现场级远程桌面管理IntelAMT技术初探.doc

现场级远程桌面管理 Intel AMT技术初探我们成功将故障PC的平均修复时间从36小时缩短到了35分钟，这帮助我们的用户降低了近95%的收入损失。Isabel Ruiz Martnez, Commercial Director at Fractalia Hotel Systems我们的职责是为分公司提供实时的IT服务，Intel vPro 技术确保我们可以实时地将服务传递给我们的用户。Todd Hicks, infrastructure engineer, Erie Insurance调查显示，企业最主要的三项IT需求是：优化资产管理，缩短停机时间和减少现场访问。简单分析一下这三点，你会发现这是一连串由易到难的问题，而且具有很强的“连续性”。连续性指的是什么？首先我们需要弄清连续性取决于什么，在这里，连续性取决于IT团队对企业IT系统的掌控程度。一般来说，掌控程度越高，距离第三个目标就会越近。如果你仅能达到第一个目标，在人员配比固定的情况下，试图缩短停机时间和减少现场访问几乎是不现实的。大家对C/S（客户端/服务器）架构再熟悉不过了，将其套用在公司IT维护上，C依然指的是客户端，S是服务器，前者是“面”，后者是“点”，提升整个IT系统的效率显然包括点和面两个层面的问题，然而哪个更难以做到呢？显然是提升客户端的效率更困难一些虽然服务器本身及其上运行着的应用复杂程度均远超过桌面PC。原因何在，为什么复杂的服务器易于维护，而相对简单的桌面电脑却让维护人员备感头疼？答案很简单，而且与维护人员的技术水平无关，首先，服务器的分布相对集中；其次，维护服务器几乎不需要现场访问；第三，服务器软硬件出问题的机率其实并不高。对比一下我们便不难发现，桌面IT支持之所以让人大呼头疼，是因为以上这三点均不具备，虽然通过域策略、回收用户系统权限、部署病毒防护系统等手段，在一定程度上可以降低客户端出现问题的概率，但客户端的分布太过分散，需要现场访问解决问题，这两点是无法解决的。无法缩短停机时间是因为必须现场访问，而减少现场访问必须采用新的IT支持方式桌面管理如何被IT经理“忽视”了？一部分IT经理可能真的宁愿选择忽略这个问题，因为几台客户端出现问题，可能仅是5 : 70 的比例，其严重性远远达不到服务器宕机的程度，是可以接受的。另外，维持客户端“整体有效”可以借助增加桌面IT支持人员来做到。在这里，笔者说一件亲历的事情。在一家大型超市中，桌面PC 60台左右，2003年营业，电脑配置为128M内存，1.4G处理器，电脑设备的服役期规定为5年，这样的配置到了2006年的时候，每台电脑从开机到可以使用大概要耗时10分钟以上，如果遇到杀毒软件扫描系统，用时可能会在30分钟左右。因此，很多员工到公司之后基本都是先打开电脑，然后去做一些其他事情，再回来时电脑差不多就可以使用了。每天每人至少损失30分钟左右的工作时间，如果遇到宕机，浪费的时间就会倍增。因性能不足所带来的恶梦不仅发生在用户身上，同样也会发生在桌面IT支持人员身上，解决问题毫无效率可言。一个人忙不过来？加人！还是忙不过来？再加人这也许就是传统桌面IT支持的解决方案。你可能会问，为什么桌面管理被IT经理忽视了？或许是因为这个问题没有被关注的必要吧。当然，还有另一种情况，IT经理清楚桌面管理的重要性，但是没有好的解决方案可供选择。比如，在一个公司的IT运维被外包之后，现场支持人员被大幅压缩，服务级别条款代替了随叫随到式的服务，所有用户请求必须先经过HELPDESK尝试远程解决，如果失败，用户接下来可能要面对的是4小时，甚至24小时的等待时间，在这段规定的时间内，现场支持人员将联系用户以确定现场访问时间，最终问题解决会控制在24-48小时之内。这对于习惯了随叫随到式服务的用户来说，确实会感到不适。HELPDESK对我说，24小时内会有现场支持人员上门解决IT外包有助于削减成本，规范IT服务质量，有了HELPDESK的存在，用户只要拨打电话，在线工程师就可以及时受理用户的请求。不过，在有些情况下，远程支持也可能带来服务及时性上的下降，尤其是操作系统级故障。操作系统级故障对远程支持来讲始终是个禁区，这其实是带内管理方式自身的固有缺陷所决定的。带内管理 带外管理网络管理分为带内管理（In-Band）和带外管理(Out-Of-Band)。带内管理可以简单理解为管理控制信息与数据信息使用同一物理通道进行传送，带内管理的最大缺陷在于当网络出现故障中断时，数据传输和管理均无法正常进行。带外管理正好弥补了带内管理的不足，它的核心理念是通过不同的物理通道传送管理控制信息和数据信息，两者完全独立，互不影响。上面讲的是广义的概念，在实际的服务器与桌面维护领域，我们可以把操作系统本身理解为“带（Band）”，带内管理必须基于操作系统来实现，比如运行在Windows上的某个远程控制软件，虽然通过它可以远程维护Windows，但是，如果Windows无法启动了或仅仅是与控制软件相关的系统组件出了问题，管理软件也就无法使用了。一般来讲，此时管理员需要现场访问排查故障，当然还有另一种解决问题的方法带外管理。带外管理带外管理指的是维护工具与被维护对象之间没有任何依赖关系的管理方式。我们可以理解为电脑上还运行着另一个操作系统，这个系统非常“健壮”可靠，平时它处于“隐形”状态，它的实际用处是管理当前主机的硬件。通过它，我们可以看到目标主机的屏幕，可以开启/重启电脑、安装操作系统等，就像操作您面前的电脑一样还有什么理由必须亲临用户现场呢？要实现这一切，唯一的要求是只要网络处于联通状态。在服务器领域，带外管理几乎是必备功能，这就使得通过远程方式维护操作系统级故障不再是禁区。真正及时高效的服务器维护，正在渐渐淡化现场支持方式。管理员完全不用亲临现场，只要网络保持联通就可以远程开机/重启、远程完成操作系统安装配置等工作，无论操作系统（OS）是否工作正常。可以说，带外管理功能是一项对服务器和桌面维护具有变革意义的技术。未来，应用在服务器上的带外管理技术可能会统一到UEFI上来，那么在桌面领域有没有这样的技术呢？答案是肯定的，其中之一就是英特尔主动管理技术（Active Management Technology）。什么是英特尔主动管理技术？Intel AMT是内嵌于英特尔 vPro 架构平台的一项带外管理功能，IntelAMT 独立于操作系统运行，即使平台已经关闭，只要平台仍与电源线和网络相连，远程管理人员仍可以安全地访问 Intel AMT。独立软件开发商（ISV）可利用应用编程接口（API）来构建基于 AMT 特性的各种应用。还记得开篇时我们提到的企业最主要的三项IT需求吗？即优化资产管理、缩短停机时间和减少现场访问。Intel AMT 在这些方面均提供了支持。资产管理：AMT 在非易失性内存中存储硬件和软件信息（AMT 自动存储硬件信息，需要运行于主机平台的软件代理来捕获和存储软件资产信息），即使电脑关机，IT 人员也能了解软硬件资产情况。缩短停机时间减少现场访问：AMT 所具有的带外管理特性，使远程诊断及重启不再有任何障碍，即使操作系统瘫痪，IT人员同样可以远程进行修复或重建。此外，告警与事件日志功能还能帮助 IT 人员快速检测问题，缩短停机时间。网络维护还有一个非常棘手的挑战病毒扩散。AMT 可以做到将受感染的主机从整个网络中隔离出去，控制住传播源，大大降低网内其他主机受感染的机率。基于 Intel vPro 平台的 PC 硬件组件中集成了 AMT，上图显示了这些元素之间的关系目前的 Intel AMT 6.0 平台Intel AMT 是一种产品吗？实际上，它更像是一项技术或行业标准，对于 Intel 来讲，AMT 技术是一项商业和技术计划能够跨所有英特尔平台提供一致的管理能力、协议，以及接口。缩短停机时间 减少现场访问维护人员最常问用户的一句话一定是：“描述一下你屏幕上显示的是什么？”在试图使用电话解决问题时，IT人员与用户之间是极难产生“共同语言”的，最终的结果往往是放弃尝试远程解决，准备动身赶赴用户现场。采用 Intel vPro 平台的笔记本，即使蓝屏依然可以进行远程维护亲临用户现场无非是为了看到问题主机的屏幕以及操作鼠标和键盘，这一切其实都可以通过 KVM（Keyboard-Video-Mouse）来解决。维护过服务器的人们对 KVM 一定非常熟悉，尤其是支持网络功能的 KVM over IP，管理员可以在任何地方通过网络向服务器发出操作指令，完全现场级操作。不过，KVM 虽好，但是为用户的电脑配备 KVM 显然不太现实。但从实用角度出发，KVM 对于桌面IT维护来讲又极其重要，所以 Intel 在 AMT 6.0 版本（i5 i7 vPro平台）中内置了 KVM。不要小看这一举措，从长远来看，它必将颠覆传统的桌面IT支持方式。不可否认，Intel 在商用电脑领域有着绝对的优势，也是唯一有实力推行“跨厂商级”解决方案的厂商。原因很简单，我们可以选择购买HP或联想的产品，但 i5、i7 平台均来自 Intel。驱动器重定向（IDE Redirection）在掌握了电脑的屏幕，键盘和鼠标后，对于管理员来讲还差两样东西电源按钮和操作系统安装光盘。同样，借助 AMT，IT 人员除了可以远程执行开关机，还可以冷启动电脑，如果用户出现的问题，KVM+远程重启都无法解决，那可能只有重装系统这一条路了。但是，重装系统需要用到光盘怎么办？这时，我们可以把光盘做成镜像文件，只要 AMT 能够通过网络访问到该文件就可以远程安装操作系统，这一功能在 Intel AMT中被称为 SOL/IDE-R（Serial-Over-LAN/IDE Redirection）。与服务器带外管理简单比较远程管理服务器，KVM是必备工具操作系统重建离不开驱动器重定向重启重定向，从硬盘启动，从光盘（Image）启动，重启进入BIOS等日志记录，为快速了解主机状态提供参考信息如果你从事过服务器维护工作，对上面这些截图一定不会感到陌生，同样的功能，在vPro平台中它们是什么样子？请往下看：AMT 6.0 中的“精英级”工具，无论操作系统处于任何状态，通过KVM 都可以远程操作主机IntelAMT KVM Server 的有效性与操作系统的状态无关，KVM Server 端与标准的 VNC 兼容，支持RFB 3.8和4.0版本。因此，可以通过标准的 VNC 客户端软件连接 AMT 的 KVM，也可以使用 Intel AMT SDK 里面提供的工具来连接，上图使用的是 RealVNC。驱动器重定向，支持 Image 文件远程重启重定向，从硬盘启动，从光盘（Image）启动，重启进入BIOS等日志记录，为故障快速诊断提供参考信息Intel AMT确实是一项非常实用的技术，KVM+远程重启+SOL/IDE-R这一组合，使远程桌面IT支持完全达到了现场级别，距离已不是问题，IT服务的及时性将得到极大的改善，远程支持也不会因与用户沟通不畅而难以进行，这些改变，对于传统的桌面支持方式将是颠覆性的。案例分享我们成功将故障PC的平均修复时间从36小时缩短到了35分钟，这帮助我们的用户降低了近95%的收入损失。Isabel Ruiz Martnez, Commercial Director at Fractalia Hotel SystemsFractalia Hotel Systems 是一家IT服务提供商，其主要客户是欧洲和南美洲的连锁酒店企业。为了提升竞争力，这些酒店普遍开始为顾客提供高速的上网，办公，游戏以及打印等服务，Fractalia所负责的正是保障这些酒店的 IT 系统7x24小时正常运行。以前它们使用自己的管理软件（iriscene remote manager）进行远程技术支持，即使这样，技术人员每月依然需要155次左右的现场访问用于修复故障 PC。以上是一些背景介绍，在这一案例中，Fractalia 为了改进服务质量，降低用户的收入损失，选用了基于 vPro 平台的桌面系统。效果如何？我们来看几个数字。Fractalia 的 HELPDESK 负责监控着2900台 PC，它们分布在900个不同的场所，每个月155次的现场访问，多数是因为用户电脑在使用中宕机，或是在远程维护过程中宕机所引起，这种情况下，以现场访问方式修复一台 PC 平均用时36小时，每年每台 PC，Fractalia因此平均损失30.58美元，IT支持成本接近44.75美元，综合计算因 PC 故障带给 Fractalia 和酒店双方的经济损失每年超过198000美元。Fractalia 的管理软件（Iriscene Remote Manager ）其实是一款带内管理工具，就像我们在文中提到的，如果遇到操作系统级故障，技术人员就不得不采用现场访问方式解决问题。在 Fractalia 部署了300台Intel Core 2vPro 平台的PC之后，使用 vPro + Iriscene Remote Manager 这一组合，以前需要36小时才能解决的问题现在缩短到了35分钟，每台PC的IT支持成本由每年44.75美元降到了6.7美元，降幅达85%；酒店方面的收入损失，也由以前的每年每台PC 30.58美元降到了1.39美元，降幅达95%。在5年时间内，Fractalia 预测其IT支持成本累积可以节省328000美元，酒店方面的收入损失可以减少264000美元，投资回报率可达524%。（案例原文）我们的职责是为分公司提供实时地IT服务，Intel vPro 技术确保我们可以实时地将服务传递给我们的用户。Todd Hicks, infrastructure engineer, Erie InsuranceErie Insurance 是一家成立于1925年的保险公司，全球500强企业之一，在全球11个国家设有22家分公司，业务领域主要涉及汽车、家庭、商业和人身保险等。Erie IT 团队的最重要职责是避免用户因PC故障导致产生业务流程中断和为分公司提供实时的IT支持服务，以及如何持续改进这两者。在工作时间对系统进行停机维护（Downtime），对于员工来讲意味着生产率的损失，所以，除非遇到紧急事件，很多公司的做法是在非工作时间对桌面PC进行补丁更新，病毒特征库更新等操作。“虽然，在非工作时间，我们可以在数小时内完成为95%的PC更新补丁，但是，做到这一点要求客户端必须一直处于开机状态，结果导致电费开支十分可观。”Erie IT 团队基础架构工程师Todd Hicks这样表示。Erie Insurance 在部署了支持电源管理的 Intel vPro 平台 PC 之后，IT 团队可以做到在夜间自动开启 PC 进行补丁更新，并在完毕后随之将 PC 关闭人们在早上打开电脑时，电脑已经被更新，这不仅节省了电费开支，同时还不会影响到用户的工作，仅这一项，Erie Insurance 预计三年内电费开支可节省45603美元。在上文中我们介绍了 AMT 技术，作为 vPro 平台的一个重要组件，AMT 的强大之处正是在于它可以修复受损的操作系统，而无需现场访问。在Erie Insurance，分公司用户桌面宕机往往会导致停机数天，因为镜像光盘的邮寄非常耗时。在部署了 Intel vPro 平台的 PC 之后，为一台 PC 还原系统（镜像）由以前需要2天时间缩短至了3小时。（案例原文）成本分析如果目前正在使用的电脑可以满足业务需求，您是否会为了大幅改善可管理性与远程支持能力而决定置换现有电脑？我们做了一份简单的问卷调查（点击这里参与调查），目前已有近300份投票，69%的参与者选择了视成本而定，成本“不敏感”型人群仅占8%，而其余23%，我们也许可以理解为，价格是促成这部分用户做出决定的唯一因素。一项技术是否可以得到普及，价格因素至关重要目前，一台主流配置的 Intel Core i5vPro PC 公开报价在5000左右，需要注意的是，在台式机 CPU 产品线，目前仅有 i5 650，660，670 三款可供选择，它们都内置了 GPU，也就是图形处理单元，这是实现新版 vPro 平台中 KVM 功能的必要条件在Q57系列主板上装配其它 CPU 虽然也可以使用 AMT 的各项功能，但AMTKVM 模块无法生效。同是 i5 核心，vPro 平台与非 vPro 平台在价格上相差几何？这其实是个挺难回答的问题，非 vPro 平台 i5 CPU 具备4个核心，而在 vPro平台， i5 650，660，670 这三款产品均为双核心，不过它们在 CPU 中内置了 GPU（实现AMT KVM功能的必备条件）。不难看出，前者注重性能而后者注重可管理性