连接到共享LAN时,确保NVIDIA DGX A100上的BMC端口涉及多个步骤,以确保系统免受未经授权的访问的保护。这是有关如何实现这一目标的详细指南:
1。使用单独的VLAN进行BMC流量**
如果您无法使用专用的管理网络,请为BMC流量配置单独的VLAN。这将BMC管理与其他网络流量隔离开来,从而降低了未经授权访问的风险。确保该VLAN不用于其他目的,尤其是用于托管机器的LAN接口[2] [5]。2。限制IPMI流量**
将IPMI流量限制为受信任的内部网络。这可以通过配置防火墙规则来限制与BMC管理相关的入站和出站流量来实现。确保仅授权管理服务器可以访问BMC [2] [6]。3。启用加密**
如果可能,请在IPMI接口上启用加密。检查您的用户手册以获取有关如何执行此操作的特定说明,因为它可能会根据BMC模型而异[2]。4。安全管理服务器**
从需要登录的安全管理服务器中管理所有BMC。实施访问规则,以确保仅授权人员才能访问BMC。通过控制谁可以管理BMC [2] [6],这增加了额外的安全层。5。更改默认凭据**
立即更改默认的BMC用户名和密码。使用强,独特的密码,并考虑实施用户策略和角色以进一步限制访问[6] [9]。6。禁用未使用的服务**
如果未通过Web控制台使用IPMI服务,请禁用它们以防止不必要的曝光。此外,如果不需要(默认的IPMI端口),请考虑阻止TCP端口623(默认的IPMI端口)[2]。7。定期更新固件**
保持BMC固件更新以解决任何已知的安全漏洞。定期检查更新并在维护周期期间应用它们[6] [11]。8。监视网络活动**
定期监视BMC和其他机器之间异常流量模式的网络活动。这可以帮助发现潜在的安全漏洞[6]。通过遵循这些步骤,即使连接到共享LAN,您也可以显着增强BMC端口的安全性。
引用:
[1] https://docs.nvidia.com/dgx/dgxa100-user-guide/security.html
[2] https://www.unicomengineering.com/blog/ipmi-best-practices/
[3] https://docs.nvidia.com/dgx/dgxa100-user-guide/network-config.html
[4] https://www.intel.com/content/www/us/en/support/articles/000098962/server-products.html
[5] http://cdn.cnetcontent.com/2f/68/68/2f6888a0-063f-4d76-94e4-8666666b7619dfdf.pdf.pdf
[6] https://www.supermicro.com/products/nfo/files/ipmi/best_practices_bmc_security.pdf
[7] https://www.skyblue.de/uploads/datasheets/nvidia_twp_dgx_a100_systems_architecture.pdf
[8] https://docs.nvidia.com/dgx/dgxa100-user-guide/using-the-bmc.html
[9] https://docs.nvidia.com/dgx/dgx-station-a100-a100-user-guide/security.html
[10] https://www.reddit.com/r/servers/comments/sol1up/using_bmc_functionality_with_regular_regular_ethernet/
[11] https://nvidia.custhelp.com/app/anp/andail/detail/a_id/5510/~/security-bulletin:-nvidia-dgx-a100-----------------2024
[12] https://www.intel.com/content/www/us/en/support/articles/000036861/server-products/server-boards.html
[13] https://www.robusthpc.com/wp-content/uploads/2021/11/nvidia-dgx-station-a100-system-system-anchitection-architecture-white-white-white-paper_paper_paper_papered.pdf