Введение в загрузку по сети и Etherboot
Эта глава написана Ken Yap ken.yap@acm.org и объясняет способ загрузки компьютера без доступа к вашему жесткому диску с размещенной в энергонезависимой памяти программы. Это идеальная техника для содержания и настройки группы linux компьютеров.
Что такое загрузка по сети?
Как это работает?
Для загрузки по сети, компьютер должен получить
образ операционной системы и
обычно, рабочую файловую систему.
Пример обмена информацией BOOTP выглядит подобным образом:
BOOTP сервер: (Смотрит в базу данных адресов.) Твое имя aldebaran, твой IP адрес 192.168.1.100, твой сервер 192.168.1.1, твой предполагаемый загрузочный файл /tftpboot/vmlinux.nb (и еще несколько частей информации).
и так далее, пока не будет передан весь файл. Переговариваясь, он подтверждает передачу каждого блока, и потеря пакета будет обнаружена и пакет будет передан через таймаут. Когда все блоки получены, сетевой boot ROM передает управление в точку входа образа операционной системы.
Сетевая загрузка на практике
Возьмите пакет nfsboot (пакет доступен на вашем любимом зеркале linux в каталоге /pub/Linux/system/Linux-boot directory). Он содержит booteprom образ вашей сетевой карты (например wd8013), который можно непосредственно записать. Также смотрите LTSP сайт http://www.ltsp.org
Вам не следует настраивать их одновременно, вы можете делать поэтапно, проверяя работоспособность каждого этапа перед тем, как переходить к следующему.
Bootp
Установите Bootp. Ищите bootp*.rpm на компакт-диске Redhat linux. Также взгляните на RPM пакеты на сайте LTSP http://www.ltsp.org. Просмотрите следующие страницы руководств ‘man 5 bootptab’, ‘man 8 bootpd’, ‘man 8 bootpef’, ‘man 8 bootptest’. Затем проверьте, что сервер ожидает bootp запросы. Демон может быть запущен либо непосредственно командой
либо используя inetd, отредактируйте файл /etc/inetd.conf и вставьте похожую строку:
Вставьте или раскомментируйте следующие две строки в /etc/services:
Если вы модифицировали /etc/inetd.conf, перезапустите inetd, послав процессу HUP сигнал.
Далее, вам следует указать bootp базу данных с соответствиями Ethernet адресов IP адресам. Эта база данных находится в /etc/bootptab. Вы должны модифицировать ее вставив IP адрес вашего шлюза (gateway), dns сервера, и ethernet адреса ваших бездисковых машин. Он содержит строки следующего вида:
Можно указать и прочую информацию, но мы начнем с простого.
Другой пример /etc/bootptab:
поле sm содержит маску подсети (subnet mask)
поле ds содержит адрес DNS сервера
поле gw содержит адрес шлюза (gateway)
поле ht содержит аппаратный тип сети
поле bf содержит имя загрузочного файла
После этого, каждая машина должна быть представлена строкой:
первое поле содержит имя хоста,
поле hd содержит каталог загрузочного файла,
общий шаблон может быть указан в поле tc
поле ha содержит аппаратный адрес ethernet карты
поле ip содержит назначаемый ip адрес.
Теперь загрузите бездисковый компьютер с дискеты, и он должен обнаружить вашу Ethernet карту и выдать широковещательный BOOTP запрос. Если все идет как надо, сервер должен вернуть ему требуемую информацию. Так как /tftpboot/vmlinux.nb еще не существует, у него не получится загрузить этот файл. Теперь вам следует скомпилировать специальное ядро, оно должно включать опцию монтирования корневой файловой системы с NFS. Также вам следует включить опцию получения IP адреса из BOOTP ответа. Также вы должны включить в ядро Linux драйвер вашей сетевой карты, а не загружать его как модуль. Можно загружать начальный ramdisk, и таким образом сделать возможной загрузку модулей, но этим лучше заняться позже.
Простой tftp: обозначает, что клиент получает доступ ко всем файлам вашей системы. Это просто, но образуется большая дыра в безопасности (любой может получить по tftp ваш файл с паролями).
Обычно tftpd запускается из inetd подобного вида строкой в /etc/inetd.conf.
Еще раз перезапустите inetd, послав ему HUP сигнал, и снова попробуйте загрузиться по сети, на этот раз должно загрузиться и выполниться ядро. Вы заметите, что загрузка продолжается до точки, где ядро пытается смонтировать корневую файловую систему. Теперь вы должны настроить экспорт NFS разделов.
Корневая файловая система на NFS
В идеале, для создания корневой файловой системы вам нужно знать какие из файлов вашего дистрибутива должны присутствовать. Критичными для загрузки являются файлы устройств, файлы в /sbin и /etc. Вы можете избежать тяжелой работы, создав копию корневой файловой системы и модифицировав несколько файлов для бездискового компьютера. В дистрибутиве Etherboot есть учебник и ссылки на группу скриптов, которые создают корневую файловую систему бездискового компьютера из существующей корневой файловой системы сервера. Также в документации Etherboot есть подсказки, так как это часто сложная часть установки.
Подстроенное для бездискового компьютера ядро Linux ожидает увидеть корневую файловую систему в /tftpboot/(IP адрес бездискового компьютера), например: /tftpboot/192.168.1.100 в вышеприведенном случае. По желанию его можно изменить при конфигурировании ядра.
Теперь создайте или отредактируйте на сервере /etc/exports (см. ‘man 5 exports’ и ‘man 8 exportfs’) и поместите строку следующего вида:
Доступ rw требуется различным системным службам. Атрибут no_root_squash предохраняет NFS систему от отображения root идентификатора на другой. Если это не указано, различные демоны и программы регистрации будут несчастны.
Предоставить несколько требуемых файлов в небольшом каталоге /usr на корневой файловой системе, который далее будет перекрыт при импорте /usr, и
Модифицировать пути для поиска файлов в корневой файловой системе. Файлы нужно редактировать в каталоге /tftpboot/192.168.1.100 (помните, что это корневой каталог бездискового компьютера).
Возможно, вы захотите монтировать сервера и другие каталоги, такие как /usr (который должен экспортироваться в режиме только для чтения).
Создание EPROM
Когда вы уверены, что без проблем сможете загружаться по сети, вы можете поместить код в EPROM.
Использование загрузки по сети
Одним из основных способов использования загрузки по сети являются X-терминалы. Отсутствие диска на терминале делает его более тихим и предоставляет удобное рабочее окружение. В идеале, машина должна иметь 16 или более мегабайт памяти и самую лучшую видео карту, которую вы сможете для нее найти. Это идеальное использование устаревших старших 486 и нижних Pentium моделей. Некоторые люди используют загрузку по сети для создания кластеров машин, с упрощенным обслуживанием, например кластера из машин в одной комнате.
Дополнительная информация
Для начала вам следует остановиться на домашней странице Etherboot: http://www.slug.org.au/etherboot/ или зеркале и google-сайт
Там вы найдете ссылки на другие ресурсы, включая списки рассылки на которые вы можете подписаться, и где обсуждаются проблемы и решения по данной теме.
NFS-root Mini Howto на /usr/doc/HOWTO/mini или на компакт-диске Linux.
Linux Networking-HOWTO by Terry Dawson, на /usr/doc/HOWTO или на компакт-диске linux 94004531@postoffice.csu.edu.au
NET-3-Howto на /usr/doc/HOWTO или компакт-диске Linux.
/usr/src/linux/README о настройке и компиляции ядра
Получение и настройка сервера загрузки для параллельного хранилища данных
В этой статье описывается, как получить и настроить сервер загрузки в качестве системы Windows, не являющейся устройством управления, для отправки данных в Параллельное хранилище данных (PDW).
Основные сведения
Не обязательно должен быть одиночным сервером. Можно загрузить параллельно с несколькими загружаемыми серверами.
Предоставляется и управляется собственной ИТ-группой. Возможно, у вас уже есть сервер или серверы, которые можно использовать для загрузки данных в PDW.
Находится в собственной стойке и не может быть помещена в устройство системы аналитики.
Подключен к устройству через сеть устройства InfiniBand или через Ethernet. Для повышения производительности рекомендуется использовать InfiniBand.
Находится в вашем домене клиента, а не в домене устройства. Нет отношения доверия между доменом клиента и доменом устройства.
Шаг 1. Определение требований к емкости
Система загрузки может быть разработана как один или несколько загружаемых серверов, выполняющих параллельную загрузку. Каждый сервер загрузки не обязательно должен быть выделен только для загрузки, если он будет обрабатывать требования к производительности и хранению рабочей нагрузки.
Шаг 2. получение Ссервер
Теперь, когда вы лучше понимаете требования к емкости, вы можете спланировать серверы и сетевые компоненты, которые потребуется приобрести или подготавливать. Включите в план приобретения приведенный ниже список требований, а затем приобретите сервер или подставьте существующий сервер.
Требования к программному обеспечению
Поддерживаемые операционные системы
Windows Server 2012 или Windows Server 2012 R2. Для этих операционных систем требуется сетевой адаптер FDR.
Windows Server 2008 R2. Для этой операционной системы требуется сетевой адаптер DDR.
Чтобы использовать средство загрузки dwloader Command-Line, сервер должен использовать языковой стандарт EN-US. dwloader не поддерживает другие языковые стандарты.
Требования к сети для Windows Server 2012 и Windows Server 2012 R2
Хотя для загрузки серверов не требуется, InfiniBand является рекомендуемым типом соединения. Для достижения оптимальной производительности используйте Windows Server 2012 или Windows Server 2012 R2 и сетевой адаптер FDR InfiniBand для подключения сервера загрузки к сети устройства InfiniBand.
Для подготовки к подключению к Windows Server 2012 или Windows Server 2012 R2 InfiniBand:
Запланируйте в стойку сервер, достаточный для устройства, чтобы его можно было подключить к коммутаторам InfiniBand устройства. Дополнительные сведения о технологиях Mellanox для InfiniBand см. в техническом документе Введение в InfiniBand.
Приобретите сетевой адаптер для одного или двух портов Mellanox ConnectX-3 FDR InfiniBand. Рекомендуется приобрести сетевой адаптер с двумя портами для отказоустойчивости при передаче данных. Для обеспечения высокой доступности требуется два порта сетевого адаптера.
Приобрести 2 FDR по кабелю InfiniBand для платы с двумя портами или 1 FDR InfiniBand для одной карты порта. Кабели FDR InfiniBand будут подключать сервер загрузки к сети устройства InfiniBand. Длина кабеля зависит от расстояния между сервером загрузки и коммутаторами устройства InfiniBand в соответствии с вашей средой.
Шаг 3. Подключение сервера к сетям InfiniBand
Выполните следующие действия, чтобы подключить сервер загрузки к сети InfiniBand. Если сервер не использует сеть InfiniBand, пропустите этот шаг.
Стойка. сервер достаточно близок к устройству, чтобы вы могли подключить его к сети устройства InfiniBand.
Установите сетевой адаптер InfiniBand Mellanox ConnectX-3 FDR InfiniBand на сервер загрузки.
Используйте кабели FDR для подключения сетевого адаптера InfiniBand к одному из двух коммутаторов InfiniBand в первой стойке устройства.
Установите и настройте соответствующий драйвер Windows для сетевого адаптера InfiniBand.
Настройте параметры InfiniBand и DNS для сетевых адаптеров. Инструкции по настройке см. в статье Настройка сетевых адаптеров Infiniband.
Шаг 4. Установка средств загрузки
Клиентские средства доступны для загрузки из центра загрузки Майкрософт.
Чтобы установить dwloader, запустите установку dwloader из клиентских средств.
Если вы планируете использовать Integration Services для загрузки, необходимо установить Integration Services и конечные адаптеры Integration Services. Адаптеры доступны в клиентских средствах.
Шаг 5. Запуск загрузки
Теперь все готово для начала загрузки данных. Дополнительные сведения см. в разделе:
Производительность
Для лучшей загрузки в Windows Server 2012 и более поздних версиях включите мгновенную инициализацию файлов, чтобы при перезаписи данных операционная система не перезаписала существующие данные нулями. Если это является угрозой безопасности, так как на дисках по-прежнему существуют предыдущие данные, не забудьте отключить мгновенную инициализацию файлов.
Уведомления о безопасности
Поскольку данные для загрузки не хранятся на устройстве, ИТ-группа несет ответственность за управление всеми аспектами безопасности для загрузки данных. Например, это включает в себя управление безопасностью данных для загрузки, безопасность сервера, используемого для хранения нагрузок, и безопасность сетевой инфраструктуры, которая подключает сервер загрузки к устройству SQL Server PDW.
Особенно важно защитить каждый сервер загрузки, который будет использовать средство загрузки командной строки dwloader. Когда dwloader загружает данные, сначала выполняется проверка подлинности с помощью управляющего узла, а после успешной проверки подлинности перемещает данные с сервера загрузки непосредственно на ресурсы для вычислений по каналам данных. Проверка сертификата не происходит во время встряхнитеа между каждым сервером загрузки и каждым из этих узлов. При этом на каждом канале данных во время загрузки ресурсы для вычислений остаются доступными для потенциальных атак «злоумышленник в середине». Эти атаки могут привести к несанкционированным данным и (или) раскрытию информации.
Чтобы снизить риски безопасности с помощью данных, мы рекомендуем следующее:
Назначьте одну учетную запись Windows, которая используется исключительно для загрузки данных в PDW. Разрешить этой учетной записи иметь разрешения на доступ к расположению загрузки и совсем не другие.
Назначьте одного пользователя PDW, обладающего разрешениями на загрузку данных. В зависимости от требований безопасности у вас может быть один конкретный пользователь для каждой базы данных.
Операции на сервере загрузки могут принимать путь UNC, из которого извлекаются данные за пределами доверенной внутренней сети. А злоумышленник в сети или с возможностью влиять на разрешение имен может перехватывать или изменять данные, отправленные в SQL Server PDW. Это представляет риск несанкционированного доступа и раскрытия информации. Для устранения незаконного изменения необходимо выполнить вход с подключением. Чтобы уменьшить этот риск, установите следующий параметр групповой политики в области политики безопасности \ \ сервер \ Параметры \ на сервере загрузки: Клиент сети Microsoft: Цифровая подпись (всегда): включено.
Отключите мгновенную инициализацию файлов в Windows Server 2012 и более поздних версиях. Это компромисс между производительностью и безопасностью, как указано в разделе «производительность». Необходимо решить, что лучше в соответствии с вашими требованиями к безопасности.
сервер загрузки
Смотреть что такое «сервер загрузки» в других словарях:
Сервер проверки подлинности локальной системы безопасности — Сервер проверки подлинности локальной системы безопасности (англ. Local Security Authority Subsystem Service, LSASS) часть операционной системы Windows, отвечающей за авторизацию локальных пользователей отдельного компьютера. Сервис… … Википедия
День загрузки — Запрос «Firefox» перенаправляется сюда. Cм. также другие значения. Mozilla Firefox Firefox 3.0 на платформе GTK+/Linux Тип Браузер … Википедия
Процесс исполнения клиент-сервер — Подсистема клиент/сервер времени выполнения (англ. Client/Server Runtime Subsystem, CSRSS) или csrss.exe, входит в состав операционной системы Microsoft Windows NT, и предоставляет собой часть пользовательского режима подсистемы Win32.… … Википедия
протокол сетевой загрузки Java-приложений — Позволяет распространять Java приложения через веб сервер и запускать их из веб браузера [http://ivb.unact.ru/glossary/index j.html]. [http://www.morepc.ru/dict/] Тематики информационные технологии в целом EN Java Network Launching ProtocolJNLP … Справочник технического переводчика
HTTP — Название: Hypertext Transfer Protocol Уровень (по модели OSI): Прикладной Семейство: TCP/IP Создан в: 1992 г. Порт/ID: 80/TCP Спецификация … Википедия
Протокол передачи гипертекста — HTTP Название: Hypertext Transfer Protocol Уровень (по модели OSI): Прикладной Семейство: TCP/IP Создан в: 1990 г. Порт/ID: 80/TCP Назначение протокола: Доступ к гипертексту, ныне стал универсальным Спецификация: RFC 1945 … Википедия
Защищённая загрузка терминальных клиентов — способность терминальных клиентов безопасно загружать операционную систему. Основным решением безопасной загрузки является проверка целостности и аутентичности файлов операционной системы, которые могут храниться на локальном жёстком диске,… … Википедия
Веб-прокси — Схема подключения к Интернет через веб прокси Содержание 1 Использование веб прокси … Википедия
Fedora — Fedora … Википедия
Tftp — Название: Trivial File Transfer Protocol Уровень (по модели OSI): Прикладной Семейство: IP Создан в: 1980 г. Порт/ID: 69/UDP Назначение протокола: Передача файлов Спецификация: RFC 1350 / … Википедия
BootDev
Создание загрузочных дисков и прочие полезные мелочи
Страницы
2020-01-02
Загрузка по сети: UEFI PXE
В предыдущих статьях, по теме загрузки по сети, все используемые загрузчики, и загрузка с использованием технологии PXE происходила в Legacy-режиме, то есть в режиме старого BIOS. Я решил дополнить данную тему, рассмотрев загрузку по сети в современном стандарте UEFI.
Содержание
В Чем Отличия
Кардинальных отличий в реализации загрузки с использованием технологии PXE для UEFI BIOS нет. Я даже скажу больше, все необходимые настройки полностью идентичны. Но, обо всем по порядку.
Технология PXE базируется на трех составляющих:
1. TFTP-сервер. Предназначен для загрузки файлов по сети. На данном сервере хранятся все загрузочные файлы, с последующим предоставлением их по требованию, без какой-либо авторизации.
2. DHCP-сервер. Предназначен для автоматической выдачи сетевых настроек в сети без необходимости их прописывания вручную на сетевых машинах обладающих соответствующим DHCP-клиентом. То есть, вы подключаете машину с включенным DHCP-клиентом в сеть в которой присутствует DHCP-сервер, и можно использоваться сетью. Хочу так же заметить, что кроме стандартных настроек сети (IP-адресс, маску подсети, Шлюз, и IP-адрес DNS-сервера), DHCP-сервер участвующий в PXE составляющей, должен передавать информацию о TFTP-сервере, и об имени главного исполняемого загрузочного файла.
3. Загрузочный клиент. Программный код вшитый в прошивку сетевой карты или UEFI BIOS материнской платы. Его задача получить необходимые настройки сети, выполнить соединение с TFTP-сервером, и загрузить с него загрузочный файл и выполнить его
Сервера TFTP и DHCP при этом могут быть запущенны на совершенно разных машинах, единственное требование, чтобы они располагались в одной сети.
Все вышесказанное характерно как для Legacy BIOS, так и для UEFI BIOS. Единственное отличие для UEFI PXE, это указание исполняемого файла в настройках DHCP-сервера предназначенного именно для UEFI BIOS.
Учитывая все вышесказанное, настоятельно рекомендую прочитать про установку и настройку DHCP и TFTP сервера, а так же про установку и настройку загрузчика Windows Boot Manager на TFTP-сервер. Данные статьи полностью актуальны на данный момент времени, и информация из них будет использоваться далее по тексту.
Необходимые Программы
Для осуществления загрузки в UEFI PXE потребуется следующие программы и файлы:
1. Программа Tftp32(64). Компактный инструмент сочетающий в себе TFTP, DHCP, DNS, и Syslog службы.
2. Программа BOOTICE. Невероятно мощный инструмент для создания и работы с загрузочными дисками.
3. Установочный *.ISO образ операционной системы Windows. Скачать его можно на официальном сайте Microsoft, абсолютно бесплатно, и без какой-либо регистрации. Скачивание происходит через программу MediaCreationTool.
4. Один из загрузочных WinPE, мультизагрузочной сборки 2k10.
Настройка TFTP-сервера
Как было сказано ранее, установка и конфигурация программы Tftp32(64) уже была подробно рассмотрена в данной статье, поэтому я ограничусь лишь небольшим демонстрационным скринкастом.
В данном скринкасте отображена настройка TFTP-сервера, с корневой директорией D:\TFTP, и настройка DHCP-сервера, но без указания имени исполняемого загрузочного файла.
Имя загрузочного файла будет добавлено в следующем разделе.
Директория D:\TFTP на данный момент пуста.
Данная директория является корневой для TFTP-сервера, и будет содержать все необходимые загрузочные файлы.
Установка UEFI-загрузчика
В качестве загрузчика будет выступать Windows Boot Manager (BOOTMGR). Установка данного загрузчика на TFTP-сервер так же рассматривалась ранее. Принцип полностью схож, различаются лишь копируемые файлы.
Первым делом, копируем из установочного *.ISO образа операционной системы Windows, папку \efi\microsoft\boot в корневую директорию TFTP-сервера D:\TFTP.
Следующим, копируем файл \efi\boot\bootx64.efi, так же в корневую директорию TFTP-сервера.
И последним, копируем файл \boot\boot.sdi в директорию boot (D:\TFTP\boot) корневой директории TFTP-сервера.
Установочным ISO-образом ОС Windows на этом покончено. Переходим к мультизагрзочному диску 2k10.
Создадим в корневой папке TFTP-сервера директорию sources (D:\TFTP\sources).
Скопируем в созданную директорию файл \2k10\WinPE\W1064PE.wim, из загрузочного ISO-образа мультизагрузочной сборки 2k10.
Переименуем скопированный файл в boot.wim.
Перейдем к настройке загрузчика. Вместо подробного рассмотрения я приведу лишь скринкаст, так как все действия полностью аналогичны проделанным в этой статье.
Запускаем BOOTICE. Открываем в нем конфигурационный файл скопированного загрузчика D:\TFTP\boot\bcd. И выполняем действия приведенные в скринкасте.
Конфигурация касалась двух параметров, первый отвечал за отображения старомодной полоски загрузки, вместо крутящихся шариков, а второй отключал встроенную проверку загружаемых архивов *.wim.
Осталось только вписать имя исполняемого загрузочного файла в конфигурацию DHCP-сервера. Данным файлом в нашем случае является D:\TFTP\bootx64.efi.
Загрузчик, и тестовое содержимое на этом установлены.
Загрузка Тестового BOOT.WIM
Тестировать загрузку по сети будем в виртуальной машине VMware Workstation Player.
Тестовая виртуальная машина обязательно должна смотреть в вашу реальную сеть.
Запускаем программу Tftp32(64), если она была закрыта. Далее стартуем виртуальную машину и выбираем загрузку по сети в UEFI-режиме.
Начнет выполняться UEFI PXE клиент.
После получения всех необходимых сетевых настроек, запустится скачивание загрузчика и всех необходимых ему файлов с нашего TFTP-сервера.
После скачивания всех необходимых файлов в оперативную память виртуальной машины, последует их запуск. В моем случае, будет запущена WinPE взятая с мультизагрузочного диска 2k10.
Загрузка в UEFI PXE режиме прошла успешно.
В статье было рассмотрено: Как осуществить загрузку в UEFI PXE режиме? Как настроить программу TFTP32(64) для загрузки в UEFI-режиме? Как установить UEFI-загрзчик на TFTP-сервер?
Как можно заметить, отличий в реализации загрузки по сети между UEFI и Legacy режимом нет. Вся разница лишь в прописываемом исполняемом загрузочном файле, и файлах загрузчика. Что касаемо других загрузчиков, то с ними дела обстоят ровно так же. Все что необходимо, это лишь использовать их UEFI версии.