核心观点与关键数据
- 开源 BMC 固件的意义:通过开源开发方法,提升自主权、加快硬件管理周转速度,实现轻松调试、增强控制、提供安全模型,并满足 Tier-2 服务提供商(如政府机构和部分企业)的需求。
- Criteo 的目标:在开放式固件上标准化基础架构,已采用 SONiC,并在 OpenBMC 和 LinuxBoot 上实现,目标是将 8k HPE Gen10+ 服务器迁移到 OpenBMC(涉及 Apollo 2000 和 DL325 带有 OCPv3 NIC 的服务器)。
- OpenBMC 发展历程:从 2018 年开始历史硬件管理,2019 年进行 stOCP 区域峰会演示和 HPE 签署 OpenBMC CCLA,2020 年进行 XL225n Gen10 Plus 与 Criteo 的概念证明和早期原型制作,2021 年进行 st 上游和多个版本发布(如 2.7, 2.8, 2.9, 2.10 rc1)。
面临的挑战
- 硬件管理挑战:
- 缺乏开箱即用的 OpenBMC 产品。
- 需要与硬件供应商合作建立关系。
- 自定义 BMC ASIC 需要新的 SOC 支持。
- 现有信任的硅根(Silicon Root of Trust)不包括架构化的转移所有权流程。
- HPE 服务器硬件包含显著差异,增加了上游(Upstreaming)的难度。
- 所有权转让挑战:
- HPE 的 BMC ASIC(GXP)设计用于运行 iLO 5 固件,其硅根信任机制旨在确保 HPE 签名的固件,缺乏灵活的所有权转移机制。
- 转换过程涉及收集 ASIC ID、交换密钥块、 flashing 特殊 iLO5 图像和未来 OpenBMC 图像,但 ASIC ID 收集和交换是进行中的工作。
解决方案与进展
- 概念证明解决方案:通过 GXPLODER 二进制(HPE 签名)、客户密钥块、OpenBMC u-boot 加载器代码和 U-boot 客户 Signature 等实现信任验证和所有权转让。
- 硬件管理进展:
- 已向多个最终用户提供概念证明。
- OpenBMC 在 HPE GXP ASIC 上运行良好。
- 合作运作良好,Criteo 已能自动修复错误。
- Upstreaming 进展慢于预期,存在补丁积压。
- 已在 HPE 展台与 Criteo 工程师进行现场演示。
后续步骤
- 保修和支持模型。
- 继续 upstreaming 并为社区贡献价值。
- 构建可扩展的“所有权转移”功能。
- 考虑退役和循环经济影响。
呼吁采取行动
- 探索新的 BMC 引导工作流程。
- 联系相关人员:mike.garrett@hpe.com, v.minet@criteo.com, jean-marie.verdun@hpe.com。
- 联系社区:http://github.com/openbmc/openbmc,邮件列表:http://lists.ozlabs.org/listinfo/openbmc。
