Chinaunix首页 | 论坛 | 博客

用心良苦jeri.blog.chinaunix.net

首页 |  博文目录 |  关于我

jerichen

  • 博客访问: 965980
  • 博文数量: 86
  • 博客积分: 2283
  • 博客等级: 大尉
  • 技术积分: 861
  • 用 户 组: 普通用户
  • 注册时间: 2009-02-04 09:02
个人简介

没什么好说的。

文章分类

全部博文(86)

文章存档

2014年(1)

2013年(5)

2012年(7)

2011年(26)

2010年(20)

2009年(27)

我的朋友
最近访客
推荐博文
相关博文
linux iscsi-target的一些高级设置

分类: LINUX

2009-11-09 10:09:47

有关iSCSI的其它
iSCSI 在安全方面相关设定,iSCSI 在安全管理方面有着不错优势,可以使用”主机”和”使用者”来完成允许或拒绝存取的设定.

1.iSCSI Target 实战以 IP 为基础的允许或拒绝 Initiator 主机

iSCSI Enterprise Target 软体本身有内建类似 TCP Wrapper(/etc/hosts.allow、/etc/hosts.deny)的 /etc/initiators.allow、/etc/initiators.deny,接下来示范设定这两个档案来限制 Initiator 主机存取.

设定 /etc/initiators.allow、/etc/initiators.deny这二个文件就可以控制主机了.安装完会默认生成

底下列出例子为”只允许 172.16.7.120 这台 Initiator”并”拒绝全部”设定

/etc/initiators.allow 内容,最后一行允许 172.16.7.120(其他三行被#注解)

Some exmaples
iqn.2001-04.com.example:storage.disk1.sys1.xyz 192.168.22.2, 192.168.3.8
iqn.2001-04.com.example:storage.disk1.sys4.xyz [3ffe:302:11:1:211:43ff:fe31:5ae2], [3ffe:505:2:1::]/64
iqn.2001-04.com.example:storage.disk2.sys1.xyz 172.16.7.120
/etc/initiators.deny 内容,最后一行拒绝全部(其他四行被#注解)

Some exmaples
iqn.2001-04.com.example:storage.disk1.sys1.xyz ALL
iqn.2001-04.com.example:storage.disk1.sys2.xyz 192.168.12.2, 192.168.3.0/24, 192.167.1.16/28
iqn.2001-04.com.example:storage.disk1.sys4.xyz [3ffe:302:11:1:211:43ff:fe31:5ae2], [3ffe:505:2:1::]/64
iqn.2001-04.com.example:storage.disk2.sys1.xyz ALL
注意到 iqn 需与 /etc/ietd.conf 内的 iqn 相同.

2.iSCSI Target 使用者帐号密码为基础的允许或拒绝 Initiator 主机

iSCSI Target 使用帐号密码方式认证分成两阶段:

第一阶段是 Discovery 时认证所使用的帐号密码(SendTargets 用的).

第二阶段是登入各别 Target/iqn/Lun 时所使用的帐号密码(Login 用的).
一个 iSCSI Enterprise Target 能够在 /etc/ietd.conf 设定多个 Target 区段,分享多个 iqn/Lun 并且可以为每个 Target/iqn/Lun 设定存取的帐号密码.

由下图的上半个视窗可以看到在 Target 主机于 /etc/ietd.conf 设定两个 Target/iqn/Lun,而下半个视窗可看到 Initiator 主机使用 iscsiadm 指令发现两个 Target.

/etc/ietd.conf Initiator 主机设定

Discovery 时使用的帐号密码
(SendTargets 用的) IncomingUser joe 12charsecret
(独立于 Target 区段外) discovery.sendtargets.auth.username = joe
discovery.sendtargets.auth.password = 12charsecret
连接 Target/iqn/Lun 时使用的帐号密码
(Login 用的) IncomingUser joe2 12charsecret
(置于 Target 区段内) node.session.auth.username = joe2
node.session.auth.password = 12charsecret
Note:joe、secret、joe2 与 secret2 都是测试用的帐号密码.
只 要有改到 /etc/ietd.conf、/etc/iscsid.conf 别忘了各别需要使用 InitScripts(/etc/init.d/iscsi-target、/etc/init.d/iscsi)重新启动相关 Daemon(ietd、iscsid).

SAN 架构与其相关技术应用非常广,比如我们可以配合集群(Cluster)与丛集群案系统(Cluster File System)的高级应用,像是 RedHat GFS 或是 Oracle OCFS2 档案系统,提供分享(Shared)Block Level I/O 给多台主机.

注意:若未使用及设定 Cluster File System 但却使用两个 Initiator 同时存取同一个 Target Device 会导致资料毁损,请小心!

安装windows客户端


下载,安装后即可连接linux上的 target,格式化盘操作.
阅读(5344) | 评论(1) | 转发(0) |
0

上一篇:Linux内核中的DeviceMapper机制

下一篇:BIND配置文件详解

给主人留下些什么吧!~~

chinaunix网友2010-06-28 16:57:49

能请教一个问题吗 我现在想要设置一个超级IP,只有这个超级IP用户对ISCSI服务器有读写权限.而其它普通IP用户只有读取权限没有写入权限. 还有就是普通IP用户的回写怎么在服务器上设置呢. 你能帮助一下我解决这个问题吗,谢谢 联系QQ:87470038.邮箱:87470038@qq.com

回复 | 举报
关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6