科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网存储频道存储网络集成iSCSI和FC存储的五种常见方法

集成iSCSI和FC存储的五种常见方法

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

集成iSCSI 和FC SAN有五种常见的方法,各有优缺,适应环境也各不相同。智能交换机和网关可以帮助存储架构师聚集现有存储,添加多协议支持(包括iSCSI),并且在单方管理协议下提供虚拟化、存储管理。

作者:论坛 来源:论坛 2011年3月18日

关键字: iRiver faq

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共3页)

集成iSCSI和FCSAN有五种常见的方法,各有优缺,适应环境也各不相同。

不久前,中小公司开始部署iSCSI,以前他们都采用直连式存储大公司一直采用FC SAN,而且技术更加成熟。但是,iSCSI技术成本较低、简单明了,《财富》1000强公司中已经有越来越多的公司开始利用iSCSI SAN实施FC基础架构,用以保护数据,实现Tier-2存储。

集成iSCSI 和FC也存在很大挑战。将iSCSI引入现有的FC SAN中,不仅会产生集成问题,还会导致一些存储架构变复杂,因为存储架构不仅需要了解IP和FC,还要有能力管理和调试多协议存储环境。试图这么做的存储架构师必须非常熟悉iSCSI的设计选项,因为这些设计会影响集成产品的性能、安全和可用性。

性能

iSCSI的一些新特性与IP协议的性质密切相关。FC协议适合于连接服务器和阵列的网络,基于IP协议的iSCSI可能会与非存储IP流量竞争。为了减少IP流量混乱带来的影响,数据中心的管理员应该通过专用iSCSI网络分离iSCSI流量和非存储流量,因为专用iSCSI网络与网络其他部分没有物理连接,或者采用访问控制清单、虚拟局域网(VLAN)等以太网隔离技术。华盛顿Spokane公共学校的高级网络管理员Kevin Mount说:“为了避免内部LAN产生干涉,我们决定在Foundry公司生产的48端口以太网交换机中独立运行iSCSI网络。”

尽管物理隔离和虚拟隔离技术大大提高了安全和性能,存储管理员依然需要在网络交换机和适配器中利用以太网巨帧和流量控制等先进技术,缓减阻塞,优化吞吐量。当一条千兆链路的网络带宽不够用时,可以利用以太网链路聚集(trunking)或链路汇集,将多条链路连接成一条聚集链路;这样就不必部署价格昂贵的10Gb以太网基础设施,又能克服网络带宽的限制。

在主机方面,TCP卸载引擎(TOE)和iSCSI HBA可以有效节省CPU周期,尤其是对速度较慢但注重性能的应用程序服务器。SNIA IP存储论坛主席David Dale认为,尽管TCP和iSCSI的传输速率为1Gb/s,不足最先进服务器硬件速率的10%,而目前85%的iSCSI在部署过程中只采用iSCSI Initiator软件,但是一旦10Gb iSCSI 得到普及,TOE和iSCSI HBA的作用就会越来越大。除了改善I/O性能,iSCSI HBA还会增加从SAN启动和加密等服务。

在多协议环境中,存储管理员需要注意以太网的特性,如以太网交换机和网络接口卡(NIC)之间的容错速度/方式会产生自适应问题,可能对iSCSI网络的性能产生不利影响。Mount 说:“为了降低自适应问题发生的概率,我们对所有的交换机和服务器以太网端口设置不可更改的编码。”

安全

iSCSI和FC采用不同的方法保证存储访问的安全,这可能是多协议存储架构师必须解决的最大问题。FC利用FC交换机实行分区,通过全局名称排列LUN编号和主机标识,而iSCSI采用上述隔离iSCSI的物理和虚拟方法,通过IP地址、主机系统和存储设备的名称、内部/外部CHAP身份验证等方式限制访问,从而保证存储安全。

实行多种iSCSI身份验证方式似乎让人不知所从,其实规则很简单:对于基于IP实现隔离的iSCSI网络,主机系统和存储设备的名称就已经足够验证用户身份。在iSCSI与LAN之间存在物理连接的情况下,应该部署更加严密的CHAP身份验证方式,消除IP地址访问iSCSI LUN时带来的外部影响。当环境中拥有大量iSCSI设备时,可以采用Radius服务器实现集中验证,这样就不需要在iSCSI的存储设备中管理用户证书。

休斯顿贝勒医学院企业服务与信息系统主管Mike Layton采用了类似的策略,他利用主机系统和存储设备名称实现iSCSI授权,验证访问其FC SAN的少量服务器。他的基于日立数据系统(HDS)公司的FC SAN,在隔离的iSCSI LAN中采用NetApp FAS980c网关产品。

集成iSCSI和FC的最大好处在于:支持IP协议中的IPsec加密协议,IP流量出现故障时,都应该集成iSCSI和FC。但是,当服务器处于繁忙状态时,IPsec加密协议的开销非常大。在采用IPsec协议的环境中,服务器和网络带宽匮乏的计算机都应该凭借Cavium网络公司等公司提供的硬件加密技术,配备iSCSI HBA或NIC。从网络层面讲,Decru公司(现为NetApp)、NeoScale系统公司等公司都提供加密产品,设置在数据存取路径中,在FC和iSCSI数据抵达网络附属存储阵列之前,就对其进行加密。

存储管理接口很容易受到安全漏洞的攻击,但是在存储设计过程中又通常遭到忽视。不设密码、所有存储设备只设一个密码或者从不更改密码,都会使设计良好的SAN面临危险。只有特定系统和密码策略非常有效的VLAN才能访问管理接口,在具有大量IP设备的环境中采用集中化的Radius身份验证服务器,这些措施可以降低未获认证的管理变化带来的风险。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章