有关iSCSI的其它
iSCSI 在安全方面相关设定,iSCSI 在安全管理方面有着不错优势,可以使用”主机”和”使用者”来完成允许或拒绝存取的设定.
1.iSCSI Target 实战以 IP 为基础的允许或拒绝 Initiator 主机
iSCSI
Enterprise Target 软体本身有内建类似 TCP
Wrapper(/etc/hosts.allow、/etc/hosts.deny)的
/etc/initiators.allow、/etc/initiators.deny,接下来示范设定这两个档案来限制 Initiator
主机存取.
设定 /etc/initiators.allow、/etc/initiators.deny这二个文件就可以控制主机了.安装完会默认生成
底下列出例子为”只允许 172.16.7.120 这台 Initiator”并”拒绝全部”设定
/etc/initiators.allow 内容,最后一行允许 172.16.7.120(其他三行被#注解)
Some exmaples
iqn.2001-04.com.example:storage.disk1.sys1.xyz 192.168.22.2, 192.168.3.8
iqn.2001-04.com.example:storage.disk1.sys4.xyz [3ffe:302:11:1:211:43ff:fe31:5ae2], [3ffe:505:2:1::]/64
iqn.2001-04.com.example:storage.disk2.sys1.xyz 172.16.7.120
/etc/initiators.deny 内容,最后一行拒绝全部(其他四行被#注解)
Some exmaples
iqn.2001-04.com.example:storage.disk1.sys1.xyz ALL
iqn.2001-04.com.example:storage.disk1.sys2.xyz 192.168.12.2, 192.168.3.0/24, 192.167.1.16/28
iqn.2001-04.com.example:storage.disk1.sys4.xyz [3ffe:302:11:1:211:43ff:fe31:5ae2], [3ffe:505:2:1::]/64
iqn.2001-04.com.example:storage.disk2.sys1.xyz ALL
注意到 iqn 需与 /etc/ietd.conf 内的 iqn 相同.
2.iSCSI Target 使用者帐号密码为基础的允许或拒绝 Initiator 主机
iSCSI Target 使用帐号密码方式认证分成两阶段:
第一阶段是 Discovery 时认证所使用的帐号密码(SendTargets 用的).
第二阶段是登入各别 Target/iqn/Lun 时所使用的帐号密码(Login 用的).
一个 iSCSI Enterprise Target 能够在 /etc/ietd.conf 设定多个 Target 区段,分享多个 iqn/Lun 并且可以为每个 Target/iqn/Lun 设定存取的帐号密码.
由下图的上半个视窗可以看到在 Target 主机于 /etc/ietd.conf 设定两个 Target/iqn/Lun,而下半个视窗可看到 Initiator 主机使用 iscsiadm 指令发现两个 Target.
/etc/ietd.conf Initiator 主机设定
Discovery 时使用的帐号密码
(SendTargets 用的) IncomingUser joe 12charsecret
(独立于 Target 区段外) discovery.sendtargets.auth.username = joe
discovery.sendtargets.auth.password = 12charsecret
连接 Target/iqn/Lun 时使用的帐号密码
(Login 用的) IncomingUser joe2 12charsecret
(置于 Target 区段内) node.session.auth.username = joe2
node.session.auth.password = 12charsecret
Note:joe、secret、joe2 与 secret2 都是测试用的帐号密码.
只
要有改到 /etc/ietd.conf、/etc/iscsid.conf 别忘了各别需要使用
InitScripts(/etc/init.d/iscsi-target、/etc/init.d/iscsi)重新启动相关
Daemon(ietd、iscsid).
SAN
架构与其相关技术应用非常广,比如我们可以配合集群(Cluster)与丛集群案系统(Cluster File System)的高级应用,像是
RedHat GFS 或是 Oracle OCFS2 档案系统,提供分享(Shared)Block Level I/O 给多台主机.
注意:若未使用及设定 Cluster File System 但却使用两个 Initiator 同时存取同一个 Target Device 会导致资料毁损,请小心!
安装windows客户端
下载,安装后即可连接linux上的 target,格式化盘操作.
阅读(5344) | 评论(1) | 转发(0) |