《复杂环境下的集成问题》由会员分享,可在线阅读,更多相关《复杂环境下的集成问题(5页珍藏版)》请在金锄头文库上搜索。
1、集成iSCSI和FC SAN有五种常见的方法,各有优缺,适应环境也各不相同。不久前,中小公司开始部署iSCSI,以前他们都采用直连式存储;大公司一直采用FC SAN, 而且技术更加成熟。但是,iSCSI技术成本较低、简单明了,财富1000强公司中已经有 越来越多的公司开始利用iSCSI SAN实施FC基础架构,用以保护数据,实现Tier-2存储。集成iSCSI和FC也存在很大挑战。将iSCSI引入现有的FC SAN中,不仅会产生集成问 题,还会导致一些存储架构变复杂,因为存储架构不仅需要了解和FC,还要有能力管理 和调试多协议存储环境。试图这么做的存储架构师必须非常熟悉iSCSI的设计选项,因
2、为 这些设计会影响集成产品的性能、安全和可用性。性能iSCSI的一些新特性与IP协议的性质密切相关。FC协议适合于连接服务器和阵列的网 络,基于IP协议的iSCSI可能会与非存储IP流量竞争。为了减少IP流量混乱带来的影响, 数据中心的管理员应该通过专用iSCSI网络分离iSCSI流量和非存储流量,因为专用iSCSI 网络与网络其他部分没有物理连接,或者采用访问控制清单、虚拟局域网(VLAN)等以太 网隔离技术。华盛顿Spokane公共学校的高级网络管理员Kevin Mount说:为了避免内 部LAN产生干涉,我们决定在Foundry公司生产的48端口以太网交换机中独立运行iSCSI 网络。”
3、尽管物理隔离和虚拟隔离技术大大提高了安全和性能,存储管理员依然需要在网络交换 机和适配器中利用以太网巨帧和流量控制等先进技术,缓减阻塞,优化吞吐量。当一条千兆 链路的网络带宽不够用时,可以利用以太网链路聚集trunking)或链路汇集,将多条链路 连接成一条聚集链路;这样就不必部署价格昂贵的10Gb以太网基础设施,又能克服网络带 宽的限制。在主机方面,TCP卸载引擎(TOE)和iSCSI HBA可以有效节省CPU周期,尤其是对速 度较慢但注重性能的应用程序服务器。SNIA IP存储论坛主席David Dale认为,尽管TCP 和iSCSI的传输速率为1Gb/s,不足最先进服务器硬件速率的10%
4、,而目前85%的iSCSI在 部署过程中只采用iSCSI Initiator软件,但是一旦10Gb iSCSI得到普及,TOE和iSCSI HBA 的作用就会越来越大。除了改善I/O性能,iSCSI HBA还会增加从SAN启动和加密等服务在多协议环境中,存储管理员需要注意以太网的特性,如以太网交换机和网络接口卡 (NIC)之间的容错速度/方式会产生自适应问题,可能对iSCSI网络的性能产生不利影响。Mount说:“为了降低自适应问题发生的概率,我们对所有的交换机和服务器以太网端口设 置不可更改的编码。”安全iSCSI和FC采用不同的方法保证存储访问的安全,这可能是多协议存储架构师必须解 决的最
5、大问题。FC利用FC交换机实行分区,通过全局名称排列LUN编号和主机标识,而 iSCSI采用上述隔离iSCSI的物理和虚拟方法,通过IP地址、主机系统和存储设备的名称、 内部/外部CHAP身份验证等方式限制访问,从而保证存储安全。实行多种iSCSI身份验证方式似乎让人不知所从,其实规则很简单:对于基于IP实现 隔离的iSCSI网络,主机系统和存储设备的名称就已经足够验证用户身份。在iSCSI与LAN 之间存在物理连接的情况下,应该部署更加严密的CHAP身份验证方式,消除IP地址访问 iSCSI LUN时带来的外部影响。当环境中拥有大量iSCSI设备时,可以采用Radius服务器 实现集中验证,
6、这样就不需要在iSCSI的存储设备中管理用户证书。休斯顿贝勒医学院企业服务与信息系统主管Mike Layton采用了类似的策略,他利用主 机系统和存储设备名称实现iSCSI授权,验证访问其FC SAN的少量服务器。他的基于日立 数据系统(HDS)公司的FC SAN,在隔离的iSCSI LAN中采用NetApp FAS980C网关产品。集成iSCSI和FC的最大好处在于:支持IP协议中的IPsec加密协议,IP流量出现故 障时,都应该集成iSCSI和FC。但是,当服务器处于繁忙状态时,IPsec加密协议的开销非 常大。在采用IPsec协议的环境中,服务器和网络带宽匮乏的计算机都应该凭借Caviu
7、m网 络公司等公司提供的硬件加密技术,配备iSCSI HBA或NIC。从网络层面讲,Decru公司(现 为NetApp)、NeoScale系统公司等公司都提供加密产品,设置在数据存取路径中,在FC 和iSCSI数据抵达网络附属存储阵列之前,就对其进行加密。存储管理接口很容易受到安全漏洞的攻击,但是在存储设计过程中又通常遭到忽视。不 设密码、所有存储设备只设一个密码或者从不更改密码,都会使设计良好的SAN面临危险。 只有特定系统和密码策略非常有效的VLAN才能访问管理接口,在具有大量IP设备的环境中 采用集中化的Radius身份验证服务器,这些措施可以降低未获认证的管理变化带来的风险。可用性可用
8、性是包括iSCSI SAN在内的SAN最重要的性能需求,需要在服务器、网络和阵列等 层面上进行部署。在网络层面上,可以成对部署交换机,采用生成树状动态路由等以太网故 障转移技术,实现冗余。在服务器层面上,通过双连服务器和以太网交换机,实现高可用性。 凭借微软公司2005年发布的iSCSI Initiator 2.0版,多路径IO(MPIO)使主机能够与iSCSI 网络实现冗余连接。“我们的主机全都运行MPIO,而且与iSCSI SAN实现双连接。”麻省 Babson学院和Wellesley学院开发体系结构主任Kuljit Dharni解释道:“主板上的NIC 卡用于常规的LAN访问,以太网端口
9、和英特尔PCI千兆网络适配器与iSCSI SAN相连。”iSCSI存储设备的冗余选项根据供应商和产品种类而定。iSCSI网关产品、智能存储交 换机和基于服务器的iSCSI存储设备,都可以在群集配置中见到,所谓群集配置是指两套设 备以双机互备援(active-active)模式或双机热备份(active-passive)模式运行。一些 中端存储阵列产品支持iSCSI,如EMC公司的Clariion CX3-20和CX3-40产品,可以通过 双控制器架构提供冗余。高端阵列如EMC公司的Symmetrix DMX系列产品需要底盘,只是简单地添加多个iSCSI刃片就能实现冗余。iSCSI集成选项将iS
10、CSI集成到FC SAN中的方法多样、程度不一,取决于现有的存储环境和集成目的。 一方面,存储架构师都有各自的目标,如贝勒学院的Layton希望通过iSCSI访问所有的 FC存储。另一方面,存储管理员也有各自的目标,如Dharni完全实施iSCSI,不再使用FC SAN。另外,还可以同时运行FC和iSCSI SAN,Spokane公立学校的Mount和伊利诺伊北伯克(Northbrook) Logs金融服务公司的数据系统管理员Dan Schneidemantle就采用这种方 法。在上述的最后一种情况中,设计时需要考虑的关键因素是iSCSI和FCSAN集成的程度。 在多协议环境中,存储架构师往往
11、部署iSCSI SAN,并使其与现有的FC架构同时运行,独 立管理,以避免产生复杂的集成问题。EqualLogic产品管理部主任Eric Schott说:“我 们的大多数客户独立运行iSCSI SAN和FC SAN”iSCSI LUN和FC LUN采用不同的安全 模式,要将其匹配可不是件容易的事。”Schott补充道,“对许多存储架构师而言,就算 集成好处再多,如果会增加系统复杂性也就不值得了。”对于由一个供应商提供的多协议存储阵列,可以统一管理iSCSI和FCSAN。EMC、HDS、 HP和Net-App等公司都提供多协议阵列,统一管理iSCSI和FC,在某些情况下还可以管理 NAS。Fal
12、conStor软件公司、NetApp公司和Sanrad公司提供的iSCSI虚拟化产品也可以 实现统一存储管理。存储管理员若要将iSCSI集成到现有的SAN中,需要考虑以下集成问题: iSCSI网关支持iSCSI的FC交换机和导向器智能存储交换机和网关基于阵列的iSCSI集成方式基于服务器的iSCSI集成方式支持iSCSI的FC交换机iSCSI网关iSCSI网关可以转换协议,将iSCSI协议转化为FC协议,反之亦然。通常,iSCSI网关 至少具有两个FC端口,可以连接到终端FC存储设 备;至少具有两个1Gb的以太网端口, 和服务器进行IP连接。iSCSI网关把FC LUN作为iSCSI的存储设备
13、,通过IP就可以访问 FC存储,无需在服务器中设置FC HBA。常见的网关产品有:博科通讯公司的iSCSI网关、 思科系统公司的MDS 9216i、Emulex公司的725/735 iSCSI存储路由器、以及QLogic公司 的SANbox 6140智能存储路由器。在SAN中利用iSCSI网关产品实现存储需要两大步骤。首先,FC存储管理员为iSCSI 网关提供LUN,然后在iSCSI网关限制iSCSI对FC LUN的访问,只有特定的IP地址、主机 系统和存储设备、或者CHAP证书才能访问LUN。一旦完成这些设置,并且在iSCSI客户机 上正确配置iSCSI存储设备,就可以在本地磁盘驱动器中看到
14、指定存储。iSCSI网关的主要好处就是,可以十分容易、毫无故障地将其添加到现有的FCSAN中。 iSCSI网关不需要FC网络改变架构,只需简单地配置iSCSI Initiator软件,服务器就能 访问FC存储。但是,iSCSI网关价格较贵一套iSCSI网关产品的市场价大约为10,000 美元。Windows系统和Linux系统的FC HBA至少需要花费400美元,因此有必要分析成本 与收益:只有当大量服务器采用iSCSI网关时,才比较合算。服务器数量较少时,可以在服 务器中添加FC HBA,直接连到FC SAN,这样显得更合算。博科公司市场产品部主任MarioBlandini说:“你至少需要拥
15、有100台服务器,才能看到iSCSI网关的性价优势。”支持iSCSI的FC交换机如果你运行高端FC交换机和导向器,你的供应商很有可能会竭力推荐iSCSI网关,这 样你就不必独立部署网关产品。将iSCSI网关放入FC导向器中,你就拥有了独立的管理控 制台,继承导向式交换机的所有冗余和性能优势。博科公司提供的SilkWorm 48000交换器就配备SilkWorm FC4-16IP iSCSI网关,交换 器具有8个4Gb/sec的FC端口,8个1Gb的以太网端口,聚集的吞吐量达64Gb/sec。同理, 思科公司供应IP存储服务模块(8个1Gb的以太网端口)和多协议服务模块(14个2Gb/sec 的
16、FC端口、2个1Gb的以太网端口),分别匹配MDS 9200系列的多层网络交换机and MDS 9500系列的多层导向器。供应商将iSCSI协议载入FC交换机,提供独立的iSCSI网关产品不具备的特性。例如, 思科的产品支持虚拟路由冗余协议(VRRP),存储架构师就能为以太网与iSCSI的连接配 置可选路径,这时如果主要端口发生故障,以太网端口能继续传输iSCSI。思科的iSCSI服 务器负载平衡(iSLB),使存储管理员可以利用一个iSCSI目标入口(target-portal)的 IP地址,配置所有的服务器,将以太网端口的任务传输到交换机。交换机将以太网端口的 内容传输到iSCSI客户机,这么做不仅可以简化存储管理,还可以设计冗余充分的iSCSI 网络,只要允许iSLB通过VRRP自动重新分配无效端口即可。智能存储交换机和网关iSCSI网关受到协议转换的限制,而智能交换机和网关却能提供虚拟化、
