Indsæt denne enkle sikkerhedsforanstaltning for iSCSI-lagringsnetværk

I iSCSI-lagringsverdenen er det vanskeligt at tage den samme tilgang, som du måske har haft i fiberkanalens lagerverden. Det mest åbenlyse eksempel i dette tilfælde er det system, der ser hvilke LUN'er. Selvfølgelig er det ganske let i en åben lagringszone, hvor hvert system på lagringsnetværket vil se alle tilgængelige LUN. Desuden vil den åbne lagerzone adskilles fra anden trafik i det fysiske medielag for at tilvejebringe et mål for sikkerhed.

Hvad jeg for nylig er stødt på, er en smuk lille funktion i ReadyNAS-serien med samlede lagringsprodukter, der gør det muligt at sætte en meget vigtig sikkerhedsforanstaltning til iSCSI-opbevaring. Et iSCSI-kvalificeret navn (IQN) tildeles både en iSCSI-initiator og iSCSI-målet for iSCSI-lagringsnetværk. Hvad ReadyNAS-serien gør er at give en meget let interfacefunktion mulighed for at tilføje specifikke iSCSI-initiatorer til at modtage en bestemt LUN. Figur A viser denne indstilling i ReadyNAS-webkonfigurationsværktøjet: Figur A

Click image to enlarge

Hvad der sker, når der indsættes en bestemt IQN her, er at kun et system kan oprette forbindelse til det LUN. Andre systemer kan se målet, men kan ikke oprette forbindelse til lydstyrken og bruge det. I dette særlige eksempel med ReadyNAS-serien kan der yderligere tilføjes flere IQN'er i dette afsnit af konfigurationen af ​​iSCSI-volumen for at muliggøre klynger og andre teknikker.

Det er ganske let at bestemme en servers IQN. På Windows-systemer skal du blot køre “iSCSI Initiator” appleten fra Kontrolpanel og gå til konfigurationsfanen. På vSphere-systemer er det en egenskab for lageradapteren. Figur B viser dette afsnit for både en ESXi-vært og et Windows-system: Figur B

Click image to enlarge

Jeg har brugt ReadyNAS-enheden som mit eksempel, fordi konfiguration af denne indstilling ganske let udføres i grænsefladen, og mange andre samlede lagringsprodukter i dette prispunkt ikke har denne indstilling tilgængelig. Adskillelse på netværksniveauer kan være en mulighed, men med et stort antal systemer kan det være praktisk talt umuligt at levere mange tilslutningsmuligheder på lagringscontrollere med et begrænset antal netværksgrænseflader. Konceptet med at beskytte IQN'er er naturligvis almindeligt på større lagringssystemer, men for mindre samlet lagring er dette temmelig glat.

Appealer denne IQN-adgangskontrolliste slags til dig på en så nem måde? Hvordan beskytter du LUN'er mod utilsigtet belastning på andre systemer? Del dine kommentarer nedenfor.

© Copyright 2020 | mobilegn.com