傳統san存儲搭建
『壹』 FC-SAN存儲網路 現有10台PC伺服器,1台光纖存儲交換機和1台存儲陣列,怎麼搭建,用什麼協議和技術。
1)您所謂的Pc 伺服器是 最終客戶端嗎?還是應用伺服器!我想應該是應用伺服器!
1.1在 連接邏輯上,你可以考慮把應用伺服器與存儲直接連,這樣讀寫速率可以最高發揮;前提是,存儲的介面夠多,且用戶進幾年不考慮擴展更多的應用(不用交換機)。
1.2 在存儲伺服器上,劃分弱干個卷/磁碟 給應用伺服器,當然,邏輯連接是,應用伺服器及存儲連接至 SAN交換機。你在存儲層劃分每個卷後,需要你指定HOST,那時你自然就看到 FC Host 列表中羅列的 應用伺服器;
2)你要注意,上面的2個方案均是基礎部署,沒有涉及到安全方案!所以你要考慮進去,比如本地或異地容災,或基於卷的CDP,,,你最少應該配置個頻率較高的Snapshot,,這些很重要!
『貳』 DAS、NAS、FC-SAN、IP-SAN到底是企業存儲搭建的方式還是具體的單個設備呢
DAS開放系統的直連式存儲,是一種直接與主機系統相連接的存儲設備,如作為伺服器的計算機內部硬體驅動
NAS是一種採用直接與網路介質相連的特殊設備實現數據存儲的機制,簡單說就是網路共享伺服器
DAS跟NAS是兩種硬體設備
SAN 是指存儲設備相互連接且與一台伺服器或一個伺服器群相連的網路
FC-SAN是採用光纖通道標准協定所架構而成的儲域網路,亦是用以儲存資料所流通的網域
IP-SAN藉助IP SAN存儲區域網,基於iSCSI流高速交換平台,運行帶內(in-band)虛擬化存儲管理軟體,將各種存儲設備(包括磁碟、磁帶及其他存儲設施)聯接起來
在iSCSI出現以後,用IP技術搭建存儲區域網路不再是不可能的事情,越來越多的SAN使用iSCSI技術來搭建。僅僅幾年,多數用戶已經考慮使用IP SAN的技術來替代原本需要使用FC SAN的物理架構
相對於IP SAN,FC SAN的弱點是明顯的。它無法使存儲設備隨它在Internet上運行,從而無法滿足應用前端對存儲數據「隨時隨地」的要求。FC SAN的物理覆蓋也有限。
IP SAN首先做FC SAN應用的補充,然後發揮自已遠程存儲的特長,佔領FC SAN無法涉足的領域,如數據災難備份應用、遠程數據復制整合服務及新創建的基於「存儲設備可沿網際網路自由移動」的新應用模式,最後在萬兆乙太網普及後的環境中,與FC SAN再爭高下。在不同的發展時期,採用不同的發展策略,是IP SAN真正立於不敗之地的應用策略。
『叄』 存儲思路:如何配置帶SAN的伺服器
LUN在陣列上進行設置,然後你必須在主機層對其進行處理。隨著存儲規模的不斷擴大,系統管理員對存儲的可用性與可靠性上的要求也越來越高。過去,把10個20GB的LUN分配給10個不同的分區還可以接受,現在200GB已經不能算做很大的容量了。
首先,在了解文件系統之前,我們有必要了解一些必要步驟。在創建一個文件系統之前,必須完成以下步驟:
按照之前文章中所述方法配置陣列,將LUN分配給主機。
連接光纖,每個卡一個,連接到兩個fabric上的兩台交換機上。
對兩個交換器進行分區,分區要恰當,以確保initiator與目標之間彼此可見。
確保可以看到所有的LUN。
配置多路徑:路徑故障排除。
最後一步比較困難,這取決於你所使用的操作系統與磁碟陣列。這一點,很快便會在下文中談及。
到這個時候,你就應該可以在伺服器上「看到」新的LUN了。在Windows操作系統下,打開磁碟管理器(Disk Manager)應當能夠讓新卷開始工作(有些要求必須重啟)。在Linux操作系統,起碼是最近的Linux版本,應該可以立刻發現新的LUN。在Solaris操作系統下,你需要運行「cfgadm」或者也有可能需要用到「devfsadm」命令才能夠看到新的LUN。
如果只有一條路徑通向存儲,那麼你就應該創建文件系統了。然而,絕大部分帶有SAN的主機都有兩條通向LUN的路徑,所以主機會看到同一個LUN兩次,每個目標一次。因為存儲陣列有兩個介面,因此,確實會有兩個目標。這時,需要主機能夠識別這兩個目標均其實是同一個卷。
多重路徑是基於主機的驅動,並且需要與陣列支持相結合,它可以為你的存儲陣列提供冗餘的連接。如果你希望在所有看到的LUN上創建文件系統,並決定讓每一個LUN彼此獨立的話,磁碟陣列將會不堪重負。陣列上有一個概念叫「主控制器」,如果某一initiator試圖訪問非主目標上的LUN,而不先使用首選的路徑的話,陣列就會自我保護。這是一種簡單而且不錯的方法,可以幫助你了解它。
如果你象我們上次推薦的那樣,為每個控制器分配了一個LUN,你的主機將能夠成功地使用一半的LUN。它可以創建文件系統,並且成功地使用每個LUN,但是只能通過它的首選控制器。如果控制器或者交換機出現了故障,唯一可能出現的情況就是一半的卷不見了。使用多重路徑設備節點意味著底層「真正」的設備可能會偶然消失,可是當磁碟和存儲陣列配合良好了之後,操作系統不會看到已經安裝好的磁碟設備消失掉。
真正配置多重路徑的工作決不煩瑣。如果你想讓生活更簡單些,可以使用Veritas Volume Manager來設置DMP(Dynamic MultiPathing)。它可以工作在所有的操作系統上,在每個操作系統上的工作情況也完全一樣。你還可以順帶著得到一個額外的好處——與操作系統無關的文件系統,如果需要在平台見遷移卷的話,這就會非常方便。
如果不能使用DMP,你有兩種方法來處理這種情況。首先,你可以嘗試從存儲製造廠商那裡獲取驅動。如果你購買的陣列支持你的操作系統,很可能只需要安裝廠商的驅動就可以解決問題。如果問題沒有得到解決的話,你可以嘗試用操作系統自帶的本地多重路徑驅動來解決問題。
例如Solaris操作系統就可以很好地支持多重路徑。它可以和Sun推崇的存儲良好配合,但是也許完全不能和一些存儲配合。這是一件有風險的事,因此,在購買該陣列之前,請確保已經對其有充分了解。
配置好了多重路徑之後,你就有了一套設備,你可以自由地使用它們。真實的設備現在並不顯示出來,所以你希望確保你在使用的是多重路徑設備節點,而不是物理路徑。
接下來的就到了很有趣的一個部分。你要開始計劃並搭建文件系統了。在這里要特別小心,因為即使是有Veritas 或者ZFS這樣靈活的卷管理器,可是如果做出了錯誤的決定,你仍然會把自己逼進了死胡同。這些決定都是關於使用細節的,所以在這里我能給出的最好建議就是仔細考慮。絕大部分人都喜歡把一定數量的LUN結合在一起,形成一個更大一些的文件系統,但是注意不要把文件系統弄得太大了,以免無法在一個合理的時間范圍內完成對它的備份。太大的文件系統還意味著故障修復工作會變得極其痛苦。
當然,不要忘記在安全的地方保存交換機和陣列的設置,並把你的多路徑和文件系統決策用文件的方式記錄下來。多路徑最大的優點體現在測試階段。現在向前沖吧,可以考試拷貝大文件,充分利用光纖啦!
『肆』 如何在Solaris下進行SAN存儲配置
Oracle Solaris 10 和 Oracle Solaris 11 自帶了一個光纖通道發起方系統,您可以對它進行配置以便將 Sun ZFS
存儲設備提供的光纖通道 (FC) LUN 集成到 Oracle Solaris 環境中。本文介紹如何配置 Oracle Solaris 光纖通道系統以及如何配置
Sun ZFS 存儲設備來配置供 Oracle Solaris 伺服器訪問的 FC LUN。可以使用瀏覽器用戶界面 (BUI) 完成這些配置。
本文做出以下假設:
已知 Sun ZFS 存儲設備的 root 帳戶口令。
已知 Sun ZFS 存儲設備的 IP 地址或主機名。
已配置好 Sun ZFS 存儲設備使用的網路。
Sun ZFS 存儲設備已配置有具有足夠可用空閑空間的存儲資源池。
已知 Oracle Solaris 伺服器的 root 帳戶口令。
Sun ZFS 存儲設備已經連接到光纖通道交換機。
已在 FC 交換機上配置了相應的區域,允許 Oracle Solaris 主機訪問 Sun ZFS 存儲設備。
配置 Oracle Solaris FC 系統
為了讓 Sun ZFS 存儲設備和 Oracle Solaris 伺服器彼此標識,每個設備的 FC 全球編號 (WWN)
必須在另一個設備中注冊。您必須確定在 FC 交換機上實現的某些形式 FC 區域的 WWN。
主機的 FC WWN 用於向 Sun ZFS 存儲設備標識主機,並且需要它來完成本文中的配置過程。
WWN 來自在 Oracle Solaris 主機和 Sun ZFS 存儲設備中安裝的 FC 主機匯流排適配器 (HBA)。
為了配置 Oracle Solaris FC 系統,您需要知道 Sun ZFS 存儲設備的 WWN。在傳統的雙結構存儲區域網路 (SAN) 中,Sun
ZFS 存儲設備至少有一個 FC 埠連接到每個結構。因此,您必須至少確定兩個 FC WWN。
標識 Sun ZFS 存儲設備 FC WWN
首先,您需要建立一個到 Sun ZFS 存儲設備的管理會話。
在 Web 瀏覽器的地址欄中輸入一個包含 Sun ZFS 存儲設備的 IP 地址或主機名的地址,如以下 URL 所示:
https://<ip-address or host name>:215
將顯示登錄對話框。
輸入用戶名和口令,然後單擊 LOGIN。
成功登錄到 BUI 之後,您可以通過 Configuration 選項卡標識 WWN。
單擊 Configuration > SAN > Fibre Channel
Ports。
將顯示安裝在 Sun ZFS 存儲設備中的 FC 埠。由於每個 HBA 通道只有一個已發現的埠,因此這必須是 HBA 通道本身。
在前面的示例中,埠 1 具有 WWN 21:00:00:e0:8b:92:a1:cf,埠 2 具有 WWN
21:01:00:e0:8b:b2:a1:cf。
在每個 FC 埠框右側的列表框中,應該將 FC 通道埠設置為 Target。如果情況並非如此,則 FC
埠可能用於其他用途。在調查原因之前,請不要更改設置。(一種可能的原因是可能用於了 NDMP 備份。)
標識 Oracle Solaris 主機 HBA WWN
如果 Oracle Solaris 主機已經通過相應的電纜連接到 FC 交換機,則使用以下命令來標識 WWN。
要獲得主機的 WWN,輸入以下命令:
root@solaris:~# cfgadm -al -o show_FCP_dev
root@solaris:~#
在該輸出中,您需要的控制器號為 c8 和 c9。當埠類型為
fc-fabric 時,您還可以看到兩個埠都連接到一台 FC 交換機。接下來,查詢這些控制器來確定發現的 WWN。
如果 HBA 埠未用於訪問任何其他連接 FC 的設備,則可使用以下命令來確定 WWN。
root@solaris:~# prtconf -vp | grep port-wwn
port-wwn: 210000e0.8b89bf8e
port-wwn: 210100e0.8ba9bf8e
root@solaris:~#
如果正在訪問 FC 設備,則以下命令將顯示 FC HBA WWN。
root@solaris:~# luxadm -e mp_map /dev/cfg/c8
root@solaris:~#
顯示為類型 0x1f 的最後一個條目 (Unknown type, Host Bus Adapter)
在埠 WWN 條目下提供了相應的 WWN。重復此命令,使用在第 1 步中標識的其他控制器替換
/dev/cfg/c8。
從輸出中,您可以看到 c8 具有 WWN
21:00:00:00:e0:8b:89:bf:8e,c9 具有 WWN
21:01:00:e0:8b:a9:bf:8e。
然後,可以使用 Sun ZFS 存儲設備 HBA 和 Oracle Solaris 主機 HBA WWN 來配置任何 FC 交換機區域。
完成此操作之後,您可以運行以下命令來驗證正確的區域:
root@solaris:~# cfgadm -al -o show_FCP_dev c8 c9
root@solaris:~#
現在,您可以看到可由 Oracle Solaris 主機訪問的 Sun ZFS 存儲設備提供的 WWN。
使用瀏覽器用戶界面配置 Sun ZFS 存儲設備
作為一個統一的存儲平台,Sun ZFS 存儲設備既支持通過 iSCSI 協議訪問數據塊協議
LUN,又支持通過光纖通道協議進行同樣的訪問。這一節講述如何使用 Sun ZFS 存儲設備 BUI 來配置 Sun ZFS 存儲設備,使其能夠識別 Oracle
Solaris 主機並向該主機提供 FC LUN。
定義 FC 目標組
在 Sun ZFS 存儲設備上創建目標組,以便定義 Oracle Solaris 伺服器可通過哪個埠和協議訪問提供給它的 LUN。對於此示例,創建 FC
目標組。
執行以下步驟在 Sun ZFS 存儲設備上定義 FC 目標組:
單擊 Configuration > SAN 顯示 Storage Area Network (SAN)
屏幕
單擊右側的 Targets 選項卡,然後選擇左側面板頂部的 Fibre Channel
Ports
將滑鼠放置在 Fibre Channel Ports 框中,將在最左側出現一個 Move 圖標()
單擊 Move 圖標並將此框拖到 Fibre Channel Target
Groups 框,如圖 4 所示。
拖動橙色框中的條目來創建新的目標組。將創建組,並將其自動命名為 targets-n,其中
n 是一個整數。
將游標移到新目標組條目上。在 Fibre Channel Target Groups 框右側會出現兩個圖標
要重命名新的目標組 targets-0,單擊 Edit 圖標()顯示對話框
在 Name 域中,將默認名稱替換為新 FC 目標組的首選名稱,單擊
OK。本例中用名稱 FC-PortGroup 替換
targets-0。在此窗口中,您還可以通過單擊所選 WWN 左側的框來添加第二個 FC 目標埠。第二個埠標識為 PCIe 1:Port 2。
單擊 OK 保存更改。
單擊 APPLY。 Fibre Channel Target Groups
面板中顯示了如上的更改。
定義 FC 發起方
定義 FC 發起方以便允許從一台或多台伺服器訪問特定卷。應該配置對卷的訪問許可權,以便允許最少數量的 FC
發起方訪問特定卷。如果多個主機可以同時寫入一個指定卷並且使用非共享文件系統,則各主機上的文件系統緩存可能出現不一致,最終可能導致磁碟上的映像損壞。一般對於一個卷,只會賦予一個發起方對該卷的訪問許可權,除非使用的是一種特殊的集群文件系統。
FC 發起方用於從 Sun ZFS 存儲設備的角度出發來定義「主機」。在傳統的雙結構 SAN 中,主機將至少由兩個 FC 發起方來定義。FC
發起方定義包含主機 WWN。為了向 Sun ZFS 存儲設備標識 Oracle Solaris 伺服器,必須在存儲設備中注冊 Oracle Solaris FC
發起方 WWN,為此要執行以下步驟。
單擊 Configuration > SAN 顯示 Storage Area Network (SAN)
屏幕
單擊右側的 Initiators 選項卡,然後選擇左側面板頂部的 Fibre Channel
Initiators
單擊 Fibre Channel Initiators 左側的 圖標顯示 New Fibre Channel Initiator 對話框
如果已在 FC 交換機上配置了區域,則應顯示 Oracle Solaris 主機的 WWN(假設沒有為它們指定別名)。
在對話框底部單擊一個 WWN(如果顯示)預填充全球名稱,或者在 World Wide Name 框中鍵入相應的
WWN。
在 Alias 框中輸入一個更有意義的符號名稱。
單擊 OK。
對於其他涉及 Oracle Solaris 主機的 WWN,重復前面的步驟。
定義 FC 發起方組
將一些相關 FC 發起方組成邏輯組,這樣可以對多個 FC 發起方執行同一個命令,例如,可以使用一個命令對一個組中的所有 FC 發起方分配 LUN
訪問許可權。對於下面的示例,FC 發起方組將包含兩個發起方。注意,在集群中,多個伺服器被視作一個邏輯實體,因此發起方組可以包含更多發起方。
執行以下步驟創建一個 FC 發起方組:
選擇 Configuration > SAN 顯示 Storage Area Network (SAN)
屏幕。
選擇右側的 Initiators 選項卡,然後單擊左側面板頂部的 Fibre Channel
Initiators。
將游標放置在上一節中創建的一個 FC 發起方條目上。此時,在該條目左側會出現一個 Move 圖標()
單擊 Move 圖標並將其拖到右側的 Fibre Channel Initiator
Groups 面板中。此時,在 Fibre Channel Initiators Groups 面板底部出現了一個新的條目(黃色亮顯)
將游標移到新的條目框上,然後釋放滑鼠鍵。此時會創建一個新的 FC 發起方組,其組名稱為
initiators-n,其中 n 是一個整數,如圖 13
所示。
將游標移到新發起方組條目上。在目標發起方組框右側會出現幾個圖標
單擊 Edit 圖標()顯示對話框
在 Name 域中,將新發起方組的默認名稱替換為選定名稱,單擊 OK。本例使用
sol-server 作為該發起方組名稱。
在此對話框中,您可以通過單擊 WWN 左側的復選框向組中添加其他 FC 發起方。
在 SAN 配置屏幕中單擊 APPLY 確認所有修改,如圖 15 所示。
定義 Sun ZFS 存儲設備項目
為了對相關卷進行分組,您可以在 Sun ZFS 存儲設備中定義一個項目。通過使用項目,可以繼承項目所提供文件系統和 LUN
的屬性。還可以應用限額和保留。
執行以下步驟創建一個項目:
選擇 Shares > Projects 顯示 Projects 屏幕
單擊左側面板頂部的 Projects 左側的 圖標顯示
Create Project 對話框
要創建一個新項目,輸入項目名稱,單擊 APPLY。在左側面板的 Projects 列表中出現了一個新項目。
選擇這個新項目查看其所含組件
定義 Sun ZFS 存儲設備 LUN
接下來,您將從一個現有存儲資源池中創建一個 LUN,供 Oracle Solaris 伺服器訪問。在下面的示例中,將創建一個名為
DocArchive1 的精簡供應 64 GB LUN。
我們將使用定義 FC 目標組一節中創建的 FC 目標組
FC-PortGroup 來確保可以通過 FC 協議訪問該 LUN。將使用定義 FC
發起方組一節中定義的發起方組 sol-server 來確保只有在 sol-server
組中定義的伺服器才可以訪問該 LUN。(在本例中,該發起方組只包含一個伺服器。)
執行以下步驟創建一個 LUN:
選擇 Shares > Projects 顯示 Projects 屏幕。
在左側 Projects 面板中,選擇該項目。然後選擇右側面板頂部的 LUNs
單擊 LUNs 左側的 圖標顯示 Create LUN
對話框,如圖 20 所示。
輸入合適的值以配置該 LUN。對於本例,將 Name 設置為
DocArchive1,Volume size 設置為 64 G,並且選中
Thin provisioned 復選框。將 Target Group 設置為 FC 目標組
FC-PortGroup,將 Initiator Group 設置為
sol-server。將 Volume block size 設置為
32k,因為該卷將保存 Oracle Solaris ZFS 文件系統。
單擊 APPLY 創建該 LUN 使其供 Oracle Solaris 伺服器使用。
配置 LUN 以供 Oracle Solaris 伺服器使用
現在我們已准備好了 LUN,可以通過 FC 發起方組使用它了。接著必須執行以下步驟,配置 LUN 以供 Oracle Solaris 伺服器使用:
發起一個連接 Sun ZFS 存儲設備的 Oracle Solaris FC 會話,如清單 1 所示。由於在發起該 FC 會話前已創建了 LUN,該
LUN 將會自動啟用。
清單 1. 發起 Oracle Solaris FC 會話
root@solaris:~# cfgadm -al c8 c9
root@solaris:~# cfgadm -c configure c8::210100e08bb2a1cf
root@solaris:~# cfgadm -c configure c9::210000e08b92a1cf
root@solaris:~# cfgadm -al -o show_FCP_dev c8 c9
root@solaris:~#
驗證對 FC LUN 的訪問,如清單 2 所示。
清單 2. 驗證對 FC LUN 的訪問
root@solaris:~# devfsadm -c ssd
root@solaris:~# tail /var/adm/messages
[...]
[...]
在本例中,多路徑狀態最初顯示為 degraded,因為此時只識別了一個路徑。進一步,多路徑狀態更改為
optimal,因為存在多個到達卷的路徑。
磁碟設備現在同樣可供內部伺服器磁碟使用。
格式化 LUN,如清單 3 所示。
清單 3. 格式化 LUN 格式
root@solaris:~# format
Searching for disks...done
: configured with capacity of 63.93GB
AVAILABLE DISK SELECTIONS:
[...]
Specify disk (enter its number): 4
selecting
[disk formatted]
Disk not labeled. Label it now? y
FORMAT MENU:
disk - select a disk
type - select (define) a disk type
partition - select (define) a partition table
current - describe the current disk
format - format and analyze the disk
repair - repair a defective sector
label - write label to the disk
analyze - surface analysis
defect - defect list management
backup - search for backup labels
verify - read and display labels
save - save new disk/partition definitions
inquiry - show vendor, proct and revision
volname - set 8-character volume name
!<cmd> - execute <cmd>, then return
quit
format> q
在准備好的 LUN 上構建 Oracle Solaris ZFS 文件系統,為此創建一個新的 ZFS 池、將此設備添加到 ZFS 池中,並創建 ZFS
文件系統,如清單 4 的示例所示。
清單 4. 構建 Oracle Solaris ZFS 文件系統
root@solaris:~# zfs createzpool create docarchive1 \
root@solaris:~# zfs list
[...]
root@solaris:~# zfs create docarchive1/index
root@solaris:~# zfs create docarchive1/data
root@solaris:~# zfs create docarchive1/logs
root@solaris:~# zfs list
[...]
df(1) 命令的最後兩行輸出表明,現在大約有 64 GB 新空間可供使用。轉載僅供參考,版權屬於原作者。祝你愉快,滿意請採納哦
FC、IP網路的安全性
不論是光纖通道還是IP網路,主要的潛在威脅來自非授權訪問,特別是管理介面。例如,一旦獲得和存儲區域網路(SAN)相連接伺服器管理員的許可權,欺詐進入就可以得逞。這樣入侵者可以訪問任何一個和SAN連接的系統。因此,無論使用的是哪一種存儲網路,應該認識到應用充分的許可權控制、授權訪問、簽名認證的策略對防止出現安全漏洞是至關重要的。
測錯攻擊在IP網路中也比在光纖通道的SAN中易於實現。針對這類攻擊,一般是採用更為復雜的加密演算法。
盡管DoS似乎很少發生,但是這並不意味著不可能。然而如果要在光纖通道SAN上實現DoS攻擊,則不是一般的黑客軟體所能實現的,因為它往往需要更為專業的安全知識。
實現SAN數據安全方法
保證SAN數據安全的兩個基本安全機制是分區制zoning和邏輯單元值(Logical Unit Number)掩碼。
分區制是一種分區方法。通過該方法,一定的存儲資源只對於那些通過授權的用戶和部門是可見的。一個分區可以由多個伺服器、存儲設備、子系統、交換機、HBA和其它計算機組成。只有處於同一個分區的成員才可以互相通訊。
分區制往往在交換級來實現。根據實現方式,可以分為兩種模式,一為硬分區,一為軟分區。硬分區是指根據交換埠來制定分區策略。所有試圖通過未授權埠進行的通訊均是被禁止的。由於硬分區是在系統電路里來實現,並在系統路由表中執行,因此,較之軟分區,具有更好的安全性。
在光纖通道網路中,軟分區是基於廣域命名機制的(WWN)的。WWN是分配給網路中光纖設備的唯一識別碼。由於軟分區是通過軟體來保證在不同的分區中不會出現相同的WWNs,因此,軟分區技術比硬分區具有更好的靈活性,特別是在網路配置經常變化的應用中具有很好的可管理性。
有些交換機具有埠綁定功能,從而可以限制網路設備只能和通過預定義的交換埠進行通訊。利用這種技術,可以實現對存儲池的訪問限制,從而保護SAN免受非授權用戶的訪問。
另一種被廣泛採用的技術是LUN掩碼。一個LUN就是對目標設備(如磁帶和磁碟陣列)內邏輯單元的SCSI識別標志。在光纖通道領域,LUN是基於系統的WWN實現的。
LUN掩碼技術是將LUN分配給主機伺服器,這些伺服器只能看到分配給它們的LUN。如果有許多伺服器試圖訪問特定的設備,那麼網路管理者可以設定特定的LUN或LUN組可以訪問,從而可以拒絕其它伺服器的訪問,起到保護數據安全的目的。不僅在主機上,而且在HBA、存儲控制器、磁碟陣列、交換機上也可以實現各種形式的LUN屏蔽技術。
如果能夠將分區制和LUN技術與其它的安全機制共同運用到網路及其設備上的話,對網路安全數據安全將是非常有效的。
業界對存儲安全的做法
盡管目前對於在哪一級設備應用存儲安全控制是最優的還沒有一個明確的結論,例如,IPSec能夠在ASIC、VPN設備、家電和軟體上實現,但目前已有很多商家在他們的數據存儲產品中實現了加密和安全認證功能。
IPSec對於其它基於IP協議的安全問題,比如互聯網小型計算機介面(iSCSI)、IP上的光纖通道 (FCIP)和互聯網上的光線通道 (IFCP)等,也能起到一定的的作用。
通常使用的安全認證、授權訪問和加密機制包括輕量級的路徑訪問協議Lightweight Directory Access Protocol (LDAP)、遠程認證撥入用戶服務(RADIUS), 增強的終端訪問控制器訪問控制系統(TACACS+)、Kerberos、 Triple DES、高級加密標准(AES)、安全套接層 (SSL)和安全Shell(SSH)。
盡管SAN和NAS的安全機制有諸多相似之處,其實它們之間也是有區別的。很多NAS系統不僅支持SSH、SSL、Kerberos、RADIUS和LDAP安全機制,同時也支持訪問控制列表(ACL)以及多級許可。這裡面有一個很重要的因素是文件鎖定,有很多產品商家和系統通過不同的方式來實現這一技術。例如,微軟採用的為硬鎖定,而基於 Unix的系統採用的是相對較為鬆弛的建議級鎖定。由此可以看到,如果在Windows-Unix混合環境下,將會帶來一定的問題。
呼喚存儲安全標准化
SAN安全的實現基礎在交換機這一層。因此,存儲交換機的標准對網路產品製造商的技術提供方式的影響是至關重要的。
存儲安全標准化進程目前還處於萌芽階段。ANSI成立了T11光纖通信安全協議(FC-SP)工作組來設計存儲網路基礎設施安全標準的框架。目前已經提交了多個協議草案,包括FCSec協議,它實現了IPSec和光纖通訊的一體化;同時提交的還有針對光纖通訊的挑戰握手認證協議(CHAP)的一個版本;交換聯結認證協議(SLAP)使用了數字認證使得多個交換機能夠互相認證;光纖通信認證協議(FCAP)是SLAP的一個擴展協議。IEEE的存儲安全工作組正在准備制定一個有關將加密演算法和方法標准化的議案。
存儲網路工業協會(SNIA)於2002年建立了存儲安全工業論壇(SSIF),但是由於不同的產品商支持不同的協議,因此實現協議間的互操作性還有很長一段路要走。
關注存儲交換安全
大家都已經注意到了為了保證存儲安全,應該在存儲交換機和企業網路中的其它交換機上應用相同的安全預警機制,因此,對於存儲交換機也應有一些特殊的要求。
存儲交換安全最重要的一個方面是保護光纖管理介面,如果管理控制台沒有很好的安全措施,則一個非授權用戶有可能有意或無意地入侵系統或改變系統配置。有一種分布鎖管理器可以防止這類事情發生。用戶需要輸入ID和加密密碼才能夠訪問交換機光纖的管理界面。為了將SAN設備的管理埠通過安全認證機制保護起來,最好是將SAN配置管理工作集中化,並且對管理控制台和交換機之間的通訊進行加密。另外一個方面,在將交換機接入到光纖網路之前,也應該通過ACL和 PKI機制實現授權訪問和安全認證。因此,交換機間鏈接應當建立在嚴密的安全防範措施下。
『伍』 如何配置一個SAN或NAS的存儲環境,其主要的設備都需要什麼
我們先說NAS,NAS需要基於文件系統建立,需要單獨的NAS機頭或者乾脆你有一台NAS伺服器.然後向這台伺服器上掛載存儲設備,通過伺服器將空間共享給用戶.
再說SAN,配置類似於iSCSI,需要光纖交換機(SAN交換機)向交換機上接入存儲設備,可以接上百上千個埠。然後通過交換機集中存儲並把空間提供(注意不是共享)給同樣接在交換機上的應用伺服器。
『陸』 戴爾vmax存儲san環境怎麼搭建
部署zfs系統。
把SSD定義為zfs的緩存磁碟,然後把HBA卡設置為target模式,使用targetcli在zfs下的一個文件塊推送至vmware或者其他客戶端。先安裝ZFS文件系統支持,安裝targetcli,設置HBA卡為targetmode,重啟,檢查targetcli是否正確載入qla2xxx模塊,下面有qla2xxx輸出即為正常。創建backstore,推LUN,設置接入許可權,接入端也是兩個HBA卡,所以每個target設置兩個ACL。
『柒』 如何在雲計算平台上搭建存儲架構部署提供san區域存儲服務
雲計算架構主要可分為四層,其中有三層是橫向的,分別是顯示層、中間件層和基礎設施層,通過這三層技術能夠提供非常豐富的雲計算能力和友好的用戶界面,還有一層是縱向的,稱為管理層,是為了更好地管理和維護橫向的三層而存在的。
『捌』 存儲方式有幾種,如何實現;SAN結構建設費用是不是很大謝謝
存儲方式分四種:
1.DAS(直接附加存儲) 2.NAS(網路附加存儲) 3.SAN(存儲區域網絡) 4.GRIDStor(網格存儲) 目前第4種還在研發過程中,暫無任何產品
如何實現:
1.DAS:伺服器後端直接掛接存儲設備一般採用SCSI連線,屬於最低級存儲方案,擴展困難,佔用伺服器和網路資源很大.
2.NAS:在伺服器前端網路上掛接連接存儲設備,NAS模式只適合做網路文件共享用,性能有限.
3.SAN:在伺服器後端組建一個專有網路,連到各個伺服器以及存儲設備上,專為伺服器存儲用,數據流不走前端,很大程度上提高了性能,不過投資也是很大的.
隨著iSCSI技術的出現,組建SAN的投資也越來越能夠適應中小企業了,組建一個應用了iSCSI技術的入門級SAN所用的投資並不是那麼的不可想像.
『玖』 存儲的架構有哪些
目前市場上的存儲架構如下:
(1)基於嵌入式架構的存儲系統
節點NVR架構主要面向小型高清監控系統,高清前端數量一般在幾十路以內。系統建設中沒有大型的存儲監控中心機房,存儲容量相對較小,用戶體驗度、系統功能集成度要求較高。在市場應用層面,超市、店鋪、小型企業、政法行業中基本管理單元等應用較為廣泛。
(2)基於X86架構的存儲系統
平台SAN架構主要面向中大型高清監控系統,前端路數成百上千甚至上萬。一般多採用IPSAN或FCSAN搭建高清視頻存儲系統。作為監控平台的重要組成部分,前端監控數據通過錄像存儲管理模塊存儲到SAN中。
此種架構接入高清前端路數相對節點NVR有了較高提升,具備快捷便利的可擴展性,技術成熟。對於IPSAN而言,雖然在ISCSI環節數據並發讀寫傳輸速率有所消耗,但其憑借擴展性良好、硬體平台通用、海量數據可充分共享等優點,仍然得到很多客戶的青睞。FCSAN在行業用戶、封閉存儲系統中應用較多,比如縣級或地級市高清監控項目,大數據量的並發讀寫對千兆網路交換提出了較大的挑戰,但應用FCSAN構建相對獨立的存儲子系統,可以有效解決上述問題。
(3)基於雲技術的存儲方案
當前,安防行業可謂「雲」山「物」罩。隨著視頻監控的高清化和網路化,存儲和管理的視頻數據量已有海量之勢,雲存儲技術是突破IP高清監控存儲瓶頸的重要手段。雲存儲作為一種服務,在未來安防監控行業有著客觀的應用前景。
與傳統存儲設備不同,雲存儲不僅是一個硬體,而是一個由網路設備、存儲設備、伺服器、軟體、接入網路、用戶訪問介面以及客戶端程序等多個部分構成的復雜系統。該系統以存儲設備為核心,通過應用層軟體對外提供數據存儲和業務服務。
『拾』 Linux下如何搭建SAN系統
ipsan配置:
server端 192.168.1.20
安裝包 scsi-target-utils #yum安裝
vim /etc/tgt/targets.conf
<target iqn.2008-09.com.example:server.target1>
backing-store /dev/sda#你要共享的硬碟或分區
write-cache off
vendor_id xx #client配置udev時使用
proct_id xx #client配置udev時使用
initiator-address 192.168.1.0/24 #訪問列表
</target>
service tgtd start #開啟服務
tgt-admin show #檢查ipsan開啟狀態
client 192.168.1.11
安裝包 iscsi-initiator-utils
service iscsid start #開啟服務
iscsiadm -m discovery -t sendtargets -p 192.168.1.20:3260 #發現server端存儲
iscsiadm -m node -T iqn.2008-09.com.example:server.target1 -l #掛在分區
fdisk -l #查看分區是否掛在成功
iscsiadm -m node -T iqn.2008-09.com.example:server.target1 -u #卸載分區
以上在redhat系系統可用,未配置udev。