iSCSI网络系统的可用性还是十分乐观

iSCSI网络系统在使用中具有相当分量的。在长期的使用中还是有不能够使用iSCSI网络系统的情况。下面就要来看下iSCSI的可用性，只有这样才能更好的使用。
iSCSI网络系统和FC采用不同的方法保证存储访问的安全，这可能是多协议存储架构师必须解决的最大问题。FC利用FC交换机实行分区，通过全局名称排列LUN编号和主机标识，而iSCSI网络系统采用上述隔离iSCSI的物理和虚拟方法，通过IP地址、主机系统和存储设备的名称、内部/外部CHAP身份验证等方式限制访问，从而保证存储安全。
实行多种iSCS网络系统I身份验证方式似乎让人不知所从，其实规则很简单：对于基于IP实现隔离的iSCSI网络系统，主机系统和存储设备的名称就已经足够验证用户身份。在iSCSI与LAN之间存在物理连接的情况下，应该部署更加严密的CHAP身份验证方式，消除IP地址访问iSCSI LUN时带来的外部影响。当环境中拥有大量iSCSI设备时，可以采用Radius服务器实现集中验证，这样就不需要在iSCSI的存储设备中管理用户证书。
休斯顿贝勒医学院企业服务与信息系统主管Mike Layton采用了类似的策略，他利用主机系统和存储设备名称实现iSCSI网络系统授权，验证访问其FC SAN的少量服务器。他的基于日立数据系统（HDS）公司的FC SAN，在隔离的iSCSI LAN中采用NetApp FAS980c网关产品。
集成iSCSI网络系统和FC的最大好处在于：支持IP协议中的IPsec加密协议，IP流量出现故障时，都应该集成iSCSI网络系统和FC。但是，当服务器处于繁忙状态时，IPsec加密协议的开销非常大。在采用IPsec协议的环境中，服务器和网络带宽匮乏的计算机都应该凭借Cavium网络公司等公司提供的硬件加密技术，配备iSCSI HBA或NIC。从网络层面讲，Decru公司（现为NetApp）、NeoScale系统公司等公司都提供加密产品，设置在数据存取路径中，在FC和iSCSI数据抵达网络附属存储阵列之前，就对其进行加密。
存储管理接口很容易受到安全漏洞的攻击，但是在存储设计过程中又通常遭到忽视。不设密码、所有存储设备只设一个密码或者从不更改密码，都会使设计良好的SAN面临危险。只有特定系统和密码策略非常有效的VLAN才能访问管理接口，在具有大量IP设备的环境中采用集中化的Radius身份验证服务器，这些措施可以降低未获认证的管理变化带来的风险。
iSCSI网络系统可用性
可用性是包括iSCSI SAN在内的SAN最重要的性能需求，需要在服务器、网络和阵列等层面上进行部署。在网络层面上，可以成对部署交换机，采用生成树状动态路由等以太网故障转移技术，实现冗余。在服务器层面上，通过双连服务器和以太网交换机，实现高可用性。凭借微软公司2005年发布的iSCSI Initiator 2.0版，多路径IO（MPIO）使主机能够与iSCSI网络系统实现冗余连接。“我们的主机全都运行MPIO，而且与iSCSI SAN实现双连接。”麻省 Babson 学院和Wellesley学院开发体系结构主任Kuljit Dharni解释道：“主板上的NIC卡用于常规的LAN访问，以太网端口和英特尔PCI千兆网络适配器与iSCSI SAN相连。”
iSCSI网络系统存储设备的冗余选项根据供应商和产品种类而定。iSCSI网关产品、智能存储交换机和基于服务器的iSCSI网络系统存储设备，都可以在群集配置中见到，所谓群集配置是指两套设备以双机互备援（active-active）模式或双机热备份（active-passive）模式运行。一些中端存储阵列产品支持iSCSI网络系统，如EMC公司的Clariion CX3-20和CX3-40产品，可以通过双控制器架构提供冗余。高端阵列——如EMC 公司的Symmetrix DMX系列产品——需要底盘，只是简单地添加多个iSCSI刃片就能实现冗余。

碧云天  发表于: 2010-01-12