Chinaunix首页 | 论坛 | 博客
  • 博客访问: 11681757
  • 博文数量: 8065
  • 博客积分: 10002
  • 博客等级: 中将
  • 技术积分: 96708
  • 用 户 组: 普通用户
  • 注册时间: 2008-04-16 17:06
文章分类

全部博文(8065)

文章存档

2008年(8065)

分类: 服务器与存储

2008-08-26 13:15:18

   我们的iSCSI磁盘阵列都在广告中声称产品已经绑定了所有基本的功能选项,但是我们还是想对其能够提供的一些企业级特性进行深入研究,例如其安全性、高可用性和可扩展性,从中发现各个产品之间的不同之处。
 
  
安全性大比拼
 
  我们本来非常期望每款iSCSI磁盘阵列
系统的安全管理和安全设计会像其他关键的网络部件一样,具有相同的安全管理级别。但是结果令我们非常失望。
 
  按照我们过去的想法,这些iSCSI磁盘阵列产品都应该具备一些基本的功能,使得管理和数据之间有着严格区分,但是经过我们的
,发现只有不到一半的产品具备数据和管理完全分离的能力,分别是D-Link的DSN-3200-10、 HP的 StorageWorks 2012i、 NetApp的 FAS2050, NexSan的 SATABeast 和StoneSly的 Storage Concentrator.
 
  以加密方式来衡量管理效果怎么样呢?尽管有的采用SSL加密方式作为一个功能选项,有的采用非常难以实现的方式,但绝大多数产品都支持此项功能。Kano的 NetCOR 7500 和 Nexsan的 SATABeast不支持SSL加密方式,而是采用别的方式。但我们也发现SATABeast的数据管理更是令人恐惧和担忧的:它在默认的状态下,可以不经过用户名和密码的验证就可以对控制台进行管理。
 
  恕我冒昧,在安全管理的其它瑕疵上,我们发现很多产品通过Telnet端口进行管理,但是这些端口居然不能关闭掉,这是非常危险的。
 
  还有一个可怕的想法,就是这些
厂商不知何故的都认为他们的这些产品应该在客户的防火墙保护之内,所以他们觉得这些产品都是安全的。我们觉得他们应该重新的认真考虑一下这些观点。
 
  尽管我们把Compellent StorageCenter 和 the NetApp FAS2050存储系统的安全管理能力作为这次测试的一个级别代表,但是,我们还是考察了一些比较偶然发生的、高级别的安全因素。但是在我们这些测试的产品中只有HP StorageWorks 2012i磁盘存储在控制安全能力上能够很容易的看见一些基本的功能,例如具备一个独立的控制界面、能够打开或禁止管理服务和一些加密管理。
 
  紧随HP之后的是NetApp FAS2050,它和HP的磁盘存储有许多相似的功能特性,但是它的使用却不那么简单,以致于我们在管理它的时候经常令人头疼的出现些错误。例如,对SSL加密方式的控制和安全的SHELL访问,HP的磁盘存储仅在图形化管理界面中使用两个对话框就简单的完成了配置,而在NerApp的磁盘存储管理系统中确有20页的文档进行描述,其麻烦程度可见一斑。
 安全性比拼二
 
  在数据安全范畴的另一面,事实上,不管iSCSI
对于大多数企业来说是否是一个非常危险的数据传输,我们现在都要非常感谢它在数据“识别”机制上给我们留下的宝贵的经验。这种识别机制是一种方法,它可以自动完成iSCSI初始化到识别发现所有的目标虚拟磁盘的配置。
 
  这个自动识别的功能可以让很多疏忽的管理员很简单的、偶然的或者不经意的完成
到虚拟磁盘间的绑定,防止一些潜在导致数据错误或者信息遗漏发生。一个iSCSI磁盘存储系统必须具备一个清晰的安全的模式,使得存储管理员可以非常简单并且清楚的对系统和虚拟磁盘间的连接进行应用控制。
 
  我们也考察了一下这些产品对卷设置的是否有很严格的限制,比如iSCSI卷初始化的名字、IP地址或者用户名和密码。我们通过测试发现StoneFly Storage Concentrator表现最好,随后的是Dell PS5000XV 和 Reldata Unified Storage Gateway,他们有着非常清晰并且非常全面数据安全管理,或多或少的让我们感觉他们在数据保护管理方面是非常简单便捷的。
 
  在对这些产品的数据安全管理基本能力检查中,只有Nexsan SATABeast一款产品没有成功。因为它不支持任何种类的数据初始化卷到目标卷的鉴定方法,而其他产品则做着各种各样的努力,或者混乱或者非常艰难的使用这个鉴定方法(CHAP是在iSCSI中非常普遍使用的鉴定
),我们迟早都会通过这个方法完成所有工作的。
 
  尽管绝大多数的存储系统管理软件好像都需要依靠一个分离的网段而不是数据加密方式实现数据安全管理,确保数据私密,但我们还是考察了一下在每个数据管理台中对加密的操作。 NetApp的 FAS2050具备这个功能,并且在测试中我们也确实能够那样做。Celeros EzSANFiler声称具备IPSec传输加密,但是我们在测试时却不能实现。Reldata的Unified Storage Gateway仅支持手动的密钥共享而不是通过网络的自动密钥
,这种方法在真实的用户环境中只能算作不及格。
 
  虽然我们没有经过测试,但是我们在StoneFly Storage Concentrator的管理软件中,对磁盘数据的加密方式上发现一个非常有趣的特性。通过StoneFly的执行,加密密钥信息被载入到一个USB的记忆卡中,当系统启动的时候我们需要这个密钥卡的支持。

  RAID支持:Compellent最全面
 
  在对这些iSCSI磁盘阵列进行不同比较的时,还有个大家比较感兴趣的就是他们所支持RAID级别的种类和数量。不同的RAID类型在数据处理时通常表现出不同特性和不同的性价比,比如可用性(防止磁盘损坏的能力)、性能(读写速度)和容量(通过冗余存储有多少空间需要浪费)方面。在较高级别的存储系统里面是可以混合很多磁盘的进行一起使用的,比如昂贵、高速的低容量低速磁盘和廉价、低速的高容量磁盘一起混合使用。他们也同样是产生不同性价比的因素。
 
  在我们测试的这些iSCSI磁盘阵列中,他们支持最少磁盘的是12块,大多数系统还可以在这个基础上增加扩展柜。(只有D-link DSN-3200-10、 FalconStor NSS-S12和 Nexsan SATABeast不支持扩展柜,尽管Nexsan SATABeast具备一个42块盘的基本配置单元,但对于这种扩展能力的缺乏,我们是需要认真考虑的)
 
  在一个拥有12块磁盘的应用环境里,RAID级别的选择涉及到很多种磁盘的速度、容量的考虑,也要考虑到例如虚拟化磁盘扩展及快照等特性(我们测试的所有设备中都具备这个功能),或许这些复杂的因素搅在一起只有存储管理的天才才可以合适的进行配置。
 
  在这些产品中,Compellent的存储系统在创新方面最为出色,它提供了很多RAID选择,构成了一个动态的分级存储系统。在一个Compellent的存储系统里,通过管理来提供系统整体性价比的工作不在系统管理员这里,而是由Compellent的控制器自动完成。Compellent系统(和很多我们测试的系统一样),能够混合使用高速、价格昂贵的驱动器和低速、高容量的廉价驱动器,他们都可以配置成RAID0、RAID0+1、RAID5和RAID1+1+0.

负载均衡比拼
 
  我们对系统高可用特性非常感兴趣的同时,也非常关注这些系统的负载均衡能力。在存储系统里面的“主/主”方式下的负载均衡要比网络领域定义的负载均衡实现起来困难的多。一些存储系统(不是我们测试中的)事实上根本不支持存储控制器之间内部的负载均衡调节。代替他们的是,对于一组虚拟磁盘分区每个控制器都有其主要的职责,它能够帮助系统管理员确保每个控制器都平衡了负载。
 
  在网络领域里,我们常常称这样的方式为“主/被”方式,但是在存储厂商更喜欢用“主/主”方式来定义,以表明他们的每个控制器都有一定的负载,尽管对一个单独的虚拟磁盘分区他们并没有真正的实现负载分配。
 
  最容易实现负载均衡管理的是Dell PS5000XV、Kano NetCOR 7500和LeftHand Networks NSM 2120三个磁盘存储系统。在执行过程中,每个iSCSI存储系统都对外显示一个IP地址,尽管事实上他们有多个控制器和多个IP地址,这样可以显著地减少工作量,也可以减少在iSCSI驱动连接一个虚拟分区时存在的一些潜在错误。
 
  为了易于操纵负载均衡,系统显然改变了数据传输的路径,使数据从iSCSI驱动卡到另一个控制器。测试中其他的存储系统要实现负载均衡能力还需要系统管理员知道每个控制器的不同IP地址,然后手动的配置每一个连接,这也造成一些不必要的复杂工作使我们时不时的就得打电话给技术支持澄清一些情况,尤其是在我们的模拟设备发生故障的时候。
 
  关于负载均衡的讨论,对于Celeros EzSANFiler、FalconStor NSS-S12 和 the D-Link DSN-3200-10存储系统是没有任何意义的,因为在他们的单一存储系统里面是不具备双控制器的,所以,如果你想考察一下这些iSCSI磁盘阵列除电源供给之外的一些高可用性、负载均衡等容错的特性的话,这显得就不太合适了(FalconStor提供了其他的方式实现多个控制器架构)。
 
  我们没有对Compellent、 Reldata和StoneFly的高可用特性进行测试,因为他们要求额外的外部控制器。他们的每个iSCSI磁盘阵列都由分离的磁盘柜和控制器柜组成,所有如果测试其高可用性需要在这个系统中增加一个分离的控制器柜,所以我们就没有进行测试。
 
  我们也没有研究LeftHand Networks NSM2012的高可用性能力,因为他需要使用一个不太常用的磁盘柜和控制器作为“存储节点”来实现高可用性。LeftHand最初给我们提供了六个存储节点进行测试,以突出他们在高可用性方面的能力,但是我们比较推荐以三个存储节点作为标准来评估他们的能力,因为这种情况下它和我们其他测试的磁盘阵列有着差不多的价格区间和能力。
 
  这样LeftHand磁盘存储的高可用性看起来比较令人满意,但是如果你想要获得这个高可用性的功能需要付出较高的成本,除非你的需求真正的需要以SAS高速磁盘组成的18TB的存储空间。
 

阅读(638) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~