存储 频道

iSCSI网络系统的可用性还是十分乐观

  【IT168 技术】iSCSI网络系统在使用中具有相当分量的。在长期的使用中还是有不能够使用iSCSI网络系统的情况。下面就要来看下iSCSI的可用性,只有这样才能更好的使用。

  iSCSI网络系统和FC采用不同的方法保证存储访问的安全,这可能是多协议存储架构师必须解决的最大问题。FC利用FC交换机实行分区,通过全局名称排列LUN编号和主机标识,而iSCSI网络系统采用上述隔离iSCSI的物理和虚拟方法,通过IP地址、主机系统和存储设备的名称、内部/外部CHAP身份验证等方式限制访问,从而保证存储安全。

  实行多种iSCS网络系统I身份验证方式似乎让人不知所从,其实规则很简单:对于基于IP实现隔离的iSCSI网络系统,主机系统和存储设备的名称就已经足够验证用户身份。在iSCSI与LAN之间存在物理连接的情况下,应该部署更加严密的CHAP身份验证方式,消除IP地址访问iSCSI LUN时带来的外部影响。当环境中拥有大量iSCSI设备时,可以采用Radius服务器实现集中验证,这样就不需要在iSCSI的存储设备中管理用户证书。

  休斯顿贝勒医学院企业服务与信息系统主管Mike Layton采用了类似的策略,他利用主机系统和存储设备名称实现iSCSI网络系统授权,验证访问其FC SAN的少量服务器。他的基于日立数据系统(HDS)公司的FC SAN,在隔离的iSCSI LAN中采用NetApp FAS980c网关产品。

  集成iSCSI网络系统和FC的最大好处在于:支持IP协议中的IPsec加密协议,IP流量出现故障时,都应该集成iSCSI网络系统和FC。但是,当服务器处于繁忙状态时,IPsec加密协议的开销非常大。在采用IPsec协议的环境中,服务器和网络带宽匮乏的计算机都应该凭借Cavium网络公司等公司提供的硬件加密技术,配备iSCSI HBA或NIC。从网络层面讲,Decru公司(现为NetApp)、NeoScale系统公司等公司都提供加密产品,设置在数据存取路径中,在FC和iSCSI数据抵达网络附属存储阵列之前,就对其进行加密。

  存储管理接口很容易受到安全漏洞的攻击,但是在存储设计过程中又通常遭到忽视。不设密码、所有存储设备只设一个密码或者从不更改密码,都会使设计良好的SAN面临危险。只有特定系统和密码策略非常有效的VLAN才能访问管理接口,在具有大量IP设备的环境中采用集中化的Radius身份验证服务器,这些措施可以降低未获认证的管理变化带来的风险。

  iSCSI网络系统可用性

  可用性是包括iSCSI SAN在内的SAN最重要的性能需求,需要在服务器、网络和阵列等层面上进行部署。在网络层面上,可以成对部署交换机,采用生成树状动态路由等以太网故障转移技术,实现冗余。在服务器层面上,通过双连服务器和以太网交换机,实现高可用性。凭借微软公司2005年发布的iSCSI Initiator 2.0版,多路径IO(MPIO)使主机能够与iSCSI网络系统实现冗余连接。“我们的主机全都运行MPIO,而且与iSCSI SAN实现双连接。”麻省 Babson 学院和Wellesley学院开发体系结构主任Kuljit Dharni解释道:“主板上的NIC卡用于常规的LAN访问,以太网端口和英特尔PCI千兆网络适配器与iSCSI SAN相连。”

  iSCSI网络系统存储设备的冗余选项根据供应商和产品种类而定。iSCSI网关产品、智能存储交换机和基于服务器的iSCSI网络系统存储设备,都可以在群集配置中见到,所谓群集配置是指两套设备以双机互备援(active-active)模式或双机热备份(active-passive)模式运行。一些中端存储阵列产品支持iSCSI网络系统,如EMC公司的Clariion CX3-20和CX3-40产品,可以通过双控制器架构提供冗余。高端阵列——如EMC 公司的Symmetrix DMX系列产品——需要底盘,只是简单地添加多个iSCSI刃片就能实现冗余。

0
相关文章