前言 技术发展及未来展望
企业存储技术发展日新月异,早期大型服务器的 DAS 技术(Direct Attached Storage, 直接附加存储,又称直连存储),后来为了提高存储空间的利用及管理安装上的效率,因而 有了 (Storage Area Network,存储局域网络)技术的诞生, 可说是 DAS 网络化发 展趋势下的产物。早先的 采用的是光纤通道(FC,Fiber Channel)技术,所以在 出现以前, 多半单指 FC 而言。一直到 问世,为了方便区别,业界才分别以 FC- 及 - 的称呼加以分辨。
紧接着,为了能在多用户网络环境中,做好档案集中化分享管理的工作,采用全然不同 于以往的文件协议(File Protocol)数据存取方式的 NAS(Network Attached Storage;网络附 加存储)方案也应运而生。它的出现,为以太网络的成熟及重要,做了最佳脚注。
日益发展及成熟的因特网,更进一步成为了 IP 存储方案成长壮大的最佳腹地及平台, 现成的架构、协议、标准、基础设施及管理工具,莫不吸引着寻求最佳存储方案者的目光。 此背景,加上 FC- 高不可攀的成本及管理门坎的障碍,另一存储成员 (Internet SCSI)也来报到了。 的出现,标志着低价化 方案的问世。
从 IP 到
所谓 亦即通过 IP 网络,将 SCSI 区块数据转换成网络封包的一种传输标准,它和 NAS 一样通过 IP 网络来传输数据,但在数据存取方式上,则采用与 NAS 不同的,而与 FC- 相同的 Block Protocol 协议。 最早是由 IBM 和 Cisco 于 2001 年制定的。 事实上,为了解决 FC- 在价格及管理上的诸多门坎,各家早有不同协议的 IP 的研究开发。这些 IP 的架构,其实与 大同小异,只不过并非走标准化的协议(事 实上,在 标准化之前,也没有什么标准不标准的问题),而是各家自行研发的协议,
所以基本上各家 IP 是不兼容的。 两大推波助澜的关键促因
在 尚未标准化之前,只有少数厂商投入 IP 的开发,因为每一家厂商皆开发 专属封闭协议的解决方案,所以这些方案之间无法完全兼容。在当时的市场上,由于发展 的厂商很少,所以支持的平台及软硬件等基础设施相当贫乏,这可说是 发展之 初的最大阻碍及瓶颈。
但接下来的两大事件,却被视为促进 发展与成熟的关键因素,那就是 标准 的正式通过,以及微软的正式支持。
SNIA(存储网络产业协会;The Storage Networking Industry Associate)于 2003 年 2 月 正式制定通过了 标准。业界莫将此标准化视为 发展历程中的最关键因素,自此 开始,有愈来愈多的厂商开始进一步开发合乎业界标准的相关产品。
在 的发展过程中,除了正式标准化具有重大意义外,微软紧接着在 2003 年 5 月 宣布在 WinServer 2003 中,正式支持 技术,并提供 驱动程序的下载。 微软这项作法,带动了整个 业界的发展。
之所以被看好,首先它根植于 IP 网络上,所以可以采用现有已经非常成熟的管理 工具及基础建设,可为企业节省大笔建设、管理的成本。更重要的是,IP 的人才资源非常 充沛。此外, 在数据传输距离上,几乎没有限制的优点,更吸引无数企业的目光。
10G 以太网会是 iSCSI 技术成长的基石
对于 的未来发展,诸多厂商都认为 与 NAS 的整合会是一大趋势。此外随着
10G Ethernet 的到来, 的理论带宽将会攀升到 10Gb 的极速,那么即使未来 FC 提升到
4Gb,速度上也仍然不是 的对手。
第一章 技术背景介绍
2003 年 2 月 11 日,IETF(Internet Engineering Task Force,互联网工程任务组)通过了 (Internet SCSI)标准,这项由 IBM、Cisco 共同发起的技术标准,经过三年 20 个版本 的不断完善,终于得到了 IETF 认可。这吸引了很多的厂商参与到相关产品的开发中来,也 推动了更多的用户采用 的解决方案。作为早已被广泛传播的网络存储技术,很多读者 都对这项技术耳熟能详。而 技术最重要的贡献在于其对传统技术的继承和发展上:其 一,SCSI(Small Computer Systems Interface,小型计算机系统接口)技术是被磁盘、磁带 等设备广泛采用的存储标准,从 1986 年诞生起到现在仍然保持着良好的发展势头;其二, 沿用 TCP/IP 协议,TCP/IP 在网络方面是最通用、最成熟的协议,且 IP 网络的基础建设非 常完善。这两点为 的无限扩展提供了夯实的基础。
协议定义了在 TCP/IP 网络发送、接收 block(数据块)级的存储数据的规则和方 法。发送端将 SCSI 命令和数据封装到 TCP/IP 包中再通过网络转发,接收端收到 TCP/IP 包 之后,将其还原为 SCSI 命令和数据并执行,完成之后将返回的 SCSI 命令和数据再封装到 TCP/IP 包中再传送回发送端。而整个过程在用户看来,使用远端的存储设备就象访问本地 的 SCSI 设备一样简单。支持 技术的服务器和存储设备能够直接连接到现有的 IP 交换 机和路由器上,因此 技术具有易于安装、成本低廉、不受地理限制、良好的互操作性、 管理方便等优势。早在 2001 年上半年,IBM 就推出了 IP Storage 200i,是市场上公认的第 一款基于 协议的产品,这款产品的出现,对于身处信息爆炸时代却无法承担光纤通道 环境高成本的中小型用户来说,具有巨大的吸引力;2001 年 10 月,Cisco 也推出了 SN5420 存储路由器,基于 IP 标准和 (Storage Area Network,存储区域网络)标准, 可以提供与现有 LAN(Local Area Network,局域网)、WAN(Wide Area Network,广域网)、 光纤和 设备之间的互操作,率先建立了 IP 网络与 之间的桥梁。现在,有更多的 厂商参与到 产品的开发中,如 Intel 已经推出了存储网卡 IP Storage PRO/1000 T, 将协议转化也就是封装、还原 TCP/IP 包的步骤转移到网卡上来执行,大大降低了服务器处 理器的占用率。同时,还有芯片、板卡制造商加入到 产品的开发中,如 Adaptec、Qlogic 等等。
第二章 技术的应用
在 IP 和 FC 领域的应用
很多用户对 的技术和优势比较了解,但是如何将 技术应用到实际中来,大 多数还不是很清楚,因此本白皮书将在下面的文章中着重阐述 技术的应用,希望能够 促进读者对 的理解,并能够帮助用户在面对 IP 与 FC(Fibre Channel,光纤通道) 的选择时,更多一份把握。
在这里,我们先介绍一个概念,即 IP Storage(IP 存储)。在 技术不断完善的过 程中,这个概念也早已被推向市场。简单的说,IP 存储就是基于 IP 网络来实现数据块级存 储的方式。由于 技术的固有优势,IP 存储更是让很多用户翘首以待,希望能够出现 一种大而统的方式,真正将存储规范化。
A 基于 技术的 IP 应用:
图一 基于 技术的 IP
图一为比较简单的 IP 结构图。例子中使用千兆以太网交换机搭建网络环境,由 如文件服务器、 target 如磁盘阵列及磁带库组成。在这里引入两个概念: 和 target。 即典型的主机系统,发出读、写数据请求;target 即磁盘 阵列之类的存储资源,响应客户端的请求。这两个概念也就是上文提到的发送端及接受端。 图中使用 (Host Bus Adapter,主机总线适配卡)连接服务器和交换机, 包括网卡的功能,还需要支持 OSI 网络协议堆栈以实现协议转换的功能。在 IP 中还可 以将基于 技术的磁带库直接连接到交换机上,通过存储管理软件实现简单、快速的数 据备份。
由图一可以看出,基于 技术,利用现有的 IP 网络搭建 IP 是极其简单的,且 无须对管理人员进行深入培训即可掌握存储网络的管理。基于 1Gb 的 IP 网络搭建 IP , 单通道数据传输速率可以达到 160MB/s 左右,因此 技术为用户提供了更高的性价比。
B 基于 路由器整合 FC 和 IP 应用:
如图二,为基于 路由器整合光纤通道网络和 IP 网络的结构图,将光纤通道存储网 络和 网络整合,提供现有局域网(LAN)、广域网(WAN)、FC 设备之间的互操作 性,特点如下:
通过 、光纤两种方式都可以访问 IP 网络中通用的存储设备; 通过 IP 网络访问 FC 中的存储设备; 改善存储资源的可管理性及可用性;
这种简单的配置可以在保证成本的前提下,满足用户的高可用性及高性能需求。在服务 器、存储端,都可以通过高可用集群的方式实现高可用性,同时可以体现出光纤通道在处理 关键数据时的高性能。在数据安全性方面,此类路由器如 CISCO 的 SN 542X 系列,提供在光 纤通道交换机中普遍使用的逻辑单元号(LUN)映射功能,可以控制对特殊 LUN 的 target 的访问,因此,可以定位 target 中的重要数据,保证具有特殊权限的用户访问。如果用户 对扩展性及高可用性有需要,存储路由器还可以通过堆叠的方式连接几台路由器,以满足用 户要求。
图二 基于 路由器整合 IP 及 FC
iSCSI 技术在 IP 远程备份中的应用
如图三所示,基于 技术实现 IP ,同时通过 IP 广域网络实现远程备份。由于 传统光纤通道 的操作距离在 10-20km 之间,因此要实现真正的远程备份、异地容灾还是 具备一定的地理局限性。在这个例子中使用通用的 IP 网络合并、扩展 ,具备极高的性 价比配置,可以实现远程备份、数据容灾和镜像等功能,同时还可以对远程存储进行实时操 作并能够通过 IP 网络访问其他 IP 存储。
图三 基于 的 IP 的远程备份 此配置的特点为:
IP 通过 IP 广域网实现与远程存储设备的连接;
服务器(initiators)和存储(targets)通过高性能 连接到 IP 网络;
IP 交换机互联 系统;
图四 整合 IP、FC 的远程备份
如图四所示,通过 IP 存储交换机互联光纤、 设备,构建完全整合的高性能存储网
络。相比于图三中的配置,此类 配置的整合度更高。设备中使用光纤或 连接 到交换机,存储交换机通过堆叠的方式以连接更多的设备。通过 IP 广域网, 能够访问 远程数据中心中所有的服务器和存储设备,这就实现了远程备份及灾难恢复。此类 的典 型特征如下:
基于 IP 网 ,IP络 存储交换机堆叠构建 组织的核心;
服务器和存储设备可以使用 或光纤,具有极高的可扩展性;
可以使用现有的光纤存储设备,以保护用户的前期投资;
基于 IP 网络,提供各种途径下的无缝整合,如果需要,可以转化成如图三中完全基于的
的 IP 存储网络;
在这两个例子中,用户可能会关心到 QoS(Quality of Service,服务质量)甚至安全 方面的问题,通过公用网络传输极其重要的数据资源可能会出现问题。这个问题也是客观存 在的, 协议中通过多种安全方式将这方面的隐患减到最低。第一,TCP/IP 网络连接本 身提供的高级服务及安全特性可以直接应用到 事物处理过程中,就 QoS 来说,IP 网 络提供了广泛的解决方案如事物处理优先级、DiffServ(服务区分)、MPLS(Multi-Protocol Label Switching,多协议分类转换)、RSVP(Resource Reservation Protocol,资源预约 协议)等,就安全性而言,IP 协议提供 ACLs(Access Control Lists)、VLANs(Virtual LANs)、 IPSec 及高级数据编码规则等方案。第二, 协议本身也提供了 QoS 及安全特性,首先 就是登录操作顺序,可以限制 仅向 target 列表中的目标发登录请求,再由 target 确认并返回响应,之后才允许通信;其次就是通过 IPSec 将数据包加密之后传输,包括数据 完整性、确定性及机密性检测等。第三,也是极为特殊的方式,即用户可以使用专有的网络 以保证与其他事物处理分开,通过物理方式将数据传输完全隔离于公用网络之外,且可以保 证不会引起网络阻塞导致性能瓶颈。
技术的综合应用
如图五所示,主要数据中心通过 IP 存储交换机将独立的 存储网络、光纤存储网络、 NAS 设备和 IP 网络系统都整合到通用的 IP 网络平台中的大型应用,成为高度集成的 IP 数 据 。IP 存储交换机可以使用冗余或堆叠方式,通过 IP 网络提供 和 FC 的高可用性及高扩展性的互联。IP 存储交换机同时提供主要数据中心对 IP 广域网络中其他 的远程存储的实时访问,如将数据远程镜像到如图所示的远程数据中心中以达到备份数据的 目的。
图五 主要数据中心、部门级 应用及远程数据中心 主要数据中心的典型特征如下:
数据中心可以使用 FC 、 、NAS、服务器和 DAS 等各种存储方式作为存 储资源;
IP 存储交换机成为 、光纤通道、IP 服务器、NAS 设备互相连接的枢纽,实现了高 端的存储整合,扩展了通用 IP 网络技术的应用。
NAS 设备直接连接到 IP 存储交换机,为存储设备的扩展提供多种选择; 如图五所示,有两个部门级 应用,实际上可以基于 IP 网络扩展更多的部门级应用。
而此类 首要就是具备灵活的架构,能够满足部门级的应用即可。将日常工作产生的数 据通过 IP 广域网备份到远程数据中心,最终实现与主要数据中心、远程数据中心和 IP 系统 的整合。
部门级 的典型特征如下:
IP 通过 IP 广域网实现与主要数据中心的连接,并通过 IP 存储交换机、路由器访问 数据中心的 IP、光纤通道和 存储资源;
服务器(initiators)和存储(targets)通过 连接到 IP 网络;
IP 交换机互联 系统;
这个例子可以应用到数据块级存储要求的存储池构建、 和光纤通道等系统的备份, IP 扩展、镜像,最重要的应用就是提供了存储的数据容灾功能,且可以将不同配置的 应用实现统一的多级备份。
图五的例子即存储的企业级应用,多数用户的应用环境都包含或类似于其中的环境,从 概念上达到了存储相对统一的目的。
技术的应用,将本身协议完全不同的 IP 和 FC 加以整合,促进了存储资
源利用率的增长,并具有创新意义。随着 技术的完善,数据块级的存储应用将变得更 为普遍,存储资源的通用性、数据共享能力都将大大增强,并且更加易于管理。随着万兆以 太网络的成熟,IP 存储必然会以其性价比、通用性、无地理限制等优势飞速发展, 技术将联合 SCSI、TCP/IP,共同开创网络存储的新局面!
虽然目前 技术只是在存储设备的主机连接方面进入了应用阶段,但是这一应用已 经为存储系统的架构及工作模式带来了许多新的变化。 技术在未来将来把传统的 NAS 架构和 架构完全融和。我们可以把 技术看作这样一个结构:具有 NAS 一样的前端 管理部分,同时象 一样提供裸设备给主机使用。这样的结构使 技术比 NAS 技术具 有更广泛的适用范围,比 具有更丰富的管理功能。千万不要小看 的前端管理部分 的作用。由于这样的一个功能部分, 技术比传统的 NAS 或者 技术都更具有吸收其 他先进技术的能力。对虚拟存储技术的迅速吸收和整合就很好的说明了这一点。
目前很多 产品的供应商,都在其产品中集成了或多或少的虚拟存储技术,这其中 尤以 磁盘阵列厂商和 交换设备厂商为代表。例如,可以提供“不同容量磁盘混 用”和“跨阵列划分 LUN”等几种典型的虚拟存储功能。其实现机制也并不复杂,就是将提 供该项功能的软件写入 阵列的管理部分。
第三章 产品的组成
产品从功能上可以分为三个类别:起始端产品、连接件产品和目标端产品。 起始端产品就是指主机中的总线适配器和协议转换软件,这些产品的作用就是提供主机 端的 连接功能。一般情况下, 技术可以通过安装协议转换软件,在主机端实现。 即在主机上安装普通的以太网络适配器,并安装驱动程序,然后再安装协议转换软件,这样 这片普通的以太网络适配器就可以支持 协议了。目前比较流行的此类协议转换软件主 要来自 IBM 公司和 Cisco 公司。当然,纯软件的 协议转换效率比较低,而且占用了 主机的 CPU 资源。所以在一些性能要求比较高的环境中,可以选择带有 协处理功能 的专用 适配器。几乎所有的传统 FC 适配器厂商,都可以提供这种类型的 适配 器。此外,一些传统以太网络适配器的厂商也在进入这个产品领域,Intel 公司就已经推出
了自己的 IP 存储专用适配器,其性能与 FC 适配器厂商的产品已经不相上下了。 连接件产品就是指连接主机到存储设备的设备。这类产品又分做两种:提供 到 连接的设备,以及提供 到 SCSI 或者 FC 的连接设备。目前 到 的连 接设备相对较少,这是因为,毕竟 技术刚刚正式问世,其产品的覆盖范围有限,而且 就基本技术原理而言, 到 的连接,在通常情况下都可以通过普通的以太网络交 换机实现。真正需要专业化的 到 连接设备的,恐怕只有性能和安全性要求非常
高的超大型数据中心了。
到 SCSI 或 FC 的连接设备其意义则完全不同,这种设备提供了新老技术的互通。 一个已经购买了 SCSI 或 FC 存储设备的用户,如果希望能够搭建基于 的 IP-,而 又不浪费现有设备,那么 到 SCSI 或 FC 的连接设备就是其最好的选择。需要留意的 是,连接类产品正处在更新换代的过程中,其更新的内容主要是内嵌的虚拟存储功能。所以 用户在选择这类产品的时候,应该适当注意其中的虚拟存储功能的强弱。
目标端产品是指磁盘阵列、磁带库等存储数据的设备,这部分是存储系统中的核心所在, 通常也是整个存储系统的投资重点。
存储技术的进步并不仅仅只体现在一个 概念上,传统 ATA 技术的发展产生了 SATA,传统 SCSI 技术的发展产生了 SAS,存储管理技术的发展产生了虚拟存储和内容存 储技术。即便是 IP 存储领域本身,也还包括 FCIP、iFCP 和 iSNS 等几个方向, 技术 只是其中较早成熟的一个罢了。 最大的特点就是在于其对成熟的以太网络的借用,这 种借用体现在实施成本和管理维护的难度方面。
第四章 技术及其安全性
技术是一种基于 IP Storage 理论的新型存储技术,该技术是将存储行业广泛应 用的 SCSI(small computer system interface)接口技术与 IP 网络技术结合,使得我们 可以在 IP 网络上构建 存储区域网。推动 协议发展最主要的动力是–希望能够在 IP 网络上使用业已部署的大量 DAS 存储设备。通过 协议,这些存储设备可以为更多 的用户和应用使用,同时可以让这些简单 DAS 存储设备支持只有高级存储设备才能够支持的 备份、镜像、灾难恢复等高级存储应用。其次是为了让尽可能多的用户和应用利用已有的 FC 光纤通道 存储区域网, 协议还可以通过基于 IP 的网络传输对光纤通道 存 储区域网进行访问。
经过 SNIA 多家厂商的测试和实践,证明 可以非常迅速地建立起 IP 存储区域 网环境,用户可以即刻享受到即插即用式地 的好处。目前, 的标准已经在 IETF 通过,Microsoft 也已发布支持 的 的驱动程序。同时在 Windows Storage Server 2003 中内置支持 ,包括 和 target。
在可预期的未来, 必然成为光纤通道 FC 的主要竞争对手,成为 存储区域网的 主要应用技术。同时由于 内置的支持路由,可以让 访问 Internet 上任何一台存储设备,使得存储共享的概念无限扩大,存储连接的距离无限扩展。这一技术 对于一边要面对信息高速增长,另一边却身处”数据孤岛”的众多企业无疑具有巨大的吸引 力。
1、 标准
2003 年 2 月 11 日,IETF(Internet Engineering Task Force,互联网工程任务组) 通过了 (Internet SCSI)标准,这项由 IBM、思科共同发起的技术标准,经过三年
20 个版本的不断完善,终于得到 IETF 的认可。 技术的重要贡献在于其对传统技术的 继承和发展:其一,与 SCSI(Small Computer System Interface,小型计算机系统接口) 技术的接轨;其二,沿用 TCP/IP 协议。这两点为 的无限扩展提供了坚实的基础。
1.1 的概念
(互联网小型计算机系统接口)是一种在 Internet 协议网络上,特别是以太网上 进行数据块传输的标准。它是由 Cisco 和 IBM 两家发起的,并且得到了 IP 存储技术拥护者 的大力支持。是一个供硬件设备使用的可以在 IP 协议上层运行的 SCSI 指令集。简单地说, 可以实现在 IP 网络上运行 SCSI 协议,使其能够在诸如高速千兆以太网上进行路由选 择。
SCSI(小型计算机系统接口)是以一种广泛使用的连接硬盘和计算机的技术标准, 这种技术则是将该技术应用到网络连接上,对于企业的存储网络而言, 技术的性价比 要高于基于光纤的产品。 是基于 IP 协议的技术标准,是允许网络在 TCP/IP 协议上传 输 SCSI 命令的新协议,实现了 SCSI 和 TCP/IP 协议的连接,该技术允许用户通过 TCP/IP 网络来构建存储区域网()。而在 技术出现之前,构建存储区域网的唯一技术是 利用光纤通道(Fiber Channel),但是其架构需要高昂的建设成本,远非一般企业所能够
承受。 技术的出现对于以局域网为网络环境的用户来说,它只需要不多的投资,就可 以方便、快捷地对信息和数据进行交互式传输和管理。相对于以往的网络接入存储, 的出现解决了开放性、容量、传输速度、兼容性、安全性等问题,其优越的性能使其自发布 之日始便受到市场的关注与青睐。
1.2 的工作流程
协议就是一个在网络上封包和解包的过程,在网络的一端,数据包被封装成包括 TCP/IP 头、 识别包和 SCSI 数据三部分内容,传输到网络另一端时,这三部分内容分 别被顺序地解开。 的工作流程如图一所示:
系统由一块 SCSI 卡发出一个 SCSI 命令,命令被封装到第四层的信息包中并发送。 接收方从信息包中抽取 SCSI 命令并执行,然后把返回的 SCSI 命令和数据封装到 IP 信息包 中,并将它们发回到发送方。系统抽取数据或命令,并把它们传回 SCSI 子系统。所有这一 切的完成都无需用户干预,而且对终端用户是完全透明的。
为了保证安全, 有自己的上网登录操作顺序。在它们首次运行的时候,启动器
()设备将登录到目标设备中。任何一个接收到没有执行登录过程的启动器的 PDU( Protocol Data Units, 协议数据单元)目标设备都将生成一个协 议错误,而且目标设备也会关闭连接。在关闭会话之前,目标设备可能发送回一个被驳回的 PDU。这种安全性是基本的,因为它只保护了通信的启动,却没有在每个信息包的基 础上提供安全性。还有其他的安全方法,包括利用 IPsec。在控制和数据两种信息包中,IPsec 可以提供整体性,实施再次(replay)保护和确认证明,它也为各个信息包提供加密。
2、iSCSI 的发展阶段
IP 存储解决方案及其技术的应用经历了三个发展阶段:
- 阶段一: 扩展器
- 阶段二:有限区域 IP 存储
- 阶段三:IP
阶段一: 扩展器。随着 技术在全球的开发,越来越需要长距离的 连接技术。 IP 存储技术定位于将多种设备紧密连接,就像一个大企业多个站点间的数据共享,以及远 程数据镜像。这种技术是利用 FC 到 IP 的桥接或路由器,将两个远程的 通过 IP 架构互 联。虽然 设备可以实现以上技术,但 FCIP 和 iFCP 对于此类应用更为适合,因为它们 采用的是光纤通道协议(FCP)。
阶段二:有限区域 IP 存储。 在第二个阶段的 IP 存储的开发主要集中在小型的低成本 的产品,目前还没有真正意义的全球 环境,随之而来的技术是有限区域的、基于 IP 的 连接技术。类似于可安装到 NAS 设备中的 卡,这种技术和需求可使 TOE 设备弥补 NAS 技术的解决方案。在这种配置中,一个单一的多功能设备可提供对块级或文件级数据的 访问,这种结合了块级和文件级 NAS 设备可使以前的直接连接的存储环境轻松地传输到网络 存储环境。
第二个阶段也会引入一些工作组级的、基于 IP 的 小型商业系统的解决方案,使得 那些小型企业也可以享受到网络存储的益处。 协议是最适合这种环境的应用的,但基 于 的 技术是不会取代 FC 的,同时它可以使用户即享受网络存储带来的益处, 也不会开销太大。
阶段三:IP 。完全的端到端的、基于 IP 的全球 存储将会随之出现,而 协议则是最为适合的。基于 的 IP 将由 构成,它可释放出大量的 TCP 负载,保证本地 存储设备在 IP 架构上可自由通讯。一些 IP 的先进功能,如带宽集合、 质量服务保证等都可能应用到 环境中。
3、 的安全性
正是由于其采用广泛应用的 IP 网络和 Internet 网络为数据传输的通道,与传统的采用 光纤通道 FC 相比, 的安全性就凸现出来。因为传统的 FC 在实际应用中,底 层采用光纤通道 FC 的传输技术,上层采用 Fibre Channel Protocol(FCP)传输 SCSI 协议, 与广泛应用的 IP 网络不兼容,往往会形成一个与通信网络隔离开来的独立存储网络,其安 全性容易得到保障。而 采用 IP 网络技术作为底层传输技术,完全可以在现有的通信 网络中,甚至 Internet 上传输 SCSI 协议,这使得 不得不面临 IP 网络常见的安全性 问题。
要了解 的安全问题,首先让我们看看 是如何工作的:
是如何工作的呢?如前所述, 定义了 TCP/IP 网络上传输块存储应用的规则 和过程。在物理层, 支持以太网卡(100、1000M),这样支持 的系统可以通过 以太网卡直接接入以太网交换机或路由器。 协议介于物理和数据链路层与操作系统的 标准 SCSI 命令集之间,将 SCSI-3 命令封装在 TCP/IP 包内,由 IP 网络负责其传输的可靠性。
SCSI 命令和数据封装在 TCP 包中,穿过毫无防范的 Internet 网络,必然会引起安全问 题。总之 面临的安全风险主要有:
主动型的攻击,如:身份伪装、伪造信息插入、数据删除/修改等
被动型的攻击,如:窃听、数据分析等 针对各种各样的安全风险, 主要采用两种安全措施: 认证:在 target 和 之间做身份认证。 加密:对传输的 TCP/IP 数据包进行保护。
认证主要是在 连接层,通过交换 的登录 PDU(Protocol data unit),实 现带内的身份认证。 通过这种安全措施提供了端到端的信任关系。 支持多种认 证,但要强调的是采用哪种认证都要求不得明文传输密码字符。此外对于不同的算法,要求 采用抗攻击能力较强的选项。比如在采用 CHAP 认证时,为了防止离线的字典攻击,要求随 机 CHAP 密文 secret 大于 128 位。
加密主要是通过 IPSEC 协议实现,在 IP 层通过对 IP 包的加密,实现数据的完整性保护、 数据加密和身份认证。 通过这种安全措施提供了数据通信的安全通道。
实现 IPSEC 加密通信有两种方式:
一是通过主机间建立 IPSEC 加密通道。主机间建立 IPSEC 通信,过去常用软件的实现方 式,这对于传输少量的数据可以接受,对于 这种大量存储数据的传输,则显得力不从 心。所以,建议采用支持 IPSEC 协议的 卡实现,提高加密解密的效率。
二是通过防火墙、VPN 网关或带 VPN 功能的路由器,在需要实现 通信的两个子网 间建立一条加密隧道,将两个子网与承载 通信的 IP 网络从逻辑上隔离开来。随着 的应用越来越广泛,利用 可以获得更好的网络扩展性。
当然,还可以采用其他技术来加强 的安全性,如 的分区、LUN masking 等 等。
4、关键性的技术
存储是一个新兴的技术,其之所以广泛应用到存储环境中有几个关键技术点。
4.1 TCP 负载空闲
由于 IP 无法确保提交到对方,而将 TCP 作为底层传输的三种 IP 存储协议则需要在拥挤 的、远距离的 IP 空间中确保传输的可靠性。由于 IP 包可以打乱次序传送,因此,TCP 层需 要重新修正次序,以提交到上一层的协议中(如 SCSI)。TCP 完成这一任务的典型操作是使 用重调顺序缓冲器,将数据包的顺序完全整理为正确方式,完成这一操作后,TCP 层将数据 发送到下一层。这些处理都需要消耗主机的 CPU 资源,同时增加事务处理的延时,事实上, 与典型的 FC 或 SCSI 块传输相比,需要更多的 I/O 处理,一种称之为 TCP 负载空闲引擎 TCP Off-loading Engine (TOE)的设备可将主机的处理器负载降低,TOE 解决了这一关键问题。
4.2 性能
工作组和一些分析人士把相当多的注意力放在了确保 IP 存储协议可以非常快的运行上, 因为目前硬盘驱动器的运行速度已经很快,所以 IP 存储产品将以高速运行。然而,也有一 些分析人员认为,IP 存储令人心往的最大优势是 IP 的灵活性,而高速性能则排在第二位。 如果对性能较为看重的话,不推荐使用标准的以太网卡。增强的 iHBA 已达到光纤通道的技 术水平。
4.3 安全性
当存储设备通过 IP 架构进行远距离连接时,安全性变得愈加重要。生产厂家必须明确 产品的安全级别,并确保其安全性。当标准得到批准时,明确要求 IP 存储协议的所有实施 都必须包括可靠的安全性(实现加密数据完整性和保密性)。如果用户不愿使用这些安全措施 的话,他们不必使用,但是产品中必须具有启动安全技术的功能,只有这样厂商才能说他们 的产品符合标准的要求。相当多的技术人员认为这些协议的主要用武之地是在数据中心或其 他一些受防火墙保护的领域。但是,一旦人们将应用放在 IP 上,这个应用是没有什么办法 确定自己的使用环境的,例如在防火墙后使用。这是 的一个重要特性。
4.4 互联性
基于 IP 的协议标准已被 IETF 公布,为了保证这些产品能够相互配合得更好,必须保证 厂家之间采用相同的协议,使各厂家产品具有良好的互联性。
第五章 iSCSI 与各类型存储方案的综合评比
与 Fiber Channel(以下简称 FC)一样, 也属于 大家庭中的一员,它的问世 显然是冲着 FC 的缺点而来的。长久以来,FC 几乎成了 的代名词,但由于相关软硬 件的建置成本偏高、管理技术及门坎也较高,所以几乎只有大型企业才有能力做这方面的建 置与规划,一些企业限于自身规模,也只有望洋兴叹的份。无传输距离限制、建置管理成本 低是 的最大特点。
最重要的就是能在成本上提出大幅改善的方案,也因此打破了 为大型企业禁 脔的藩篱,让中小企业也能享受到 所带来的好处及便利。到底是哪些优良特质,让 成为目前存储业界最热门的话题呢?以下即为读者做一番简单的归纳及分析:
建置成本低廉:不论是适配卡、交换机或缆线的建置, 都比 FC 便宜许多。 管理门坎及维护成本更低:一般来说,FC 多半需要特定的工具软件来操作管理, 所以需要对人员进行一定时间的培训,而且费用不低。但由于 是通过 IP 网络来传输
数据及分配存储资源,所以只要使用网络现有的管理功能即可,比较起来,可以省下大笔管 理费用及培训成本。
节省存储资源、做好集中管理:由于 与 FC 同样支持区块协议(Block Protocol) 的数据存取模式,所以比采用文件协议(File Protocol)的 NAS,更能通过集中管理的方 式,有效的避免存储资源的浪费,进而节省不必要的支出。
没有距离的限制:由于 是通过 IP 网络来传输数据,所以理论上,传输距离可以 达到无限远,这对于异地数据的传输及备援等应用相当有帮助。
传输速度快:千兆网 的速度可达 1Gb,效能上已超越 NAS。如果用 10Gb 以太网络 的时候, 就可以达到 10Gb 的高速,比 FC 的下一代版本-4Gb 还要快。
人才多:随着因特网的日益兴盛,造就了取之不尽、用之不竭的 TCP/IP 网络人才,比 起门坎较高的 FC 来说,这对于专走 IP 网络 Base 的 而言,可说是一大优势。
、 及 NAS 的比较
一般来说,企业在面临 存储解决方案时,多半喜欢拿 FC 及 NAS 与其做 一番比较。在此先就 FC 与 做一比较,基本两者同属于走 Block 协议的 架构,只 不过前者通过光纤,后者由 IP 传输数据罢了,而两者在管理及应用上也大同小异。
至于 与 NAS 的差异, 与 NAS 是完全不同架构的存储方案,前者支持 Block 协议, 后者则支持 File 协议,所以拿两个完全不同协议及架构的标准相比,是不太适宜的。如果 硬要从中做个区别的话,那就是 的精髓在于分享存储配备(Sharing Storages);NAS 则在于分享数据(Sharing Data)。
为了让读者进一步了解 、FC 及 NAS 的差异,在此还是做一番归纳整理,以供读者 参考:
接口技术: 和 NAS 一样通过 IP 网络来传输数据,FC 则不一样,数据是通过光纤 通道(Fibre Channel)来传递。
数据传输方式:同为 的 及 FC 都采用 Block 协议方式,而 NAS 则采用 File
协议。
传输速度:就目前的传输速度而言是 (10Gb)最快、FC(2Gb)次之,NAS 居末。 基本上,FC 及 的 Block Protocol 会比 NAS 的 File Protocol 快,这是因为在操作系 统的管理上,前者是一个“本地磁盘”,后者则会以“网络磁盘”的名义显示。所以在大量 数据的传输上, 绝对会比 NAS 快得多。
资源共享: 和 NAS 共享的是存储资源,NAS 共享的是数据。
管理门坎: 和 NAS 都采用 IP 网络的现有成熟架构,所以可延用既有成熟的网络 管理机制,不论是建设、管理或维护上,都非常方便及容易。而 FC 则完全独立于一般网络 系统架构,所以需由 FC 厂商提供专属管理工具软件。
管理架构:通过网络交换机, 可有效集中控管多台主机对存储资源的存取及利用, 善用资源的调配及分享,同时速度上也快于网络磁盘的 NAS。
成本:比起 FC 而言,以太网络是个十分成熟的架构,所以同样采用 IP 网络架构的 及 NAS,建设成本低廉、管理容易而且维护方便。至于与 FC 在建设成本上的进一步比较, 可见表 1。
传输距离:原则上,三者都支持长距离的数据传输。FC 的理论值可达 100 公里。通过 IP 网络的 NAS 及 ,理论上都没有距离上的限制,但 NAS 适合长距小档案的传输, 则可以进行长距大量资料的传递。
系统支持:比较起来, 由于技术新较少。FC 主要是由适配卡供货商提供驱动程序 和简单的管理程序。
第四章 技术及其安全性
技术是一种基于 IP Storage 理论的新型存储技术,该技术是将存储行业广泛应 用的 SCSI(small computer system interface)接口技术与 IP 网络技术结合,使得我们 可以在 IP 网络上构建 存储区域网。推动 协议发展最主要的动力是–希望能够在 IP 网络上使用业已部署的大量 DAS 存储设备。通过 协议,这些存储设备可以为更多 的用户和应用使用,同时可以让这些简单 DAS 存储设备支持只有高级存储设备才能够支持的 备份、镜像、灾难恢复等高级存储应用。其次是为了让尽可能多的用户和应用利用已有的 FC 光纤通道 存储区域网, 协议还可以通过基于 IP 的网络传输对光纤通道 存 储区域网进行访问。
经过 SNIA 多家厂商的测试和实践,证明 可以非常迅速地建立起 IP 存储区域 网环境,用户可以即刻享受到即插即用式地 的好处。目前, 的标准已经在 IETF 通过,Microsoft 也已发布支持 的 的驱动程序。同时在 Windows Storage Server 2003 中内置支持 ,包括 和 target。
在可预期的未来, 必然成为光纤通道 FC 的主要竞争对手,成为 存储区域网的 主要应用技术。同时由于 内置的支持路由,可以让 访问 Internet 上任何一台存储设备,使得存储共享的概念无限扩大,存储连接的距离无限扩展。这一技术 对于一边要面对信息高速增长,另一边却身处”数据孤岛”的众多企业无疑具有巨大的吸引 力。
1、 标准
2003 年 2 月 11 日,IETF(Internet Engineering Task Force,互联网工程任务组) 通过了 (Internet SCSI)标准,这项由 IBM、思科共同发起的技术标准,经过三年
20 个版本的不断完善,终于得到 IETF 的认可。 技术的重要贡献在于其对传统技术的 继承和发展:其一,与 SCSI(Small Computer System Interface,小型计算机系统接口) 技术的接轨;其二,沿用 TCP/IP 协议。这两点为 的无限扩展提供了坚实的基础。
1.1 的概念
(互联网小型计算机系统接口)是一种在 Internet 协议网络上,特别是以太网上 进行数据块传输的标准。它是由 Cisco 和 IBM 两家发起的,并且得到了 IP 存储技术拥护者 的大力支持。是一个供硬件设备使用的可以在 IP 协议上层运行的 SCSI 指令集。简单地说, 可以实现在 IP 网络上运行 SCSI 协议,使其能够在诸如高速千兆以太网上进行路由选 择。
SCSI(小型计算机系统接口)是以一种广泛使用的连接硬盘和计算机的技术标准, 这种技术则是将该技术应用到网络连接上,对于企业的存储网络而言, 技术的性价比 要高于基于光纤的产品。 是基于 IP 协议的技术标准,是允许网络在 TCP/IP 协议上传 输 SCSI 命令的新协议,实现了 SCSI 和 TCP/IP 协议的连接,该技术允许用户通过 TCP/IP 网络来构建存储区域网()。而在 技术出现之前,构建存储区域网的唯一技术是 利用光纤通道(Fiber Channel),但是其架构需要高昂的建设成本,远非一般企业所能够
承受。 技术的出现对于以局域网为网络环境的用户来说,它只需要不多的投资,就可 以方便、快捷地对信息和数据进行交互式传输和管理。相对于以往的网络接入存储, 的出现解决了开放性、容量、传输速度、兼容性、安全性等问题,其优越的性能使其自发布 之日始便受到市场的关注与青睐。
1.2 的工作流程
协议就是一个在网络上封包和解包的过程,在网络的一端,数据包被封装成包括 TCP/IP 头、 识别包和 SCSI 数据三部分内容,传输到网络另一端时,这三部分内容分 别被顺序地解开。 的工作流程如图一所示:
系统由一块 SCSI 卡发出一个 SCSI 命令,命令被封装到第四层的信息包中并发送。 接收方从信息包中抽取 SCSI 命令并执行,然后把返回的 SCSI 命令和数据封装到 IP 信息包 中,并将它们发回到发送方。系统抽取数据或命令,并把它们传回 SCSI 子系统。所有这一 切的完成都无需用户干预,而且对终端用户是完全透明的。
为了保证安全, 有自己的上网登录操作顺序。在它们首次运行的时候,启动器
()设备将登录到目标设备中。任何一个接收到没有执行登录过程的启动器的 PDU( Protocol Data Units, 协议数据单元)目标设备都将生成一个协 议错误,而且目标设备也会关闭连接。在关闭会话之前,目标设备可能发送回一个被驳回的 PDU。这种安全性是基本的,因为它只保护了通信的启动,却没有在每个信息包的基 础上提供安全性。还有其他的安全方法,包括利用 IPsec。在控制和数据两种信息包中,IPsec 可以提供整体性,实施再次(replay)保护和确认证明,它也为各个信息包提供加密。
2、iSCSI 的发展阶段
IP 存储解决方案及其技术的应用经历了三个发展阶段:
· 阶段一: 扩展器
· 阶段二:有限区域 IP 存储
· 阶段三:IP
阶段一: 扩展器。随着 技术在全球的开发,越来越需要长距离的 连接技术。 IP 存储技术定位于将多种设备紧密连接,就像一个大企业多个站点间的数据共享,以及远 程数据镜像。这种技术是利用 FC 到 IP 的桥接或路由器,将两个远程的 通过 IP 架构互 联。虽然 设备可以实现以上技术,但 FCIP 和 iFCP 对于此类应用更为适合,因为它们 采用的是光纤通道协议(FCP)。
阶段二:有限区域 IP 存储。 在第二个阶段的 IP 存储的开发主要集中在小型的低成本 的产品,目前还没有真正意义的全球 环境,随之而来的技术是有限区域的、基于 IP 的 连接技术。类似于可安装到 NAS 设备中的 卡,这种技术和需求可使 TOE 设备弥补 NAS 技术的解决方案。在这种配置中,一个单一的多功能设备可提供对块级或文件级数据的 访问,这种结合了块级和文件级 NAS 设备可使以前的直接连接的存储环境轻松地传输到网络 存储环境。
第二个阶段也会引入一些工作组级的、基于 IP 的 小型商业系统的解决方案,使得 那些小型企业也可以享受到网络存储的益处。 协议是最适合这种环境的应用的,但基 于 的 技术是不会取代 FC 的,同时它可以使用户即享受网络存储带来的益处, 也不会开销太大。
阶段三:IP 。完全的端到端的、基于 IP 的全球 存储将会随之出现,而 协议则是最为适合的。基于 的 IP 将由 构成,它可释放出大量的 TCP 负载,保证本地 存储设备在 IP 架构上可自由通讯。一些 IP 的先进功能,如带宽集合、 质量服务保证等都可能应用到 环境中。
3、 的安全性
正是由于其采用广泛应用的 IP 网络和 Internet 网络为数据传输的通道,与传统的采用 光纤通道 FC 相比, 的安全性就凸现出来。因为传统的 FC 在实际应用中,底 层采用光纤通道 FC 的传输技术,上层采用 Fibre Channel Protocol(FCP)传输 SCSI 协议, 与广泛应用的 IP 网络不兼容,往往会形成一个与通信网络隔离开来的独立存储网络,其安 全性容易得到保障。而 采用 IP 网络技术作为底层传输技术,完全可以在现有的通信 网络中,甚至 Internet 上传输 SCSI 协议,这使得 不得不面临 IP 网络常见的安全性 问题。
要了解 的安全问题,首先让我们看看 是如何工作的:
是如何工作的呢?如前所述, 定义了 TCP/IP 网络上传输块存储应用的规则 和过程。在物理层, 支持以太网卡(100、1000M),这样支持 的系统可以通过 以太网卡直接接入以太网交换机或路由器。 协议介于物理和数据链路层与操作系统的 标准 SCSI 命令集之间,将 SCSI-3 命令封装在 TCP/IP 包内,由 IP 网络负责其传输的可靠性。
SCSI 命令和数据封装在 TCP 包中,穿过毫无防范的 Internet 网络,必然会引起安全问 题。总之 面临的安全风险主要有:
主动型的攻击,如:身份伪装、伪造信息插入、数据删除/修改等
被动型的攻击,如:窃听、数据分析等 针对各种各样的安全风险, 主要采用两种安全措施: 认证:在 target 和 之间做身份认证。 加密:对传输的 TCP/IP 数据包进行保护。
认证主要是在 连接层,通过交换 的登录 PDU(Protocol data unit),实 现带内的身份认证。 通过这种安全措施提供了端到端的信任关系。 支持多种认 证,但要强调的是采用哪种认证都要求不得明文传输密码字符。此外对于不同的算法,要求 采用抗攻击能力较强的选项。比如在采用 CHAP 认证时,为了防止离线的字典攻击,要求随 机 CHAP 密文 secret 大于 128 位。
加密主要是通过 IPSEC 协议实现,在 IP 层通过对 IP 包的加密,实现数据的完整性保护、 数据加密和身份认证。 通过这种安全措施提供了数据通信的安全通道。
实现 IPSEC 加密通信有两种方式:
一是通过主机间建立 IPSEC 加密通道。主机间建立 IPSEC 通信,过去常用软件的实现方 式,这对于传输少量的数据可以接受,对于 这种大量存储数据的传输,则显得力不从 心。所以,建议采用支持 IPSEC 协议的 卡实现,提高加密解密的效率。
二是通过防火墙、VPN 网关或带 VPN 功能的路由器,在需要实现 通信的两个子网 间建立一条加密隧道,将两个子网与承载 通信的 IP 网络从逻辑上隔离开来。随着 的应用越来越广泛,利用 可以获得更好的网络扩展性。
当然,还可以采用其他技术来加强 的安全性,如 的分区、LUN masking 等 等。
4、关键性的技术
存储是一个新兴的技术,其之所以广泛应用到存储环境中有几个关键技术点。
4.1 TCP 负载空闲
由于 IP 无法确保提交到对方,而将 TCP 作为底层传输的三种 IP 存储协议则需要在拥挤 的、远距离的 IP 空间中确保传输的可靠性。由于 IP 包可以打乱次序传送,因此,TCP 层需 要重新修正次序,以提交到上一层的协议中(如 SCSI)。TCP 完成这一任务的典型操作是使 用重调顺序缓冲器,将数据包的顺序完全整理为正确方式,完成这一操作后,TCP 层将数据 发送到下一层。这些处理都需要消耗主机的 CPU 资源,同时增加事务处理的延时,事实上, 与典型的 FC 或 SCSI 块传输相比,需要更多的 I/O 处理,一种称之为 TCP 负载空闲引擎 TCP Off-loading Engine (TOE)的设备可将主机的处理器负载降低,TOE 解决了这一关键问题。
4.2 性能
工作组和一些分析人士把相当多的注意力放在了确保 IP 存储协议可以非常快的运行上, 因为目前硬盘驱动器的运行速度已经很快,所以 IP 存储产品将以高速运行。然而,也有一 些分析人员认为,IP 存储令人心往的最大优势是 IP 的灵活性,而高速性能则排在第二位。 如果对性能较为看重的话,不推荐使用标准的以太网卡。增强的 iHBA 已达到光纤通道的技 术水平。
4.3 安全性
当存储设备通过 IP 架构进行远距离连接时,安全性变得愈加重要。生产厂家必须明确 产品的安全级别,并确保其安全性。当标准得到批准时,明确要求 IP 存储协议的所有实施 都必须包括可靠的安全性(实现加密数据完整性和保密性)。如果用户不愿使用这些安全措施 的话,他们不必使用,但是产品中必须具有启动安全技术的功能,只有这样厂商才能说他们 的产品符合标准的要求。相当多的技术人员认为这些协议的主要用武之地是在数据中心或其 他一些受防火墙保护的领域。但是,一旦人们将应用放在 IP 上,这个应用是没有什么办法 确定自己的使用环境的,例如在防火墙后使用。这是 的一个重要特性。
4.4 互联性
基于 IP 的协议标准已被 IETF 公布,为了保证这些产品能够相互配合得更好,必须保证 厂家之间采用相同的协议,使各厂家产品具有良好的互联性。
第五章 iSCSI 与各类型存储方案的综合评比
与 Fiber Channel(以下简称 FC)一样, 也属于 大家庭中的一员,它的问世 显然是冲着 FC 的缺点而来的。长久以来,FC 几乎成了 的代名词,但由于相关软硬 件的建置成本偏高、管理技术及门坎也较高,所以几乎只有大型企业才有能力做这方面的建 置与规划,一些企业限于自身规模,也只有望洋兴叹的份。无传输距离限制、建置管理成本 低是 的最大特点。
最重要的就是能在成本上提出大幅改善的方案,也因此打破了 为大型企业禁 脔的藩篱,让中小企业也能享受到 所带来的好处及便利。到底是哪些优良特质,让 成为目前存储业界最热门的话题呢?以下即为读者做一番简单的归纳及分析:
建置成本低廉:不论是适配卡、交换机或缆线的建置, 都比 FC 便宜许多。 管理门坎及维护成本更低:一般来说,FC 多半需要特定的工具软件来操作管理, 所以需要对人员进行一定时间的培训,而且费用不低。但由于 是通过 IP 网络来传输
数据及分配存储资源,所以只要使用网络现有的管理功能即可,比较起来,可以省下大笔管 理费用及培训成本。
节省存储资源、做好集中管理:由于 与 FC 同样支持区块协议(Block Protocol) 的数据存取模式,所以比采用文件协议(File Protocol)的 NAS,更能通过集中管理的方 式,有效的避免存储资源的浪费,进而节省不必要的支出。
没有距离的限制:由于 是通过 IP 网络来传输数据,所以理论上,传输距离可以 达到无限远,这对于异地数据的传输及备援等应用相当有帮助。
传输速度快:千兆网 的速度可达 1Gb,效能上已超越 NAS。如果用 10Gb 以太网络 的时候, 就可以达到 10Gb 的高速,比 FC 的下一代版本-4Gb 还要快。
人才多:随着因特网的日益兴盛,造就了取之不尽、用之不竭的 TCP/IP 网络人才,比 起门坎较高的 FC 来说,这对于专走 IP 网络 Base 的 而言,可说是一大优势。
、 及 NAS 的比较
一般来说,企业在面临 存储解决方案时,多半喜欢拿 FC 及 NAS 与其做 一番比较。在此先就 FC 与 做一比较,基本两者同属于走 Block 协议的 架构,只 不过前者通过光纤,后者由 IP 传输数据罢了,而两者在管理及应用上也大同小异。
至于 与 NAS 的差异, 与 NAS 是完全不同架构的存储方案,前者支持 Block 协议, 后者则支持 File 协议,所以拿两个完全不同协议及架构的标准相比,是不太适宜的。如果 硬要从中做个区别的话,那就是 的精髓在于分享存储配备(Sharing Storages);NAS 则在于分享数据(Sharing Data)。
为了让读者进一步了解 、FC 及 NAS 的差异,在此还是做一番归纳整理,以供读者 参考:
接口技术: 和 NAS 一样通过 IP 网络来传输数据,FC 则不一样,数据是通过光纤 通道(Fibre Channel)来传递。
数据传输方式:同为 的 及 FC 都采用 Block 协议方式,而 NAS 则采用 File
协议。
传输速度:就目前的传输速度而言是 (10Gb)最快、FC(2Gb)次之,NAS 居末。 基本上,FC 及 的 Block Protocol 会比 NAS 的 File Protocol 快,这是因为在操作系 统的管理上,前者是一个“本地磁盘”,后者则会以“网络磁盘”的名义显示。所以在大量 数据的传输上, 绝对会比 NAS 快得多。
资源共享: 和 NAS 共享的是存储资源,NAS 共享的是数据。
管理门坎: 和 NAS 都采用 IP 网络的现有成熟架构,所以可延用既有成熟的网络 管理机制,不论是建设、管理或维护上,都非常方便及容易。而 FC 则完全独立于一般网络 系统架构,所以需由 FC 厂商提供专属管理工具软件。
管理架构:通过网络交换机, 可有效集中控管多台主机对存储资源的存取及利用, 善用资源的调配及分享,同时速度上也快于网络磁盘的 NAS。
成本:比起 FC 而言,以太网络是个十分成熟的架构,所以同样采用 IP 网络架构的 及 NAS,建设成本低廉、管理容易而且维护方便。至于与 FC 在建设成本上的进一步比较, 可见表 1。
传输距离:原则上,三者都支持长距离的数据传输。FC 的理论值可达 100 公里。通过 IP 网络的 NAS 及 ,理论上都没有距离上的限制,但 NAS 适合长距小档案的传输, 则可以进行长距大量资料的传递。
系统支持:比较起来, 由于技术新较少。FC 主要是由适配卡供货商提供驱动程序 和简单的管理程序。
第六章 与 IP 存储技术
在 Internet 协议(IP)统治着局域网和广域网的今天,数据存储的需要也在日益增长。 Internet 小型机系统接口()协议整合了存储和 IP 网络,使通过 IP 网络完成存储数据 块的传输成为现实。它建立在两个已被广泛应用的技术之上,为存储而建立的 SCSI 命令和 为网络化而建立的 IP 协议。
是一种端到端的协议,用于在 IP 网络中传输存储 I/O 数据块。该协议被使用于服 务器()、存储设备(target)和协议传输网关设备。 使用标准的以太网交换机 和路由器,将数据从服务器转移到存储设备。它还使得 IP 和以太网基础设施可以被用于对 存储系统的扩展访问,跨过任意距离完成对 的扩展接入。
迄今为止,不断增长的存储需要和网络化存储为用户带来的好处都在推动着 的部 署。这些好处包括:通过整合存储资源提高存储利用率,获得对更大存储容量的管理能力, 快速部署新的存储系统、获得更高的可用性,更快地完成备份及重建操作等等。
随着近年来对 协议和对基于硅晶体的 TCP/IP 卸载引擎的开发,建立在 IP 网络上 的 已成为现实。IP 网络的基础设施包括千兆万兆网络、复杂的带宽分配和网络管理工 具,以及 IP 和以太网无处不在的延伸。以上因素与 协议结合在一起,构成了全新的 IP 存储解决方案。
图 1:实现 IP 存储的要素 最大程度地利用存储和网络的特性
建立在来自存储和网络领域的两个应用最广泛的协议之上。在存储领域,
使用 SCSI 命令集,即所有存储配置使用的核心存储命令。
在网络方面, 使用 IP 和以太网。这是大多数企业网络的基础,并被越来越多地应 用于城域网和广域网。IP 网络已经具备了最高的可管理性、互操作性和经济有效性。
图 2 显示出 SCSI 如何通过 层映射到 TCP/IP,使 SCSI 脱离其并行总线结构。
图 2 利用 SCSI 和 IP 实现网络化存储 图 3: 协议堆栈 图 3 显示了一个包含 的简单协议堆栈。
标准 SCSI 命令集的使用促进了现有操作系统与它上面的应用之间的互操作性。而标准
TCP/IP 网络的使用则提供了通向全球 IP 设施的途径。
IP 存储的优势 熟悉的网络技术和管理 减少培训和员工成本 已经验证的传输设施 提高了可靠性
以太网从 1G 向 10G 及更高速过渡 通过简单的性能升级保护投资 跨长距离扩展能力 实现远程数据复制和灾难恢复 将以太网的经济性引入存储 降低用户总成本
IP 存储网络的构成
IP 存储网络是指通过 IP 连接计算机系统和存储部件,同时也指利用 IP 基础设施在各个 目标之间进行存储数据的传输。图 4 所示为 IP 存储网络的各种构成。
第一个构成部分是设备输入/输出,指具有本地 IP 接口的计算机系统和存储资源,包括 带 适配器或 控制器的服务器、磁盘阵列或磁带库。这些设备都采用典型的以太 网接口,但加入了协议处理功能,如 TCP/IP 卸载引擎,以减少主机设备的处理负担。
存储局域网的第二个构成部分是其交换机结构。一个基于 IP 的结构所拥有的先进 特点是用户可以使用标准以太网交换机和路由器来创建 并通过 传输数据。这个结 构还可以包含 接口或其它存储接口,如 SCSI 接口或光纤通道接口的存储路由器和交 换机。存储交换机和路由器提供了其它常规 IP 和以太交换机所不具备的多协议接入能力。 它们还为存储提供诸如点对点拷贝命令这样的特殊功能。
IP 存储网络的第三个构成部分是 间的互联。因为 是一个基于本地 IP 的协议, 实现 互联不需要与存储相关的特殊功能,可使用一个共享或专用的 IP 以太网络来完成。
图 4:存储网络的分段 了解终端系统
假设一个 环境可以利用现有的 IP 网络,整个解决方案中的一个重要部分当属 终端系统。图 5 概要表示了传统 IP 网络接口卡,传统存储适配器和新型 IP 存储适配 器的重要功能。
网络接口卡(NIC)
传统 NIC(即服务器和 PC 机上的以太网适配器)用于在 PC 机、服务器和存储设备之间传 输文件级别的数据包,比如 NAS 应用。但 NIC 传统上不能传输块状数据,这类数据只能通 过象光纤通道这样的存储主机总线适配器或并行 SCSI 来处理。为了使 NIC 可以处理块状数 据,数据在通过 IP 网络传送出去之前需要先置入 TCP/IP 包。通过主机或服务器上的 驱动程序驱动,NIC 可以在 IP 网络上传输块状数据包。在使用 NIC 时,服务器必须完成块 状数据包的创建和所有 TCP/IP 的处理,这就在很大程度上占用了 CPU 资源并因此降低了服 务器性能。完成 TCP/IP 处理所产生的瓶颈促使人们在适配卡上开发出 TCP/IP 卸载引擎
(TOE)。TOE 将 TCP/IP 处理卸离主机 CPU,转而在主机总线适配器上完成 TCP/IP 处理和 数据包创建。因此,一个带有 TCP/IP 卸载功能的存储 NIC 更象是一个存储主机总线适配器, 而不是一个标准的 NIC。
存储主机总线适配器()
与 NIC 不同,存储 被设计用来在存储应用之间传输块状数据。整个数据块的一个参照 数从应用端传送到适配器,省却了将数据块细分成更小帧的需要。然而正因为如此, 必须处理将数据块分化为细小帧的任务。这些任务通过一系列特殊芯片来完成,使 将 计算机的 CPU 资源从这一处理进程中解脱出来。处理任务完成后, 对外传送帧信息。
适配器
适配器结合了 NIC 和存储 的功能。这种适配器以块方式取得数据,利用 TCP/IP 处理引擎在适配卡上完成数据分化和处理,然后通过 IP 网络送出 IP 数据包。这些功能的完 成使用户可以在不降低服务器性能的基础上创建一个基于 IP 的 。在推出 适配器 之前,一些厂商开发过这种适配器的软件版本。这些软件实现的适配器从应用中接收块状数 据,但仍需要使用 CPU 周期来完成 TCP/IP 处理。这种适配器的优点在于它能够工作在现有
的以太网 NIC 上,而主要缺点则是需要 CPU 来承接 TCP/IP 处理的繁重负担。
图 5:网络接口卡和主机总线适配卡 部署细节 建立数据中心的途径
对于向网络化存储过渡感兴趣的用户,建立一个 是其完美的选择。 与直接 连接存储一样,使用处理数据块的 SCSI 命令集,因此能够与文件系统、数据库和网站服务 等用户应用兼容。同样,由于 运行在无所不在的、熟悉的 IP 网络上,人们不必掌握 一种新的网络结构来获得 的好处。为了在数据中心构筑一个 存储网络, 主机总线适配器可以用在服务器上,和 存储设备以及 IP 和以太交换机的组合一起工 作。如有需要,也可以使用 IP 存储交换机和路由器。图 6 显示了在一个基本的数据中心建 立的与远程站点相连的 存储网络。
将 存储网络扩展到城际网与广域网
IP 数据在 Internet 上得到的迅速采用与蔓延证明了在跨长距离的广域网中使用 IP 的生存能 力。虽然我们刚开始期望通过私网部署 存储,但通过 IP 安全设施(例如 IPSec 和 SSL 提供的认证和加密)的利用也使我们可以在公网上部署广域的 存储。
图 6:数据中心建立的 存储网络提供了 MAN/WAN 访问的无缝路径 本地 iSCSI 存储网络的应用
利用一个本地 存储网络,用户可以通过以下建立在数据中心的应用获得收益: 服务器和存储资源的整合
利用一个网络化的存储结构,用户能够将多个存储设备连接到多台服务器,实现更好的资源 利用和轻松的存储管理,并简化存储结构扩展的过程。
加速备份操作
先前局限于传统 IP 局域网的文件形式的备份操作现在可以在 IP 存储网络中以数据块的操作 方式完成。这种转变实现了更快速度的备份,为用户使用共享或专用的 IP 网络完成存储操 作提供了灵活性。
无缝的远程站点访问和外包存储
利用基于 IP 的存储网络,用户可以跨过城际网或广域网轻易地实现对辅助网点的远程访问。 远程网点可被用于离线备份,建立集群或镜像/复制。此外,用户还能选择存储服务供应商 提供的即需即用的外包存储服务。
用 链接多个
因为采用了 TCP/IP 完成传输, 协议成为跨城际网和广域网连接多个 的最佳 选择。这种连接包括跨过广域网扩展的本地 和光纤通道 。多个 能够跨过广域网以标准的以太网设备相连。当与一个光纤通道 进行连接时,需要一台 IP 存储交换机来将 FC 协议转变为 协议。
IP 存储路由器能够桥接 FC 和 ,而 IP 存储交换机不仅能桥接 FC 和 ,还能 提供额外的交换机功能。这种 IP 存储交换机提供的交换功能可以用于完成 FC-FC 交换、 FC- 交换、FC-千兆以太网交换和千兆网-千兆网交换。IP 存储路由器和交换机均能用 于实现 FC 的扩展,并将 FC 与 连接在一起。图 7 显示了一个基于 IP 存储路由器和交换机的简单配置。
图 7:链接 和光纤通道
IP 访问存储/存储整合
通过在服务器中使用 适配器,用户现在可以跨过一个 IP 网络访问光纤通道存储资源。 这极大地扩展了存储访问的灵活性,使用户可以不受服务器访问的限制而整合 FC 存储资源。 例如,可以直接跨过 IP 网络访问服务器获得数据库信息。
企业级用户的远程备份
企业用户可以结合 和 IP 存储路由器或交换机,利用 IP 网络实现远程备份。远程站点 虽然独立运行,但仍能通过企业存储资源获得好处,实现 服务器到 FC 存储的备份和 恢复。这种应用使数据中心管理员能集中企业数据资源于一地,并为多个远程用户在不同的 站点上提供各中复杂的企业存储管理。
以先进的网络化存储为 IT 管理人员提供了直接连接存储的替代解决方案。IP 存 储网络利用 IT 部门现成的 IP 网络知识和 LAN、MAN 及 WAN 网络管理工具。IP 技术发展 的浪潮和 10G 万兆以太网的引入, 为企业和服务商提供了一个从逻辑上整合基础设施 的发展途径。
第七章 问与答
问:什么是 ? 答:(互联网小型计算机系统接口)是由互联网工程任务组(Internet Engineering Task Force)开发的基于互联网协议(IP)的存储网络协议。
问: 的工作方式是什么?
答:服务器通常使用专用 SCSI 连接以及块级接口实现与本地连接的存储系统的通信。 将 SCSI 块存储命令封装到以太网数据包中,以便通过 IP 网络进行传输。这样服务器就能够 使用标准的 SCSI 存储命令通过标准的 IP 基础设施与共享的存储设备进行通信。
问: 是否是一个标准?
答:是的。 协议规范已经于 2003 年 2 月被批准为 IETF 的提案标准。 问: 有哪些优点?
答:与直连式存储不同,IP ( 存储解决方案允许企业跨服务器共享存储资源和非 常方便地扩展存储容量。因为以太网在整个世界得到了广泛应用, 便于企业享受网络 存储在数据管理和灵活性方面的优势,又不会使企业遇到采用传统光纤通道 时通常会遇 到的成本与复杂性高等问题。有了 ,企业能够利用自己现有的网络投资和专业知识, 经济有效地为自己的分布式环境部署具备完善管理功能的数据中心存储系统。
问: 能够为客户解决哪些方面的问题?
答:许多企业都迫切需要低成本的 解决方案,以便整合他们不断扩展的 Windows®服务 器环境中的数据,并为他们的 Linux®服务器群、标准的 UNIX®服务器以及 Novell 环境提供 集中的数据管理功能。目前在很多情况下,运行在这些服务器上的应用程序(电子邮件、小 型数据库、CRM 以及分析)已被视为业务关键性应用程序,所以这一需求更加强烈。现在 为这些客户提供了卓越的解决方案对于简便性、灵活性以及性价比在 IT 决策中具有关键意 义的环境(尤其是根植于低成本服务器的环境), 提供了价格合理的存储整合解决方 案。另外, 还能够提供真正价格合理的灾难恢复、备份以及近线存储解决方案。目前 已在多种行业和 IT 环境中部署了 。
问: 会带来哪些影响?
答: 协议可以解决 部署通常所遇到的成本和复杂性高等难题,并在光纤通道 无法提供较高的经济有效性的场所部署可行的 存储解决方案,可望加速从直连式存储向 网络存储的转变。
问:这一新技术已经能够进行实际部署了吗?
答:将 IP 基础设施用于存储系统并非新生事物。Global2000 中的大量公司都在自己的企业 应用数据中心中使用网络存储解决方案,它们通常使用千兆以太网实现存储互联。再进一步 说,基于数据块的 IP 存储解决方案也不是新生事物。举例来说,Network Appliance 去年 一直在实施基于专有协议(VLD)的前 解决方案。这些解决方案已经非常成功地成为 Windows 服务器应用中的存储整合解决方案。最后一点,主要的操作系统供应商都支持 ,这一点与各个厂商的“合格解决方案”计划相结合,最大限度地减少了通常在采用 新技术的过程中存在的风险。
问: 解决方案包含几个部分?
答: 解决方案由以下三部分组成:“目标端”( 存储设备)通过标准的以 太网基础设施(交换机和线缆)连接到主机系统中的 “initiators”。 既可以是随主机操作系统而来、使用标准以太网卡(NIC)实现物理网络连接的软件驱动程序, 也可以是提供网络连接并从主机 CPU 将 和 TCP/IP 处理过程转移到自身的 主机
总线适配卡。
问:我是应该使用硬件 还是软件 ?
答: 是使用硬件还是软件要取决于多种因素,包括预算、性能要求以及服 务器工作负荷。软件 能够实现成本最低的 解决方案。纯软件 使用标准以太网卡,并依靠主机 CPU 来处理 命令和 TCP/IP 栈。大部分客 户工作负荷在 协议处理方面会引发明显的性能开销。如果服务器的负荷较重,则可能 更适合采用硬件 。硬件 会将 和 TCP/IP 处理工作 转移到 中。其结果就是能够大幅度降低 CPU 的性能开销,这点堪与光纤通道 相比。硬件 还能提供软件解决方案所不具备的功能,例如支持高可用性环境的硬 件多通道功能,支持密集服务器环境中的远程引导功能。 问:由网络小组来接管存储系统会有培训等方面的问题吗? 答:基于以太网的网络存储,也就是网络附加存储,已经在很多企业中得到了很好的实施,
“由谁来管理存储系统”根本不是问题。这里真正的问题是与懂光纤通道的操作人员相比, 懂 TCP/IP 网络的合格操作人员要多得多。也就是说,我们很容易能够找到和培训这些操作 人员,而且留住他们的成本也较低。
问: 与 iFCP 等 IP 存储协议有什么关系?
答: 是一套纯 IP 存储协议。相比而言,iFCP(Internet Fibre Channel Protocol, 互联网光纤通道协议)是一个通过网关在 TCP/IP 网络上运行光纤通道业务的 IETF 协议。 还能使用 iFCP 将 主机连接到现有的光纤通道 ,这一点在某些环境中能够作为向 纯 IP 存储过渡的相应步骤,因此它可以作为 的补充。
问:FCIP 如何?
答:FCIP 是通过 IP 网络(通常是广域网)发送 FCP(光纤通道协议)数据的点对点隧道协 议。它的主要目的是连接物理上分离的 FCP 环境(例如,位于分离数据中心中的两个 FC 孤岛)。它也是对 的补充。
问:光纤通道已经能够在交换网络结构中发送 SCSI 命令,为什么还要用 呢? 答:在大型数据中心环境中,光纤通道 解决方案已经成为高性能的任务关键性应用程序 事实上的存储网络技术标准。不过,在部署和支持这两方面,光纤通道都堪称是非常复杂和 成本高昂的一种环境,很难部署在分布式的部门级和工作组环境中。而通过以太网连接的 IP 能够为这些环境提供更为简单、价格也更为合理的解决方案。
问: 与光纤通道有何区别? 答:光纤通道是一种高速串行互联,而不是网络。光纤通道技术曾经非常昂贵,而且它缺乏 实现路由选择和节点容错的内置功能,只能提供最原始的地址管理和安全功能。在光纤通道 中,所有这些功能都必须由操作员进行配置,由主机进行管理。这样,就会带来一个既 昂贵又复杂的环境。而 是一套纯 IP SCSI 协议,它能够充分利用标准网络的功能以及 以太网的普及性。这样,就会得到更为简单、成本更低的 。
问: 是要取代光纤通道吗? 答:光纤通道是一套经过实践验证的、已经确立并且得到广泛部署的技术,它尤其适合高性 能的任务关键性数据中心环境。业内许多人都认为光纤通道和 是会在可预见的未来并 存和相互补充的两项技术。 为分布式的部门级和工作组级数据中心的直连式存储系统 提供了很有吸引力的替代方案,可望加速实现向网络存储的转换。另外,它还可以对企业数 据中心的运作起到补充和扩展作用。 问:我何时应该部署 ,何时应该部署光纤通道 ? 答:对于包含多个中型服务器的环境来说,IP ()解决方案通常能够提供最适当的 性价比。 能够提供与 FCP 相当的性能,大多数最终用户可能不会发现其中的区别。对
于由高端服务器组成需要进行大量 I/O 操作的环境或 CPU 资源有限的环境,光纤通道 解决方案可能是更好的选择。成本、管理开销以及应用程序工作负荷都是必须考虑的因素。 问:2Gb 光纤通道是否比千兆以太网快得多?
答:实际上不是。很少有应用程序能够用到 1Gb 光纤通道连接的全部带宽,更别提 2Gb 连接 了。
问: 是否加大了 CPU 的性能开销?
答:CPU 性能开销取决于 的实施方式。纯软件 使用标准 以太网卡,并依靠主机 CPU 来处理 命令和 TCP/IP 栈。1Gb 的以太网最多可能会消耗
500MHz 的 CPU。很明显,这一问题通过硬件 会将 和 TCP/IP 处理工 作转移到 中。其结果就是能够大幅度降低 CPU 的性能开销,这点堪与光纤通道 相比。
问:在安全性方面 能否与光纤通道相比? 答:光纤通道环境给人感觉具有比较高的安全性,原因在于它们是受控的专有网络。 给人感觉安全性较低,原因在于它是基于以太网的网络。不过从本质上来说,光纤通道是没 有安全功能的,而 提供了非常丰富的安全功能。 规范提供了 与目标 端两方面的身份验证(使用 CHAP、SRP、Kerberos 和 SPKM),能够阻止未经授权的访问,只 允许那些可信赖的节点进行访问。另外,IPsec Digests(IPsec 摘要)和 Anti-Reply(防 回复)功能阻止了插入、修改和删除操作,而 IPsec Encryption(IPsec 加密)功能防止被 偷听,确保了私密性。
问:目前我可以部署安全的 解决方案吗?
答:可以。目前通过专有 IP 存储网络实施的 提供了与光纤通道类似的安全功能。为 了在范围更广的局域网拓扑中部署 ,已经定义了多层可选的安全增强功能。与这些安 全增强功能层相关的标准可望在未来几个月内定稿。随着时间的推移,将为 提供非常 全面的安全功能,以满足包括广域网在内的大范围环境的要求。 问:供应商会采取哪些措施确保 解决方案的互操作性? 答: 操作系 统和应 用程 序供应 商一 般都提 供合 格硬件 解决 方案的 目录 。例如, Microsoft®Windows®Catalog 就列出了合格的 硬件设备。在 2003 年下半年,Microsoft 宣布,包括 Network Appliance 在内的 14 家领先存储供应商的 硬件产品已经具备了 参与 Designed for Windows 徽标计划的资格。包括邦诺公司在内的众多 硬件 和软件供应商都采用了由 Finisar 分公司 Medusa Labs 这一富有经验的第三方测试机构推出 的 兼容性测试计划。由此确保了 目标端和 供应商的产品能够成为受 合作伙伴支持的合格解决方案。
问: 的互操作性与早期光纤通道的互操作性相比,哪个更高? 答:光纤通道的互操作性问题基本上归属于两个方面:第一,服务器供应商是采用不同的方 式实施 SCSI3 命令集。不过,在过去的六年中,供应商已经解决了与这一方面相关的一些问 题。第二个方面是光纤通道缺乏内置的网络功能,这明显提高了复杂性。 环境是建立 在得到广泛认知的标准以太网网络功能上,从本质上讲就要比光纤通道环境简单。因为这些 原因,互操作性问题应该不会像在光纤通道中那样成为一个主要问题。