ISCSI

En la informática, iSCSI , es una abreviatura de Internet Pequeño Interfaz del Sistema de ordenadores, Internet Protocol (IP) - almacenaje basado estándar conectado a una red para unir instalaciones de almacenaje de datos. Llevando órdenes de SCSI sobre redes IP, el iSCSI es usado para facilitar la transferencia de datos sobre el intranet y manejar el almacenaje sobre distancias largas. el iSCSI puede ser usado para transmitir datos sobre redes locales (LANes), redes de área amplia (WANs) o Internet y puede permitir el almacenaje de datos independiente de la posición y la recuperación. El protocolo permite que clientes (llamado iniciadores) envíen órdenes de SCSI (CDBs) a dispositivos de almacenaje SCSI (objetivos) en servidores remotos. Es un protocolo de Storage Area Network (SAN), permitiendo organizaciones consolidar el almacenaje en series de almacenaje del centro de datos proveyendo a anfitriones (como base de datos y servidores web) con la ilusión de discos en la localidad adjuntos. A diferencia del Canal de la Fibra tradicional, que requiere el tendido de cables con destino especial, el iSCSI se puede dirigir sobre distancias largas usando la infraestructura de la red existente.

Funcionalidad

el iSCSI usa TCP/IP (típicamente puertos de TCP 860 y 3260). En la esencia, iSCSI simplemente permite que dos anfitriones negocien y cambien luego órdenes de SCSI usando redes de IP. Haciendo este iSCSI toma un autobús de almacenaje local de alto rendimiento popular y lo emula sobre redes de área amplia, creando una red de la área de almacenamiento (SAN). A diferencia de algunos protocolos SAN, el iSCSI no requiere ningún tendido de cables dedicado; se puede dirigir sobre conmutación de la existencia e infraestructura IP. Como consiguiente, el iSCSI a menudo se ve como una alternativa económica al Canal de la Fibra, que requiere la infraestructura dedicada excepto en su FCoE (Canal de la fibra sobre Ethernet) forma. Sin embargo, el rendimiento de un iSCSI SAN despliegue se puede con severidad degradar si no hecho funcionar en una red dedicada o subred (LAN o VLAN).

Aunque iSCSI se pueda comunicar con tipos arbitrarios de dispositivos SCSI, los administradores del sistema casi siempre lo usan para permitir ordenadores del servidor (como servidores de la base de datos) a volúmenes del disco de acceso en series de almacenaje. los iSCSI SANs a menudo tienen uno de dos objetivos:

Consolidación de almacenaje

: Las organizaciones mueven recursos de almacenaje dispares de servidores alrededor de su red a posiciones centrales, a menudo en centros de datos; esto tiene más eficacia en cuenta en la asignación del almacenaje. En un ambiente SAN, un servidor se puede asignar un nuevo volumen del disco sin cualquier cambio en hardware o tendido de cables.

Recuperación ante desastres

: Las organizaciones reflejan recursos de almacenaje de un centro de datos a un centro de datos remoto, que puede servir de una reserva caliente en caso de una interrupción prolongada. En particular, iSCSI los SANs permiten que series del disco enteras se emigren a través de un PÁLIDO con cambios de la configuración mínimos, en efecto haciendo el almacenaje "routable" en la misma manera que el tráfico de la red.

Iniciación de la red

Para el almacenaje de datos general en un ordenador ya calzado, cualquier tipo de la interfaz de red genérica puede estar acostumbrado al acceso iSCSI dispositivos. Sin embargo, una interfaz de red del grado del consumidor genérica no es capaz de inicializar un ordenador sin disco de una fuente de datos iSCSI remota. En cambio es trivial para un servidor para cargar su sistema operativo inicial de un servidor TFTP o dispositivo de la bota local, y luego usar iSCSI para el almacenaje de datos una vez que inicializando del dispositivo local ha terminado.

Un servidor DHCP separado se puede configurar para asistir a interfaces equipados con la capacidad de la bota de la red de ser capaz a la bota sobre iSCSI. En este caso la interfaz de red busca un servidor DHCP que ofrece un PXE o imagen de la bota bootp. Esto es usado para empezar el proceso de arranque remoto iSCSI, usando la Dirección MAC de la interfaz de red de iniciación para dirigir el ordenador al objetivo de la bota iSCSI correcto.

La mayor parte de reguladores de Intel Ethernet para servidores apoyan la bota iSCSI.

Conceptos

Iniciador

Un iniciador funciona como un cliente iSCSI. Un iniciador típicamente sirve el mismo objetivo a un ordenador que un adaptador del autobús SCSI iba, salvo que en vez de cablegrafiar físicamente dispositivos SCSI (como discos duros y cambiadores de la cinta), un iniciador iSCSI envía órdenes de SCSI sobre una red IP. Un iniciador cae a dos amplios tipos:

Iniciador del software

Un iniciador del software usa el código para poner en práctica iSCSI. Típicamente, esto pasa en un controlador de dispositivos residente por el grano que usa la tarjeta de red existente (NIC) y pila de la red para emular dispositivos SCSI para un ordenador diciendo el protocolo iSCSI. Los iniciadores del software están disponibles para la mayoría de los sistemas operativos populares y son la mayor parte de método común de desplegar iSCSI.

Iniciador del hardware

Un iniciador del hardware usa el hardware dedicado, típicamente en la combinación con el software (programas fijos) que corren en ese hardware, para poner en práctica iSCSI. Un iniciador del hardware mitiga el elevado de iSCSI y procesamiento de TCP e interrupciones de Ethernet, y por lo tanto puede mejorar el funcionamiento de servidores ese uso iSCSI.

Adaptador del autobús del anfitrión

Un adaptador del autobús del anfitrión de iSCSI (más comúnmente, HBA) pone en práctica a un iniciador del hardware. HBA típico es envasado como una combinación de Gigabit (o 10 Gigabit) Ethernet NIC, una especie de tecnología del TCP/IP descargan el motor (TOE) y un adaptador del autobús SCSI, que es cómo aparece al sistema operativo.

Un iSCSI HBA puede incluir la memoria sólo de lectura de la opción PCI para permitir inicializar de un iSCSI

TCP descargan motor

Un TCP Descarga el Motor, o "Tarjeta del DEDO DEL PIE", ofrece una alternativa a iSCSI lleno HBA. Un DEDO DEL PIE "descarga" las operaciones TCP/IP para esta interfaz de red particular del procesador del anfitrión, liberando ciclos de la CPU para las aplicaciones del anfitrión principales. Cuando un DEDO DEL PIE se usa, más bien que un HBA, el procesador del anfitrión todavía tiene que realizar el procesamiento de la propia capa del protocolo iSCSI, pero la CPU arriba para esa tarea es baja.

el iSCSI HBAs o los DEDOS DEL PIE se usan cuando el realce de rendimiento adicional justifica el gasto adicional de usar un HBA para iSCSI, más bien que usar a un cliente iSCSI basado en el software (iniciador).

Objetivo

La especificación iSCSI se refiere a un recurso de almacenaje localizado en un servidor iSCSI (más generalmente, uno de potencialmente muchos casos de nodos de almacenaje iSCSI que corren en ese servidor) como un objetivo.

"el objetivo de iSCSI" no se debería confundir con el término "iSCSI" ya que éste es un protocolo y no un caso del servidor de almacenaje.

Un objetivo de iSCSI a menudo es un dispositivo de almacenaje del disco duro relacionado con la red dedicado, pero también puede ser un ordenador de uso general, ya que como con iniciadores, el software para proporcionar un objetivo de iSCSI está disponible para la mayor parte de sistemas operativos dominantes.

Los guiones de despliegue comunes para un objetivo de iSCSI incluyen:

Serie de almacenaje

En un ambiente de la empresa o el centro de datos, un objetivo de iSCSI a menudo reside en una serie de almacenaje grande, como EqualLogic, Isilon, contribuyente de NetApp, NS-serie de EMC, CX4, VNX, VNXe, VMAX o un HDS HNAS aplicación del ordenador. Una serie de almacenaje por lo general proporciona objetivos de iSCSI distintos a numerosos clientes.

Objetivo del software

Casi todos los sistemas operativos del servidor dominantes modernos (como BSD, Linux, Solaris o Servidor de Windows) pueden proporcionar la funcionalidad objetivo de iSCSI, como un rasgo incorporado o con el software suplemental. Algunos sistemas operativos del objetivo específico (como FreeNAS, Openfiler u OpenMediaVault) ponen en práctica el apoyo objetivo de iSCSI.

Número de la unidad lógico

En la terminología SCSI, LUN significa el número de la unidad lógico. Un LUN representa un dispositivo SCSI (lógico) individualmente direccionable que es la parte de un dispositivo SCSI físico (objetivo). En un ambiente iSCSI, LUNs son unidades de disco esencialmente numeradas. Un iniciador negocia con un objetivo para establecer la conectividad a un LUN; el resultado es una conexión iSCSI que emula una conexión con un disco duro SCSI. Los iniciadores tratan iSCSI LUNs el mismo camino que iban SCSI crudo o disco duro IDE; por ejemplo, más bien que montar directorios remotos como se haría en Sistema de fichas de Red o ambientes de CIF, iSCSI sistemas formatean y directamente manejan sistemas de ficheros en iSCSI LUNs.

En despliegues de la empresa, LUNs por lo general representan partes de series del disco de la INCURSIÓN grandes, a menudo asignadas un por cliente. el iSCSI no impone ningunas reglas o restricciones de ordenadores múltiples que comparten LUNs individual; deja el acceso compartido a un sistema de ficheros subyacente solo como una tarea para el sistema operativo.

Dirección

Los nombres especiales se refieren tanto a iniciadores iSCSI como a objetivos. el iSCSI proporciona tres formatos del nombre:

iSCSI nombre calificado (IQN)

: Formato: El iSCSI Nombre Calificado se documenta en RFC 3720, con ejemplos adicionales de nombres en RFC 3721. Brevemente, los campos son:

:* iqn literal

:* la fecha (yyyy-mm) que la autoridad de nombramiento tomó la propiedad de la esfera

:* nombre de dominio invertido de la autoridad (org.alpinelinux, com.example, to.yp.cr)

:* Opcional ":" la prefijación de un almacenaje apunta el nombre especificado por la autoridad de nombramiento.

:From el RFC:

El nombramiento de la Cuerda definido por

Escriba a máquina la Fecha Auth "example.com" llamando la autoridad

+ - ++-----+ +---------+ +-----------------------------+

| || | | | | |

iqn.2001-04.com.example:storage:diskarrays-sn-a8675309

iqn.2001-04.com.example

iqn.2001-04.com.example:storage.tape1.sys1.xyz iqn.2001-04.com.example:storage.disk2.sys1.xyz

Extended Unique Identifier (EUI)

: Formato: el eui. {EUI-64 mordía la dirección} (p.ej)

T11 Network Address Authority (NAA)

: Formato: naa. {NASA 64 o identificador de 128 trozos} (p.ej)

Las direcciones del formato de IQN ocurren el más comúnmente. Son calificados por una fecha (yyyy-mm) porque los nombres de dominio pueden expirar o ser adquiridos por otra entidad.

La autoridad de Registro IEEE proporciona EUI de acuerdo con el estándar EUI-64. NAA es la parte OUI que es proporcionado por la Autoridad de Registro IEEE. Los formatos del nombre de NAA se añadieron a iSCSI en RFC 3980, para proveer la compatibilidad del nombramiento de convenciones usadas en Canal de la Fibra y tecnologías de almacenaje de Serial Attached SCSI (SAS).

Por lo general un participante iSCSI puede ser definido por tres o cuatro campos:

  1. Hostname o IP Address (p.ej, "iscsi.example.com")
  2. Número del puerto (p.ej, 3260)
  3. Nombre de iSCSI (p.ej, el IQN "iqn.2003-01.com.ibm:00.fcd0ab21.shark128")
  4. Un Secreto del TIPO opcional (p.ej, "secretsarefun")

iSNS

los iniciadores de iSCSI pueden localizar recursos de almacenaje apropiados usando el Servicio del Nombre de Almacenaje de Internet (iSNS) protocolo. En la teoría, el iSNS proporciona iSCSI SANs por el mismo modelo de la dirección que el Canal de la Fibra dedicado SANs. En la práctica, los administradores pueden satisfacer muchos objetivos de despliegue para iSCSI sin usar iSNS.

Seguridad

Autenticación

los iniciadores de iSCSI y los objetivos demuestran su identidad el uno al otro que usa el protocolo del TIPO, que incluye un mecanismo para impedir a contraseñas cleartext aparecer en el alambre. Por sí mismo, el protocolo del TIPO es vulnerable a ataques del diccionario, falsificación o ataques de reflexión. De ser seguido con cuidado, las reglas para usar al TIPO dentro de iSCSI previenen la mayor parte de estos ataques.

Además, como con todos los protocolos basados en IP, IPsec puede funcionar en la capa de la red. El protocolo de la negociación iSCSI se diseña para acomodar otros esquemas de autenticación, aunque las cuestiones de interoperabilidad limiten su despliegue.

Aislamiento de la red lógico

Para asegurar que los iniciadores sólo válidos se unan con series de almacenaje, los administradores el más comúnmente dirigen iSCSI sólo sobre redes backchannel lógicamente aisladas. En esta arquitectura de despliegue, sólo los puertos de la dirección de series de almacenaje se exponen a la intranet de uso general, y el propio protocolo iSCSI se dirige sobre segmentos de la red dedicados o LANes virtuales (VLAN). Esto mitiga preocupaciones de autenticación; los usuarios no autorizados físicamente no se aprovisionan para iSCSI, y así no se pueden dirigir a series de almacenaje. Sin embargo, también crea un problema de confianza transitivo, en el cual un anfitrión comprometido solo con un disco iSCSI puede ser usado para atacar recursos de almacenaje por otros anfitriones.

Aislamiento de la red físico

Mientras iSCSI se puede lógicamente aislar de la red general usando VLANs sólo, todavía es no diferente de cualquier otro equipo de la red y puede usar cualquier cable o puerto mientras hay un camino de la señal completado entre fuente y objetivo. Sólo un error de tendido de cables solo por un técnico de la red inexperto puede poner en peligro la barrera de la separación lógica, y tender un puente casual no se puede inmediatamente descubrir porque no causa errores de la red.

A fin de diferenciar adelante iSCSI de la red regular y prevenir errores de tendido de cables cambiando conexiones, los administradores pueden poner en práctica el color autodefinido estándares que cifran y ponen etiqueta, como la sólo utilización de cables amarillos para las conexiones iSCSI y cables sólo azules para la red regular, y claramente etiquetaje a puertos e interruptores usados sólo para iSCSI.

Mientras iSCSI se podría poner en práctica como sólo un racimo VLAN de puertos en un interruptor del multipuerto grande que también se usa para el uso de la red general, el administrador puede decidir en cambio usar interruptores físicamente separados dedicados a iSCSI VLANs sólo, prevenir adelante la posibilidad de un cable incorrectamente relacionado enchufó el puerto incorrecto que tiende un puente sobre la barrera lógica.

Autorización

Como iSCSI pretende consolidar el almacenaje para muchos servidores en una serie de almacenaje sola, iSCSI despliegues requieren estrategias de impedir a iniciadores sin relaciones tener acceso a recursos de almacenaje. Como un ejemplo patológico, una serie de almacenaje de la empresa sola podría sostener datos para servidores diversamente regulados por el Acto de Sarbanes-Oxley para la contabilidad corporativa, HIPAA para la información de beneficios para la salud y PCI DSS para el procesamiento de la tarjeta de crédito. Durante una auditoría, los sistemas de almacenaje deben demostrar mandos para asegurar que un servidor bajo un régimen no pueda tener acceso a los activos de almacenaje de un servidor bajo el otro.

Típicamente, iSCSI series de almacenaje explícitamente trazan un mapa de iniciadores al objetivo específico LUNs; un iniciador certifica no a la serie de almacenaje, pero al activo de almacenaje específico tiene la intención de usar. Sin embargo, porque el objetivo LUNs para órdenes de SCSI se expresan tanto en el protocolo de la negociación iSCSI como en el protocolo SCSI subyacente, cuidado se debe tomar para asegurar que el control de acceso se proporcione consecuentemente.

Confidencialidad e integridad

En su mayor parte, el iSCSI funciona como un protocolo cleartext que no proporciona ninguna protección criptográfica a datos en el movimiento durante transacciones SCSI. Como consiguiente, un atacante que puede escuchar en en el tráfico de Ethernet iSCSI puede:

Estos problemas no ocurren sólo con iSCSI, pero mejor dicho se aplican a cualquier protocolo SAN sin la seguridad criptográfica. IP protocolos de seguridad basados, como el IPsec, puede proporcionar estándares protección criptográfica basada a este tráfico.

Apoyo de la industria

Apoyo del sistema operativo

Las fechas que aparecen en la mesa siguiente podrían ser engañosas. Se sabe por ejemplo que la IBM entregó un dispositivo de almacenaje iSCSI (NAS200i) en 2001 para el uso con el Windows NT, Windows 2000 http://www-900.ibm.com/cn/support/library/storage/download/200i%20iSCSI%20client%20for%20NT&2000%20Installation&User%20Guide.pdf y Linux

http://www-900.ibm.com/cn/support/library/storage/download/200i%20iSCSI%20client%20for%20Linux%20Installation&User%20Guide.pdf

† Apunte disponible sólo como la parte de Windows Unified Data Storage Server (WUDSS) para el Servidor de Almacenaje 2003. El objetivo disponible en el Servidor de Almacenaje 2008 (excluyó la edición Básica).

Objetivo disponible para Servidor de Windows 2008 R2 como una descarga separada. El Servidor de Windows 8 tiene la versión 3.3 objetivo de iSCSI incorporada (al menos en versiones de la vista anticipada).

+† MacOS X no tiene ni el iniciador, ni el objetivo que viene del vendedor directamente. Hay unos iniciadores de MacOS X y apunta disponible pero son de vendedores del tercero sólo.

Objetivos

La mayor parte de objetivos de iSCSI implican el disco, aunque la cinta de iSCSI y los objetivos del cambiador medio sean populares también. Hasta ahora, los dispositivos físicos no han presentado interfaces de iSCSI natales a un nivel componente. En cambio, tienden un puente sobre dispositivos con SCSI Paralelo o interfaces del Canal de la Fibra usando iSCSI software objetivo, puentes externos o reguladores internos al recinto del dispositivo.

O bien, es posible a objetivos de la cinta y el disco virtualize. Más bien que representar un dispositivo físico actual, un dispositivo virtual emulado se presenta. La realización subyacente se puede desviar drásticamente del objetivo presentado como se hace con productos de la biblioteca de la cinta virtual (VTL). VTLs usan el almacenaje del disco para almacenar datos escritos a cintas virtuales. Como con dispositivos físicos actuales, los objetivos virtuales se presentan usando iSCSI software objetivo, puentes externos o reguladores internos al recinto del dispositivo.

En la industria de productos de seguridad, algunos fabricantes usan una INCURSIÓN de iSCSI como un objetivo, con el iniciador que es un codificador IP-enabled o cámara.

Convertidores y puentes

Sistemas múltiples existen lo que permite que Canal de la Fibra, SCSI y dispositivos SAS se aten a una red IP para el uso vía iSCSI. Pueden ser usados para permitir la migración de tecnologías de almacenaje más viejas, acceso a SANs de servidores remotos y la unión de SANs sobre redes IP. Una entrada iSCSI tiende un puente sobre servidores IP al Canal de la Fibra SANs. La conexión TCP se termina en la entrada, que se pone en práctica en un interruptor del Canal de la Fibra o como una aplicación independiente.

Véase también

RFCs

Enlaces externos



Buscar