iSCSI - iSCSI

, Bilgisayar içinde iSCSI ( / aɪ s k ʌ z ı / ( dinlemek ) EYE -skuz-ee ) için kullanılan bir kısaltmadır İnternet Küçük Bilgisayar Sistemleri Arayüzü , bir Internet Protokolü (IP) veri depolama olanaklarını ilişkilendirmek için tabanlı depolama ağ standardı. Sağladığı blok seviyesinde erişimi için depolama cihazları taşıyarak SCSI aşkın komutları TCP / IP ağına. iSCSI, intranetler üzerinden veri aktarımlarını kolaylaştırmak ve uzun mesafelerde depolamayı yönetmek için kullanılır. Yerel alan ağları (LAN'lar), geniş alan ağları (WAN'lar) veya İnternet üzerinden veri iletmek için kullanılabilir ve konumdan bağımsız veri depolama ve alımını sağlayabilir.

Protokol istemcileri (denilen verir başlatıcılarını SCSI komutları (göndermek için) CDBs depolama cihazları (kadar) hedefler uzak sunuculardaki). Kuruluşların, istemcilere (veritabanı ve web sunucuları gibi) yerel olarak bağlı SCSI diskleri yanılsaması sağlarken , depolamayı depolama dizilerinde birleştirmelerine olanak tanıyan bir depolama alanı ağı (SAN) protokolüdür . Esas olarak Fiber Kanal ile rekabet eder , ancak genellikle özel kablolama gerektiren geleneksel Fiber Kanaldan farklı olarak iSCSI, mevcut ağ altyapısı kullanılarak uzun mesafelerde çalıştırılabilir. iSCSI, 1998'de IBM ve Cisco tarafından öncülük edilmiş ve Mart 2000'de taslak standart olarak sunulmuştur.

kavramlar

Temelde, iSCSI, iki ana bilgisayarın, İnternet Protokolü (IP) ağlarını kullanarak SCSI komutları üzerinde anlaşmaya varmasına ve ardından değiş tokuş etmesine izin verir . Bunu yaparak, iSCSI popüler bir yüksek performanslı yerel depolama veri yolunu alır ve onu çok çeşitli ağlar üzerinde öykünerek bir depolama alanı ağı (SAN) oluşturur. Bazı SAN protokollerinin aksine iSCSI, özel kablolama gerektirmez; mevcut IP altyapısı üzerinden çalıştırılabilir. Sonuç olarak, iSCSI, FCoE (Ethernet Üzerinden Fiber Kanal) formu dışında özel altyapı gerektiren Fiber Kanala genellikle düşük maliyetli bir alternatif olarak görülür . Ancak, bir iSCSI SAN dağıtımının performansı, sabit bir bant genişliği miktarı için rekabet nedeniyle özel bir ağ veya alt ağ (LAN veya VLAN ) üzerinde çalıştırılmazsa ciddi şekilde düşebilir .

iSCSI, isteğe bağlı SCSI cihazı türleri ile iletişim kurabilmesine rağmen, sistem yöneticileri, sunucuların (veritabanı sunucuları gibi) depolama dizilerindeki disk birimlerine erişmesine izin vermek için hemen hemen her zaman bunu kullanır. iSCSI SAN'ların genellikle iki amacı vardır:

Depolama birleştirme

Kuruluşlar, ağlarındaki sunuculardan farklı depolama kaynaklarını genellikle veri merkezlerindeki merkezi konumlara taşır; Bu, depolamanın kendisi artık belirli bir sunucuya bağlı olmadığından, depolama tahsisinde daha fazla verimlilik sağlar. Bir SAN ortamında, bir sunucuya donanım veya kablolamada herhangi bir değişiklik yapılmadan yeni bir disk birimi tahsis edilebilir.

Olağanüstü durum kurtarma

Kuruluşlar, depolama kaynaklarını bir veri merkezinden uzak bir veri merkezine yansıtır; bu, uzun süreli bir kesinti durumunda etkin / yedek olarak hizmet verebilir. Özellikle, iSCSI SAN'lar, tüm disk dizilerinin minimum yapılandırma değişiklikleriyle bir WAN üzerinden taşınmasına izin vererek, aslında depolamayı ağ trafiğiyle aynı şekilde "yönlendirilebilir" hale getirir.

başlatıcı

Bir başlatıcı iSCSI istemcisi olarak işlev görmektedir. Bir başlatıcı tipik olarak bir bilgisayara bir SCSI veri yolu bağdaştırıcısının yapacağı gibi aynı amaca hizmet eder, ancak şu farkla ki, SCSI aygıtlarını (sabit sürücüler ve teyp değiştiriciler gibi) fiziksel olarak kablolamak yerine, bir iSCSI başlatıcısı bir IP ağı üzerinden SCSI komutları gönderir. Bir başlatıcı iki geniş türe ayrılır:

Bir yazılım başlatıcısı, iSCSI'yi uygulamak için kod kullanır. Genellikle bu , iSCSI protokolünü konuşarak bir bilgisayar için SCSI aygıtlarına öykünmek üzere mevcut ağ kartını (NIC) ve ağ yığınını kullanan çekirdekte yerleşik bir aygıt sürücüsünde olur . Yazılım başlatıcılar, çoğu popüler işletim sistemi için mevcuttur ve iSCSI'yi dağıtmanın en yaygın yöntemidir.

Bir donanım başlatıcı, iSCSI'yi uygulamak için tipik olarak o donanımda çalışan bellenimle birlikte özel donanım kullanır . Bir donanım başlatıcı, iSCSI ve TCP işleme ve Ethernet kesintilerinin ek yükünü azaltır ve bu nedenle iSCSI kullanan sunucuların performansını iyileştirebilir. Bir iSCSI ana bilgisayar veri yolu bağdaştırıcısı (daha yaygın olarak HBA), bir donanım başlatıcısı uygular. Tipik bir HBA, bir Gigabit (veya 10 Gigabit) Ethernet ağ arabirim denetleyicisi , bir tür TCP/IP boşaltma motoru (TOE) teknolojisi ve bir SCSI veri yolu bağdaştırıcısının bir kombinasyonu olarak paketlenir ; işletim sistemine bu şekilde görünür. Bir iSCSI HBA, bir iSCSI SAN'dan önyüklemeye izin vermek için PCI isteğe bağlı ROM'u içerebilir .

Bir iSCSI boşaltma motoru veya iSOE kartı , tam bir iSCSI HBA'ya bir alternatif sunar. Bir iSOE, bu belirli ağ arabirimi için iSCSI başlatıcı işlemlerini ana bilgisayar işlemcisinden "boşaltır" ve ana ana bilgisayar uygulamaları için CPU döngülerini serbest bırakır. iSCSI HBA'lar veya iSOE'ler, ek performans geliştirmesi, yazılım tabanlı bir iSCSI istemcisi (başlatıcı) kullanmak yerine iSCSI için bir HBA kullanmanın ek masrafını haklı çıkardığında kullanılır. iSOE, ana sunucu CPU kullanımını daha da azaltmak için TCP boşaltma motoru (TOE) gibi ek hizmetlerle uygulanabilir .

Hedef

iSCSI belirtimi, bir iSCSI sunucusunda (daha genel olarak, o sunucuda çalışan potansiyel olarak birçok iSCSI depolama düğümü örneğinden biri) hedef olarak bulunan bir depolama kaynağına atıfta bulunur .

Bir iSCSI hedefi genellikle özel bir ağa bağlı sabit disk depolama aygıtıdır, ancak başlatıcılarda olduğu gibi bir iSCSI hedefi sağlamak için yazılım çoğu ana işletim sistemi için mevcut olduğundan genel amaçlı bir bilgisayar da olabilir.

Bir iSCSI hedefi için yaygın dağıtım senaryoları şunları içerir:

Depolama dizisi

Bir veri merkezinde veya kurumsal ortamda, bir iSCSI hedefi genellikle büyük bir depolama dizisinde bulunur. Bu diziler, ücretsiz yazılım tabanlı iSCSI uygulamalarına sahip ticari donanım biçiminde veya Quantastor , CloudByte, StorTrends , Pure Storage , HP StorageWorks , EqualLogic , Tegile Systems , Nimble depolama , Reduxio , IBM Storwize gibi ticari ürünler şeklinde olabilir. family , Isilon , NetApp dosyalayıcı , Dell EMC , Kaminario , NS serisi, CX4, VNX, VNXe, VMAX, Hitachi Data Systems HNAS veya Pivot3 vSTAC.

Bir depolama dizisi genellikle çok sayıda istemci için farklı iSCSI hedefleri sağlar.

yazılım hedefi

Neredeyse tüm modern ana akım sunucu işletim sistemleri ( BSD , Linux , Solaris veya Windows Server gibi ), yerleşik bir özellik olarak veya ek yazılımla birlikte iSCSI hedef işlevselliği sağlayabilir. Bazı özel amaçlı işletim sistemleri, iSCSI hedef desteğini uygular.

Mantıksal birim numarası

Gelen SCSI terminoloji, LU açılımı mantıksal birim benzersiz ile belirtilir, mantıksal birim numarası . LUN, fiziksel bir SCSI aygıtının (hedefin) parçası olan, ayrı ayrı adreslenebilir (mantıksal) bir SCSI aygıtını temsil eder. Bir iSCSI ortamında, LUN'lar esasen numaralandırılmış disk sürücüleridir. Başlatıcı, bir LUN'a bağlantı kurmak için bir hedefle görüşür; sonuç, bir SCSI sabit diskine bağlantıya öykünen bir iSCSI bağlantısıdır. Başlatıcılar, iSCSI LUN'lara ham SCSI veya IDE sabit disk sürücüsü gibi davranırlar; örneğin, NFS veya CIFS ortamlarında yapıldığı gibi uzak dizinleri monte etmek yerine , iSCSI sistemleri, iSCSI LUN'larda dosya sistemlerini biçimlendirir ve doğrudan yönetir.

Kurumsal dağıtımlarda, LUN'lar genellikle büyük RAID disk dizilerinin alt kümelerini temsil eder ve genellikle istemci başına bir tane tahsis edilir. iSCSI, ayrı LUN'ları paylaşan birden çok bilgisayara hiçbir kural veya kısıtlama getirmez; işletim sistemi için bir görev olarak tek bir temel dosya sistemine paylaşılan erişimi bırakır.

Ağ önyüklemesi

Halihazırda önyüklenmiş bir bilgisayarda genel veri depolaması için, iSCSI cihazlarına erişmek için herhangi bir tür genel ağ arabirimi kullanılabilir. Ancak, genel bir tüketici sınıfı ağ arabirimi, uzak bir iSCSI veri kaynağından disksiz bir bilgisayarı önyükleyemez. Bunun yerine, bir sunucunun ilk işletim sistemini bir TFTP sunucusundan veya yerel önyükleme aygıtından yüklemesi ve ardından yerel aygıttan önyükleme tamamlandıktan sonra veri depolama için iSCSI kullanması olağandır .

iSCSI üzerinden önyükleme yapabilmek için ağ önyükleme özelliğiyle donatılmış arabirimlere yardımcı olmak için ayrı bir DHCP sunucusu yapılandırılabilir . Bu durumda, ağ arabirimi, bir PXE veya bootp önyükleme görüntüsü sunan bir DHCP sunucusu arar . Bu, bilgisayarı doğru iSCSI önyükleme hedefine yönlendirmek için önyükleme ağ arabiriminin MAC adresini kullanarak iSCSI uzaktan önyükleme işlemini başlatmak için kullanılır . Daha sonra, uzak bir iSCSI hedefini yerel bir SCSI sürücüsüymüş gibi bağlayabilen ve ardından söz konusu iSCSI hedefinden önyükleme işlemini başlatabilen küçük bir önyükleme programını yüklemek için yalnızca yazılım yaklaşımı kullanılabilir. Bu, birçok kablolu Ethernet adaptöründe bulunan mevcut bir Önyükleme Öncesi Yürütme Ortamı (PXE) önyükleme ROM'u kullanılarak gerçekleştirilebilir. Önyükleme kodu ayrıca CD/DVD'den, disketten (veya disket görüntüsünden) ve USB depolama biriminden yüklenebilir veya yeniden flaş edilebilen adaptörlerdeki mevcut PXE önyükleme kodunun yerini alabilir. iSCSI önyükleme desteği sunan en popüler ücretsiz yazılım iPXE'dir .

Sunucular için çoğu Intel Ethernet denetleyicisi, iSCSI önyüklemesini destekler.

adresleme

iSCSI , protokollerin kendisi için TCP'yi (tipik olarak 860 ve 3260 numaralı TCP bağlantı noktaları ) kullanır ve protokol içindeki nesneleri adreslemek için daha yüksek düzey adlar kullanılır. Özel adlar hem iSCSI başlatıcılarına hem de hedeflere atıfta bulunur. iSCSI üç ad biçimi sağlar:

iSCSI Nitelikli Adı (IQN)

Biçim: iSCSI Nitelikli Adı, RFC 3721'de daha fazla ad örnekleriyle birlikte RFC 3720'de belgelenmiştir. Kısaca alanlar şunlardır:

• değişmez iqn (iSCSI Nitelikli Adı)
• Adlandırma yetkilisinin alan adının sahipliğini aldığı tarih (yyyy-aa)
• otoritenin ters etki alanı adı (örn. org.alpinelinux, com.example, to.yp.cr)
• Adlandırma yetkilisi tarafından belirtilen bir depolama hedefi adının önüne isteğe bağlı ":" eki.

RFC'den:

Genişletilmiş Benzersiz Tanımlayıcı (EUI)

Biçim: eui.{EUI-64 bit adresi} (örn. eui.02004567A425678D )

T11 Ağ Adresi Yetkilisi (NAA)

Biçim: naa.{NAA 64 veya 128 bit tanımlayıcı} (örn. naa.52004567BA64678D )

IQN biçimli adresler en yaygın olarak ortaya çıkar. Bir tarihe (yyyy-aa) göre nitelenirler çünkü alan adlarının süresi dolabilir veya başka bir kuruluş tarafından alınabilir.

IEEE Tescil yetkilisi, EUI-64 standardına uygun olarak EUI sağlar. NAA, IEEE Kayıt Otoritesi tarafından sağlanan OUI'nin bir parçasıdır. NAA ad biçimleri, Fiber Kanal ve Seri Bağlı SCSI (SAS) depolama teknolojilerinde kullanılan adlandırma kurallarıyla uyumluluk sağlamak için RFC 3980'de iSCSI'ye eklendi .

Genellikle bir iSCSI katılımcısı üç veya dört alanla tanımlanabilir:

1. Ana bilgisayar adı veya IP Adresi (ör. "iscsi.example.com")
2. Bağlantı Noktası Numarası (ör. 3260)
3. iSCSI Adı (örneğin, IQN "iqn.2003-01.com.ibm:00.fcd0ab21.shark128")
4. İsteğe bağlı bir CHAP Sırrı (örneğin, "secretsarefun")

iSNS

iSCSI başlatıcıları, İnternet Depolama Adı Hizmeti (iSNS) protokolünü kullanarak uygun depolama kaynaklarını bulabilir . Teoride, iSNS, iSCSI SAN'lara, ayrılmış Fiber Kanal SAN'larla aynı yönetim modeline sahiptir . Uygulamada yöneticiler, iSCSI için birçok dağıtım hedefini iSNS kullanmadan karşılayabilir.

Güvenlik

kimlik doğrulama

iSCSI başlatıcıları ve hedefleri , açık metin parolalarının kablo üzerinde görünmesini engelleyen bir mekanizma içeren CHAP kullanarak kimliklerini birbirlerine kanıtlar . CHAP kendi başına sözlük saldırılarına , sahtekarlığa ve yansıma saldırılarına karşı savunmasızdır . Dikkatli bir şekilde takip edilirse, iSCSI içinde CHAP kullanımına yönelik en iyi uygulamalar, bu saldırıların yüzeyini azaltır ve riskleri azaltır.

Ayrıca tüm IP tabanlı protokollerde olduğu gibi IPsec de ağ katmanında çalışabilir. iSCSI anlaşma protokolü, birlikte çalışabilirlik sorunları dağıtımlarını sınırlasa da diğer kimlik doğrulama şemalarını barındıracak şekilde tasarlanmıştır.

Mantıksal ağ izolasyonu

Yalnızca geçerli başlatıcıların depolama dizilerine bağlanmasını sağlamak için, yöneticiler genellikle iSCSI'yi yalnızca mantıksal olarak yalıtılmış arka kanal ağları üzerinden çalıştırır. Bu dağıtım mimarisinde, yalnızca depolama dizilerinin yönetim bağlantı noktaları genel amaçlı dahili ağa maruz bırakılır ve iSCSI protokolünün kendisi, ayrılmış ağ segmentleri veya sanal LAN'lar (VLAN) üzerinden çalıştırılır . Bu, kimlik doğrulama endişelerini azaltır; yetkisiz kullanıcılara iSCSI için fiziksel olarak yetki verilmez ve bu nedenle depolama dizileriyle konuşamaz. Bununla birlikte, bir iSCSI diski ile güvenliği ihlal edilmiş tek bir ana bilgisayarın diğer ana bilgisayarların depolama kaynaklarına saldırmak için kullanılabilmesi nedeniyle geçişli bir güven sorunu da yaratır .

Fiziksel ağ izolasyonu

iSCSI, yalnızca VLAN'lar kullanılarak genel ağdan mantıksal olarak yalıtılabilse de, diğer herhangi bir ağ ekipmanından farklı değildir ve kaynak ile hedef arasında tamamlanmış bir sinyal yolu olduğu sürece herhangi bir kablo veya bağlantı noktasını kullanabilir. Bir ağ teknisyeni tarafından yapılan tek bir kablolama hatası, mantıksal ayırma engelini tehlikeye atabilir ve ağ hatalarına neden olmadığı için kazara bir köprüleme hemen tespit edilemeyebilir.

iSCSI'yi normal ağdan daha fazla ayırt etmek ve bağlantıları değiştirirken kablolama hatalarını önlemek için yöneticiler, iSCSI bağlantıları için yalnızca sarı renkli kablolar ve normal ağlar için yalnızca mavi kablolar kullanmak gibi kendi kendine tanımlanan renk kodlaması ve etiketleme standartları uygulayabilir. ağ ve yalnızca iSCSI için kullanılan bağlantı noktalarını ve anahtarları açıkça etiketleyin.

iSCSI, aynı zamanda genel ağ kullanımı için kullanılan büyük bir çok bağlantı noktalı anahtar üzerinde yalnızca bir VLAN bağlantı noktası kümesi olarak uygulanabilirken, yönetici bunun yerine yalnızca iSCSI VLAN'larına ayrılmış fiziksel olarak ayrı anahtarlar kullanmayı seçebilir ve bu da olası hataları daha da önler. Mantıksal engeli ortadan kaldıran yanlış bağlantı noktasına yanlış bağlanmış bir kablo.

yetki

iSCSI, birçok sunucu için depolamayı tek bir depolama dizisinde birleştirmeyi amaçladığından, iSCSI dağıtımları, ilgisiz başlatıcıların depolama kaynaklarına erişmesini önlemek için stratejiler gerektirir. Patolojik bir örnek olarak, tek bir kurumsal depolama dizisi, kurumsal muhasebe için Sarbanes-Oxley Yasası , sağlık yardımı bilgileri için HIPAA ve kredi kartı işleme için PCI DSS tarafından çeşitli şekillerde düzenlenen sunucular için verileri tutabilir . Bir denetim sırasında, depolama sistemleri, bir rejim altındaki bir sunucunun, bir başka rejim altındaki bir sunucunun depolama varlıklarına erişememesi için kontroller göstermelidir.

Tipik olarak, iSCSI depolama dizileri, başlatıcıları açıkça belirli hedef LUN'lara eşler; bir başlatıcı, depolama dizisine değil, kullanmayı amaçladığı belirli depolama varlığına kimlik doğrulaması yapar. Ancak, SCSI komutları için hedef LUN'lar hem iSCSI anlaşma protokolünde hem de temel alınan SCSI protokolünde ifade edildiğinden, erişim denetiminin tutarlı bir şekilde sağlandığından emin olmak için özen gösterilmelidir.

Gizlilik ve bütünlük

Çoğunlukla, iSCSI, SCSI işlemleri sırasında hareket halindeki veriler için kriptografik koruma sağlamayan bir açık metin protokolü olarak çalışır. Sonuç olarak, iSCSI Ethernet trafiğini dinleyebilen bir saldırgan şunları yapabilir:

• Tel üzerinde aktarılan dosyaları ve dosya sistemlerini yeniden oluşturun ve kopyalayın
• Sahte iSCSI çerçeveleri enjekte ederek dosyaların içeriğini değiştirin
• Başlatıcılar tarafından erişilen bozuk dosya sistemleri, sunucuları kötü test edilmiş dosya sistemi kodundaki yazılım kusurlarına maruz bırakır.

Bu sorunlar yalnızca iSCSI ile oluşmaz, bunun yerine kriptografik güvenliği olmayan herhangi bir SAN protokolü için geçerlidir . IPsec gibi IP tabanlı güvenlik protokolleri, bu trafiğe standartlara dayalı kriptografik koruma sağlayabilir.

Uygulamalar

İşletim sistemleri

Aşağıdaki tablodaki tarihler, her işletim sisteminde yerel bir sürücünün ilk görünümünü belirtir. Windows ve Linux için üçüncü kişi sürücüleri, özellikle IBM'in IP Storage 200i aygıtını eklemek için 2001'de mevcuttu.

Hedefler

Çoğu iSCSI hedefi diski içerir, ancak iSCSI teyp ve orta değiştirici hedefler de popülerdir. Şimdiye kadar, fiziksel cihazlarda bileşen düzeyinde yerel iSCSI arabirimleri bulunmadı. Bunun yerine, Paralel SCSI veya Fiber Kanal arabirimlerine sahip cihazlar, iSCSI hedef yazılımı, harici köprüler veya cihaz kasasındaki dahili denetleyiciler kullanılarak köprülenir.

Alternatif olarak, disk ve teyp hedeflerini sanallaştırmak da mümkündür. Gerçek bir fiziksel cihazı temsil etmek yerine, benzetilmiş bir sanal cihaz sunulur. Temel uygulama, sanal teyp kitaplığı (VTL) ürünlerinde olduğu gibi, sunulan hedeften büyük ölçüde sapabilir . VTL'ler, sanal bantlara yazılan verileri depolamak için disk depolamayı kullanır. Gerçek fiziksel cihazlarda olduğu gibi, sanal hedefler, iSCSI hedef yazılımı, harici köprüler veya cihaz kasasındaki dahili denetleyiciler kullanılarak sunulur.

Güvenlik ürünleri endüstrisinde, bazı üreticiler, başlatıcının IP özellikli bir kodlayıcı veya kamera olduğu bir hedef olarak bir iSCSI RAID kullanır.

Dönüştürücüler ve köprüler

Fiber Kanal, SCSI ve SAS cihazlarının iSCSI aracılığıyla kullanım için bir IP ağına bağlanmasına izin veren birden çok sistem mevcuttur. Eski depolama teknolojilerinden geçişe, uzak sunuculardan SAN'lara erişime ve SAN'ların IP ağları üzerinden bağlanmasına izin vermek için kullanılabilirler. Bir iSCSI ağ geçidi, IP sunucularını Fiber Kanal SAN'lara bağlar. TCP bağlantısı, Fiber Kanal anahtarında veya bağımsız bir cihaz olarak uygulanan ağ geçidinde sonlandırılır.

Ayrıca bakınız

Notlar

Referanslar

daha fazla okuma