iSCSI的安全访问控制

    每个连接iSCSI SAN的服务器都是通过访问自己的逻辑驱动器来管理文件系统，所以对于多服务器共享的SAN必须要建立起访问管理机制，以免逻辑驱动器上的一台服务器创建的数据被其他的服务器修改乃至覆盖。除了集群服务器（所有的磁盘都为服务器所共有）和一些特殊的SAN文件系统，其他的服务器都得有自己专属的逻辑驱动器。

    iSCSI对于服务器的访问控制一般通过IP地址来判断，这在封闭的情况下运作还不错。不过，这也容易让一些未授权的服务器连接到数据库中。作为另一种访问控制方式，运用起始连接卡的IQN (iSCSI qualified name)在大型环境更为简便一些。因为运行中的服务器环境，更改IQN比IP地址要容易。

    如果管理员如果不想让服务器固定的占有磁盘某个驱动器，那么他们可以在目标磁盘上运用CHAP (Challenge Handshake Authentication Protocol)密码保护敏感的卷文件。在iSCSI的规划中定义了iSCSI设备运用IPsec控制资源访问以及服务器-目标磁盘网络通信的安全加密。但这些书面定义由于产生CPU高利用率和延迟性无法具体落实到现实中去。目前支持IPsec的iSCSI目标磁盘仅仅是些软件产品，比如Stringbean Software的WinTarget在Windows环境下可以支持系统自带的Windows IPsec。所以看起来，SAN加密技术的成熟需要等待时日。

    总的说来，建立iSCSI SAN所需的设备并不像你想的那么简单，但也并不是复杂如“阿波罗”。只要你有一个很好的规划，注意路由器和网络接口卡的选择，同时考虑建立后的磁盘数据安全访问控制，那么建立起一个企业级iSCSI SAN也就不再困难。