Войти
В вычислительной технике iSCSI ((
слушайте ) ) - это аббревиатура от Internet Small Computer Systems Interface, Internet Protocol ( Стандарт сети хранения на основе IP) для связывания устройств хранения данных. Он обеспечивает доступ на уровне блоков к устройствам хранения путем передачи команд SCSI по сети TCP / IP. iSCSI используется для облегчения передачи данных по интрасетям и для управления хранением на большие расстояния. Его можно использовать для передачи данных по локальным сетям (LAN), глобальным сетям (WAN) или по Интернету и может включать данные, не зависящие от местоположения хранение и поиск.
Протокол позволяет клиентам (называемым инициаторами) отправлять команды SCSI (CDB ) на устройства хранения (цели) на удаленных серверах. Это протокол сети хранения данных (SAN), позволяющий организациям консолидировать хранилище в массивы хранения, предоставляя клиентам (например, базам данных и веб-серверам) иллюзию локально подключенных дисков SCSI.. Он в основном конкурирует с Fibre Channel, но в отличие от традиционного Fibre Channel, для которого обычно требуются выделенные кабели, iSCSI может работать на больших расстояниях с использованием существующей сетевой инфраструктуры. iSCSI был впервые предложен IBM и Cisco в 1998 году и представлен в качестве чернового варианта стандарта в марте 2000 года.
По сути, iSCSI позволяет двум хостам согласовывать и затем обмениваться командами SCSI, используя Интернет-протокол ( IP) сети. Таким образом, iSCSI использует популярную высокопроизводительную шину локального хранилища и эмулирует ее в широком диапазоне сетей, создавая сеть хранения данных (SAN). В отличие от некоторых протоколов SAN, iSCSI не требует выделенных кабелей; его можно запустить поверх существующей IP-инфраструктуры. В результате iSCSI часто рассматривается как недорогая альтернатива Fibre Channel, для которой требуется выделенная инфраструктура, за исключением его формы FCoE (Fibre Channel over Ethernet). Однако производительность развертывания iSCSI SAN может быть серьезно снижена, если не работать в выделенной сети или подсети (LAN или VLAN ) из-за конкуренции за фиксированную полосу пропускания.
Хотя iSCSI может взаимодействовать с устройствами SCSI произвольного типа, системные администраторы почти всегда используют его, чтобы позволить серверам (например, серверам баз данных) получать доступ к дисковым томам в массивах хранения. Сети iSCSI SAN часто преследуют одну из двух целей:
Инициатор функционирует как Клиент iSCSI. Инициатор обычно служит той же цели для компьютера, что и адаптер шины SCSI, за исключением того, что вместо физического подключения устройств SCSI (например, жестких дисков и устройств смены лент) инициатор iSCSI отправляет команды SCSI по IP-сети. Инициатор делится на два основных типа:
Программный инициатор использует код для реализации iSCSI. Обычно это происходит в драйвере устройства , резидентном в ядре, который использует существующую сетевую карту (NIC) и сетевой стек для эмуляции устройств SCSI для компьютера, говоря протокол iSCSI. Программные инициаторы доступны для большинства популярных операционных систем и являются наиболее распространенным методом развертывания iSCSI.
Аппаратный инициатор использует выделенное оборудование, обычно в сочетании с прошивкой, работающей на этом оборудовании, для реализации iSCSI. Аппаратный инициатор снижает накладные расходы на обработку iSCSI и TCP и прерываний Ethernet, и, следовательно, может улучшить производительность серверов, использующих iSCSI. Адаптер шины хоста iSCSI (чаще HBA) реализует аппаратный инициатор. Типичный HBA упаковывается как комбинация контроллера сетевого интерфейса Gigabit (или 10 Gigabit) Ethernet , какой-то технологии TCP / IP Offload Engine (TOE) и адаптера шины SCSI, как это выглядит к операционной системе. HBA-адаптер iSCSI может включать PCI дополнительное ПЗУ, позволяющее загружать из iSCSI SAN.
Модуль разгрузки iSCSI, или карта iSOE, предлагает альтернативу полноценному iSCSI HBA. ISOE «разгружает» операции инициатора iSCSI для этого конкретного сетевого интерфейса с хост-процессора, освобождая циклы ЦП для основных хост-приложений. iSCSI HBA или iSOE используются, когда дополнительное повышение производительности оправдывает дополнительные расходы на использование HBA для iSCSI, а не на использование программного клиента iSCSI (инициатора). iSOE может быть реализован с дополнительными службами, такими как механизм разгрузки TCP (TOE), чтобы еще больше снизить использование ЦП хост-сервера.
В спецификации iSCSI в качестве целевого указывается ресурс хранения, расположенный на сервере iSCSI (в более общем смысле, один из потенциально многих экземпляров узлов хранения iSCSI, работающих на этом сервере).
Целевой объект iSCSI часто представляет собой выделенное сетевое устройство хранения на жестком диске, но также может быть компьютером общего назначения, поскольку, как и в случае с инициаторами, программное обеспечение для обеспечения цели iSCSI доступно для большинства основных операционных систем.
Общие сценарии развертывания для цели iSCSI включают:
В центре обработки данных или в корпоративной среде цель iSCSI часто находится в большом массиве хранения. Эти массивы могут быть в виде серийного оборудования с реализациями iSCSI на основе бесплатного программного обеспечения или в виде коммерческих продуктов, таких как CloudByte, StorTrends, Pure Storage <171.>, HP StorageWorks, EqualLogic, Tegile Systems, Nimble Storage, семейство IBM Storwize, Isilon, NetApp filer, Dell EMC, Kaminario, NS-series, CX4, VNX, VNXe, VMAX, Hitachi Data Systems HNAS или Pivot3 vSTAC.
Массив хранения обычно предоставляет различные цели iSCSI для множества клиентов.
Практически все современные основные серверные операционные системы (такие как BSD, Linux, Solaris или Windows Server ) могут предоставлять целевые функции iSCSI либо как встроенные функции, либо с дополнительным программным обеспечением. В некоторых операционных системах специального назначения реализована поддержка цели iSCSI.
В терминологии SCSI LUN обозначает логическую единицу, которая определяется уникальными номерами логических единиц. LUN представляет собой индивидуально адресуемое (логическое) устройство SCSI, которое является частью физического устройства SCSI (цели). В среде iSCSI LUN представляют собой пронумерованные диски. Инициатор согласовывает с целевым объектом, чтобы установить соединение с LUN; в результате получается соединение iSCSI, которое имитирует соединение с жестким диском SCSI. Инициаторы обрабатывают iSCSI LUN так же, как жесткие диски SCSI или IDE; например, вместо того, чтобы монтировать удаленные каталоги, как это было бы в средах NFS или CIFS, системы iSCSI форматируют и напрямую управляют файловыми системами на iSCSI LUN.
В корпоративных развертываниях LUN обычно представляют собой подмножества больших дисковых массивов RAID, часто выделяемых по одному на каждого клиента. iSCSI не налагает никаких правил или ограничений на несколько компьютеров, совместно использующих отдельные LUN; он оставляет совместный доступ к единственной базовой файловой системе в качестве задачи для операционной системы.
Для общего хранения данных на уже загруженном компьютере любой тип универсального сетевого интерфейса может использоваться для доступа к устройствам iSCSI. Однако обычный сетевой интерфейс потребительского уровня не может загружать бездисковый компьютер из удаленного источника данных iSCSI. Вместо этого сервер обычно загружает свою начальную операционную систему с сервера TFTP или локального загрузочного устройства, а затем использует iSCSI для хранения данных после завершения загрузки с локального устройства.
Отдельный DHCP-сервер может быть настроен для поддержки интерфейсов, оснащенных возможностью сетевой загрузки, для возможности загрузки через iSCSI. В этом случае сетевой интерфейс ищет DHCP-сервер, предлагающий загрузочный образ PXE или bootp. Это используется для запуска процесса удаленной загрузки iSCSI с использованием MAC-адреса загрузочного сетевого интерфейса, чтобы направить компьютер на правильную цель загрузки iSCSI. Затем можно использовать программный подход для загрузки небольшой программы загрузки, которая, в свою очередь, может смонтировать удаленную цель iSCSI, как если бы это был локальный диск SCSI, а затем запустить процесс загрузки с указанной цели iSCSI. Это может быть достигнуто с помощью существующего загрузочного ПЗУ Preboot Execution Environment (PXE), которое доступно на многих проводных адаптерах Ethernet. Загрузочный код также может быть загружен с CD / DVD, гибкого диска (или образа гибкого диска) и USB-накопителя, или он может заменить существующий загрузочный код PXE на адаптерах, которые можно повторно прошить. Самым популярным бесплатным программным обеспечением, предлагающим поддержку загрузки iSCSI, является iPXE.
Большинство контроллеров Intel Ethernet для серверов поддерживают загрузку iSCSI.
iSCSI использует TCP (обычно TCP порты 860 и 3260) для самих протоколов с именами более высокого уровня, используемыми для адресации объектов внутри протокола. Специальные имена относятся как к инициаторам, так и к целям iSCSI. iSCSI предоставляет три формата имен:
Адреса в формате IQN встречаются чаще всего. Они обозначаются датой (гггг- мм), поскольку домен na mes может истечь или быть приобретено другим лицом.
Орган регистрации IEEE предоставляет EUI в соответствии со стандартом EUI-64. NAA является частью OUI, предоставляемой органом регистрации IEEE. Форматы имен NAA были добавлены к iSCSI в RFC 3980, чтобы обеспечить совместимость с соглашениями об именах, используемыми в технологиях хранения Fibre Channel и Serial Attached SCSI (SAS).
Обычно участник iSCSI может быть определен с помощью трех или четырех полей:
Инициаторы iSCSI могут найти соответствующие ресурсы хранения с помощью протокола Internet Storage Name Service (iSNS). Теоретически iSNS предоставляет сетям iSCSI SAN ту же модель управления, что и выделенные сети SAN Fibre Channel. На практике администраторы могут достичь многих целей развертывания iSCSI без использования iSNS.
Инициаторы и цели iSCSI подтверждают свою идентичность друг другу с помощью CHAP, который включает механизм предотвращения открытого текста пароли от появления на проводе. Сам по себе протокол CHAP уязвим для атак по словарю, спуфинга и атак отражения. При тщательном соблюдении передовые методы использования CHAP в iSCSI уменьшают поверхность для этих атак и снижают риски.
Кроме того, как и все протоколы на основе IP, IPsec может работать на сетевой уровень. Протокол согласования iSCSI разработан с учетом других схем аутентификации, хотя проблемы взаимодействия ограничивают их развертывание.
Чтобы гарантировать, что только допустимые инициаторы подключаются к массивам хранения, администраторы обычно запускают iSCSI только в логически изолированных сетях обратного канала. В этой архитектуре развертывания только порты управления массивами хранения доступны для внутренней сети общего назначения, а сам протокол iSCSI работает через выделенные сегменты сети или виртуальные локальные сети (VLAN). Это снижает проблемы аутентификации; неавторизованные пользователи не имеют физического доступа к iSCSI и, следовательно, не могут взаимодействовать с массивами хранения. Однако это также создает проблему, поскольку один скомпрометированный хост с диском iSCSI может использоваться для атаки на ресурсы хранения других хостов.
Хотя iSCSI можно логически изолировать от общей сети только с помощью VLAN, он по-прежнему ничем не отличается от любого другого сетевого оборудования и может использовать любой кабель или порт, пока есть представляет собой законченный путь сигнала между источником и целью. Всего одна ошибка, допущенная сетевым техником при прокладке кабеля, может нарушить барьер логического разделения, а случайное мостовое соединение не может быть обнаружено немедленно, поскольку оно не вызывает сетевых ошибок.
Чтобы еще больше отличить iSCSI от обычной сети и предотвратить ошибки при прокладке кабелей при смене подключений, администраторы могут реализовать самоопределяемые стандарты цветового кодирования и маркировки, например использовать только кабели желтого цвета для подключений iSCSI и только синие кабели для обычной сети и четкая маркировка портов и коммутаторов, используемых только для iSCSI.
Хотя iSCSI может быть реализован как просто кластер портов VLAN на большом многопортовом коммутаторе, который также используется для общего использования сети, администратор может вместо этого использовать физически отдельные коммутаторы, выделенные только для виртуальных локальных сетей iSCSI, для дальнейшего предотвращения возможности подключения неправильно подключенного кабеля к неправильному порту, перекрывая логический барьер.
Поскольку iSCSI направлена на консолидацию хранилища для многих серверов в единый массив хранения, для развертываний iSCSI требуются стратегии, предотвращающие доступ к ресурсам хранилища несвязанными инициаторами. В качестве патологического примера, один массив корпоративных хранилищ может содержать данные для серверов, которые регулируются по-разному Законом Сарбейнса-Оксли для корпоративного учета, HIPAA для информации о пользе для здоровья и PCI. DSS для обработки кредитных карт. Во время аудита системы хранения должны продемонстрировать средства контроля, чтобы гарантировать, что сервер в одном режиме не может получить доступ к ресурсам хранения сервера в другом.
Обычно массивы хранения iSCSI явно сопоставляют инициаторы с определенными целевыми LUN; инициатор аутентифицируется не в массиве хранения, а в конкретном ресурсе хранения, который он намеревается использовать. Однако, поскольку целевые LUN для команд SCSI выражены как в протоколе согласования iSCSI, так и в базовом протоколе SCSI, необходимо позаботиться о том, чтобы управление доступом обеспечивалось единообразно.
По большей части iSCSI работает как протокол открытого текста, который не обеспечивает криптографическую защиту данных, перемещаемых во время транзакций SCSI. В результате злоумышленник, который может прослушивать трафик iSCSI Ethernet, может:
Эти проблемы возникают не только с iSCSI, но скорее относятся к любому протоколу SAN без криптографической защиты. Протоколы безопасности на основе IP, такие как IPsec, могут обеспечить основанную на стандартах криптографическую защиту этого трафика.
Даты в следующей таблице обозначают первое появление собственного драйвера в каждой операционной системе. Драйверы сторонних производителей для Windows и Linux были доступны еще в 2001 году специально для подключения устройства IBM IP Storage 200i.
| ОС | Дата первого выпуска | Версия | Возможности |
|---|---|---|---|
| i5 / OS | 2006-10 | i5 / OS V5R4M0 | Target, Multipath |
| VMware ESX | 2006-06 | ESX 3.0, ESX 4.0, ESXi 5.x, ESXi 6.x | Инициатор, Multipath |
| AIX | 2002-10 | AIX 5.3 TL10, AIX 6.1 TL3 | Инициатор, цель |
| Windows | 2003-06 | 2000, XP Pro, 2003, Vista, 2008, 2008 R2, Windows 7, Windows 8, Windows Server 2012, Windows 8.1, Windows Server 2012 R2, Windows 10, Windows Server 2016 | Инициатор, Целевой, Многопутевый |
| NetWare | 2003-08 | NetWare 5.1, 6.5 и OES | Инициатор, Target |
| HP-UX | 2003-10 | HP 11i v1, HP 11i v2, HP 11i v3 | Initiator |
| Solaris | 2002-05 | Solaris 10, OpenSolaris | Инициатор, цель, Multipath, iSER |
| Linux | 2005-06 | 2.6.12, 3.1 | Инициатор (2.6.12), Цель (3.1), Multipath, iSER, VAAI |
| OpenBSD | 2009-10 | 4.9 | Инициатор |
| NetBSD | 2002-06 | 4.0, 5.0 | Инициатор (5.0), цель (4.0) |
| FreeBSD | 2008-02 | 7.0 | Инициатор (7.0), Target (10.0), Multipath, iSER, VAAI |
| OpenVMS | 2002-08 | 8.3-1H1 | Инициатор, многопутевый |
| macOS | 2008-07 | 10.4— | Н / Д |
Большинство Целевые объекты iSCSI включают в себя диск, хотя также популярны целевые устройства iSCSI и устройства смены носителей. До сих пор физические устройства не имели собственных интерфейсов iSCSI на уровне компонентов. Вместо этого устройства с интерфейсами Parallel SCSI или Fibre Channel соединяются мостом с помощью целевого программного обеспечения iSCSI, внешних мостов или контроллеров, внутренних по отношению к корпусу устройства.
В качестве альтернативы можно виртуализировать целевые диски и ленты. Вместо того, чтобы представлять реальное физическое устройство, представлено эмулируемое виртуальное устройство. Базовая реализация может резко отличаться от представленной цели, как это делается с продуктами виртуальной ленточной библиотеки (VTL). VTL используют дисковое хранилище для хранения данных, записанных на виртуальные ленты. Как и в случае с реальными физическими устройствами, виртуальные цели представлены с помощью целевого программного обеспечения iSCSI, внешних мостов или контроллеров, внутренних по отношению к корпусу устройства.
В индустрии продуктов безопасности некоторые производители используют iSCSI RAID в качестве цели, причем инициатором является кодировщик с поддержкой IP или камера.
Существует несколько систем, которые позволяют подключать устройства Fibre Channel, SCSI и SAS к IP-сети для использования через iSCSI. Их можно использовать для перехода от старых технологий хранения, доступа к SAN с удаленных серверов и связывания SAN через IP-сети. Шлюз iSCSI соединяет IP-серверы с сетями Fibre Channel SAN. TCP-соединение завершается на шлюзе, который реализован на коммутаторе Fibre Channel или как автономное устройство.
