复杂环境下的集成问题——将iSCSI引入FC/SAN
集成iSCSI 和FC SAN有五种常见的方法,各有优缺,适应环境也各不相同。
不久前,中小公司开始部署iSCSI,以前他们都采用直连式存储;大公司一直采用FC SAN,而且技术更加成熟。但是,iSCSI技术成本较低、简单明了,《财富》1000强公司中已经有越来越多的公司开始利用iSCSI SAN实施FC基础架构,用以保护数据,实现Tier-2存储。
集成iSCSI和FC也存在很大挑战。将iSCSI引入现有的FC SAN中,不仅会产生集成问题,还会导致一些存储架构变复杂,因为存储架构不仅需要了解IP和FC,还要有能力管理和调试多协议存储环境。试图这么做的存储架构师必须非常熟悉iSCSI的设计选项,因为这些设计会影响集成产品的性能、安全和可用性。
性能
iSCSI的一些新特性与IP协议的性质密切相关。FC协议适合于连接服务器和阵列的网络,基于IP协议的iSCSI可能会与非存储IP流量竞争。为了减少IP流量混乱带来的影响,数据中心的管理员应该通过专用iSCSI网络分离iSCSI流量和非存储流量,因为专用iSCSI网络与网络其他部分没有物理连接,或者采用访问控制清单、虚拟局域网(VLAN)等以太网隔离技术。华盛顿 Spokane公共学校的高级网络管理员Kevin Mount说:“为了避免内部LAN产生干涉,我们决定在Foundry公司生产的48端口以太网交换机中独立运行iSCSI网络。”
尽管物理隔离和虚拟隔离技术大大提高了安全和性能,存储管理员依然需要在网络交换机和适配器中利用以太网巨帧和流量控制等先进技术,缓减阻塞,优化吞吐量。当一条千兆链路的网络带宽不够用时,可以利用以太网链路聚集(trunking)或链路汇集,将多条链路连接成一条聚集链路;这样就不必部署价格昂贵的10Gb以太网基础设施,又能克服网络带宽的限制。
在主机方面,TCP卸载引擎(TOE)和iSCSI HBA可以有效节省CPU周期,尤其是对速度较慢但注重性能的应用程序服务器。SNIA IP存储论坛主席David Dale认为,尽管TCP和iSCSI的传输速率为1Gb/s,不足最先进服务器硬件速率的10%,而目前85%的iSCSI在部署过程中只采用 iSCSI Initiator软件,但是一旦10Gb iSCSI 得到普及,TOE和iSCSI HBA的作用就会越来越大。除了改善I/O性能,iSCSI HBA还会增加从SAN启动和加密等服务。
在多协议环境中,存储管理员需要注意以太网的特性,如以太网交换机和网络接口卡(NIC)之间的容错速度/方式会产生自适应问题,可能对 iSCSI网络的性能产生不利影响。Mount 说:“为了降低自适应问题发生的概率,我们对所有的交换机和服务器以太网端口设置不可更改的编码。”
安全
iSCSI和FC采用不同的方法保证存储访问的安全,这可能是多协议存储架构师必须解决的最大问题。FC利用FC交换机实行分区,通过全局名称排列LUN编号和主机标识,而iSCSI采用上述隔离iSCSI的物理和虚拟方法,通过IP地址、主机系统和存储设备的名称、内部/外部CHAP身份验证等方式限制访问,从而保证存储安全。
实行多种iSCSI身份验证方式似乎让人不知所从,其实规则很简单:对于基于IP实现隔离的iSCSI网络,主机系统和存储设备的名称就已经足够验证用户身份。在iSCSI与LAN之间存在物理连接的情况下,应该部署更加严密的CHAP身份验证方式,消除IP地址访问iSCSI LUN时带来的外部影响。当环境中拥有大量iSCSI设备时,可以采用Radius服务器实现集中验证,这样就不需要在iSCSI的存储设备中管理用户证书。
休斯顿贝勒医学院企业服务与信息系统主管Mike Layton采用了类似的策略,他利用主机系统和存储设备名称实现iSCSI授权,验证访问其FC SAN的少量服务器。他的基于日立数据系统(HDS)公司的FC SAN,在隔离的iSCSI LAN中采用NetApp FAS980c网关产品。
集成iSCSI和FC的最大好处在于:支持IP协议中的IPsec加密协议,IP流量出现故障时,都应该集成iSCSI和FC。但是,当服务器处于繁忙状态时,IPsec加密协议的开销非常大。在采用IPsec协议的环境中,服务器和网络带宽匮乏的计算机都应该凭借Cavium网络公司等公司提供的硬件加密技术,配备iSCSI HBA或NIC。从网络层面讲,Decru公司(现为NetApp)、NeoScale系统公司等公司都提供加密产品,设置在数据存取路径中,在FC和 iSCSI数据抵达网络附属存储阵列之前,就对其进行加密。
存储管理接口很容易受到安全漏洞的攻击,但是在存储设计过程中又通常遭到忽视。不设密码、所有存储设备只设一个密码或者从不更改密码,都会使设计良好的SAN面临危险。只有特定系统和密码策略非常有效的VLAN才能访问管理接口,在具有大量IP设备的环境中采用集中化的Radius身份验证服务器,这些措施可以降低未获认证的管理变化带来的风险。
可用性
可用性是包括iSCSI SAN在内的SAN最重要的性能需求,需要在服务器、网络和阵列等层面上进行部署。在网络层面上,可以成对部署交换机,采用生成树状动态路由等以太网故障转移技术,实现冗余。在服务器层面上,通过双连服务器和以太网交换机,实现高可用性。凭借微软公司2005年发布的iSCSI Initiator 2.0版,多路径IO(MPIO)使主机能够与iSCSI网络实现冗余连接。“我们的主机全都运行MPIO,而且与iSCSI SAN实现双连接。”麻省 Babson 学院和Wellesley学院开发体系结构主任Kuljit Dharni解释道:“主板上的NIC卡用于常规的LAN访问,以太网端口和英特尔PCI千兆网络适配
天兴 发表于: 2009-12-09
我要回答相关推荐
-
企业存储系统新旧大比拼
传统的外部存储系统主要有两种类型:网络连接存储(NAS)和存储区域网络(SAN)。而云计算和对象存储的兴起促成了软件定义存储的出现。
-
ScaleIO 软件定义平台推出节点设备
ScaleI将推出将软件定义存储与贴牌EMC的商用服务器以及Arista网络交换机结合的节点设备。
-
VSA,SDS,DAS:服务器附加存储的概念和产品
传统的DAS、NAS和SAN就像一个彩色转盘里的红、黄、蓝三种颜色。而软件定义存储(SDS),数据定义存储(DDS)和对象存储则是根据这三种基本色进行不同程度的混合。
-
服务器存储归来
随着近年来各种存储技术的出现,存储架构师在构建理想的存储方案时有了更多的选择。过去大家根据DAS、NAS和SAN的各自特点来规划企业存储系统,而今天,软件定义存储受到了更大的关注。
-
什么是对象存储?
当前,无论成熟厂商还是新兴厂商的对象存储解决方案都已达到相当成熟度,使得IT部门开始考虑如何在自己企业中实现对象存储。