iSCSI

Internet Small Computer Systems Interface lub iSCSI ( / pamięci masowej oparty na aɪ s k ʌ zi / ( słuchaj ) EYE -skuz-ee ) to standard sieci protokole internetowym do łączenia urządzeń do przechowywania danych. iSCSI zapewnia blokowy dostęp do urządzeń pamięci masowej poprzez przenoszenie poleceń SCSI przez sieć TCP/IP . iSCSI ułatwia przesyłanie danych przez intranet i zarządzać magazynowaniem na duże odległości. Może być używany do przesyłania danych przez sieci lokalne (LAN), sieci rozległe (WAN) lub Internet i może umożliwiać przechowywanie i pobieranie danych niezależnie od lokalizacji.

Protokół umożliwia klientom (zwanym inicjatorami ) wysyłanie poleceń SCSI ( CDB ) do urządzeń pamięci masowej ( celów ) na zdalnych serwerach. Jest to sieci pamięci masowej (SAN), który umożliwia organizacjom konsolidację pamięci masowej w macierze pamięci masowej , zapewniając jednocześnie klientom (takim jak bazy danych i serwery WWW) iluzję lokalnie podłączonych dysków SCSI. Konkuruje głównie z Fibre Channel , ale w przeciwieństwie do tradycyjnego Fibre Channel, który zwykle wymaga dedykowanego okablowania, iSCSI można obsługiwać na duże odległości przy użyciu istniejącej infrastruktury sieciowej. iSCSI został zapoczątkowany przez IBM i Cisco w 1998 roku i przedstawiony jako projekt standardu w marcu 2000 roku.

koncepcje

Zasadniczo iSCSI umożliwia dwóm hostom negocjowanie, a następnie wymianę poleceń SCSI przy użyciu sieci protokołu internetowego (IP). W ten sposób iSCSI wykorzystuje popularną, lokalną magistralę pamięci masowej o wysokiej wydajności i emuluje ją w wielu różnych sieciach, tworząc sieć pamięci masowej (SAN). W przeciwieństwie do niektórych protokołów SAN, iSCSI nie wymaga dedykowanego okablowania; można go uruchomić na istniejącej infrastrukturze IP. W rezultacie iSCSI jest często postrzegany jako tania alternatywa dla Fibre Channel , który wymaga dedykowanej infrastruktury, z wyjątkiem FCoE (Fibre Channel przez Ethernet). Jednak wydajność wdrożenia iSCSI SAN może ulec znacznemu pogorszeniu, jeśli nie działa w dedykowanej sieci lub podsieci (LAN lub VLAN ), ze względu na rywalizację o stałą przepustowość.

Chociaż iSCSI może komunikować się z dowolnymi typami urządzeń SCSI, administratorzy systemu prawie zawsze używają go, aby umożliwić serwerom (takim jak serwery baz danych) dostęp do woluminów dyskowych w macierzach pamięci masowej. Sieci SAN iSCSI często mają jeden z dwóch celów:

Konsolidacja pamięci masowej

Organizacje przenoszą różne zasoby pamięci masowej z serwerów w swojej sieci do lokalizacji centralnych, często w centrach danych; pozwala to na większą efektywność przydzielania pamięci, ponieważ sama pamięć nie jest już powiązana z konkretnym serwerem. W środowisku SAN serwerowi można przydzielić nowy wolumin dyskowy bez żadnych zmian w sprzęcie lub okablowaniu.

Odzyskiwanie po awarii

Organizacje odzwierciedlają zasoby pamięci masowej z jednego centrum danych do zdalnego centrum danych, które może służyć jako hot/standby w przypadku przedłużającej się awarii. W szczególności sieci SAN iSCSI umożliwiają migrację całych macierzy dyskowych przez sieć WAN przy minimalnych zmianach konfiguracji, w efekcie czyniąc pamięć masową „routowalną” w taki sam sposób, jak ruch sieciowy. ^{[ potrzebne źródło ]}

Inicjator

Inicjator działa jako klient iSCSI . Inicjator zazwyczaj służy komputerowi do tego samego celu, co adapter magistrali SCSI, z wyjątkiem tego, że zamiast fizycznego okablowania urządzeń SCSI (takich jak dyski twarde i zmieniacze taśm), inicjator iSCSI wysyła polecenia SCSI przez sieć IP. Inicjator dzieli się na dwa szerokie typy:

Inicjator oprogramowania używa kodu do implementacji iSCSI. Zwykle dzieje się tak w rezydującym w jądrze , który wykorzystuje istniejącą kartę sieciową (NIC) i stos sieciowy do emulacji urządzeń SCSI dla komputera za pomocą protokołu iSCSI. Inicjatory programowe są dostępne dla większości popularnych systemów operacyjnych i są najczęstszą metodą wdrażania iSCSI.

Inicjator sprzętowy używa dedykowanego sprzętu, zazwyczaj w połączeniu z oprogramowaniem układowym działającym na tym sprzęcie, w celu zaimplementowania iSCSI. Inicjator sprzętowy zmniejsza obciążenie związane z przetwarzaniem iSCSI i TCP oraz przerwaniami Ethernet , a zatem może poprawić wydajność serwerów korzystających z iSCSI. Adapter magistrali hosta iSCSI (częściej HBA) implementuje inicjator sprzętowy. Typowa karta HBA jest pakowana jako połączenie kontrolera interfejsu sieciowego Gigabit (lub 10 Gigabit) Ethernet , jakiś rodzaj technologii TCP/IP offload engine (TOE) i adapter magistrali SCSI, tak wygląda to w systemie operacyjnym. Karta HBA iSCSI może zawierać opcjonalną pamięć ROM PCI , aby umożliwić rozruch z sieci SAN iSCSI.

Mechanizm odciążający iSCSI lub karta iSOE stanowi alternatywę dla pełnej karty HBA iSCSI. iSOE „odciąża” operacje inicjatora iSCSI dla tego konkretnego interfejsu sieciowego z procesora hosta, zwalniając cykle procesora dla głównych aplikacji hosta. Karty iSCSI HBA lub iSOE są używane, gdy dodatkowe zwiększenie wydajności uzasadnia dodatkowy koszt korzystania z karty HBA dla iSCSI zamiast korzystania z programowego klienta iSCSI (inicjatora). iSOE można zaimplementować z dodatkowymi usługami, takimi jak silnik odciążający TCP (TOE), aby jeszcze bardziej zmniejszyć użycie procesora serwera hosta.

Cel

Specyfikacja iSCSI odnosi się do zasobu pamięci masowej znajdującego się na serwerze iSCSI (bardziej ogólnie, jednej z potencjalnie wielu instancji węzłów pamięci masowej iSCSI uruchomionych na tym serwerze) jako celu .

Obiekt docelowy iSCSI jest często dedykowanym urządzeniem pamięci masowej z dyskiem twardym podłączonym do sieci, ale może to być również komputer ogólnego przeznaczenia, ponieważ podobnie jak w przypadku inicjatorów oprogramowanie zapewniające cel iSCSI jest dostępne dla większości popularnych systemów operacyjnych.

Typowe scenariusze wdrażania dla celu iSCSI obejmują:

Macierz pamięci masowej

W centrum danych lub środowisku korporacyjnym cel iSCSI często znajduje się w dużej macierzy pamięci masowej. Macierze te mogą mieć postać sprzętu towarowego z na darmowym oprogramowaniu lub produktów komercyjnych, takich jak Quantastor , CloudByte, StorTrends , Pure Storage , HP StorageWorks , EqualLogic , Tegile Systems , Nimble storage , Reduxio, IBM Storwize family , Isilon , Filer NetApp , Dell EMC , Kaminario , seria NS, CX4, VNX, VNXe, VMAX, Hitachi Data Systems HNAS lub Pivot3 vSTAC.

Macierz pamięci masowej zwykle udostępnia różne cele iSCSI dla wielu klientów.

Cel oprogramowania

Prawie wszystkie nowoczesne główne systemy operacyjne dla serwerów (takie jak BSD , Linux , Solaris lub Windows Server ) mogą zapewniać funkcjonalność celu iSCSI jako wbudowaną funkcję lub z dodatkowym oprogramowaniem. Niektóre systemy operacyjne o określonym przeznaczeniu implementują obsługę obiektów docelowych iSCSI.

Numer jednostki logicznej

W terminologii SCSI LU oznacza jednostkę logiczną , która jest określona przez unikalny numer jednostki logicznej . Jednostka LUN reprezentuje indywidualnie adresowalne (logiczne) urządzenie SCSI, które jest częścią fizycznego urządzenia SCSI (celu). W środowisku iSCSI jednostki LUN to zasadniczo ponumerowane napędy dysków. ^{[ potrzebne źródło ]} Inicjator negocjuje z celem ustanowienie połączenia z jednostką LUN; wynikiem jest połączenie iSCSI, które emuluje połączenie z dyskiem twardym SCSI. Inicjatorzy traktują jednostki iSCSI LUN w taki sam sposób, jak zwykły dysk twardy SCSI lub IDE; na przykład, zamiast montować zdalne katalogi, jak miałoby to miejsce w NFS lub CIFS , systemy iSCSI formatują i bezpośrednio zarządzają systemami plików na jednostkach iSCSI LUN.

We wdrożeniach korporacyjnych jednostki LUN zwykle reprezentują podzbiory dużych macierzy dyskowych RAID , często przydzielanych po jednej na klienta. iSCSI nie nakłada żadnych reguł ani ograniczeń na wiele komputerów współdzielących poszczególne jednostki LUN; pozostawia współdzielony dostęp do jednego podstawowego systemu plików jako zadanie dla systemu operacyjnego.

Uruchamianie sieciowe

Do ogólnego przechowywania danych na już uruchomionym komputerze można użyć dowolnego ogólnego interfejsu sieciowego w celu uzyskania dostępu do urządzeń iSCSI ^{[ potrzebne źródło ]} . Jednak ogólny interfejs sieciowy klasy konsumenckiej nie jest w stanie uruchomić komputera bezdyskowego ze zdalnego źródła danych iSCSI ^{[ potrzebne źródło ]} . Zamiast tego serwer często ładuje swój początkowy system operacyjny z TFTP lub lokalnego urządzenia rozruchowego, a następnie używa iSCSI do przechowywania danych po zakończeniu uruchamiania z urządzenia lokalnego ^{[ potrzebne źródło ]} .

Oddzielny serwer DHCP może być skonfigurowany w celu wspomagania interfejsów wyposażonych w funkcję rozruchu sieciowego w uruchamianiu przez iSCSI. W takim przypadku interfejs sieciowy szuka serwera DHCP oferującego PXE lub bootp . Służy do uruchomienia procesu zdalnego rozruchu iSCSI, przy użyciu adresu MAC interfejsu sieciowego rozruchu , aby skierować komputer do właściwego celu rozruchowego iSCSI ^{[ potrzebne źródło ]} . Następnie można zastosować podejście oparte wyłącznie na oprogramowaniu, aby załadować mały program rozruchowy, który z kolei może zamontować zdalny cel iSCSI tak, jakby był to lokalny dysk SCSI, a następnie uruchomić proces rozruchu z tego celu iSCSI [ ^{potrzebne źródło ]} . Można to osiągnąć za pomocą istniejącej rozruchowej pamięci ROM Preboot Execution Environment (PXE), która jest dostępna w wielu przewodowych adapterach Ethernet. Kod rozruchowy można również załadować z dysku CD/DVD, dyskietki (lub obrazu dyskietki) i pamięci USB lub może zastąpić istniejący kod rozruchowy PXE na adapterach, które można ponownie flashować. Najpopularniejszym darmowym oprogramowaniem oferującym obsługę rozruchu iSCSI jest iPXE .

Większość kontrolerów Intel Ethernet dla serwerów obsługuje rozruch iSCSI.

Adresowanie

iSCSI używa protokołu TCP (zwykle portów TCP 860 i 3260) dla samych protokołów, z nazwami wyższego poziomu używanymi do adresowania obiektów w protokole. Nazwy specjalne odnoszą się zarówno do inicjatorów, jak i celów iSCSI. iSCSI udostępnia trzy formaty nazw:

nazwy kwalifikowanej iSCSI (IQN)

: Nazwa kwalifikowana iSCSI jest opisana w dokumencie RFC 3720, a dalsze przykłady nazw w dokumencie RFC 3721. W skrócie, pola to:

• dosłowne iqn (nazwa kwalifikowana iSCSI)
• data (rrrr-mm), kiedy organ nazewniczy przejął własność domeny
• odwrócona nazwa domeny urzędu (np. org.alpinelinux, com.example, to.yp.cr)
• Opcjonalny „:” poprzedzający nazwę miejsca docelowego magazynu określoną przez organ nazewniczy.

Z RFC:

Typ	.	Data	.	Uwierzytelnianie nazewnictwa	:	Ciąg zdefiniowany przez urząd nazewnictwa example.com
iqn	.	1992-01	.	com.przyklad	:	przechowywanie:diskarrays-sn-a8675309
iqn	.	1992-01	.	com.przyklad
iqn	.	1992-01	.	com.przyklad	:	pamięć.taśma1.sys1.xyz
iqn	.	1992-01	.	com.przyklad	:	magazyn.dysk2.sys1.xyz

Rozszerzony unikalny identyfikator (EUI)

Format: eui.{EUI-64-bitowy adres} (np. eui.02004567A425678D )

T11 Network Address Authority (NAA)

Format: naa.{NAA 64 lub 128-bitowy identyfikator} (np. naa.52004567BA64678D )

Najczęściej występują adresy w formacie IQN. Są kwalifikowane według daty (rrrr-mm), ponieważ nazwy domen mogą wygasnąć lub zostać przejęte przez inny podmiot.

Punkt rejestracji IEEE zapewnia EUI zgodnie ze standardem EUI-64. NAA jest częścią OUI dostarczaną przez Urząd Rejestracji IEEE. Formaty nazw NAA zostały dodane do iSCSI w dokumencie RFC 3980, aby zapewnić zgodność z konwencjami nazewnictwa stosowanymi w technologiach pamięci masowej Fibre Channel i Serial Attached SCSI (SAS).

Zwykle uczestnika iSCSI można zdefiniować za pomocą trzech lub czterech pól:

1. Nazwa hosta lub adres IP (np. „iscsi.example.com”)
2. Numer portu (np. 3260)
3. Nazwa iSCSI (np. IQN „iqn.2003-01.com.ibm:00.fcd0ab21.shark128”)
4. Opcjonalny klucz tajny CHAP (np. „secretsarefun”)

iSNS

Inicjatorzy iSCSI mogą zlokalizować odpowiednie zasoby pamięci masowej za pomocą protokołu Internet Storage Name Service (iSNS). Teoretycznie iSNS zapewnia sieciom SAN iSCSI ten sam model zarządzania, co dedykowane SAN Fibre Channel . W praktyce administratorzy mogą osiągnąć wiele celów związanych z wdrażaniem iSCSI bez korzystania z iSNS.

Bezpieczeństwo

Uwierzytelnianie

Inicjatorzy i cele iSCSI potwierdzają swoją tożsamość za pomocą protokołu CHAP , który obejmuje mechanizm zapobiegający pojawianiu się w sieci haseł w postaci zwykłego tekstu . Protokół CHAP jest sam w sobie podatny na ataki słownikowe , fałszowanie i ataki refleksyjne . Przy uważnym przestrzeganiu najlepsze praktyki dotyczące używania protokołu CHAP w ramach iSCSI zmniejszają powierzchnię tych ataków i ograniczają ryzyko.

Ponadto, podobnie jak w przypadku wszystkich protokołów opartych na protokole IP, IPsec może działać w warstwie sieciowej. Protokół negocjacyjny iSCSI został zaprojektowany w celu dostosowania do innych schematów uwierzytelniania, chociaż problemy z interoperacyjnością ograniczają ich wdrażanie.

Logiczna izolacja sieci

Aby upewnić się, że tylko prawidłowe inicjatory łączą się z macierzami pamięci masowej, administratorzy najczęściej uruchamiają iSCSI tylko w logicznie izolowanych sieciach kanału zwrotnego. W tej architekturze wdrożeniowej tylko porty zarządzania macierzami pamięci masowej są wystawione na działanie sieci wewnętrznej ogólnego przeznaczenia, a sam protokół iSCSI działa w dedykowanych segmentach sieci lub sieciach VLAN . Zmniejsza to obawy związane z uwierzytelnianiem; nieautoryzowani użytkownicy nie są fizycznie wyposażeni w iSCSI, a zatem nie mogą komunikować się z macierzami pamięci masowej. Powoduje to jednak również problem z zaufaniem przechodnim, polegający na tym, że pojedynczy zainfekowany host z dyskiem iSCSI może zostać użyty do ataku na zasoby pamięci masowej innych hostów.

Fizyczna izolacja sieci

Chociaż iSCSI można logicznie odizolować od ogólnej sieci tylko za pomocą sieci VLAN, nadal nie różni się od żadnego innego sprzętu sieciowego i może korzystać z dowolnego kabla lub portu, o ile istnieje pełna ścieżka sygnału między źródłem a celem. Pojedynczy błąd okablowania popełniony przez technika sieciowego może naruszyć barierę logicznej separacji, a przypadkowe zmostkowanie może nie zostać natychmiast wykryte, ponieważ nie powoduje błędów w sieci.

Aby jeszcze bardziej odróżnić iSCSI od zwykłej sieci i zapobiec błędom w okablowaniu podczas zmiany połączeń, administratorzy mogą wdrożyć samodzielnie zdefiniowane standardy kodowania kolorami i etykiet, takie jak używanie tylko żółtych kabli do połączeń iSCSI i tylko niebieskich kabli do zwykłych sieci i wyraźnie oznaczając porty i przełączniki używane tylko dla iSCSI.

Chociaż protokół iSCSI można zaimplementować jako zwykły klaster portów VLAN na dużym przełączniku wieloportowym, który jest również używany do ogólnych zastosowań sieciowych, administrator może zamiast tego zdecydować się na użycie fizycznie oddzielnych przełączników przeznaczonych wyłącznie dla sieci VLAN iSCSI, aby jeszcze bardziej zapobiec możliwości nieprawidłowo podłączony kabel wpięty do niewłaściwego portu pokonując barierę logiczną.

Upoważnienie

Ponieważ iSCSI ma na celu skonsolidowanie pamięci masowej dla wielu serwerów w jedną macierz pamięci masowej, wdrożenia iSCSI wymagają strategii uniemożliwiających niepowiązanym inicjatorom dostęp do zasobów pamięci masowej. Jako patologiczny przykład, pojedyncza macierz pamięci masowej przedsiębiorstwa może przechowywać dane dla serwerów w różny sposób regulowanych przez ustawę Sarbanes-Oxley w zakresie księgowości korporacyjnej, HIPAA w zakresie informacji o świadczeniach zdrowotnych i PCI DSS w zakresie przetwarzania kart kredytowych. Podczas audytu systemy pamięci masowej muszą wykazać mechanizmy kontrolne, aby zapewnić, że serwer w ramach jednego systemu nie może uzyskać dostępu do zasobów pamięci masowej serwera w innym systemie.

Zazwyczaj macierze pamięci masowej iSCSI jawnie mapują inicjatory na określone docelowe jednostki LUN; inicjator uwierzytelnia się nie w macierzy pamięci masowej, ale w konkretnym zasobie pamięci masowej, którego zamierza użyć. Ponieważ jednak docelowe jednostki LUN dla poleceń SCSI są wyrażone zarówno w protokole negocjacyjnym iSCSI, jak iw bazowym protokole SCSI, należy zadbać o spójność zapewniania kontroli dostępu.

Poufność i integralność

W przeważającej części iSCSI działa jako protokół jawnego tekstu, który nie zapewnia ochrony kryptograficznej danych w ruchu podczas transakcji SCSI. W rezultacie osoba atakująca, która może nasłuchiwać ruchu iSCSI Ethernet, może:

• Rekonstruuj i kopiuj pliki i systemy plików przesyłane przewodowo
• Zmieniaj zawartość plików, wprowadzając fałszywe ramki iSCSI
• Inicjatorzy uzyskują dostęp do uszkodzonych systemów plików, narażając serwery na błędy oprogramowania w źle przetestowanym kodzie systemu plików.

Te problemy nie występują tylko w przypadku iSCSI, ale dotyczą każdego protokołu SAN bez zabezpieczeń kryptograficznych. Protokoły bezpieczeństwa oparte na protokole IP, takie jak IPsec , mogą zapewnić opartą na standardach ochronę kryptograficzną tego ruchu.

Implementacje

System operacyjny

Daty w poniższej tabeli oznaczają pierwsze pojawienie się natywnego sterownika w każdym systemie operacyjnym. Sterowniki innych firm dla systemów Windows i Linux były dostępne już w 2001 roku, w szczególności do podłączania urządzenia IBM IP Storage 200i.

system operacyjny	Data pierwszego wydania	Wersja	Cechy
IBM i	2006-10	V5R4M0 (jako i5/OS)	Cel, wielościeżkowy
VMware ESX	2006-06	ESX 3.0, ESX 4.0, ESXi 5.x, ESXi 6.x	Inicjator, wielościeżka
AIX	2002-10	AIX 5.3 TL10, AIX 6.1 TL3	Inicjator, cel
Okna	2003-06	2000, XP Pro, 2003, Vista, 2008, 2008 R2, 7, 8, serwer 2012, 8.1, serwer 2012 R2, 10, serwer 2016, 11, serwer 2019	Inicjator, cel, wielościeżka
NetWare	2003-08	NetWare 5.1, 6.5 i OES	Inicjator, cel
HP-UX	2003-10	HP 11i v1, HP 11i v2, HP 11i v3	Inicjator
Solaris	2002-05	Solaris 10, OpenSolaris	Inicjator, cel, wielościeżka, iSER
Linuks	2005-06	2.6.12, 3.1	Inicjator (2.6.12), cel (3.1), wielościeżkowy, iSER , VAAI
OpenBSD	2009-10	4.9	Inicjator
NetBSD	2002-06	4.0, 5.0	Inicjator (5.0), Cel (4.0)
FreeBSD	2008-02	7.0	Inicjator (7.0), cel (10.0), wielościeżkowy, iSER , VAAI
OpenVMS	2002-08	8.3-1H1	Inicjator, wielościeżka
System operacyjny Mac	2008-07	10.4—	Nie dotyczy

Cele

Większość celów iSCSI obejmuje dyski, chociaż popularne są również cele iSCSI na taśmach i zmieniaczach nośników. Jak dotąd urządzenia fizyczne nie miały natywnych interfejsów iSCSI na poziomie komponentów. Zamiast tego urządzenia z Parallel SCSI lub Fibre Channel są mostkowane za pomocą oprogramowania docelowego iSCSI, zewnętrznych mostów lub kontrolerów znajdujących się wewnątrz obudowy urządzenia.

Alternatywnie możliwa jest wirtualizacja docelowych dysków i taśm. Zamiast przedstawiać rzeczywiste urządzenie fizyczne, prezentowane jest emulowane urządzenie wirtualne. Podstawowa implementacja może drastycznie odbiegać od przedstawionego celu, jak ma to miejsce w przypadku wirtualnej biblioteki taśm (VTL). VTL używają pamięci dyskowej do przechowywania danych zapisanych na taśmach wirtualnych. Podobnie jak w przypadku rzeczywistych urządzeń fizycznych, wirtualne cele są prezentowane za pomocą oprogramowania docelowego iSCSI, zewnętrznych mostów lub kontrolerów znajdujących się wewnątrz obudowy urządzenia.

W branży produktów zabezpieczających niektórzy producenci używają iSCSI RAID jako celu, przy czym inicjatorem jest koder obsługujący protokół IP lub kamera.

Konwertery i mosty

Istnieje wiele systemów, które umożliwiają podłączanie urządzeń Fibre Channel, SCSI i SAS do sieci IP w celu korzystania z nich za pośrednictwem iSCSI. Można ich użyć, aby umożliwić migrację ze starszych technologii pamięci masowej, dostęp do sieci SAN ze zdalnych serwerów oraz łączenie sieci SAN przez sieci IP. Brama iSCSI łączy serwery IP z sieciami SAN Fibre Channel. Połączenie TCP jest kończone na bramie, która jest zaimplementowana na przełączniku Fibre Channel lub jako urządzenie autonomiczne.

Zobacz też

Notatki

Dalsza lektura