Brasil Digital@Intel

Como fazer a ativação do Intel© vPro™ - Modo Enterprise: PSK

2009-10-20T17:49:09Z

Conforme discutido no post anterior, onde examinamos o modo provisionamento de um equipamento vPro usando PKI, agora vamos explorar como fazê-lo usando o modo PSK (Phase-Shift Keying).

Neste modo, o sigilo entre o vPro e o servidor que hospeda as configurações é feito via chaves simétricas, portanto neste modo é necessário que seja trocado a chave simétrica ou o segredo entre o servidor e o cliente. No jargão do vPro chamaremos isso de par PID/PPS, onde o PID é o identificador da chave a ser utilizada e o PPS é de fato a chave usada na cifra.

Essa abordagem do ponto de vista técnico é a mais simples por não haver grande dependência da infra-estrutura de rede em relação ao PKI, porém tem o inconveniente de necessitar que “toquemos” em cada máquina para gravar o PID/PSS no AMT da máquina, diferente do PKI. Apesar de o processo ser otimizado utilizando para isso pen-driver USB, ainda é necessário iniciar a máquina com ele inserido e aguardar alguns segundos para que o AMT leia e grave a chave na sua memória.

Vamos ver como seguir com esse modelo…

Utilizando o SCS para realizar o provisionamento via PSK, devemos seguir os passos conforme apresentado:

Para maiores detalhes sobre como instalar o SCS, consulte o manual de instalação aqui

Autenticação

Antes de seguirmos na definição das configurações, é necessário tomar uma decisão a respeito da autenticação que será utilizada com a máquina vPro. Podemos usar digest authentication e/ou kerberos integrado ao Active Directory da Microsoft.

O AMT já vem com uma conta digest authentication que não pode ser apagada chamada “admin”, porém pode ser definida outras contas digest authentication e/ou associação com contas presentes no Active Directory. Dentro do SCS você tem a opção de selecionar como deseja que o SCS se comporte neste caso. Em “Tools” -> “Settings”, na tab “Network Settings” há três opções para “Active Directory Integration”:

“None” é a opção sem integração e também deverá ser selecionada essa opção caso esteja provisionando o vPro para ser utilizado com o CACIC 2.4;

“Standard” é a opção recomendada para caso deseja utilizar kerberos, pois não demanda extensão do Active Directory e usa uma conta de computador para criar o objeto AMT no AD - ela será criada com o nome “NomeDaMáquina$iME”;

“Schema Extention” essa opção só é utilizada para compatibilidade retroativa com as versões anteriores do SCS onde era necessário o uso de um objeto criado especificamente para o AMT, que não é mais obrigatório;

Pacote de Configuração

O primeiro passo é definir o perfil de configuração que será aplicado a máquina vPro, para tanto dentro do Intel SCS, no lado esquerdo da tela expanda a pasta “Profile”, e clique com o botão direito do mouse em “All Profiles” e selecione “Add Profile”. Será perguntado para inserir um nome que o identificará em relação a outros perfis que possam existir e uma breve descrição do perfil. Quando estiver pronto, clique em “Next”.

Serão perguntados quais serviços devem ser habilitados (WebUI, Serial Over LAN e IDE Redirection), qual será o comportamento do vPro dependendo dos estados de energia da máquina (o ideal é que permaneça sempre ligado = Always on (S0-S5)).

Na tela seguinte podem-se definir outros atributos de configuração, como autenticação em rede segura (ie. 802.1x wired ou wireless, NAC ou NAP), configurações das redes sem-fio, etc.

Agora precisamos definir as configurações das contas e sua respectiva autorização:

Já existe uma conta pré-configurada que é o “admin”, porém podem ser acrescidas outras contas. Nesta tela também definimos quais serão as senhas do “admin” para cada uma das máquinas vPro provisionadas com este perfil:

Para a conta admin, por exemplo, podemos definir uma que seja igual para todas as máquinas, que é a opção mais utilizada quando se usa uma console de gerencia sem capacidade de integração com o SCS ou selecionar para colocar uma senha aleatória em cada uma das máquinas “Randomize Password”. Algumas consoles utilizam a conta admin para gerenciamento do vPro ou outra de serviço criada especificamente para essa tarefa.

Não havendo mais configurações a serem feitas, terminamos a etapa de configuração do perfil:

Troca de Segredos

O primeiro passo para a troca de segredos, é a criação do segredo, ou seja, do PID/PPS. No SCS, expanda o nó “Advanced” e com o botão direito em cima de “TLS-PSK Configuration Data” selecione “Add Secutiry Keys…”

Será perguntado quantas chaves deseja criar (pois o SCS assume que será consumida uma chave por equipamento vPro), selecionando qual é a senha que está configurado na máquina (ie. Os equipamentos saem de fábrica com a senha “admin”, porém se houve alguma configuração depois que obrigou a trocar a senha, deverá ser explicitado aqui) e também qual será a nova senha, que pode ser fixa ou deixar que o SCS escolha uma de forma aleatória.

Pronto, o segredo está criado, agora pode ser utilizado um pen-driver para armazenar o PID/PPS para ser levado a máquina vPro, para isso, selecione com o botão direito do mouse sobre o par de chaves criados (PID/PPS) e selecione a opção “Export Keys to USB driver…”

A seguinte tela de boas vindas ao Assistente será apresentada, clique em “Next”

Selecione qual o pen-driver que deseja utilizar e quantas chaves deseja exportar, e selecione “Next”

(todos os dados no pen-driver serão apagados, pois será formatado em FAT16 para inserir as chaves que ficam em um arquivo chamado setup.bin, e só poderá haver este arquivo no pen-driver)

Depois de criado o pen-driver, basta ligar o equipamento vPro com o pen-driver conectado e logo será perguntado se deseja inserir o PID/PPS no AMT, responda sim, e reinicie o equipamento novamente sem o pen-driver conectado desta vez.

Neste ponto a troca de segredos foi realizada, falta agora fazer com que o vPro converse com o SCS para receber as configurações de rede.

Configuração do vPro

Para especificar para o vPro que ele precisa estabelecer uma conexão com o SCS, usamos para isso um utilitário que vem com o SCS chamado Activator, rode ele com os seguinte parâmetros:

C:> activator.exe /s http://servidorSCS/amtscs_rcfg /p /h /c

O parâmetro /s diz qual é o endereço do servidor SCS, ele utiliza http pois a chamada é feita via SOAP, e o diretório virtual /amtscs_rcfg é fixo, caso não tenha havia alterado o caminho padrão na instalação do SCS.

O parâmetro /p diz o ID do perfil criado, este espera um número.

O parâmetro /h força o Activator a enviar o “hello package”

O parâmetro /c redireciona o o log para a console.

Conforme pode ser visto no exemplo seguinte:

Ao final, espera-se que conclua com “Exit with code 0”, que significa que tudo ocorreu bem, caso contrário verifique outros parâmetros e códigos de erro aqui

Enquanto estiver sendo executado o Activator.exe no vPro, você poderá observar que o estado da máquina no SCS irá mudar de “Not Configured” para “InConfiguration”

E poucos segundos depois de executado o Activator.exe, mudará para “Configured”

Neste ponto a máquina está pronta para ser gerenciada, seguindo as políticas de segurança previamente definidas no perfil.

Boa sorte com suas ativações e até a próxima.

Comments (0)

Ajay Bhatt pode estar a caminho da sua casa!

2009-10-20T11:05:12Z

Depois de três semanas de disputa acirrada pelas exclusivas camisetas do nosso ídolo Ajay Bhatt, co-inventor da tecnologia USB, o Concurso Cultural Rock Star chega ao fim. Nesse período, 150 camisetas foram distribuídas entre os seguidores da Intel Brasil e dos blogueiros parceiros:

Zumo Blog: http://twitter.com/henriquemartin
Digital Drops: http://twitter.com/Nickellis
Antenando TechZine: http://twitter.com/TechZineBR
Usuário Compulsivo: http://twitter.com/compulsivo
Intel Brasil: http://twitter.com/intelbrasil

E chegou a hora de conhecer os últimos ganhadores:

@bruno_miranda
@edsongatto
@clauchow
@Wavel
@quagliato
@EsterBeatriz
@allanrolim
@Tahi_myle
@pedroaugusto
@pablosaraiva
@MarianaMari
@rautemberg
@Meirelavinia
@mkbusiness
@juliomartini
@pauloestevao
@luanfr
@F_Xavier
@unchato
@lmaiacampos
@fernandes1
@thaistoda
@DioGo_Guimaraes
@vanessastein
@medeiross
@CarlaFerro
@PCDAAR
@raiodanoite
@Carlinha_Braga
@adoropromocoes
@Dnl2Silva
@NOEMIBARROS
@twitteirolouco
@Dona_Joca
@alikust
@kixiani
@guilhermm
@KamilaRios
@guilhermend
@cOOrujinha
@eduardodomit
@ViviBhUai
@_leonardo
@carlostomaz
@D_Gurgel
@edermodanez
@gabrielsid
@Kazuuuu
@spencer_stachi
@glazzari

A equipe organizadora do Concurso Cultural entrará em contato com todos via direct message (DM) do Twitter, e eles terão até 48 horas para responder fornecendo seus endereços de e-mail.

Parabéns aos ganhadores e muito obrigado a todos, seguidores e parceiros, pela participação! :-) Esperamos que vcs tenham gostado!

Comments (12)

Plug-in de integração do vPro ao CACIC 2.4

2009-10-15T14:03:46Z

Em julho haviamos divulgado a disponibilidade das capacidades de gerenciamento de equipamentos vPro no CACIC 2.4, porém naquele momento havia uma versão especifica do CACIC para vPro e outra sem vPro. Agora, graças ao Adriano dos Santos Vieira, provavelmente o maior contribuidor do CACIC, conseguiu fazer a separação do código CACIC do vPro e torná-lo como um plug-in.

Agora a versão plug-in do vPro para o CACIC pode ser baixado do Portal do Software Público

Aguardem mais novidades nos próximos dias.

Abraços e até a próxima

Comments (0)

Mais vencedores, mais camisetas!

2009-10-13T18:56:03Z

Temos o prazer de divulgar a segunda lista de vencedores do Concurso Cultural “Rock Star - Seja nosso ídolo”. Todos receberão em casa a exclusiva camiseta do ídolo Ajay Bhatt, co-inventor da tecnologia USB. Se você ainda não ganhou a sua, não perca tempo! Você tem só até o dia 15 de outubro para participar. Confira a lista de ganhadores da segunda semana:

@_leosiqueira
@ajastagayatri
@alexandre_oJaPA
@allimaclnnes
@BrunoZP
@Cezar_AMC
@cinthyaruys
@CYBORG_T101
@DouglasBorges
@douglasrbrito
@eduxxxdudu
@elias_era
@elidepiquena
@emanoelevaristo
@FelipeWove
@feolivia75
@Fga_FlaviaVrena
@gabrieltrindade
@GamesHardware
@hidek_i
@henriqueorsi
@hugotorquetti
@IsaacHilton
@jdeiro
@jfernandesjr
@JonasTerceiro
@juliocamara
@juliofmendes
@Kaio_under
@KarlusChapman
@Leozitow
@maisantos
@maismicro
@marco_damaceno
@mardenbatista
@mariobni
@marquinho
@martinstiago
@MEIRECCB
@MeNogueira
@mneubert
@nicolasar
@nomemarcos1
@planetagloss
@prisciladpaula
@richardplacido
@rmdg07
@RobsonAlvesBH
@romulorj
@sahstacy
@stone_1122
@ticasa
@vivicalenzo
@woahds
@zelff

A equipe organizadora do Concurso Cultural entrará em contato com todos os ganhadores via direct message (DM) do Twitter, e eles terão até 48 horas para responder fornecendo seus endereços de e-mail. A última lista será publicada no dia 19 de outubro.

Obrigada pela participação de todos, e esperamos que gostem de suas camisetas! Aos que ainda não ganharam, ainda há chances ;-) Boa sorte!

Comments (11)

Como fazer a ativação do Intel© vPro™ - Modo Enterprise: PKI

2009-10-06T17:18:37Z

No post passado, havíamos discutido a respeito das diferentes estratégias e formas de realizar a ativação da tecnologia Intel vPro dentro da organização, agora vamos discutir especificamente o modo Enterprise usando infra-estrutura de chaves públicas (PKI). A opção por começar a discorrer por este método é porque este normalmente é o mais recomendado, pois permite que possa ser feito a ativação do vPro sem precisar tocá-lo, e portanto caso alguns dos requisitos de infra-estrutura não estejam presentes, significa que será necessário optar por outro método.

O Processo de Ativação em Modo Enterprise: PKI

Por padrão, os equipamentos vPro já vem configurados de fábrica para funcionarem em modo enterprise com a opção de PKI habilitada, portanto a seqüência de eventos que se sucede quando essa máquina é energizada e conectada ao cabo de rede são:

O AMT (Active Management Technology) é iniciado e solicita via DHCP um endereço IP. O AMT espera receber neste modo além do endereço IP, endereço do DNS e qual o sufixo DNS (opção 15) da rede (ex. corp.intel.com)
A fim de iniciar o processo de configuração, o AMT inicia a procura na rede do servidor de configuração, que pode ser o servidor de gerenciamento (ex. Microsoft System Center 2007 ou Landesk 8), bem como o Setup and Configuration Service, que é um servidor dedicado para essa finalidade que pode ser usado em conjunto com outras consoles (ex. Altiris, Unicenter, HP OpenView ou CACIC 2.4). O AMT pode automaticamente procurar pelo servidor consultando o DNS pelo alias “ProvisionServer”, sendo este nome já definido internamente no ATM e portanto será necessário se criar um entrada no DNS para que este nome seja traduzido para o IP do servidor de configuração;
Agora que o AMT já encontrou o servidor de provisionamento, é necessário que este valide a autenticidade do servidor de configuração, ou seja, se é realmente um servidor da organização e não um servidor não autorizado. Para isso é necessário que seja emitido um certificado digital de uma das autoridades certificadoras públicas que são previamente confiadas pelo AMT, conforme figura abaixo, para o servidor de configuração. Para se obter o certificado digital, siga as instruções encontradas neste artigo;
O AMT então compara o sufixo DNS recebido pelo DHCP com o nome do certificado emitido para o servidor de configuração, por exemplo, o equipamento recebeu o sufixo DNS corp.intel.com, logo espera que o servidor de provisionamento esteja sob o domínio *.corp.intel.com, e compara o hash do certificado root com aqueles hashes que estão previamente configurados no AMT - O principio da autenticidade é baseado no principio que somente o responsável na organização pela manutenção do domínio, logo confiádo, poderá solicitar um certificado público, que é garantido pelo processo de RA (Registration Authority), portanto só poderá ser usada essa abordagem em domínios internos que possam ser validados externamente, ou seja, domínios como .corp.intel.int ou intel.com.corp, não funcionam nesta abordagem.

Depois de verificada a autenticidade do servidor de configuração, o AMT envia para o servidor de configuração um certificado auto-assinado que será utilizado pelo servidor de configuração para iniciar uma sessão TLS com o vPro. Depois de estabelecido o túnel TLS, o servidor de configuração precisará se autenticar no AMT, que por padrão utiliza como credenciais o usuário “admin” e senha “admin” , porém no processo de provisionamento essa senha é obrigatoriamente alterada para um definida pelo administrador;
Depois de conectado e autenticado, o servidor de configuração envia para o AMT todos os parâmetros de configuração que são:
Perfil de Energia: quais são estados de energia em que o AMT deverá estar ativo, se ele poderá ser desligado depois de um tempo de inatividade podendo ser acordado por um pacote de rede (ME WoL), etc;
Protocolo de Autenticação: poderá ser usado Digest Authentication ou Kerberos, sendo que no primeiro, será criado contas de acesso no próprio AMT e no segundo será necessário integração com o Microsoft Active Directory;
Definição de Access Controll Lists: No caso de usar para autenticação o Digest Authentication, cada uma das “n” contas criadas no AMT terá certos privilégios definidos no próprio AMT, como por exemplo, capacidade de redirecionamento de IDE, controle remoto, leitura de log de auditoria, etc. enquanto se estiver usando kerberos, pode-se fazer esse mesmo tipo de associação, porém relacionando a contas e grupos do Active Directory;
Perfil de configuração de protocolo de acesso a rede, como o 802.1x (wired ou wireless), NAC ou NAP, bem como definição de VLAN se for necessário;
Poderá ser emitido certificado digital SSL para o AMT, para garantir sigilo das operações no AMT, e tais configurações de emissão de certificado também estão inseridas dentro do perfil de configuração;
Definições de rede, como filtro ICMP, filtros de IP/Porta, etc.
dentre outras opções que podem variar de fabricante para fabricante de console de gerenciamento;
Depois de todas as configurações aplicadas ao equipamento, ele estará pronto para ser acesso remotamente pela console de gerencia

Este é basicamente o processo de configuração de um equipamento vPro em modo enterprise usando PKI, no próximo post iremos discutir como fazer essa mesma configuração usando PSK.

Abraços e até a próxima.

Comments (0)

Como fazer a ativação do Intel© vPro™ - Visão Geral

2009-10-06T01:57:12Z

Este post, será um de muitos que tratará especificamente sobre o uso da tecnologia Intel vPro. Assim como qualquer outra peça tecnologica, é necessário configurá-la de acordo com os requisitos de operação, segurança e modelos de uso dentro do contexto da organização. Bem, então para começarmos do inicio, vamos iniciar discutindo a respeito do modelo de provisionamento, que viria a ser a configuração inicial do equipamento de acordo com os parâmetros de infra-estrutura que o computador vPro estará inserido.

Há basicamente duas estratégias de provisionamento: Small Business ou Enterprise. O modo Small Business, é aquele onde toda a configuração do vPro é feito nele próprio e de máquina por máquina, e é recomendado exatamente para os casos onde pela quantidade de máquinas é mais fácil/econômico ter a configuração realizada em cada um dos equipamentos do que manter um servidor que distribuirá a configuração para parque. O modo Enterprise por sua vez, reserva todos os recursos de gerenciamento da configuração de forma centralizada, sendo o mais recomendado quando existe uma quantidade de equipamentos que justifique o uso de um servidor de configurações e/ou que possa equipamento em localidades onde não se viabilize a configuração local dos equipamentos.

Uma excelente fonte de referência a respeito da configuração de equipamentos em Small Business pode ser baixada aqui

A abordagem Enterprise, é bastante flexível, exatamente para permitir que se possa integrar a tecnologia vPro a diferentes configurações de rede e portanto pode gerar um pouco de confusão para quem se inicia nesta tecnologia, pois as vezes o excesso de informação pode também ser uma forma de censura, portanto a idéia aqui não é discorrer sobre detalhes de configuração, mas sim apresentar formas de escolher a melhor arquitetura/estratégia a ser adotada.

O processo de provisionamento Enterprise pressupõe que haja um servidor para que as configurações sejam aplicadas de forma automática, e cada um dos fabricantes de software de gerenciamento têm sua própria estratégia de fazê-lo, por exemplo, no Microsoft System Center 2007 SP1 e no LanDesk 8, todas as configurações das máquinas vPro estão integradas completamente a console, já no Altiris 6 e 7, Microsoft SMS 2003 e CACIC 2.4 por exemplo, eles conversam via SOAP com um servidor de configurações chamado SCS (Setup and Configuration Service), porém em ambos os casos, possuem capacidades similares no que se refere a configuração.

Quando uma máquina com vPro é incluída na rede, independente se o sistema operacional esta rodando, o vPro procura obter via DHCP um endereço IP, e se o sistema operacional estiver sendo executado, eles compartilham o mesmo IP, porém o vPro fica com as portas 16992-16995 para seu gerenciamento. Agora, chegamos ao ponto onde o equipamento está com um endereço IP, porém ainda não está configurado/ativado, e é neste momento que começam a surgir opções. A configuração pode ser feita com o sistema operacional sendo executado, isto é, InBand (recomendado para a maioria dos cenários) ou sem, também conhecido como Out of Band.

A opção InBand é a mais recomendada para a maioria das configurações, pois como o sistema operacional está sendo executado, pode-se configurar o vPro com o mesmo hostname do sistema operacional, evitando desta forma que tenha-se que garantir essa compatibilidade no processo de inclusão da máquina na rede, sendo que a única exceção a essa regra é o LanDesk, devido a particularidades de sua arquitetura que desatrela o vPro de referencias ao AD e PKI.

A arquitetura do vPro, foi concebida com questões de segurança em mente e nunca permite que o sistema operacional consiga escrever diretamente nas suas configurações, permitindo apenas que essas configurações possam ser realizadas via rede, e de um servidor confiável, que pode ser o servidor de gerenciamento (ex. Microsoft System Center 2007 ou LanDesk 8) ou o SCS para outras consoles. A forma como o vPro identifica a confiabilidade do servidor é um ponto bem interessante, pois a dependência de certos componentes de infra-estrutura acaba por determinar a estratégia a ser adotada.

Existem duas possíveis abordagens aqui: PKI - Public Key Infrastrucure ou PSK - Phase-Shift Keying, a diferença básica entre os dois, é que na primeira opção se usa um certificado digital público para atestar a confiabilidade do servidor e só precisamos configurar o servidor, por isso conhecido também como ZTC - Zero Touch Configuration e a outra, é necessário que se toque na máquina para inserir o “segredo/chave” criada pela console em cada máquina vPro, portanto essa abordagem também é conhecida como One Touch, pois é necessário inserir o segredo/chave em cada máquina, que apesar de ser otimizado necessitando apenas um boot no equipamento com um pen-drive, ainda é necessário realizar esse “toque”.

No caso do PKI, quando o equipamento vPro recebe o endereço IP, ele automaticamente pode consultar o DNS para encontrar o servidor de provisionamento pelo alias “ProvisionServer” ou este endereço pode ser fornecido pelo agente do software de gerenciamento, porém a validação e conseqüente estabelecimento de confiança entre o vPro e o servidor neste momento, é feita pelo vPro comparando o sufixo DNS recebido pelo DHCP (opção 15 - deve estar habilitada) com o certificado digital público instalado no servidor, podendo ser Verisign, Comodo, GoDaddy ou Starfield, pois são estes os que o vPro nativamente confiam, portanto se estas condições forem atendidas, neste momento é estabelecida um sessão TLS e o processo de confiança é estabelecido entre o servidor e o vPro para futuros acesso e configurações. Caso alguns destes requisitos de infra-estrutura não sejam atendidos, como por exemplo, uso de IP fixo, domínio interno que não seja passível de ateste externo (ex. domínio.int, empresa.corp, etc…), etc, a estratégia por exclusão termina por ser o uso do PSK.

No próximo post, vamos discorrer mais sobre o processo de configuração e suas opções no modo Enterprise.

Abraços e até a próxima

Comments (2)

E as primeiras camisetas do Ajay Bhatt vão para...

2009-10-05T18:43:38Z

Chegou a hora de conhecer os primeiros ganhadores das exclusivas camisetas do Ajay Bhatt, co-inventor da tecnologia USB e ídolo da Intel. Se o seu nome não estiver na lista, não desista! O Concurso Cultural “Rock Star - Seja nosso ídolo” continua até 15 de outubro. Confira a lista de ganhadores da primeira semana:

@Allameda
@andrefaure
@andrelauer
@barbaaa
@bart1_178
@bonibr
@carlosesposito
@claudiojwa
@CrociDB
@cunhasergio
@CyberGeekBR
@Danibron
@edufettermann
@felixfabri
@ferbittencourt
@fernandofussuma
@fsvxavier
@Guidolino
@hug_o
@icewarp
@jaderfranca
@jpgnunes
@jramos871
@lainesares
@lara26sp
@leandrosarubbi
@LetsS2
@lidiazuin
@LiegeMS
@LionRobert
@Lukekoehler
@mateusschmitt
@MCAB1
@McMarceloMoreno
@Mishiran
@miuradaniel
@NaSorte
@Raquel_lol
@renatoluna
@renerib
@rikim
@Sophos_
@viniciusbene
@Weltonluis
@wsbessa

A equipe organizadora do Concurso Cultural entrará em contato com todos os ganhadores via direct message (DM) do Twitter e eles terão até 48 horas para responder fornecendo seus endereços de e-mail. Como nessa primeira semana só tivemos 45 ganhadores, na segunda serão 55 os felizardos - ou seja, ainda mais chances para você levar o prêmio para casa. A próxima lista será publicada no dia 13 de outubro.

Comments (10)

Retorno de Investimento

2009-09-28T11:32:33Z

Na última sexta-feira estive em um evento na UNESP onde foi oficialmente lançado o GRIP Unesp com sete clusters sendo interligados em uma rede de pesquisa. Excelente ver universidades ampliando a capacidade de pesquisa e a dedicação de professores e autoridades para tornar isso realidade. Parabéns em especial ao Professor Sergio Novaes que liderou essa iniciativa, o Núcleo de Computação Científica da Unesp está muito bem projetado e com certeza podemos esperar excelentes resultados.

Nesse evento encontrei alguns conhecidos e uma conversa em especial me chamou a atenção quando discutimos sobre como empresas continuam comprando soluções colocando um peso maior no custo de aquisição e desconsiderando custos de manutenção que embora liquidos e certos não estão explicitos no contrato.

Um exemplo disso é uma solução de automação comercial desenvolvida com o processador ATOM que pelos calculos feitos pela empresa que o comercializa trás uma economia de R$184,00 em valor presente de energia elétrica. Ele me contava que mesmo mostrando os calculos que utilizavam uma vida útil de três anos e as especificações técnicas das soluções concorrentes os clientes davam pouca atenção a esse número. Ocorre que uma solução como essa está na faixa de R$700,00 a R$850,00 e portanto estamos falando de um impacto superior a 20% no melhor cenário.

Você pagaria 10% mais por essa solução? Aparentemente muitas empresas não tem conseguido enxergar isso e o mesmo vale para adoção de notebooks pelas empresas. Uma empresa que use desktops equipados com Pentium Dual Core e monitor CRT pode economizar até 17x (dezesete vezes!) nos gastos com energia se migrar para notebooks. E no caso dos notebooks o aumento de produtividade vem como um bonus nem precisa contabilizar! Veja isso no gráfico ao lado.

Abraços e até a próxima

Comments (0)

Modelos Computacionais

2009-09-25T17:21:40Z

No mundo corporativo, além das compras de equipamentos e suas funcionalidades, um importante aspecto é a definição de um modelo computacional. O quem vem a ser isso? A definição de onde ficaram os dados da sua empresa e onde ocorrerá o processamento das informações, nos clients (desktops, notebooks, netbooks, etc) ou nos servidores. A escolha deste modelo é baseada em necessidades que as empresas tem, tais como: controle de custos, gerenciamento, segurança, continuidade dos negócios, etc. Este documento faz uma introdução aos modelos existentes e explica um pouco das suas diferenças. Os modelos computacionais, como mencionado anteriormente, são caracterizados pelo local onde ocorrerá o processamento das informações e onde serão armazenados o sistema operacional, as aplicações e os dados. Vamos usar o desenho abaixo como referência.

Modelos 1.bmp

Na parte inferior esquerda, temos o modelo computacional caracterizado pela utilização de equipamentos de baixo poder de processamento conhecidos como Thin Clients. Neste modelo, o conjunto de sistema operacional, aplicações e dados fica sempre armazenada nos servidores. Além disso, todo o processamento ocorre no servidor. Como assim? O Thin Client serve basicamente para mostrar o resultado do processamento na tela e captar teclas e cliques de mouse. O usuário entra com informações no Thin Client e clica o mouse para algo aconteça (por exemplo, pedir um extrato de banco). Todas as informações são enviadas para o servidor que as processa e envia de volta para o cliente, que simplesmente os mostra as informações na tela. Muitas vezes, os equipamentos que ficam na posição do client são chamados de “terminais burros”, por não ter qualquer tipo de processamento. Este modelo é interessante porque estando todas as aplicações no servidor, o nível de segurança contra ataques de virus é maior. Além disso, é mais fácil para os administradores gerenciarem atualizações de imagens de PCs (sistema operacional e aplicações), pois as mesmas estão centralizadas. O lado que pode não ser tão interessante neste modelo está no fato de ser necessário a compra de um número grande de servidores e o potencial risco de engessar a evolução da infraestrutura de TI para suportar novas necessidades de negócios. Além disso, a experiência do usuário é um pouco prejudicada pois as aplicações estão rodando remotamente. Na parte superior direita, temos o modelo mais utilizado dentro das empresas. Neste caso, os computadores clientes possuem o sistema operacional, as aplicações e dados com eles. Eventualmente, as aplicações acessam dados que se encontram em um servidor, de maneira centralizada. Entretanto, a maioria das informações do usuário ficam no seu computador client, como um desktop e/ou notebook. Como estes computadores tem todo (ou a maioria) do processamento local, eles oferecem uma grande experiência para os usuários. Por isso eles são chamados de “Rich Clients”. O termo gerenciado que aparece no quadrante se refere aos PCs que possuem gerenciamento remoto. Com isso, a partir de um outro equipamento, funcionários de TI (ou empresas terceirizadas) podem acessar o PC e realizar tarefas como inventário, diagnóstico de problemas, atualização de aplicativos, etc. Se o PC possuir a tecnologia vPro da Intel, estas tarefas (e muitas outras) podem ser executadas mesmo que os PCs estejam desligados. O último modelo, que se encontra no canto superior esquerdo, apresenta a computação sendo realizada no Client e o Sistema Operacional, Aplicações e Dados sendo armazenados em servidores. A Intel batizou o conjunto de tecnologias que permitem o uso deste modelo de Dynamic Virtual Client. Neste modelo, quando o usuário liga o seu computador, o sistema operacional é enviado, pela rede para que a máquina ligue. O usuário recebe todos os seus ícones e programas, como se o sistema operacional estivesse instalado no seu equipamento. O mesmo irá ocorrer com as aplicações. Os ícones para as aplicações aparecem no PC mas elas não estão instaladas nele. Quando o usuário aciona uma aplicação, o comando é enviado para o servidor e a aplicação é enviada para o client para execução. Este modelo de envio da aplicação para o cliente é chamado de “Streamming”. Este modelo tenta misturar dos dois modelos anteriores, pois ele centraliza a gestão de imagens (Sistema Operacional, Aplicações), permite a experiência completa do usuário através da execução das aplicações no cliente e aumenta a segurança dos dados, que também estão centralizados. Dentro dos modelos acima, aparecem os equipamentos que se encaixam em cada um. O slide abaixo mostra os equipamentos que podem ser usados nestes modelos computacionais e chama a atenção para a necessidade ou não de conexão à rede. Este tema é muito importante porque cada vez mais o mundo é móvel e nem sempre temos uma rede disponível. Quando for escolher um modelo computacional, analise bem quais serão as necessidades de conectividade no médio e longo prazo. Num próximo blog estarei passando uma pequena explicação de cada tecnologia.

Comments (0)

O Ajay Bhatt também é seu ídolo?

2009-09-24T13:12:58Z

A Intel Brasil vai distribuir camisetas exclusivas do Ajay Bhatt, um dos ídolos da Intel e co-inventor da tecnologia USB. São menos de 200 para todo o país! E a única maneira de conseguir uma é participar do Concurso Cultural “Rock Star - Seja nosso ídolo”, que nós estamos promovendo no Twitter, de 24 de setembro a 15 de outubro de 2009, em parceria com blogueiros.

Você pode participar tanto pelo perfil dos blogueiros parceiros como pelo @intelbrasil. Não perca esta chance de sair por aí expressando seu “geek interior”!

Zumo Blog: http://twitter.com/henriquemartin
Digital Drops: http://twitter.com/Nickellis
Antenando TechZine: http://twitter.com/TechZineBR
Usuário Compulsivo: http://twitter.com/compulsivo
Infopod: http://twitter.com/jonnyken
Intel Brasil: http://twitter.com/intelbrasil

Como participar É fácil! De segunda a sexta, entre 10h e 16h, a @intelbrasil e os blogueiros parceiros vão twittar o anúncio do concurso. Para concorrer à camiseta, basta retwittar (RT) esse anúncio, usando sempre a hashtag #intelfuturo.

A partir da publicação desse anúncio/tweet, os autores do 5º, 10º, 15º, 20º e 25º RT de @intelbrasil e do 10º RT da conta de cada blogueiro parceiro serão os ganhadores do dia - serão, ao todo, dez camisetas por dia útil, durante três semanas. Vale lembrar que para levar a camiseta os participantes precisam ser seguidores da @intelbrasil no Twitter. O nome dos ganhadores será divulgado semanalmente aqui no blog Brasil Digital@Intel.

Clique aqui e confira o regulamento completo.

Comments (8)

Operação de Data Center de Alta Temperatura

2009-09-16T17:57:48Z

Ultimamente tem havido muita discussão a respeito de economia de energia elétrica em ambientes de Data Center, principalmente no que se diz respeito à mudança de estratégia de refrigeração. A bem da verdade, a maioria dos Data Centers que conheço no Brasil não adotam todas as melhores práticas na sua construção e operação, criando desta forma bastante espaço para melhorias.

O índice comumente utilizado para medir a eficiência de um Data Center é o PUE (Power Usage Efficiency), que é definido pela seguinte relação:

Ou seja, divide-se a energia total consumida pelo Data Center (ie. Iluminação, ar condicionado, equipamentos de IT, etc.) pela energia consumida apenas pelos equipamentos de IT do Data Center. O resultado será o PUE. Só para se ter uma idéia, na maioria dos Data Centers no mundo, o maior consumo depois dos equipamentos de IT propriamente são o sistema de refrigeração, que consomem de 23 a 65% da energia total do Data Center.

Os Data Centers considerados estado da arte, consomem algo como 7-10% do total de energia do Data Center em refrigeração, o que nos leva ao tópico chave deste post: Remover a refrigeração deixando o Data Center operando a uma temperatura mais elevada pode ser uma boa estratégia para reduzir o consumo de energia elétrica total?

Conforme já havia discutido em outro post, a temperatura mais elevada pode representar economia de energia, desde que seja implantadas algumas boas práticas na organização do Data Center; porém, considerar essa como uma estratégia mais extremista pode surtir o efeito inverso ao desejado.

Quando se deixa a temperatura do Data Center subir, automaticamente se economiza energia no sistema de refrigeração; porém, com o aumento de temperatura, o efeito indesejado do aumento da ineficiência de passagem de corrente no Silício, aumentando sua dissipação térmica (Si Leakage), bem como maior consumo de energia pelo aumento de rotação das ventoinhas dos servidores, para aumentar o fluxo de ar (mais quente) para refrigerar os componentes do servidor.

Como se pode deduzir, é o típico problema de otimização: encontrar o ponto ideal de temperatura de operação do Data Center, a sua distribuição de servidores, de acordo com sua densidade/carga, afim de aumentar a eficiência, pois este é o caminho para economizar energia, não havendo fórmula mágica ou radical. Pensar em Data Center operando a 40C com a tecnologia atual, é um pouco ficção científica. Puxar demais a maquinaria do seu Data Center para buscar uma economia pode não justificar o risco de colocar equipamentos operando a tão alta temperatura.

O calcanhar de Aquiles

No caminho da estratégia de desligar o ar condicionado, está a capacidade do servidor em lidar com temperaturas mais altas, e neste sentido diversos elementos entram em jogo na tecnologia atual para contribuir a favor ou contra, como escolha do tipo de servidor (torre, rack convencional ou blades), eficiência de fluxo de ar pelo chassi, densidade do rack, densidade de memória, escolha do processador (LV, E ou X), uso de discos ou não no servidor e se sim, de qual tipo (HDD ou SSD) e a disposição destes na sala do Data Center.

Blades tem ganhado a fama de esquentar demais, o que tecnicamente é um mito, pois na realidade eles normalmente esquentam menos que os servidores regulares porém sua densidade é maior, fazendo com que haja maior dissipação de energia por cm³, mas não maior consumo nem maior dissipação térmica absoluta. Pelo fato das blades serem utilizadas em ambientes de computação densa, normalmente vem equipados com processadores de menor consumo de energia (50W em comparação com os regulares que são 80W), são muitas vezes utilizados somente com o HD ou SSD em RAID 10 (quando vem) do sistema operacional para realizar o boot e possui arquitetura de lâmina e chassi otimizado para refrigeração… mas porque eles ainda levam a culpa de esquentarem demais? Porque para realizar o benefício de computação densa não basta comprar o produto na prateleira e ligar na tomada, é necessário realizar a separação de corredores quentes dos frios e garantir o fluxo de ar continuo através do chassi para refrigerar os componentes.

Uma coisa é certa, se num futuro a curto-médio prazo for possível ter Data Centers sem ar-condicionado, estes ajustes no Data Center serão requisitos, portanto quando houver oportunidade, implante-as! Não precisa imaginar que é necessário uma grande obra no Data Center, veja essa solução simples, eficaz e barata de um rack com chaminé que cria basicamente o mesmo efeito de corredores quentes e frios (que já havia comentado).

Existem também uma outra alternativa mais exóticas para remover o ar-condicionado da equação, como construí-lo na Lapônia ou Sibéria, pois bastaria abrir a porta do Data Center para refrigerá-lo, mas se este não é o seu caso lembre-se que há soluções baratas hoje que se pagam rapidamente.

Comments (0)

Computação na Nuvem

2009-09-07T18:33:40Z

Um tema que está bastante em voga nos últimos anos tem sido “cloud computing”, ou computação na nuvem. Definições existem várias, cada vez que vejo uma apresentação a respeito do tema encontro sempre facetas novas para essa definição, portanto não tenho a mínima pretensão aqui de incluir mais uma definição resumida em uma frase ou poucas palavras, mas de fato ela está já está presente na nossa vida, mas de longe de ser a salvações de todos os problemas de TI.

Em “Big Switch” (o que é uma referência literária), Nicholas Carr faz uma introdução magistral a respeito do tema realizando um paralelo com o desenvolvimento do negócio, energia elétrica: Henri Ford, com seu revolucionário modelo de linha montagem, havia construído uma fábrica no inicio do século XX onde se aproveitava a energia hidráulica de um rio que passava ao lado para movimentar sua linha de montagem, era o estado da arte na ocasião, porém a fabrica precisava se adequar as condições que a natureza apresentava… até que Thomas Edison popularizou a geração de energia elétrica com a GE, vendendo geradores para empresas e prestando consultoria para sua instalação, operação e manutenção (alguma semelhança com o modelo atual de TI?). Depois deste evento, uma gama enorme de possibilidades se abriu para as fabricas e empresas que podiam pagar para ter esse benefício, foi uma revolução.

O mundo mudou para alguns, mas a Standard Oil ainda vendia querosene iluminante para as residências, pois não eram os trabalhadores nem a classe média que tinham condições econômicas de ter seu próprio gerador, ou seja, a energia elétrica não estava popularizada, e a revolução do gerador não atingiu todo. As redes elétricas como as que conhecemos hoje, que de fato foi a grande revolução, só foi possível com o advento da Corrente Alternada por Nicholas Tesla, que permitia transmitir energia por longas distâncias com baixa dissipação térmica e perda no percurso, em relação a Corrente Contínua fornecida pelos geradores.

A grande revolução não foi o gerador, mas a Corrente Alternada e o modelo de negócio de fornecimento de energia como uma utilidade que permitiu fornecer energia a baixos preços para quem dela necessitasse. Aqui você já deve ter uma pista de onde eu quero chegar, assim como foi para a energia elétrica, esta para a computação. Somente com capacidade de acesso, banda larga, modelo de negócio onde se ganha em escala, é capaz de fornecer o serviço de “processamento” a preços baixos.

O interessante deste contexto, é que alguns administradores já imaginam num futuro pagarem TI pelos que consumirem de seus fornecedores na nuvem, mas o mais interessante foi a visão do outro lado do balcão, de quem presta o serviço na “nuvem”, descrevendo a nuvem como os usuários do seu sistema, ou seja, o cliente de seus clientes, porque muitas vezes o seu cliente hospeda os servidores na nuvem pensando em elasticidade, não se preocupando como poderia no planejamento de capacidade, como quem oferece o serviço poderá estimar de cada um dos seus clientes, por isso a nuvem as avessas.

A idéia que queria deixar, é que computação na nuvem não exime de fazer planejamento de capacidade, mas sim ter mais flexibilidade operacional para crescer quando precisar.

Abraços e até a próxima.

Comments (0)

Netbooks nas Corporações

2009-08-21T21:09:11Z

Estava lendo a revista Information Week (www.informationweek.com.br) de julho de 2009 e havia um artigo muito interessante sobre Netbooks. O jornalista Vitor Cavalcanti escreveu a matéria sobre estes “pequenos notáveis”, como ele chama, entrevistando alguns colegas da indústria e a Denise Pereira que trabalha aqui na Intel. A matéria fala sobre o uso corporativo dos netbooks, com grande foco na automação da força de vendas. Decidi escrever sobre este assunto para tentar complementar um pouco a matéria com algumas informações adicionais. Os netbooks geram grande interesse nas pessoas e nas empresas pelo seu tamanho e peso. Isso os torna fácil de carregar dentro de bolsas ou mesmo na mão. A matéria da Information Week ressaltada o uso de netbooks substituindo smartphones e PDAs. Esta é uma solução muito viável pois o uso típico de netbooks e PDAs é de consumo de conteúdo, geralmente baseado na Web, o que vai de encontro com o modelo de uso para o qual os netbooks forma criados. O artigo traz outras grandes caracteristicas que fazem o netbook um excelente dispositivo para alguns cenários de uso. Gostaria de complementar o artigo com algumas considerações adicionais que o departamento de TI da Intel levantou quando da análise do uso de netbooks no nosso ambiente, que é o de uma grande corporação. Apesar dos netbook serem faceis de carregar, o seu formato também traz alguns desafios do ponto de vista de usabilidade, o que pode limitar o seu uso em larga escala, neste momento. O teclado e a tela pequenos podem representar algumas limitações para a força de trabalho. Um outro ponto para se olhar quando da utilização de netbooks em larga escala dentro de empresas é o desempenho que o produto irá ter quando carregado com um conjunto de aplicações e sistema operacional corporativo. Os netbooks são muito rápidos para surfar a Internet e videoconferência. Entretanto, os testes mostraram que os equipamentos são bem lentos com aplicações de uso intensivo de processamento e/ou gráfico. Se um ntebook for utilizado em larga escala dentro de uma corporação, ele deverá rodar vários aplicativos que ficam em background e que comprometem o desempenho do equipamento como um todo. Sugestão é que se faça o teste do netbook com os aplicativos necessários para que se possa verificar onde ele pode ser usado ou não. Além do desempenho e limitações pelo tamanho, as corporações devem se preocupar com o gerenciamento dos netbooks e a questão de segurança. A equipe de TI da Intel conseguiu instalar os nossos softwares de criptografia de discos, o antivirus e o antispyware nos netbooks. Isso significa que poderiamos gerenciá-los e tê-los seguros. Como os netbooks não possuem a tecnologia vPro (vejam os outros blogs sobre a tecnologia vPro), teriamos um nível de serviço diferente para estes equipamentos. Lembrando que a tecnologia vPro ajuda a reduzir os custos de administração dos PCs e aumenta o nível de serviço oferecido aos usuários (menos tempo parado em caso de falha). Novamente, sugerimos que seja instalado todos os aplicativos de uso corporativo para fazer uma avaliação correta dos netbooks. Finalmente, um ponto que representa algo de grande atenção para os usuários corporativos. Os netbooks foram criados inicialmente pensando nos consumidores finais e no consumo de conteúdo. Algumas empresas fornecem equipamentos móveis aos usuários e permite que eles façam uma conexão para dentro da rede corporativa usando uma VPN. Aqui precisamos ter cuidado pois o equipamento não possue suporte em Hardware para prevenção de alguns ataques maliciosos. Com isso, um usuário pode colocar algum malware dentro de um netbook e contaminar a sua rede corporativa. Para quem quiser saber um pouco mais sobre este assunto, dê uma olhada no blog do Bruno chamado “Trusted Execution Technology: O que é isso?”. Este tipo de funcionalidade é restrita hoje aos notebooks desenhados para o mercado corporativo. A questão aqui não é a operação do equipamento e sim se ele é seguro o suficiente para não expor a rede corporativa. Bom, é isso. Estes são somente alguns alertas para complementar a análise da revista, conforme mencionado anteriormente. Façam as suas avaliações e tomem as decisões. A diversidade de equipamentos permite a escolha e é sempre necessário ter um pouco mais de critério. Para a análise completa da avaliação do TI da Intel, veja http://www.intel.com/IT/.

Comments (0)

Investindo em Tempos de Crise

2009-08-17T17:13:06Z

Postegar os investimentos até quando? Alguns deveriam ser feito já!

Avanços tecnologicos cada vez mais rápidos tornam a decisão de postegar investimentos um grande risco e acima de tudo pode representar uma enorme perda em produtividade e redução de custos de manutenção, que a proposito consomem muito do budget das areas de TI atualmente.

Não acredita? Imagine um datacenter com 5000 servidores, sendo 50% deles com três ou mais anos de uso. Esses servidores consomem cerca de 20% mais energica eletrica e tem cerca de 15% do desempenho de servidores novos. Somente a conta de energia pode representar uma grande economia, mas não é tudo!

O custo com licenças de software representam uma parte importante dos gastos anuais e reduzindo o número de servidores você pode reduzir também esse custo. Hipoteticamente se uma licença de um certo software custa vinte mil dolares por ano por CPU e você tem 16 CPU’s licenciadas é muito provavel que não precise mais que 4 novas CPU’s para fazer o trabalho e poderia economizar todo o investimento em menos de um ano!!

Servidores e coelhos tem algo em comum: ambos proliferam muito rapidamente! Empresas tem enfrentado o desafio de acomodar um número crescente de servidores para suportar o crescimento dos negócios. A consolidação, possivel graças aos grandes saltos de desempenho das CPU’s atuais representa uma das alternativas mais robustas e economicas.

Na imagem acima você tem mais detalhes de como chegar ao calculo do retorno do investimento em apenas oito meses considerando apenas os custos de licenças com sistema operacional e consumo de energia em uma consolidação de 184 servidores (modelo típico em 2005) para apenas 21 equipados com o novo processador Intel Xeon 5500.

Comments (0)

Finalmente Disponível a versão do CACIC 2.4 com Suporte ao vPro

2009-07-24T01:15:38Z

É com prazer que trazemos para a comunidade de usuários do CACIC, a versão 2.4 com suporte ao Intel vPro. Esta é uma importante etapa que atingimos neste momento. Obviamente ainda existe muito trabalho a ser feito. Existe muito espaço para melhorar a documentação, pois a que está disponível no momento assume que o usuário do CACIC conhece bem os mecanismos de funcionamento do vPro.

Apesar de o desenvolvimento ter sido feito usando o Ubuntu 9.04, nesta etapa vamos testar a aderência e procedimentos de instalação para outras versões, dentre elas:

- Fedora 
- OpenSuse
- Madriva;
- Debian;
- FreeBSD (é... eu tenho simpatia por este, é pessoal)

Bem, para começar a usar…

basta fazer o download no Portal do Software Público e instala-lo como normalmente você instalaria o CACIC, porém você irá verificar que agora há um arquivo neste pacote chamado vproterm.tar.bz, que deverá ser extraído e instalado da seguinte forma:

Instalação do vproterm:

sudo tar -x -C / -f vproterm.tar.bz

Execução:

sudo /etc/init.d/vproterm start

Pré requisito:

Porta 27437 liberada no firewall.

Além do CACIC, é necessário preparar as máquinas Intel vPro, e para isso há um servidor especifico para realizar o provisionamento, e pode ser feito o download dele e da sua documentação no seguinte site.

Espero nos próximos posts ter mais novidades para contar, especialmente uma documentação mais completa.

Abraços e até a próxima.

Comments (0)

Virtualização de Segunda Geração - afinal o que é isso?

2009-07-01T23:40:43Z

Durante a primeira geração da virtualização de servidores, as organizações se focaram no tema de consolidação de múltiplas aplicações por servidores físicos para reduzir os custos de capital (CAPex), tamanho dos data centers e gastos com energia e refrigeração

As vantagens da segunda geração de virtualização, são as capacidades adicionadas de migração em tempo real de aplicações entre servidores. Com o potencial de trazer flexibilidade sem precedentes no gerenciamento de recursos e, portanto permitindo melhorias na eficiência operacional, redução de paradas planejadas e não planejadas e simplificando soluções de recuperação de desastres. Os benefícios são claros, tanto para o departamento de tecnologia como para toda a organização que poderá contar com maior disponibilidade dos serviços de TI e agilidade na disponibilização de recursos computacionais para as áreas de negócio.

A virtualização 2.0 foca em três áreas de melhoria no que se refere ao gerenciamento de serviços de TI:

1.Balanceamento de carga para melhor gerenciamento de recursos.

Com as soluções da virtualização 1.0, TI pode monitorar e dinamicamente alocar os recursos de uma única máquina dentre várias aplicações. A habilidade de migrar aplicações em execução de um servidor para outro na virtualização 2.0 aumenta significativamente a flexibilidade administrativa, selecionando aplicações que podem ser automaticamente migradas para outros servidores físicos para manter os níveis de acordo de serviço (SLA) para todas as aplicações.

2.Gerenciamento de paradas para aumento de disponibilidade

Na virtualização 1.0, no caso de falha de uma aplicação, ela pode ser reiniciada automaticamente em outro servidor virtual no mesmo servidor físico. Com a migração de aplicações em tempo real da virtualização 2.0, a aplicação pode ser reiniciada na máquina virtual em servidor físico diferente. Esta nova abordagem permite que falhas de hardware ou software no servidor físico possam interferir com a disponibilidade da aplicação que pode ser automaticamente migrada para outro servidor físico. Também permite que TI possa mover aplicações em execução para outros servidores para manutenção dos servidores, reduzindo desta forma também as paradas planejadas.

3.Simplificação e aumento da capacidade de recuperação de desastres para continuidade de negócio

Aplicações sendo executadas em máquinas virtuais podem ser migradas dentro de redes locais (LAN) ou geográficas (WAN) para manter a continuidade do serviço em caso de um evento de desastre em data center. Com essa abordagem não é necessário duplicar exatamente a mesma quantidade de hardware no site backup ou implantar software especializado para a recuperação de aplicações específicas. A recuperação de desastres se torna mais rápida e simples a um menor custo.

Virtualização 3.0 - Visão de Futuro

A geração seguinte de virtualização irá ser construída sobre os alicerces da geração anterior, trazendo ainda mais melhorias significativas no que diz respeito a capacidade de suportar carga, confiabilidade, flexibilidade, segurança e adaptação.

A Intel já vem trabalhando com os principais fabricantes de software de virtualização e gerenciamento de data centers ao redor da sua visão do que seria a virtualização 3.0. Os objetivos desta geração será habilitar um ambiente flexível e baseado em políticas que permita a infra-estrutura se adaptar automaticamente para garantir os níveis de serviço (SLA) acordados, bem como melhorar a utilização de recursos, custo total de propriedade e agilidade de negócio.

Se colocado em perspectiva, o caminho para o amadurecimento da tecnologia pelas organizações seria composto das seguintes etapas:

O “boom” da virtualização 1.0 compreendeu o período de 2005 a 2007, sendo que muitas organizações têm trabalhado desde 2008 na melhoria deste ambiente para se beneficiar das capacidades promovidas pela virtualização 2.0, que acreditamos deverá estar na pauta da agenda de muitas organizações até 2011. A virtualização 3.0 deverá ser realidade em meados de 2011 e predominante em 2012.

Abraços e até a próxima.

Comments (0)

Encontro do CMG no Brasil

2009-06-30T00:09:09Z

Para você que se interessa por análise de desempenho e planejamento de capacidade, não pode perder o encontro do CMG (Computer Measurement Group) que acontecerá no Hotel Maksoud Plaza, Alameda Campinas 150, Bela Vista, São Paulo, no dia 25 de agosto, das 7h30min às 18h00min.

Neste evento, haverá diversas palestras para os profissionais de planejamento de capacidade e análise de desempenho.

Estarei na ocasião, apresentando sobre análise de desempenho e planejamento de capacidade com o seguinte chamado:

A Arte e a Ciência em analise de desempenho e planejamento de capacidade em ambiente x86

A arte de estimar a infra-estrutura necessária para uma dada aplicação pode ser uma tarefa ardilosa se você tem o orçamento restrito, precisa acertar na primeira vez e seus patrocinadores possuem grandes expectativas no sucesso do empreendimento, e você ainda tem que lidar com o fato de não ter todas as informações

Esta apresentação é dividida em tópicos e trata de boas práticas em analise de desempenho e planejamento de capacidade para ambiente x86 baseados em casos e exemplos reais, ou seja, quando não se tem todas as informações (ou corretas), não se tem os melhores equipamentos nem a aplicação é livre de falhas, e muitas vezes a quantidade de usuários e seu comportamento é estimado e não é de fato mensurado. Será explorado as particularidades da plataforma e sua arquitetura, bem como as melhores abordagens de hoje e os desafios do amanha

Se o assunto é do seu interesse, acesso o site do evento e efetue a sua inscrição

Abraços e até a próxima

Comments (0)

O que a tecnologia pode fazer para evitar roubo de notebook?

2009-06-23T14:23:25Z

Infelizmente o roubo de equipamentos de informática nas grandes metrópoles em nosso país ainda é bastante alto, especialmente quando falamos de notebooks, pois são equipamentos com valor relativamente alto. Mais de uma vez em São Paulo o motorista de taxi exigiu que eu deixasse a minha mala no porta-malas do taxi por questões de segurança, e caso discordasse ele não aceitava levar ao meu destino. Um colega meu no Rio de Janeiro, que precisava se locomover com freqüência entre um prédio e outro no centro, adotou uma abordagem bastante interessante para “disfarçar” o seu notebook, ao invés de usar uma pasta ou uma mochila, ele resolveu colocar seu notebook dentro de um envelope de papel pardo… incrível, realmente parece um boy de escritório de advocacia carregando processos para o fórum de justiça.

Porém, apesar destas medidas para mitigar uma situação desagradável, existem hoje outros recursos disponíveis no hardware para desestimular o ladrão. Essa tecnologia na plataforma Intel se chama Intel© AT (Anti-theft), e tem o poder de inutilizar o equipamento em caso de roubo.

Quando falamos de proteger o notebook, existem dois ativos que precisam ser considerados e, portanto duas medidas diferentes para cada um destes. O primeiro e mais obvio, é o equipamento em si e o outro são os dados que estão neles, no sentido de expor possíveis informações confidenciais que por ventura possam estar em seu disco rígido. Vamos tratar destes dois temas de forma distinta:

Proteção do ativo físico (notebook)

Primeiramente, é importante entender como identificar que o equipamento foi roubado na ótica de tecnologia, claro que do usuário a situação já é óbvio! Como este equipamento subtraído poderá conter em si a inteligência para autodestruição em caso desta condição ser confirmada? Bem, as alternativas que incluímos no equipamento e que podem ser definidas pelo administrador de rede, são:

• Exceder o número de tentativas de senha de inicialização; • Exceder um tempo programado em que o equipamento se encontra fora da rede corporativa; • Ou pílula de veneno enviada para a máquina por IP ou SMS

Para que essas medidas possam ser efetivas, não poderiam estar embarcadas no sistema operacional, pois bastaria substituir o sistema operacional para derrubar toda a inteligência, nem mesmo na BIOS que pode ser atualizada com uma versão nova e sem política, por isso incluímos essa tecnologia no chipset do equipamento com tecnologia Intel© vPro™, que hoje está disponível nos equipamento T400 da Lenovo. O felizardo que possui um equipamento destes em sua organização, pode habilitar essa funcionalidade utilizando para isso o Computrace da Absolute, onde você ainda tem a possibilidade de cadastrar o equipamento junto a própria Absolute e no caso de roubo pode-se contato com o suporte da Absolute para notificar o fato para que seja disparado a pílula de veneno para essa máquina, e quando este equipamento estiver conectado a Internet, o chipset irá contatar o site da Absolute para verificar situação (ie. roubado ou não roubado), e em caso de positivo, o máquina é desabilitada e somente com uma chave ou código de segurança este equipamento deixará de ser um peso de papel e poderá ser novamente um notebook. A Absolute também oferece a alternativa de replicar internamente na organização a estrutura de gerencia contra roubos destes equipamentos.

Proteção dos dados

A proteção dos dados para sigilo não é novidade no mercado, além de produtos que já propunham fazer essa proteção como o PGP, por exemplo, o Microsoft Windows 2000 já incluía o chamado EFS (Encryption File System), onde o administrador poderia selecionar pastas para ser cifradas. No Windows Vista Enterprise ou Ultimate, a Microsoft incluiu o BitLocker, onde se pode fazer a criptografia completa do disco de forma a proteger o equipamento de ataques offlines, ou seja, a inserção de código malicioso no sistema operacional diretamente no disco.

O que todos estes mecanismos possuem em comum, é que por serem baseados em software utilizam a CPU para fazer o processo de criptografia/descriptografia, reduzindo assim o desempenho do equipamento, porém não é absurdo o impacto, eu pessoalmente tenho um equipamento Lenovo T61 com PGP para criptografia completa de discos e percebo que a utilização de CPU aumentou, mas não ao ponto de interferir na minha produtividade, porém a minha máquina ficou intolerável a fragmentação de disco, ou seja, segurança veio com o preço de desempenho… mas pelo menos durmo mais tranqüilo. :)

Na próxima geração de equipamentos móveis, haverá um “acelerador” de criptografia AES (Advanced Encryption Standard) que permitirá reduzir drasticamente o impacto de desempenho e consumo de bateria.

Capacidades de segurança embarcados no hardware é um tema que está bastante em voga, e podem esperar novidades neste sentido nas próximas plataformas Intel.

Abraços e até a próxima.

Comments (0)

CACIC 2.4, nova roupagem e muito em breve suportando o Intel© vPro™

2009-05-28T20:19:44Z

O CACIC, para os que ainda não conhecem, é o software de inventário desenvolvido e mantido pela DataPrev em parceria com a SLTI (Secretaria de Logística Tecnologia da Informação, do Ministério do Planejamento, Orçamento e Gestão). Recentemente, foi disponibilizada a versão 2.4 que vem com algumas novidades interessantes, como por exemplo, o esperado agente para cliente Linux e o suporte a Internacionalização, ou seja, podemos esperar que muito em breve tenhamos o CACIC também hablando español.

O que a Intel tem há ver com isso? Em abril de 2008, Intel e DataPrev celebraram acordo no FISL 9, para o desenvolvimento do CACIC para incluir novas funcionalidades, inclusive suporte a tecnologia Intel© vPro™, que já havia comentado em post anterior, e agora já começamos a ver os louros desta parceria entre iniciativa privada e poder público.

A versão atual do CACIC 2.4, disponibilizada pelo site http://www.softwarepublico.gov.br, ainda não trás suporte ao Intel© vPro™… porém, ainda!  vocês irão poder conferir em primeira mão as primeiras telas da versão beta que permitirá gerenciar o microcomputador independente do estado do sistema operacional, inclusive com a máquina estando desligada.

Pelo fato das características do de gerenciamento ao vPro nesta versão, estarem focadas nas funcionalidades de suporte remoto, incluímos dentro do menu “Manutenção” a coleção de “Estações vPro”, conforme pode ser visto na figura 1.

Dentro da coleção “Estações vPro”, você terá a lista de todas as máquinas vPro dentro da corporação, inclusive aquelas que não possuem o agente do CACIC instalado, onde o administrador terá a opção de iniciar varredura na rede por máquinas vPro, e para isso basta que a máquina cliente esteja com o cabo de rede e de energia conectados, não precisa nem mesmo ter o sistema operacional instalado.

A partir desta interface, há também a opção de iniciar uma sessão remota com a máquina selecionada clicando no botão “Terminal Remoto”

Clicando no “Terminal Remoto”, há a opção de:

Desligar
Ligar
Reiniciar
Iniciar uma sessão remota (ie. Serial over LAN)
Redirecionar o canal IDE da máquina cliente para um imagem localizada no servidor CACIC

Para essas funcionalidades para manter a console totalmente web, utilizamos o Terminal AJAX, porém a interface final não deverá ser essa, afinal ainda é desenvolvimento.

Para os que desejam testar essa nova versão, ainda precisará aguardar um pouco mais, esperamos poder disponibilizá-la nos próximos dois meses.

Abraços e até a próxima.

Comments (6)

2009-04-25T02:04:15Z

Você já imaginou um mundo onde o administrador de uma rede corporativa possa instalar o sistema operacional de um desktop ou notebook remotamente, sem nenhuma intervenção do usuário mesmo que este se encontre desligado e sem nenhum sistema operacional instalado em seu disco rígido? Você já imaginou poder ligar/desligar/reiniciar a máquina remotamente, mesmo através de redes roteadas em localidades longínquas? Diagnosticar problemas de hardware, ligar o computador acompanhando a tela de inicialização (POST) e ainda manipular a BIOS de um computador remoto sem precisar sair da sua mesa (figura 1)? Essas são algumas características que um computador Intel© vPro™ disponibiliza. Quando você pega essas funcionalidades e as mistura com as funcionalidades de um software de gerencia, os benefícios são imediatos: imagina a distribuição de pacotes de correção de software podendo ser realizados a noite ou nos finais de semana sem se preocupar se máquina está ou não ligada, inventariar a máquina sem precisar que ela esteja com o sistema operacional rodando, em casos de proliferação de malware na rede, poder isolar uma máquina contaminada e ainda assim ter acesso a ela para aplicar vacinas e correções, entre muitas outras possibilidades… parece até mágica, mas é o que acontece quando se coloca inteligência no hardware, e esse hardware ou melhor, plataforma, inteligente se chama Intel© vPro™.

O Intel© vPro™ em essência é uma plataforma e não um componente que se pode instalar em um computador já existente, ou seja, ou o computador nasce Intel© vPro™ ou nunca será um, pois é necessário que integrado a placa mãe, esteja o chipset Intel© Q45, uma placa de rede Intel© 82566, uma processador Core 2 Duo/Quad E8xxx/Q9xxx e o AMT (Active Management Technology), que é o protagonista e orquestra o funcionamento de todas essas funcionalidades de gerenciamento e segurança.

Se olharmos com uma lupa cada um destes componentes, fica mais fácil entender porque cada um deles é importante para que a máquina tenha essa inteligência embarcada:

Intel© Core 2 Duo ou Core 2 Quad: Esses processadores além de possuírem os melhores índices de desempenho, são também os que mantêm a melhor relação desempenho/watt, mas não é só por isso que eles foram selecionados para compor a plataforma. Eles também possuem instruções de virtualização Intel-VT que habilitam diversos modalidades de uso destes equipamentos, como OS Streaming por exemplo, além de vierem equipados com outra instrução importantíssima de segurança, que é o TXT (Trusted Execution Technology), conforme já havia comentado em outro post;

Intel© AMT (Active Management Technology): Este é o sistema operacional que roda embarcado em uma máquina Intel© vPro, nele temos uma pilha TCP/IP, já que precisaremos ser capazes de acessar essa máquina mesmo sem o sistema operacional ativo (Linux ou Windows, por exemplo), autenticar e autorizar qualquer solicitação remota, sendo que ainda pode estar integrado ao Microsoft Active Directory, ou seja, usando autenticação kerberos, fornecer os serviços para a console de gerenciamento de redirecionamento de IDE (IDE-R) para a console de gerencia (iniciar a máquina a partir de uma imagem que esteja localizada em qualquer ponto da rede) e também o redirecionamento da tela do equipamentos para o administrador poder operar a máquina remotamente (SoL - Serial over LAN), além de permitir a virtualização de dispositivos de I/O (Intel-VTd) entre outros recursos necessários em redes corporativas, como controles de auditoria, autenticação em redes protegidas (eg. 802.1x, NAC, NAP, etc…), etc.

Chipset Intel© Q45: Este é chipset onde fica armazenado o Intel AMT, fazendo a analogia com os sistemas tradicionais, ele é o hardware do sistema operacional “Intel AMT”, pois nele temos área para armazenamento do próprio código do sistema operacional como também uma NVRAM para armazenamento de dados permanente, tem um processador dedicado e embarcado, além das tradicionais E/S;

Controladora de rede Intel© 82566: Se pensarmos em deixar o chipset ligado e funcionando 24h do dia, não estaríamos ajudando muito as empresas a reduzirem custos com consumo de energia elétrica, por isso quando a máquina é desligada colocamos o AMT em standby e somente a placa de rede fica parcialmente energizada, como já é feito hoje com o Wake on LAN (WoL), porém neste caso, ao invés de ligar a máquina toda, ligamos apenas o AMT para permitir o seu gerenciamento.

Portanto todos estes componentes juntos, harmonizados, podem levar o selo Intel© vPro™, tanto para notebooks quanto para desktops.

Comments (11)

Latência em discos e problemas de desempenho

2009-04-01T21:32:17Z

Por algum tempo, num passado não muito distante, quando fazíamos planejamento de capacidade para máquinas x86 sempre nos preocupávamos principalmente com CPU e memória (estou deliberadamente generalizando!), e quando se falava em discos, no máximo era para dizer quanto espaço era necessário. Porém o tempo foi passando e as evoluções de desempenho dos processadores, seguindo a Lei de Moore, e a capacidade de memória bem como sua velocidade de acesso, superaram em muito a capacidade de IOPS (I/O por segundo) dos discos, que por mais de 10 anos, apesar de terem melhorado muito nas tecnologias de transferência de dados, não obteve o mesmo avanço em escrever e capturar o dado no disco, ficando limitado a faixa de 7.200rpm para os discos mais simples de desktops e pequenos servidores até 15.000rpm para servidores e storage high-end, o que na melhor das hipóteses nos confere desempenho igual a 160 IOPS (antes da controladora) e 180 IOPS (depois da controladora).

Bem, para que vocês tenham uma melhor noção do que isso representa no planejamento de capacidade para uma aplicação real, vamos tomar como exemplo o caso do servidor de caixas postais do Exchange Server 2003 da Microsoft, onde uma boa média de utilização por usuário seja de 1,2 IOPS, apesar de já ter visto casos de 2,2 IOPS, porém 1,2 IOPS é um excelente número para usuários intensivos de correios.

Analisando estritamente do ponto de vista de capacidade de I/O para o subsistema de discos, um disco comum de 10.000rpm (100/130 IOPS - antes e depois da controladora) seria capaz de atender até 108 usuários [130 IOPS/1,2 IOPS], e a conta inversa, de quantos discos são necessários para atender, digamos 5.000 usuários, seriam necessários portanto 47 discos [5.000 * 1.2 IOPS/130 IOPS], ou seja, nos dias de hoje precisamos mesmo usar um armazenamento externo… mas espere um pouco, e a respeito a tolerância a falhas destes dados? Vamos ver como fica…

Se utilizarmos o RAID 5, que é uma configuração atualmente trivial e que menos impõe penalidade na utilização de espaço em disco, a nossa conta de IOPS muda por completo, pois neste cenário, existe uma penalidade de desempenho para escrita, pois para dado inserido no disco é necessário antes ler as paridades no RAID (duas leituras), calcular a nova paridade para escrevê-la novamente (duas escritas), ou seja, no exemplo anterior onde necessitávamos de 6.000 IOPS para atender 5.000 usuários, e assumindo que temos uma relação de 2:1 nas operações de leitura:escrita, teríamos a seguinte conta:

Leituras: 4.000 IOPS

Escritas: 2.000 IOPS

Para o RAID 5 necessitaremos de capacidade do subsistema de discos para: 4.000 IOPS + (2.000 IOPS * 4) = 12.000 IOPS, logo será necessário 93 discos [12.000/130] de 10.000 rpm ou 67 discos [12.000/180] de 15.000 rpm… não precisa ir muito além para ver a inviabilidade desta abordagem nos dias atuais. Você pode me perguntar: e se usarmos o RAID 1+0 (também conhecido como RAID 10) que oferece melhor desempenho, como ficaria essa conta? Fácil, pelo fato da penalidade de escrita no RAID 10 ser de apenas x2, pois preciso somente escrever em dois discos, contra os x4 do RAID 5, teremos a seguinte situação:

4.000 IOPS + (2.000 IOPS * 2) = 8.000 IOPS, logo será necessário 62 discos [8.000/130] de 10.000 rpm ou 45 discos [8.000/180] de 15.000 rpm, melhorou bastante, mas não se assuste se quando você montar essa infra-estrutura e descobrir que os dados reais não coincidem com os dados da prancheta. Por quê? Porque disco não é o único componente do subsistema de I/O, há de se dimensionar e escolher os parâmetros da HBA adequadamente. Em algumas situações eu me deparei com essa situação, e acabei descobrindo que para a maioria dos casos os valores padrão da HBA não são ótimos, e normalmente você vê enfileiramento de disco no sistema operacional e não saturação do lado do storage, e é ai que você aprende que existem vários parâmetros da HBA, porém dois se destacam entre eles: Queuedepth e Queuetarget, basicamente definem quantas filas serão criadas na HBA e qual é o tamanho do buffer de cada um delas. Se você verificar na figura seguinte a tela do Performance Monitor de uma máquina gerando constantemente a mesma taxa de requisições de I/O e o enfileiramento das requisições somente alterando o tamanho do buffer vai perceber o que estou falando:

Agora que você já definiu quantos discos você precisa para ter desempenho suficiente para seu servidor e caixa postais do Exchange Server, e acha que agora sabe de tudo sobre como dimensionar subsistema de discos e não será por isso que o seu correio eletrônico ficará lento, veja o vídeo do Brendan Gregg da Sun’s Fishworks a respeito de uma descoberta, no mínimo inusitada de latência em discos…

Já fez o dimensionamento de ruído do seu Data Center? Hummm….

Olhando tudo isso, e vendo como esta indo a tecnologia de SSDs me sinto naqueles momentos da história onde via vendendo lado a lado na mesma loja, máquina de escrever e computadores…

Somente como curiosidade, se tiver interesse em saber quantos discos SSDs (Intel X-25E) seriam necessários para o mesmo servidor Exchange, refaça as contas com capacidade de 35.000 IOPS para leitura e 3.300 IOPS para escrita, ambos aleatória de páginas de 4KB (o mesmo tamanho de página do Exchange 2003), se ainda estiver interessado em entender porque eu me sinto como na transição das máquinas de escrever para os computadores, leia ainda sobre outro post meu a respeito de eficiência energética em Data Centers.

Abraços e até a próxima.

Comments (5)

Trusted Execution Technology: O que é isso?

2009-03-31T17:54:15Z

Em 2007 introduzimos uma nova funcionalidade de segurança na linha de desktops corporativos, e em 2008 nos notebooks da linha Intel® vPro™, que tem como objetivo ser o alicerce de uma nova geração de computadores seguros.

Muitos dos ataques mais sofisticados de hoje contra equipamentos PC, tem como objetivo contaminar a máquina dos usuários para diversos fins, desde zumbi para envio de spam e ataques DDoS até roubo de informações, e têm se mostrado um grande desafio para serem mitigados na camada de software, conforme já havia discutido em maiores detalhes em outro post.

Como resposta a esses ataques nós, como fabricantes de hardware, não podemos ficar de braços cruzados esperando que as soluções para os problemas de segurança sejam tratados e resolvidos apenas na camada de software, porém essa iniciativa da Intel não é inédita, quem se lembra dos anéis privilegiados introduzidos no 286 que permitiu criar sistemas operacionais com isolamentos de privilégio ou do Execution Disable Bit que ajuda a prevenir que malwares possam se propagar na máquina, marcando áreas de memória apropriadas para execução de código, sabe que segurança não se trata somente em uma camada, e é preciso não só tratá-la em profundidade (ex. software, hardware e processos) como também evoluí-las sempre, pois há uma corrida na área de segurança, entre quem precisa se proteger e aqueles que tem interesse em atacar.

Trusted Execution Technology (ou simplesmente da sigla TXT) vem como reforço para lidar com as ameaças que atuam no mesmo nível do kernel do sistema operacional ou até em níveis mais privilegiados, como um tipo novo, que seria o malware de hypervisor, onde o código malicioso se aproveitaria das instruções de virtualização da CPU para emular o hardware para o sistema operacional, e assim obter controle completo sobre o sistema.

Como funciona?

O TXT, basicamente funciona como uma entidade no hardware com capacidade para atestar a integridade do código de boot do sistema operacional, impedindo que um código malicioso seja inserido entre o hardware e o código de boot do sistema operacional, tornando praticamente impossível sua detecção. Daí você pode me perguntar: Bruno, mas se eu estiver em um ambiente controlado, e fizer a criptografia do disco usando recursos com o BitLocker do Windows Vista com o chip TPM, de certa forma eu já não estaria me protegendo contra esse tipo de ameaça? De certa forma sim, e essa abordagem é chamada SRTM, que vem do inglês Static Root Trust Measurement, que consiste em se criar uma cadeia de confiança, onde no processo de inicialização do computador todo componente é verificado para garantir que não houve subversão, naturalmente usando o chip TPM que é a raiz de confiança:

Figura 1.

A estratégia do SRTM produz excelentes resultados e sem dúvida promove um bom nível de segurança, principalmente contra ataques offlines, porém o calcanhar de Aquiles desta abordagem reside no fato que é necessário verificar cada componente que é executado, desde a inicialização do TPM (lembrando que a figura 1 está simplificada). Não é uma tarefa fácil, na montagem de um hardware verificar cada componente que é chamado e executado, e integrá-lo a essa cadeia aumenta naturalmente os custos de desenvolvimento e integração, e conforme os componentes no hardware vão se tornando mais inteligentes e complexos, essa cadeia tende a se estender.

De forma a lidar com essa limitação, o TXT usa uma abordagem um pouco diferente, que é chamada de DRTM, que também vem do inglês Dynamic Root Trust Measument, que ao invés de colocar a confiança toda depositada no TPM, no inicio da cadeia de confiança, a Intel criou uma instrução especial que faz parte do TXT que se chama “SENTER”, essa instrução é capaz de estender um registro do PCR do chip TPM depois da inicialização do computador, por exemplo, um programa de inicialização (ex. TBOOT) pode chamar o “SENTER” com o hash do VMM (eg. Xen 3.3 que já usa essa funcionalidade), carrega o VMM e somente ativa o VMM depois do ateste do TPM, com isso o TXT pode fazer a máquina sair de uma situação onde não se conhece o estado da máquina ou não confiável para um estado conhecido e confiável. O bonito desta tecnologia é que realmente viabiliza a massificação deste tipo de proteção para todo tipo de computador sem necessariamente incorrer aumento de custos e complexidade.

Abraços e até a próxima.

Comments (0)

Eficiência Energética em Data Center

2009-03-11T19:05:52Z

Ainda me lembro dos tempos em que se tinha sempre que manter no carro ou no trabalho um bom casaco, mesmo nos dias quentes de Brasília onde raramente a temperatura fica baixo dos 26°C, pois sempre podia acontecer de um grande cliente solicitar um apoio, seja em suporte ou piloto de uma nova tecnologia, e eu ter que passar o dia na “geladeira” do cliente, que era apelido carinhoso para os CPDs. Hoje pelo menos já podemos confortavelmente acessar todas as máquinas do CPD, somente usando ferramenta de gerenciamento, como Terminal Services, SSH, etc… felizmente já não tenho mais que andar com casacos pesados em dias quentes correndo o risco dos vizinhos acharem que fiquei louco, porém os Data Centers continuam bastante frio, mas será que precisa ser assim?

Algumas coisas, e a história estão cheias deles, que no passado era verdade, porém no presente ainda se faz como a anos como que por inércia, sem que ninguém se pergunte se de fato ainda é preciso fazermos a mesma coisa como fazíamos antes. Será que não existe uma forma diferente e melhor para alcançarmos os mesmo objetivos? O motivo deste questionamento tem um embasamento muito pragmático… não é de graça… hoje se gasta no mínimo 37% da energia total de um Data Center em ar-condicionado somente para refrigerá-lo, o que é bastante considerável.

Será que é necessário se gastar tanta energia assim para resfriar o Data Center?

Nos Data Centers mais modernos, incluindo alguns que temos na Intel, apenas alguns cuidados e ajustes no desenho do Data Center já produz excelentes resultados no sentido de reduzir o consumo de energia para resfriar os equipamentos, como por exemplo a separação de corredores “quentes” e corredores “frios” que impedem que o ar quente que sai dos servidores se misturem com o ar frio que vem do ar condicionado, aquecendo desta forma o ar frio antes mesmo deste ter oportunidade resfriar a máquina, e este ciclo vicioso de ineficiência impõe demanda extra para o ar-condicionado e conseqüentemente, mais energia será gasta.

Reparem neste Data Center de máquinas blades que temos aqui na Intel:

Repare que a parte da frente dos gabinetes de blades estão posicionadas de frente para a saída de ar frio do piso, e a traseira dos gabinetes ficam confinadas em um corredor quente, onde o ar é removido por aberturas no teto não deixando que este se misture no mesmo ambiente com o ar frio.

Somente com essa abordagem, conseguimos um aumento na eficiência na refrigeração dos equipamentos na ordem de 75%, pois bem faça as suas contas com base na sua conta de energia do seu Data Center.

Certamente, este foi um prédio construído com a eficiência energética em mente, porém isso não impede de se realizar adaptações no seu Data Center atual, como é o caso destes gabinetes que possuem uma “chaminé” para se aplicar o mesmo conceito:

Outro aspecto que comumente surge quando falamos de eficiência energética em Data Centers é: Quão frio devemos deixar o ambiente dos servidores para evitar desperdiçar energia? Antes de responder diretamente a essa pergunta, é bom entender porque devemos resfriar o servidor: Cada componente do servidor tem seus próprios limites térmicos de operação, por exemplo, os processadores de servidores normalmente podem operar normalmente até 67°C, e para tanto basta acompanhar pelo sensor térmico interno do servidor quando você atinge um limite de segurança, usando por exemplo o Intel® Thermal Analysis Tool, que pode ser estabelecido como 50-55°C, porém o que normalmente nos força a baixar ainda mais a temperatura do Data Center é que os discos internos dos servidores possuem um limite mais estreito de operação, que vai de 5°C até 55°C, e portanto nos força a resfriar ainda mais a máquina afim de evitar termos que deixá-la trabalhando no limite.

Em muitos Data Centers que estão preocupados com a eficiência energética, já é comum utilizar servidores sem discos locais, e iniciar o sistema a partir de uma conexão iSCSI ou Fiber Channel de um storage externo, que ai sim, fica em uma sala cofre bem resfriada, porém há de convir que é muito mais barato se resfriar um sala cofre pequena somente para storage do que todo o Data Center e portanto podemos deixar desta forma a temperatura do Data Center até 7-10°C mais quente do que seria necessário se estivesse usando servidores locais.

Uma outra alternativa, que começa se apresentar interessante neste cenário é o uso de SSDs nos servidores, pois além de consumir 90% a menos de energia que seu equivalente baseado em discos, a temperatura de operação também é superior, de 0°C a 70°C, ou seja, superior até do que o processador, portanto menos energia necessária no ar-condicionado para se resfriar tanto a sala dos servidores.

Bem, essas são algumas idéias para se reduzir o consumo de energia nos Data Centers, e espero que seja útil para aqueles que procuram otimizar seus recursos de TI.

Abraços!

Comments (2)

Virtualização Assistida por Hardware, o que é isso?

2009-01-30T12:57:19Z

Virtualização é um assunto que está recebendo bastante destaque nos últimos anos e tem nos mostrado muitas oportunidades em como podemos repensar a forma como lidamos hoje com os atuais desafios em TI, seja ele nos Data Centers ou em desktops e notebooks. A virtualização não é novidade, principalmente para quem trabalha com a alta plataforma, porém a sua utilização em servidores x86, desktops e notebooks são relativamente novos e ainda há muito espaço para que possamos tirar o máximo proveito das possibilidades que estes podem nos oferecer.

Pelo fato das instruções x86 completarem agora 30 anos de existência, e ter recebido diversas extensões para lidar com as tecnologias que surgiram neste meio tempo, como pro exemplo, o MMX para acelerar processamento de sinal multimídia ou o SSE para lidar com aplicações genéricas onde se necessita lidar com “tripas” de dados para executar uma única instrução, como é o caso de codificação/decodificação de áudio/vídeo, criptografia, imagem entre outros, porém o caso da virtualização não poderia ser diferente: Para lidar com este novo mundo, a Intel criou o Intel-VT (Intel Virtualization Technology) para acelerar o processamento em máquinas virtuais.

Do ponto de vista do software de virtualização, como por exemplo, o Microsoft Virtual PC, você encontra a opção para habilitar a virtualização assistida por hardware e poderá comprovar como essa tecnologia acelera a execução em máquinas virtualizadas.

Como funciona?

Contextualização do problema

Para entender como funciona a instrução de virtualização e porque ela é tão importante, é necessário entender primeiro como o sistema operacional conversa com o processador.

Desde que a Intel introduziu nos processadores da família 80286 o conceito de Protected Mode, conforme já havia discutido em post anterior, os sistemas operacionais desenvolvidos para rodar em processadores x86, rapidamente adotaram as vantagens de poder usar os anéis de isolamento promovidos por essa novidade, assim os sistemas operacionais mais populares de hoje, foram desenvolvidos para utilizar pelo menos dois dos quatro níveis de isolamento promovidos pelo processador.

A dificuldade é, que como neste modelo onde o sistema operacional, que foi desenvolvido para falar diretamente com o processador, poderá funcionar normalmente, porém conversando com outra peça de software que tem como função emular um processador para o sistema operacional e esperar que tenha estabilidade, desempenho e que suporte várias máquinas virtuais simultaneamente.

Em um ambiente de virtualização, baseado inteiramente em software, sem assistência de hardware, o truque é fazer uso do anel 1 e 3 para alocar o sistema operacional hospedado, enquanto o virtualização (ie. hypervisor) fica alocado no anel 0, como um intermediário fazendo com que processador acredite que está executando apenas um sistema operacional e o sistema operacional virtualizado acredite que esteja em contato com um processador x86 físico ou seja, nada mais é de forma simples, que um tradutor, que por sua vez precisa ocupar tempo e recursos computacionais para traduzir as chamadas dos sistemas operacionais virtualizados para o hardware.

Portanto, em uma implantação baseada inteiramente em software, não só é de se esperar que haja maior consumo de CPU, como também latência em muitas chamadas e operações. Outra alternativa, seria adotar o modelo de anel sem privilégio, onde o hypervisor continua no anel 0, e tanto o kernel do sistema operacional virtualizado como suas aplicações rodariam no mesmo contexto, porém você perde as proteções do hardware para controle de contexto de segurança.

Solução embarcada no hardware

Para remover a necessidade de tradução na camada de software, a Intel introduziu em seus processadores de servidores Xeon e Itanium bem como em algumas linhas de processadores de notebook e desktops a instrução de virtualização chamada de Intel VT (que significa Intel Virtualization Technology).

O Intel VT adiciona uma instrução para que o software de virtualização ou hypervisor, possa ter um controle granular sobre o comportamento da CPU, essa instrução do ponto de vista do processador é um bit que quando levado para o estado “0”, ou VMX-root (Virtual Machine eXtention - root) significa que se pode executar qualquer instrução no processador sem nenhuma restrição, inclusive somente neste contexto que se pode alterar o estado VT. Por outro lado, quando o VT é levado para “1”, ou VMX-non root, significa que o processador fica configurado para entender que a execução neste contexto é de uma máquina virtualizada, portanto algumas instruções, as mais privilegiadas, são desabilitadas e os ponteiros do processador deste contexto serão armazenados em cache dentro do próprio processador para acelerar o compartilhamento do tempo de processamento de outras máquinas virtuais, já que a gravação e recuperação no cache do processador são muito mais velozes do que se fosse à memória principal. Se fossemos colocar essa nova instrução em perspectiva com o modelo anterior seria mais ou menos como o representado por essa figura:

Perceba que tanto o kernel do sistema operacional virtualizado quanto o hypervisor estão no anel 0, e mesmo assim o hypervisor possui ainda maiores privilégios sobre o hardware para garantir a hierarquia de gerenciamento e integridade, sem comprometer o desempenho.

Conclusão:

Atualmente, as instruções de virtualização no processador se tornaram indispensáveis para qualquer um que deseje precise trabalhar com máquinas virtuais, sejam elas para laboratório, recreação ou servidores, porém lembre-se que o Intel VT ainda não é a ultima fronteira em termos de virtualização, pois este se restringe a virtualização da CPU, há de se considerar também a virtualização dos dispositivos de I/O, que será tratado em outro post.

Comments (6)

Moblin Day - 12 de fevereiro em São Paulo

2009-01-27T15:09:03Z

A Intel convida você a levar a Internet no seu bolso através da nova geração de dispositivos móveis!

Venha participar deste evento focado em soluções Moblin para o novo mercado de MIDs, bem como para outros dispositivos portáteis.

Você terá a oportunidade única de experimentar e testar os primeiros dispositivos portáteis de acesso à Internet - MIDs - para plataforma Moblin, assistir apresentações de aplicações já desenvolvidas, além da visão de desnevolvedores e empresas do que será apresentado no futuro.

Durante o evento, você fará parte do júri que decidira o vencedor do concurso Your Move Intel. Os finalistas propuseram aplicacões para estas novas plataformas e serão julgados pela audiência presente no evento.

Confirme sua presença através do mail moblinday.intel@u-biq.com.br, informando seu nome e dados de contato (telefone e e-mail).

Data: 12 de fevereiro Local Renaissance São Paulo Hotel

Para quem não estará em São Paulo na data, poderá acompanhar o evento pela Internet. Nos próximos dias estaremos divulgando o endereço de acesso, bem como a agenda do evento. Fique ligado!

Comments (0)

Brasil Digital@Intel

Como fazer a ativação do Intel© vPro™ - Modo Enterprise: PSK

Ajay Bhatt pode estar a caminho da sua casa!

Plug-in de integração do vPro ao CACIC 2.4

Mais vencedores, mais camisetas!

Como fazer a ativação do Intel© vPro™ - Modo Enterprise: PKI

Como fazer a ativação do Intel© vPro™ - Visão Geral

E as primeiras camisetas do Ajay Bhatt vão para...

Retorno de Investimento

Modelos Computacionais

O Ajay Bhatt também é seu ídolo?

Operação de Data Center de Alta Temperatura

Computação na Nuvem

Netbooks nas Corporações

Investindo em Tempos de Crise

Finalmente Disponível a versão do CACIC 2.4 com Suporte ao vPro

Virtualização de Segunda Geração - afinal o que é isso?

Encontro do CMG no Brasil

O que a tecnologia pode fazer para evitar roubo de notebook?

CACIC 2.4, nova roupagem e muito em breve suportando o Intel© vPro™

Intel© vPro™: O que o torna tão especial?

Latência em discos e problemas de desempenho

Trusted Execution Technology: O que é isso?

Eficiência Energética em Data Center

Virtualização Assistida por Hardware, o que é isso?

Moblin Day - 12 de fevereiro em São Paulo