Introdución e características de iSCSI

De Manuais Informática - IES San Clemente.
Revisión del 09:23 13 oct 2014 de Antonio (discusión | contribuciones)
(dif) ← Revisión anterior | Revisión actual (dif) | Revisión siguiente → (dif)
Ir a la navegación Ir a la búsqueda

¿Que é iSCSI?

  • iSCSI é un estándar que permite o uso do protocolo SCSI sobre redes TCP/IP.
  • Este protocolo permite acceder aos dispositivos de almacenamento a nivel de bloque, de forma que dende o punto de vista dos drivers e as aplicacións, os dispositivos parecen estar conectados realmente como dispositivos SCSI locais.
  • Ao contrario que outros protocolos de rede deseñados para almacenamento como por exemplo o canal de fibra, só require unha interface Ethernet para funcionar, preferiblemente con unha velocidade de 1 Gbps xa que de ser inferior o acceso aos discos sería moi lento.
  • A diferenza dos dispositivos NAS, os dispositivos iSCSI non inclúen software no servidor para controlar as peticións de acceso simultáneo dende os diferentes equipos cliente. Permitir que múltiples equipos teñan acceso simultáneo a un dispositivo único é unha tarefa difícil, xa que é necesaria unha comunicación entre eles para que cada un saiba cales son as intencións do resto dos equipos da rede.

Elementos de iSCSI

  • O protocolo iSCSI vai permitir aos clientes (chamados iniciadores) enviar comandos SCSI (CDBs) a dispositivos de almacenamento SCSI (chamados destinos ou targets), como poden ser un conxunto de discos duros ou unha cabina de cintas, en servidores remotos.
  • O iniciador pode ser un software instalado sobre un sistema operativo ou implementado nalgún hardware deseñado especificamente para iSCSI.
  • Tanto os iniciadores como os destinos iSCSI teñen uns nomes con un formato específico, definidos no RFC 3720 e RFC 3721. Brevemente, o formato é o seguinte:
    • Comezan por iqn.
    • A continuación ano e mes (no formato yyyy-mm) na que se tomou posesión do dominio.
    • A continuación o nome do dominio ao revés (com.exemplo, ga.cursosv, etc.)
    • Opcionalmente, pódese poñer ":" seguido do nome dun destino iSCSI.
    • Un exemplo dun nome de destino iSCSI:
iqn.2001-04.com.example:storage.tape1.sys1.xyz
  • Os iniciadores iSCSI poden utilizar o protocolo iSNS (Internet Storage Name Service) para localizar os recursos de almacenamento, aínda que na maioría dos casos este servizo non se usa nas implantacións de iSCSI.

Seguridade en iSCSI

Resulta bastante importante establecer mecanismos de seguridade para evitar que equipos non autorizados accedan a dispositivos iSCSI, xa que estes dispositivos seguramente almacenen información sobre a que teremos que manter unha serie de requisitos de confidencialidade.

Para acadar este obxectivo, temos dúas técnicas fundamentais que podemos utilizar:

  • Autenticación CHAP: Os iniciadores iSCSI poden probar a súa identidade usando este protocolo. Tendo en conta que este protocolo é vulnerable a ataques por dicionario, en iSCSI implántanse unha serie de regras (por exemplo, a lonxitude mínima do contrasinal é de 12 caracteres) para prever a maioría dos ataques. A variante CHAP Mútuo inclúe tamén a autenticación do destino iSCSI.
  • Illamento na rede dos dispositivos iSCSI: A idea é illar, ben a nivel físico, utilizando VLANs ou a nivel IP, a rede na que residen os iniciadores e destinos iSCSI do resto dos equipos da rede. Desta forma estes equipos non conseguirán acceder de forma fraudulenta aos dispositivos iSCSI.

Ademais disto, dado que iSCSI é un protocolo que funciona sobre IP, tamén pode utilizarse o protocolo IPSec no nivel de rede para cifrar toda a transmisión de datos entre iniciador e destino e evitar así que poidan espiarse os datos que se intercambian entre eles.



-- Antonio de Andrés Lema e Carlos Carrión Álvarez --