この記事は2020年12月に更新されました
連載記事「導入前のアドバイス」 - HPE ProLiantサーバーのファームウェア編です。
ファームウェアとドライバーの違い、HPEが提供するファームウェア、ドライバー、ユーティリティをパッケージ化したService Pack for ProLiant(SPP)に関してご紹介します。
ファームウェアとは?
ハードウェアの基本的な制御をするプログラムは、ROM や EPROM あるいはフラッシュメモリなどに格納され、装置の一部として組み込まれており、このようなプログラムのことを特にファームウェア (Firmware) と呼びます。
ファームウェアは、一般的なコンピューターの本体だけでなく、周辺装置や家庭用電化製品、自動車等、様々な機器に組み込まれているのでインフラエンジニア以外の方もご存じの方が多いかもしれません。
以前はファームウェアの格納にはマスクロムが使われておりましたが、最近ではファームウェア・プログラムを、機能改良や不具合修正のためにアップデートするケースが増えてきたため、一般的には書き込み可能なフラッシュメモリが使われているケースがほとんどです。
ファームウェアとドライバーの違い
ファームウェアが機器に搭載されるソフトウェアならば、ドライバーはOSにインストールするソフトウェアです。
ユーザーがサーバー内のコンポーネントを制御するとき、まずOSにインストールされたドライバーに命令が渡ります。ドライバーがその命令をファームウェアに伝えることで、ユーザーはサーバー周辺機器を操作することが可能となります。
サーバー内のコンポーネントも非常に多く、
サーバー本体(UEFI/BIOS)、RAIDカード、ディスク、NIC、管理チップ(iLO)等、様々なコンポーネントを制御するために必要です。
Service Pack for ProLiant(SPP)
サーバーを制御するにはコンポーネント毎にファームウェアやドライバーが必要なことがわかりましたが、コンポーネント毎にこれら必要なソフトウェアの管理は非常に大変です。
HPEでは、SPP(Service Pack for ProLiant)と呼ばれる、HPE ProLiantサーバー用のドライバー、ユーティリティとファームウェアを管理・更新するためのツールをISOイメージで提供しています。統合テストを行ったドライバーとファームウェアの組み合わせを提供しており、年に数回リリースされ、リリース後は1年間サポートされます。SPPを活用することにより、容易にメンテナンスを実施することが可能です。
リリース名には、リリースされた年月が含まれるため、サポート期間を容易に判断できるのも特徴です。
SPPには、現在販売中のサーバー世代用のSPP(Production SPP)と販売終了済みの世代のSPP(Post Production SPP)の2種類あり、その棲み分けは下記のようになります。
Production SPP:
- 現在販売中のサーバー世代用、単一のパッケージで提供
- 年数回更新リリースを提供
以下のいずれかの条件に一致すればProductionに分類
- 現在販売されている
- 新しいオプションが追加される
- 新しいOSまたはHypervisorバージョンのサポート機種として追加される
Post Production SPP:
- 販売終了済み製品用、Post-Production向けのSPPは特定の世代向けにパッケージ(例:Gen8用Post-Production SPP)
- 一度リリースされると基本的に更新リリースは無い(その世代の最終版SPPとしてサポート終了まで利用可能)
- 収録コンポーネントにクリティカルな更新が必要となった場合はホットフィックスをリリース
以下の全ての条件に一致すればPost-Productionに分類
- 販売終了になっている
- 新しいオプションは追加されない
- 新しいOSまたはHypervisorバージョンのサポート機種として追加されない
また、2019.12.0 SPPから2つのProduction SPPをリリースしており、1つはGen10/Gen10 Plus専用、
もう1つはGen9 / Gen10 / Gen10 Plus製品を対象としています。Gen10 / Gen10 Plus専用のSPPバージョンでは、有効な保守契約が無くてもダウンロード可能です。
- Service Pack for ProLiant (SPP) Support Policy:
https://h20195.www2.hpe.com/v2/getmobile.aspx?docname=a50000517enw
SPP関連用語
SPP自体は単一のISOイメージで提供されますが、その内部のコンポーネントはSmart Componentsと呼ばれます。
Service Pack for ProLiant (SPP)
- Smart Components(ドライバー、ユーティリティ、ファームウェア)の包括的なコレクションで、単一のソリューションスタックとしてテストされ、HPE ProLiantサーバーの更新に使用されます
Smart Components
- SPPで提供される自己完結型の実行可能モジュールで、ファームウェア、ドライバー、システムソフトウェアのアップデートと、アップデートをインストールするためのコードが含まれています。
- 単独での提供もしくは、SPPの一部としてリリースされます
SPP Custom Download
- 必要のないオペレーティングシステムやサーバーモデルのスマートコンポーネントを除外して、SPPのサイズを縮小することができるWebサービスです。
- SPPリリース後に提供されたHotfixを組み込むことも可能です。
また、このSmart Componentsを使用してファームウェア・ドライバーのアップデートを実施するコアエンジン(SPPのインストーラーとしての役割も担う)のことを、Smart Update Manager(SUM)、HPE OneViewやiLO Amplifier Pack等の各種HPEソフトウェアと連携して、アップデートを自動的にステージング、スケジューリングしてくれるSUMの拡張機能をSUT(Smart Update Tool)と呼びます。
SPP、Smart Components、SPP Custom Download、SUM、およびSUTを組み合わせることで、HPE ProLiantサーバーの動作の安定性を向上することが可能となります。
SUM(Smart Update Manager)でのアップデート方式
SPPを適用する方法として、SPPのインスト―ラーでもあるHPE SUMを活用いただくケースが非常に多いので、こちらをご紹介します。大きく分けるとオンライン、オフラインの2通りの利用方法があり、
オンライン
- WindowsやLinuxのOS上からSPPのインストーラーであるHPE SUMを起動する方法
(既存の動作環境を更新するのに適している)- 更新に使用するレポジトリの選択が可能
- ドライバー/ユーティリティ、ファームウェア全てを更新可能
- 起動したサーバーに加えOAやバーチャルコネクト、リモートのProLiantサーバーも同時に更新可能
- レポート機能が利用可能
オフライン
- SPPイメージ(ISOイメージ)からブートする方法
(OSインストール前のサーバー個別アップデートに適している)- 自動または手動による更新
- SPPイメージをブートしたサーバーのファームウェア更新のみが可能
といった棲み分けになります。
また、オンライン/オフライン、1台/複数台まとめて、動作OS、更新したいコンポーネント(ファームウェア/ドライバー)などにより、適宜アップデート方式を選択して、実施いただくこととなります。
例えば、オフラインアップデート方式では、OSに依存せず、ファームウェアのみをアップデートすることが可能なため、OSインストール前のサーバー個別アップデートに適している方式です。
HPE OneViewやiLO Amplifier Packを利用した、より効率的なアップデート方式の例は、以下に記載させていただきます。
サイロ化された環境をまとめて、統合監視・管理、メンテナンスも含めて実施したい場合には選択肢の一つとしてご検討ください。
ファームウェアの更新作業という観点では、
HPE OneViewを利用する場合、サーバーだけでなく、ブレード型サーバーなどの共有コンポーネント(例:Virtual Connect等)を含むインフラストラクチャも合わせて、包括的に更新作業が可能です。
iLO Amplifier Packを利用する場合、サーバーに特化する形での更新作業となりますが、サーバーリストアの機能も付随しており、指定されたSPPを利用したファームウェアの復元から、iLO Amplifier Packに格納されている情報を基に、BIOS、ILO、Smart Arrayの構成の復元、別途ISOイメージを用意することで、OS、アプリケーションまでのリストアまでを自動化することも可能です。
ファームウェア改ざんの脅威に対するHPE ProLiantサーバー
ファームウェア改ざんの脅威に対するHPEの対応を簡単にご紹介したいと思います。
ハードウェアの「セキュリティ対策」というと、NIST(National Institute of Standards and Technology:米国国立標準技術研究所)と呼ばれる、科学技術分野における計測と標準に関する研究を行う米国商務省に属する政府機関が発表している、セキュリティ対策に関することがまとめられた文書、Special Publications(SP800シリーズ)に記載されている、ハードウェアセキュリティの項目が注目視されています。
NISTが提唱するSpecial Publicationsの中では、プラットフォームのセキュリティ対策には、ファームウェア保護が重要とうたっており、ガイドラインとして、
保護:ファームウェアアップデート時も含めた、コードと設定情報の保護
検知:コードと設定情報の破損・改ざんを検知する
復旧:ファームウェア破損時に、認証された正しいイメージに復旧する
と定められています。
出典:NIST SP800-193, 2018, P10
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-193.pdf
HPEでは、ハードウェアセキュリティ強化の一つとして、このファームウェア保護を重要視しており、防御・検知・復旧まで全ライフサイクルにわたって保護する機能を提供しています。
セキュリティに関する詳細は、こちらの記事でご紹介させていただきたいと思います。
SPP関連情報
最後にSPP関連の情報やリンクをまとめましたので、ご活用いただければと思います。
SPP Release Note
- 重要な注意事項、機能強化、サポートされているオンラインアップデートのOS/ハイパーバイザーのバージョン、前提条件、展開手順を含むSPPリリースのリリースノート
Server support guide
- SPP リリースでサポートされているサーバーのリストと、SPP に含まれる各スマート コンポーネントのサーバー サポート リスト
Contents report
- SPPリリースに含まれるスマートコンポーネントのレポートで、各スマートコンポーネントの製品カテゴリ(BIOSシステムROMなど)、説明、バージョン、アップグレード要件、ファイル名を含む
Component release notes
- 各スマートコンポーネントのアップグレード要件(重要、推奨、オプション)、ファイル名、重要な注意事項、バージョン、依存関係、機能強化/新機能、修正された問題、前提条件を含む各スマートコンポーネントの個別リリースノート
SPP Custom Download
- https://hpe.com/servers/spp/custom
- SPP をダウンロードするために推奨される方法
- Production または Post-Production SPP
SPP Download Page
- http://www.hpe.com/servers/spp/download
- ドキュメント、ホットフィックスとアドバイス、FAQ
HPEサポートセンター
- http://www.hpe.com/support
- https://downloads.linux.hpe.com/SDR の Software Delivery Repository (SDR) は、YUM リポジトリにスマート コンポーネントを使用
Smart Update Technology
- https://h20195.www2.hpe.com/v2/getdocument.aspx?docname=4aa4-6947enw
- SPPの利用・提供方式やSUM/SUTを活用した各種アップデート方式の解説
yoshihiko1989
日本ヒューレット・パッカード株式会社で Server Solution / CloudNative関連のプリセールスを担当しています。