VMware Storage – iSCSI – بخش چهارم

بدلیل اینکه در تکنولوژی iSCSI هاست به remote target متصل میشود و داده ها در هنگام انتقال encrypt نمی شوند لذا شما می بایست از امنیت آن اطمینان حاصل کنید. به عنوان بهترین تجربه توصیه می شود که از CHAP برای ایمن کردن storage network استفاده نمائید

ESXI از دو متد CHAP Authentication پشتیبانی می کند:

  1. unidirectional: همچنین one-way CHAP نامدیه می شود که در این حالت target شما initiator را authenticate می کند اما initiator شما target را authenticate نمی کند. شما می بایست CHAP secret یا همان CHAP password را برای initiator هایی که می خواهید به target ها متصل شوند مشخص نمائید
  1. bidirectional: همچنین mutual CHAP نامیده می شود و فقط برای software iSCSI قابل اجرا می باشد. یک سطح اضافی از امنیت است که initiator ها را قادر می سازد تا target ها را نیز authenticate نمایند. شما می بایست target secret و initiator secret متفاوتی را تعیین نمائید

CHAP از الگوریتم 3-way handshake برای چک کردن هویت هاست شما استفاده می کند و همچنین بالعکس. verify کردن نیز براساس یک predefine private value و یا CHAP secret می باشد که بین initiator و target به اشتراک گذاشته شده است.

ESXI از CHAP authentication در سطح adapter پشتیبانی می کند. در این حالت همه target ها یک CHAP secret از iSCSI initiator دریافت می کنند. برای software iSCSI ،هاست ESXi از pre-target CHAP authentication پشتیبانی می کنند.

نکته: بصورت پیش فرض CHAP پیکربندی نشده است.

برای پیکربندی CHAP بروی هاست ESXi در سطح adapter در دیالوگ باکس iSCSI Initiator Propertise بروی تب general کلیک و سپس بروی CHAP برای نمایش دیالوگ باکس CHAP credential کلیک کنید.

زمانیکه شما پارامترهای CHAP را انتخاب می کنید شما با این گزینه ها روبرو می شوید:

Do not use CHAP: با استفاده از این گزینه هاست از CHAP برای احراز هویت استفاده نمی کند.اگر این گزینه را انتخاب کنید احراز هویت غیر فعال می شود

Do not use CHAP unless required by target: با این گزینه هاست ترجیح می دهد که ارتباط بصورت non-CHAP باشد ولی اگر target به احراز هویت نیاز داشت به اتصالات CHAP اجازه می دهد (البته این امکان تنها برای iSCSI software initiator می باشد)

Use CHAP unless prohibited by target: با این گزینه هاست ترجیح می دهد که ارتباط بصورت CHAP باشد ولی اگر target احراز هویت را منع کند اتصالات بصورت non-CHAP مورد استفاده قرار می گیرد.

use CHAP: با این گزینه هاست به احراز هویت موفقیت آمیز CHAP نیاز دارد (البته این امکان تنها برای iSCSI software initiator می باشد). همچنین شما باید mutual CHAP را نیز پیکربندی نمائید

قبل از پیکربندی CHAP می بایست هم فعال بودن CHAP را در iSCSI storage چک کنید و هم متد CHAP Authentication که سیستم پشتیبانی می کند را چک کنید. اگر فعال بود شما می بایست آن را برای initiator ها فعال نمائید و همچنین اطمینان حاصل کنید که CHAP Authentication credentials هاست را با credential هایی که بروی iSCSI storage تطابق داشته باشند.همچنین vmware توصیه می کند که از CHAP با مشورت vendor که iSCSI SAN را از آن تهیه نموده اید اقدام به پیکربندی CHAP نمائید تا بهترین نتیجه حاصل گردد.

ESXi از دو متد iSCSI target discovery پشتیبانی می کند:

1static discovery: در این حالت initiator نیاز به انجام discovery ندارد چراکه initiator همه target ها را با استفاده از ip address و یا dns name می شناسد و به آنها متصل می شود.

2- dynamic discovery: این متد بنام sendtarget discovey نیز خوانده می شود. هر زمان که initiator به یک iSCSI server مشخص متصل می شود ،درخواست SendTarget را برای سرور ارسال می کند. سرور بوسیله یک لیست فراهم شده از target های در دسترس initiator به آن پاسخ می دهد. name و ip address این target ها بعنوان static target ها در vSphere Client ظاهر می شوند. اگر شما یک static target را بوسیله dynamic discovery حذف کنید ،target ممکن است در زمان اسکن بعدی و یا HBA reset و یا host reboot به لیست برگردد

پیکربندی iSCSI hardware initiator:
1- قبل از شروع پیکربندی iSCSI hardware initiator اطمینان حاصل کنید iSCSI HBA به درستی نصب شده و در لیست storage adapter های موجود برای پیکربندی نمایش داده می شود. برای اینکار در هاست بروی تب configuration کلیک کنید و Storage Adapters را انتخاب کنید.اگر initiator بدرستی نصب شده باشد شما می توانید properties آن را مشاهده نمائید.

2-اگر ضروری باشد شما می توانید alias name و iSCSI name را تغییر دهید.و همچنین می بایست از فرمت درست iSCSI name آن اطمبنان حاصل کنید. برخی از Storage device ها ممکن است hardware initiator ها را شناسایی نکنند. اگر شما iSCSI name را تغییر داده اید حتما می بایست name جدید در iSCSI session جدید مورد استفاده قرار گیرد. برای session های موجود تنظیمات جدید تا زمانیکه logout نکرده اید و مجددا login نکرده اید مورد استفاده قرار نمی گیرند.

3- پیکربندی یک یا چند target dicovery address که iSCSI initiator می تواند تعیین کند که کدام storage بروی شبکه برای استفاده قابل دسترسی می باشد.

4-پیکربندی CHAP برای بررسی صحت initiator ها که به target ها بروی شبکه دسترسی دارند.فقط one-way CHAP برای hardware initiator ها قابل دسترسی می باشند.

نکته: مراحل پیکربندی target discovery address , CHAP برای software initiator و hardware initiator یکسان می باشند.

 

نویسنده: احسان علیمحمدی