ISCSI
owercase l'iSCSI est un protocole qui permet à des clients (appelés des initiateurs de le ) d'envoyer les commandes de SCSI (BDCs de ) aux dispositifs de stockage de SCSI (le vise ) sur les serveurs à distance. C'est un protocole populaire du réseau (San) de zone de stockage de , permettant à des organismes de consolider le stockage dans des rangées de stockage de centre de traitement des données tout en fournissant à des centres serveurs (tels que la base de données et les web server) l'illusion des disques local-attachés. À la différence de la Manche de fibre de , qui exige le câblage pour un but particulier, l'iSCSI peut être couru au-dessus de longues distances using l'infrastructure en réseau existante.
Fonctionnalité
iSCSI ( aɪskʌzi ) TCP/IP d'utilisations (typiquement port 3260 de TCP). Essentiellement, l'iSCSI permet simplement à deux hôtes de négocier et puis échanger des commandes du SCSI using des réseaux d'IP. En faisant ceci, l'iSCSI prend un autobus à rendement élevé populaire de stockage local et lui permet d'être couru au-dessus des réseaux de domaine, créant un réseau (San) de zone de stockage de . À la différence de quelques protocoles de San, l'iSCSI n'exige aucun câblage consacré ; il peut être couru au-dessus de la commutation existante et de l'infrastructure d'IP. En conséquence, l'iSCSI est souvent vu comme alternative peu coûteuse à la Manche de fibre de , qui exige l'infrastructure consacrée.Bien que l'iSCSI puisse dans la théorie être employé pour communiquer avec les types arbitraires de dispositifs de SCSI, il dans la pratique est presque toujours employé pour permettre des ordinateurs serveur (tels que des serveurs de base de données) aux volumes de disque d'accès sur des rangées de stockage. l'iSCSI sans souvent ont un de deux objectifs :
; Les organismes de de consolidation de stockage déplacent les ressources disparates de stockage des serveurs autour de leur réseau aux endroits centraux, souvent aux centres de traitement des données ; ceci permet au stockage d'être assigné plus efficacement. Dans un environnement de San, un serveur peut être assigné un nouveau volume de disque sans n'importe quel changement au matériel ou au câblage.
; Les organismes de de recouvrement des pertes reflètent des ressources de stockage d'un centre de traitement des données à un centre de traitement des données à distance, où il peut servir de secours immédiat en cas d'une panne prolongée. En particulier, l'iSCSI sans permettent à des piles de disques entières d'être émigrées à travers un WAN avec des changements de configuration minimale, en effet faisant le " de stockage ; routable" ; de la même manière comme trafic de réseau.
Réseaux de zone de stockage (SAN)
Dans le cadre de la mémoire interne , les systèmes de San permettent à une machine d'employer un protocole de réseau pour se relier aux ressources de stockage à distance telles que les disques et les systèmes d'entraînement de bande magnétique sur un réseau d'IP pour l'entrée-sortie de niveau de bloc de . Du point de vue des conducteurs de classe et du logiciel d'application, les dispositifs apparaissent en tant que dispositifs localement joints.Des dispositifs de San ne devraient pas être confondus avec les dispositifs du stockage réseau-attachés (NAS) par , où les ordinateurs accèdent à des ressources par une interface dossier-basée plutôt que par une interface de dispositif de bas niveau. Un serveur de NAS arbitre l'accès des clients multiples, de ce fait permettant l'addition arbitraire des consommateurs pour ses ressources. Avec l'iSCSI, le fardeau de synchroniser l'accès aux ressources partagées appartient généralement aux initiateurs (clients de réseau) plutôt qu'avec les cibles (serveurs de réseau). Le partage des interfaces de dispositif de bas niveau est une condition des faisceaux d'ordinateur de qui emploient le logiciel spécialisé de faisceau pour contrôler l'utilisation des ressources partagées.
Concepts
Initiateurs
Un initiateur est un client d'iSCSI. D'initiateurs service typiquement que le même but à un ordinateur comme adapteur d'autobus de SCSI, sauf qu'au lieu des dispositifs physiquement de câblage de SCSI (comme les unités de disque dur et les commutateurs de bande), un initiateur d'iSCSI envoie des maîtrises de SCSI des réseaux d'IP. Il y a deux larges types d'initiateurs : ; Les initiateurs de logiciel de d'initiateurs de logiciel emploient le code pour mettre en application l'iSCSI. Typiquement, ceci est trouvé dans un programme pilote de périphérique du grain-résidant qui emploie le NIC existant et la pile de réseau de pour émuler des dispositifs de SCSI pour un ordinateur en parlant le protocole d'iSCSI. Les initiateurs de logiciel sont disponibles pour la plupart des logiciels d'exploitation traditionnels, et sont le mode le plus commun de l'iSCSI se déployant sur des ordinateurs. ; L'initiateur de matériel duA de
d'initiateurs de matériel utilise le matériel consacré, typiquement en combination avec le logiciel (progiciel ) fonctionnant sur ce matériel, pour mettre en application l'iSCSI. Les initiateurs de matériel atténuent les frais généraux de l'iSCSI et commandent le protocole|[TCP] l'Ethernet de traitement et de interrompt , et peut donc améliorer l'exécution des serveurs qui emploient l'iSCSI.
Adapteurs d'autobus de centre serveur (HBAs)
Un adapteur de centre serveur de d'iSCSI (généralement, " ; HBA" ;) est un produit qui met en application un initiateur de matériel. Un HBA typique est empaqueté comme combinaison d'un NIC et un adapteur de d'Ethernet de gigabit d'autobus de SCSI, qui est ce qui apparaît il quant au du système d'exploitation.l'iSCSI HBAs peut inclure ROM d'option de de PCI pour laisser initialiser des cibles d'iSCSI.
Cibles
Une cible est une ressource de stockage située sur un serveur d'iSCSI (plus généralement, une cible est l'un potentiellement de beaucoup d'exemples de d'iSCSI fonctionnant sur ce serveur). les cibles d'iSCSI représentent habituellement le stockage de disque dur. Comme avec des initiateurs, le logiciel pour fournir des cibles d'iSCSI est disponible pour la plupart des logiciels d'exploitation traditionnels. Les scénarios communs de déploiement pour des cibles d'iSCSI incluent : Le stockage de de
range : Dans des environnements de centre de traitement des données et d'entreprise, les cibles d'iSCSI résident souvent dans de grandes rangées de stockage, telles que des limeurs des appareils de réseau et des appareils de NS-séries d'EMC Corporation . Les rangées de stockage fournissent habituellement les cibles distinctes d'iSCSI pour de nombreux clients. Le logiciel de de
vise : Dans de plus petits ou plus spécialisés arrangements, la fonctionnalité de cible d'iSCSI peut être fournie par les logiciels d'exploitation traditionnels de serveur comme le Linux ou le serveur 2003 de Windows de .
LUNs
Dans la terminologie du SCSI , un LUN est un numéro d'elements logique de , et représente un dispositif individuel de SCSI. Dans un environnement d'iSCSI, LUNs sont essentiellement numérotés des unités de disques. Un initiateur est en pourparlers avec une cible pour établir la connectivité à un LUN ; le résultat est une session d'iSCSI qui émule un disque dur de SCSI. iSCSI LUNs de festin d'initiateurs la même manière qu'elles une unité de disque dur crue de SCSI ou d'ide ; par exemple, plutôt que les annuaires à distance de support comme serait fait dans NFS ou environnements du CIFS , format de systèmes d'iSCSI et contrôler directement des systèmes de fichiers sur l'iSCSI LUNs.Dans des déploiements d'entreprise, LUNs représentent habituellement des tranches de grandes piles de disques de RAID , souvent assignées une par client. l'iSCSI n'impose aucune règle ou restriction aux ordinateurs multiples partageant LUNs individuel ; l'accès partagé à un système de fichiers fondamental simple est à la place laissé comme tâche pour le du système d'exploitation.
Adressage
Des initiateurs et les cibles d'iSCSI sont mentionnés par des noms spéciaux. l'iSCSI fournit trois formats nommés :
; format de (IQN) de nom qualifié d'iSCSI : iqn. {Domain Name renversé} (par exemple iqn.xyz) ; Format prolongé de
(EUI) de
de marque unique : eui. {Adresse de peu EUI-64} (par exemple eui.02004567A425678D) ; Format de d'autorité (NAA) d'adresse réseau T11 : naa. {Marque de bit de NAA 64 ou 128} (par exemple naa.52004567BA64678D)
Les adresses d'IQN sont le format le plus commun. Elles sont qualifiées à une date (yyyy-millimètre) parce que des Domain Name peuvent expirer ou être acquis par une autre entité.
EUI est fourni par l'autorité d'enregistrement d'IEEE selon la norme EUI-64. NAA est la partie OUI qui est fournie par l'autorité d'enregistrement d'IEEE. Des formats nommés de NAA ont été ajoutés à l'iSCSI dans RFC 3980, pour fournir à la compatibilité des conventions de nomination utilisées dans la Manche de fibre de et des storage technologys du SAS .
Un participant d'iSCSI est habituellement défini par trois ou quatre champs : hostname de ou IP address (par exemple, " ; iscsi.com" ;) Nom d'iSCSI de
iSNS
voient également :
du service nommé de stockage d'Internet de
les initiateurs d'iSCSI peuvent localiser les ressources appropriées de stockage using le protocole du service nommé (iSNS) de stockage d'Internet de . Dans la théorie, l'iSNS fournit à l'iSCSI sans le même modèle de gestion que la Manche consacrée de fibre de sans. Dans la pratique, de nombreux buts de déploiement pour l'iSCSI peuvent être atteints sans iSNS.
Sécurité
Authentification
les initiateurs et les cibles d'iSCSI prouvent leur identité entre eux using le protocole de la GERÇURE , qui inclut un mécanisme pour empêcher des mots de passe de texte en clair d'apparaître sur le fil. Par lui-même, le protocole de GERÇURE est vulnérable aux attaques de dictionnaire, à la mystification, ou aux attaques de réflexion. Si suivies soigneusement, les règles pour l'usage de la GERÇURE dans l'iSCSI empêchent la plupart de ces attaques.En plus, comme avec tous les protocoles IP-basés, le IPsec peut être employé à la couche réseau. Le protocole de négociation d'iSCSI est conçu pour adapter à d'autres arrangements d'authentification, cependant issues d'interopérabilité limitent leur déploiement.
Les moyens les plus communs de s'assurer que seulement les initiateurs valides se relient aux rangées de stockage est de courir l'iSCSI seulement au-dessus des réseaux logique-d'isolement de backchannel. Dans cette architecture de déploiement, seulement les ports de gestion des rangées de stockage sont exposés au réseau interne d'usage universel, et le protocole d'iSCSI lui-même est couru au-dessus des segments ou de VLANs de réseau consacré. Ceci atténue des soucis d'authentification ; des utilisateurs non autorisés pas provisioned physiquement pour l'iSCSI, et ne peuvent pas parler ainsi aux rangées de stockage. Cependant, il crée également un problème transitif de la confiance , parce qu'un centre serveur compromis simple avec un disque d'iSCSI peut être utilisé pour attaquer des ressources de stockage pour d'autres centres serveurs.
Autorisation
Puisque le but de l'iSCSI est de consolider le stockage pour beaucoup de serveurs dans une rangée simple de stockage, les déploiements d'iSCSI exigent des stratégies d'empêcher les initiateurs indépendants des ressources de accès de stockage. Comme exemple pathologique, une rangée simple de stockage d'entreprise a pu contenir des données pour des serveurs différemment réglés par le Sarbanes-Oxley pour la comptabilité de corporation, le HIPAA pour l'information de prestations-maladie, et le PCI de SAD pour le traitement par la carte de crédit. Pendant un audit, les systèmes de stockage doivent démontrer des commandes pour s'assurer qu'un serveur au-dessous de un régime ne peut pas accéder aux capitaux de stockage d'un serveur sous des autres.Typiquement, le stockage d'iSCSI range explicitement des initiateurs de carte à la cible spécifique LUNs ; un initiateur authentifie pas à la rangée de stockage, mais aux capitaux spécifiques de stockage ils emploient. Cependant, parce que la cible LUNs pour des commandes de SCSI sont exprimées en protocole de négociation d'iSCSI et en protocole fondamental de SCSI, le soin doit être pris pour s'assurer que le contrôle d'accès est fourni uniformément.
Confidentialité et intégrité
Pour la plupart, l'iSCSI est un protocole de texte en clair qui n'assure aucune protection cryptographique pour des données dans le mouvement pendant les transactions de SCSI. En conséquence, un attaquant qui peut écouter dedans sur le trafic d'Ethernet d'iSCSI peut : le
reconstruisent et copient les dossiers et les systèmes de fichiers étant transférés sur le fil
changent le contenu des dossiers en injectant les armatures fausses d'iSCSI les systèmes de fichiers corrompus de
accédé par des initiateurs, exposant des serveurs au logiciel fêle en code pauvre-examiné de système de fichiers.
Ces problèmes ne sont pas uniques à l'iSCSI, mais s'appliquent plutôt à tout protocole IP-basé du San sans sécurité cryptographique. Bien que le IPSec soit fréquemment cité comme solution au problème de sécurité d'IP San, les soucis d'exécution et de compatibilité retardent son déploiement.
Appui d'industrie
Vue d'ensemble de soutien d'OS
Cibles
La plupart de foyer d'industrie a été placé sur créer des cibles de disque d'iSCSI, bien que les cibles de bande d'iSCSI et de commutateur de milieu soient populaires aussi bien. Jusqu'ici, les dispositifs physiques n'ont pas comporté les interfaces indigènes d'iSCSI à un niveau composant. Au lieu de cela, des dispositifs avec l'interface parallèle de SCSI de ou les interfaces de la Manche de fibre de pont en employant le logiciel de cible d'iSCSI, les ponts externes, ou les contrôleurs internes à la clôture de dispositif.
Alternativement, le disque et les cibles de bande peuvent être des virtualisations. Plutôt que représentant un dispositif physique réel, un appareil standard émulé est présenté. L'exécution fondamentale peut dévier rigoureusement de la cible présentée comme est fait avec les solutions virtuelles de la bandothèque (VTL). Mémoire à disque d'utilisation de VTLs pour stocker des données écrites aux bandes virtuelles. Comme avec les dispositifs physiques réels, des cibles virtuelles sont présentées en employant le logiciel de cible d'iSCSI, les ponts externes, ou les contrôleurs internes à la clôture de dispositif.
Dans l'industrie de produits de sécurité, quelques fabricants emploient un iSCSI RAID comme cible, avec l'initiateur étant un encodeur IP-permis ou appareil-photo.
Convertisseurs/ponts
Il y a des systèmes multiples qui permettent des dispositifs de la Manche, de SCSI et de SAS de fibre à attacher à un réseau d'IP pour l'usage par l'intermédiaire de l'iSCSI. Ils peuvent être employés pour permettre la migration des storage technologys plus anciennes, l'accès à sans des serveurs à distance et l'enchaînement de sans les réseaux finis d'IP.
Voir également le de
une liste de logiciel d'iSCSI vise la Manche de fibre de de .
| Random links: | Guido Westerwelle | Fraserwood, Manitoba | Kalev Ots | Aéroport d'Oshawa | Intégration continue | ISCSI |