od 2003) ~11 let (od 2015)

Praktický závěr: ipmitool zůstává funkčním nástrojem pro rychlé havarijní scénáře a pro legacy hardware. Redfish je volbou pro nové integrace, pro CI/CD a pro monitoring. Pro nový kód v roce 2026 je startovním bodem Redfish, ipmitool jako záložní varianta tam, kde Redfish není podporován.

4. Integrace do monitoringového stacku

Ruční volání ipmitool a curl dobře fungují pro diagnostiku, ale pro trvalý monitoring je potřeba jiná architektura: exporter sbírá data z BMC, Prometheus je scrapuje, Grafana vizualizuje, Alertmanager posílá alerty při přechodech prahů.

4.1 Prometheus

ipmi_exporter

Oficiální exporter od Prometheus community (prometheus-community/ipmi_exporter). Napsaný v Go, uvnitř používá FreeIPMI místo ipmitool, i když princip práce je stejný. Hlavní metriky: teploty, otáčky ventilátorů, stav PSU, napětí, spotřeba. Vhodný pro jakýkoli BMC s IPMI 2.0.

Konfigurace ipmi_exporter.yml pro vzdálený monitoring několika BMC:

modules:
default:
collectors:
- bmc
- ipmi
- chassis
- sel
user: "monitoring"
pass: "password" # v produkci brát z ENV nebo vault
driver: "LAN_2_0"
timeout: 20000

Hodnota timeout je v milisekundách. 20000ms (20 sekund) je rozumné minimum pro moderní BMC; pro pomalejší kontrolery nebo starý hardware se vyplatí nastavit 30000ms. Příliš malá hodnota vede k častým timeoutům ve scrape cyklu a falešným alertům o nedostupnosti.

Sekce v prometheus.yml s relabel konfigem:

scrape_configs:
- job_name: 'ipmi'
scrape_interval: 60s
static_configs:
- targets:
- 192.0.2.10
- 192.0.2.11
- 192.0.2.12
metrics_path: /ipmi
params:
module: [default]
relabel_configs:
- source_labels: [__address__]
target_label: __param_target
- source_labels: [__param_target]
target_label: bmc_host
- target_label: __address__
replacement: ipmi-exporter:9290

Klíčové metriky (přesné názvy z oficiální dokumentace prometheus-community/ipmi_exporter): ipmi_temperature_celsius, ipmi_fan_speed_rpm, ipmi_dcmi_power_consumption_current_watts, ipmi_voltage_volts, ipmi_sensor_state (0=nominal, 1=warning, 2=critical, NaN=N/A), ipmi_chassis_power_state (1=on, 0=off), ipmi_up{collector="<NAME>"} (dostupnost konkrétního kolektoru).

redfish_exporter

Moderní alternativa pro BMC s podporou Redfish. Nejpopulárnější fork je jenningsloy318/redfish_exporter, který naslouchá na portu 9610 (to je volba právě tohoto forku; oficiální Prometheus port allocation rezervuje 9618 pro jinou implementaci, takže při použití alternativ ověřujte dokumentaci). Plusy oproti ipmi_exporter: funguje přes HTTPS, podporuje sessionové tokeny, nezávisí na FreeIPMI, korektně zpracovává OEM rozšíření pro většinu výrobců.

# redfish_exporter.yml
# Poznámka: v produkci hesla dosazovat z ENV nebo vault, ne držet otevřeným textem
hosts:
192.0.2.10:
username: monitoring
password: password
192.0.2.11:
username: monitoring
password: password
default:
username: monitoring
password: password

Sekce v prometheus.yml je analogická ipmi_exporter, jen metrics_path: /redfish a replacement: redfish-exporter:9610.

ℹ️ Co zvolit: pokud máte park hardware starší než 2018 (iDRAC 7 bez nových firmwarů, staré Supermicro X9), ipmi_exporter je jediná funkční varianta. Pokud je vše nové nebo aktualizované — redfish_exporter dává plnější data a lépe škáluje. Ve smíšeném parku má smysl držet oba exportery současně s různými joby v Prometheu.

4.2 Zabbix

Zabbix podporuje IPMI monitoring z krabice. V panelu správy je potřeba zapnout IPMI rozhraní pro hosta, uvést IP BMC, port 623, credentials. Dále Zabbix používá vestavěné šablony (Template Module IPMI) s metrikami senzorů. To je jednoduché, ale Zabbix podporuje pouze IPMI 1.5/2.0, ne Redfish.

Pro Redfish v Zabbixu je potřeba použít HTTP agent item s ruční konfigurací URL dotazů a JSON preprocessingu. Není to tak elegantní jako přes exporter, ale funguje. V Zabbixu 6.4+ se objevily hotové komunitní šablony pro Dell iDRAC a HPE iLO přes Redfish, které tuto část zjednodušují.

4.3 Grafana dashboardy

Hotové dashboardy se standardní vizualizací lze vzít z Grafana.com. Vyhledávání podle „IPMI", „Redfish", „BMC", „Hardware Sensors" dává několik populárních variant s tisíci stažení. Standardní sada panelů: teploty CPU/čipsetu ve formě time-series, otáčky ventilátorů jako barchart, heatmap serverů v racku, tabulka kritických SEL událostí za posledních 24 hodin.

4.4 Klíčové metriky pro monitoring

Minimální užitečná sada metrik z BMC pro produkční monitoring:

  • Teplota CPU a základní desky. Je to nejranější indikátor problémů s chlazením (zaprášený chladič, vypnutý ventilátor, chyby senzorů)
  • Otáčky všech ventilátorů. Prudký pokles na nulu znamená mechanické selhání, postupný nárůst při stabilní zátěži — opotřebení ložisek nebo přehřívání v zóně senzoru
  • Stav napájecích zdrojů. Redundantní konfigurace se dvěma PSU má smysl jen pokud vidíte, kdy je jeden z nich odpojen (například od vlastního UPS). Dotazovat lze zřídka — jednou za několik hodin nebo dvakrát denně, protože stav PSU se nemění často
  • Celková spotřeba ve wattech. Užitečné jak pro capacity planning (kolik napájení naplánovat do racku), tak pro detekci anomálií (náhlý nárůst může znamenat postupnou degradaci hardwaru)
  • ECC chyby paměti. Jedna opravitelná chyba (corrected error) za měsíc je normální; deset denně signalizuje DIMM, který je potřeba vyměnit dřív, než přejde do stavu neopravitelných chyb (uncorrected)
  • SEL události s úrovní warning a critical. To je hotový alert: pokud se v SEL objevil záznam o critical, tam se vyplatí okamžitě podívat
  • Dostupnost samotného BMC. Metrika ipmi_up{collector="ipmi"} (nebo analogická pro redfish): pokud BMC neodpovídá, je to buď síťový problém, nebo je potřeba samotný BMC resetovat

5. Shrnutí: úplné schéma automatizace

ipmitool a Redfish nejsou otázkou „buď-anebo", ale dva nástroje pro různé úkoly v roce 2026:

  • ipmitool je rychlý start: jeden příkaz, široká kompatibilita s jakýmkoli BMC za posledních 20+ let, univerzální nástroj pro havarijní scénáře a legacy hardware. Pokud je na novém serveru potřeba za minutu podívat se na teplotu CPU nebo restartovat stroj — ipmitool to dělá nejkratší cestou.
  • Redfish je budoucnost out-of-band automatizace: jednotné API nezávisle na výrobci, obvyklý JSON formát, HTTPS s TLS 1.2/1.3 místo zastaralého RMCP+, hotová integrace s moderními nástroji (Ansible má nativní redfish moduly, Terraform podporuje přes providery, Prometheus má exporter). Vše nové se vyplatí dělat na Redfish.

Úplné funkční schéma monitoringu hardwaru vypadá takto:

  • Zdroj dat: BMC serverů (iDRAC / iLO / Supermicro BMC / ASUS ASMB) ve vyhrazené management síti
  • Exporter: redfish_exporter pro moderní hardware, ipmi_exporter jako fallback pro staré BMC. Oba běží vedle Prometheu v monitorovací síti
  • Sběr metrik: Prometheus scrapuje exportery jednou za 1-5 minut pro typické metriky (teplota, ventilátory, spotřeba); frekvence závisí na tom, jak rychle chcete vědět o změnách a kolik zátěže jste ochotni dát BMC
  • Vizualizace: Grafana s hotovými dashboardy pro hardware sensors, samostatné panely pro kritické metriky každého racku
  • Alerty: Alertmanager reaguje na přechody prahů (teplota CPU > 85°C po dobu 5 minut, ECC chyby > 10 za hodinu, PSU redundancy loss, ipmi_up{collector="ipmi"} == 0), posílá do Telegramu/Slacku a/nebo PagerDuty pro noční službu
  • Automatické akce: pro scénáře, které lze automatizovat (například restart zamrzajícího BMC přes ipmitool mc reset cold), samostatné skripty nebo Ansible playbooky, které se spouštějí přes webhook, který posílá Alertmanager

Výsledek: místo „o přehřátí CPU se dozvím ze stížností klientů", máte alert 20 minut předtím, než CPU začne throttlovat. Místo „nevím, kolik serverů v racku je potřeba zkontrolovat po výpadku napájení", máte seznam těch, u kterých ipmi_up{collector="ipmi"} == 0. To je to, kvůli čemu se vyplatí investovat čas do nastavení CLI automatizace i tehdy, kdy webové rozhraní BMC formálně dovoluje totéž.

🚀 Dedikované servery s plným BMC přístupem

Všechny dedikované servery Hostiserver se dodávají s aktivním BMC a síťovým přístupem k němu přes izolovanou management síť. Získáváte plnou CLI kontrolu přes ipmitool, plnohodnotné Redfish API pro integrace, hotovou infrastrukturu pro sběr metrik do vašeho Prometheu.

🖥️ Dedikované servery

  • Od $90/měs, fyzický server s plnou hardwarovou kontrolou
  • IPMI/iDRAC/iLO v ceně s licencemi KVM over IP a Virtual Media
  • Redfish API připravené k integraci do vašeho monitoringu od prvního dne
  • Izolovaná management síť pro bezpečný přístup k BMC
  • 24/7 podpora: inženýři pomohou s nastavením exporterů, dashboardů, alertů

💻 Cloud (VPS) Hosting

  • Od $19.95/měs, KVM izolace, vyhrazené vCPU a RAM
  • API pro automatizaci: vytváření, reboot, reinstall přes panel nebo programově
  • Ideální pro hostování Prometheus/Grafana stacku s monitoringem vašich dedikovaných serverů

💬 Nejste si jisti, která varianta je pro vás?
💬 Napište nám a se vším pomůžeme!

Časté dotazy

Je bezpečné držet otevřený IPMI port 623 v management síti?

Uvnitř izolované management sítě, nedostupné z internetu — ano, to je standardní praxe. Ale i v ní se vyplatí uzavřít přístup firewall pravidly tak, aby port 623 byl otevřen jen z IP adres exporterů a admin workstationů. Důvod: pokud útočník kompromituje jeden stroj v management síti, okamžitě získává možnost zkoušet CVE-2013-4786 (RAKP hash disclosure) a Cipher 0 bypass na všech sousedních BMC. Redfish na portu 443 je méně rizikový díky TLS, ale i pro něj se vyplatí mít whitelisting.

Lze používat ipmitool přes SSH k BMC místo IPMI-over-LAN?

SSH přístup na BMC (dostupný na iDRACu, iLO, některých Supermicro) je samostatné rozhraní, obvykle s vlastním CLI od výrobce: racadm u Dellu, hpiLO-shell u HPE, SMCIPMITOOL u Supermicro. Syntaxe u nich je jiná než u standardního ipmitool, ale funkčnost je podobná. Výhoda: SSH jde na port 22 s normální autentizací a moderním šifrováním, bezpečnější než IPMI-over-LAN. Nevýhoda: skripty napsané pod racadm se nepřenášejí na iLO a naopak, tedy ztrácíte cross-vendorovost. Pro dočasnou ruční práci je to normální, pro skripty lepší Redfish.

Proč je Prometheus lepší než Zabbix pro BMC monitoring?

To není univerzální „lepší", ale různé filozofie. Zabbix je blíž klasickému enterprise monitoringu: agent, šablony, GUI pro konfiguraci, vestavěný alerting. Pro BMC to funguje rychle z krabice, ale škáluje hůř a Redfish integrace je méně zralá. Prometheus je pull model s exportery, konfiguračními soubory místo GUI, PromQL pro dotazy, samostatným Alertmanagerem. Pro velké a různorodé infrastruktury s Kubernetes a mikroslužbami Prometheus obvykle vyhrává, protože BMC metriky leží vedle zbytku observability dat. Pro čistě hardwarový monitoring s malým parkem může být Zabbix jednodušší. Mixovat oba také lze.

Jak ukládat hesla BMC ve skriptech a exporter konfigurácích?

Nikdy je neukládejte v git repozitáři otevřeným textem. Pro konfigurace exporterů na serverech — soubory s právy 600 a vlastníkem root (nebo samostatným systemd uživatelem). Pro CI/CD pipelines — HashiCorp Vault, AWS Secrets Manager, Azure Key Vault, GitHub Actions Secrets. Pro lokální skripty — pass, gopass, nebo alespoň samostatný env soubor mimo git repozitář. Velmi špatný, ale rozšířený antipattern: hardcoded heslo ve skriptu s komentářem „TODO: přesunout do vaultu" — toto „TODO" se nikdy neudělá. Lepší psát rovnou správně, i pro one-off skripty.

Existují hotové Ansible moduly pro Redfish?

Ano, v collection community.general jsou nativní moduly: redfish_info (GET dotazy pro inventarizaci a monitoring), redfish_config (změna nastavení BMC), redfish_command (akce typu power on/off/reset, připojení virtual media, aktualizace firmwaru). Syntaxe je deklarativní: popisujete žádoucí stav, Ansible porovnává s aktuálním a aplikuje změny. To je nejrychlejší cesta od „mám 50 nových serverů v DC" k „všech 50 s identickým nastavením BIOSu a nainstalovaným OS". Pro iDRAC je ještě samostatná collection dellemc.openmanage s rozšířenými Dell-specifickými moduly.

Co dělat, pokud BMC odpovídá pomalu a exporter nestíhá scrape interval?

Typický problém na velkých parcích. Za prvé, zvýšit scrape_interval na 60-120 sekund (ne všechny BMC metriky je potřeba snímat každých 15 sekund, to není CPU graf aplikace). Za druhé, zvýšit scrape_timeout na 30-45 sekund. Za třetí, pro velký park rozdělit exportery podle geografie: jeden exporter blízko DC A, druhý blízko DC B. Dále, pro redfish_exporter se vyplatí zapnout sessionové tokeny — to je znatelně rychlejší než Basic Auth na každý požadavek. A zvlášť: pokud je BMC firmware velmi starý, aktualizace firmwaru často několikanásobně zrychlí odpověď na API požadavky.

Lze aktualizovat BIOS/UEFI přes Redfish, ne jen firmware BMC?

Ano, to je standardní use case v roce 2026. Zdroj /redfish/v1/UpdateService umožňuje nahrát image (BIOS, BMC firmware, RAID kontroler, NIC firmware) a aplikovat ho přes POST požadavek. Pro většinu BIOS aktualizací je potřeba reboot serveru, to je očekávané. Pro BMC firmware — jen reboot samotného BMC, což je pro OS transparentní. U Dell iDRAC 9+ a HPE iLO 5+ to funguje spolehlivě, u Supermicro záleží na generaci (X13+ spolehlivě, starší desky občas vyžadují fallback na vlastní utilitu výrobce). Pro hromadnou aktualizaci na desítkách serverů se vyplatí to formalizovat jako Ansible playbook s modulem redfish_command, přidat rozestupy mezi servery a monitoring úspěšnosti.

Contents

Sdílejte tento článek

MANAGED VPS STARTING AT

$19 95 / mo

NEW INTEL XEON BASED SERVERS

$80 / mo

CDN STARTING AT

$0 / mo

 

Tento web používá cookies. Používáním tohoto webu souhlasíte s politikou ochrany osobních údajů.