iSCSI (đọc là: ai-x-kơ-zi) là từ viết tắt của Internet Small Computer Systems Interface. iSCSI là một giao thức lớp vận chuyển hoạt động trên giao thức TCP (Transport Control Protocol). Nó cho phép truyền dữ liệu SCSI ở block-level giữa iSCSI initiator và storage target trên các mạng TCP / IP. iSCSI hỗ trợ mã hóa các gói mạng và giải mã khi đến đích.
SCSI là một tập các lệnh theo block kết nối các thiết bị điện toán với bộ lưu trữ được nối mạng, bao gồm cả phương tiện lưu trữ và đọc/ghi dữ liệu.
Giao thức này sử dụng các initiator để gửi các lệnh SCSI đến thiết bị lưu trữ đích (storage target) trên các máy chủ từ xa. Storage target có thể là SAN, NAS, bộ lưu trữ tape, máy chủ đa năng – cả SSD và HDD – LUN hoặc các loại khác. Giao thức này cho phép các quản trị viên khai thác tốt hơn các loại hình lưu trữ được chia sẻ bằng cách cho phép máy chủ lưu trữ dữ liệu vào bộ lưu trữ được kết nối qua mạng từ xa và ảo hóa thành phần lưu trữ từ xa cho các ứng dụng yêu cầu lưu trữ trực tiếp.
Các thành phần của iSCSI
iSCSI initiator, HBA hoặc iSOE
Các công nghệ này gói các lệnh SCSI vào các gói mạng và hướng chúng đến storage target. Các iSCSI initiator dựa trên phần mềm là một trong số các lựa chọn ít chí phí nhất và thường được kèm sẵn trong hệ điều hành (HĐH).
Host-based Adapter (HBA) là một thiết bị phần cứng. HBA đắt hơn phần mềm, nhưng hiệu suất của nó cao hơn với nhiều chức năng hơn. Một phần cứng thay thế cho thiết bị HBA đầy đủ là card iSOE với công cụ giảm tải cho iSCSI. Thiết bị này giảm tải các hoạt động của initiator khỏi bộ xử lý chính của máy chủ, giúp giải phóng các chu kỳ CPU trên các máy chủ lưu trữ.
iSCSI target
iSCSI vận chuyển các gói trên các mạng TCP / IP. Mục tiêu iSCSI là bộ lưu trữ từ xa, xuất hiện cho hệ thống máy chủ như một ổ đĩa cục bộ. Giao thức iSCSI liên kết các máy chủ và lưu trữ qua các mạng IP: LAN, WAN và Internet.
Khi các gói đến đích iSCSI, giao thức sẽ phân tách các gói để trình bày các lệnh SCSI cho hệ điều hành. Nếu iSCSI đã mã hóa gói mạng, nó sẽ giải mã gói ở giai đoạn này.
>>> Xem thêm: bán dell r740
Hiệu suất iSCSI
Hiệu suất của iSCSI phụ thuộc nhiều vào các công nghệ cơ bản như 10 Gigabit Ethernet (10 GbE) và công nghệ bridging trong trung tâm dữ liệu.
iSCSI và Fibre Channel: Hai phương pháp chính để lưu trữ truyền dữ liệu
iSCSI và Fibre Channel (FC) là phương pháp hàng đầu để truyền dữ liệu đến bộ lưu trữ từ xa. Nhìn chung, FC là một mạng lưu trữ hiệu năng cao nhưng đắt tiền, đòi hỏi các bộ kỹ năng quản trị chuyên biệt. iSCSI ít tốn kém hơn và đơn giản hơn để triển khai và quản lý, nhưng có độ trễ cao hơn.
Có các giao thức khác hoạt động bằng cách kết hợp cả hai loại. Phổ biến nhất có giao thức Fibre Channel over IP (FCIP), một giao thức tunneling để đồng bộ dữ liệu SAN-to-SAN, chúng bao bọc các FC frame và vận chuyển trên TCP stream; Loại thứ hai là Fibre Channel over Ethernet (FCoE) cho phép FC SAN vận chuyển các gói dữ liệu qua mạng Ethernet.
>>> Xem thêm: bán dell r440
Khi nào nên triển khai iSCSI qua FC?
iSCSI và storage target
Các target tiêu biểu bao gồm SAN, NAS, tape và LUN.
Hạn chế của iSCSI
Việc triển khai iSCSI không phải quá khó, đặc biệt là với các giao thức được xác định bằng phần mềm . Nhưng việc cấu hình initiator và iSCSI target cần thêm các bước, và kết nối 10 GbE là điều cần thiết để đạt hiệu suất cao. Kinh nghiệm để đạt lưu lượng truyền dẫn cao là chạy iSCSI traffic trên một mạng vật lý riêng hoặc mạng LAN ảo riêng biệt.
Bảo mật là một mối quan tâm khác, vì iSCSI dễ bị “sniffing” các packet. Packet sniffing là loại cyberattack trong đó phần mềm độc hại hoặc thiết bị của bên tấn công nắm bắt các gói di chuyển trên một mạng dễ bị tấn công. Quản trị viên có thể thực hiện các biện pháp bảo mật để ngăn chặn điều này, nhưng nhiều quản trị viên trong các công ty nhỏ bỏ qua các biện pháp bảo mật cần thiết để đơn giản hóa việc quản lý iSCSI.
Đây hiếm khi là một kế hoạch tốt, vì việc phòng thủ chống lại packet sniffing có sẵn và dễ dàng. Các biện pháp phòng vệ chính chống lại kiểu tấn công này là Challenge-Handshake Authentication Protocol (CHAP) và Internet Protocol Security (IPsec), cả hai đều dành riêng cho iSCSI.
CHAP hoạt động bằng cách thừa nhận một liên kết giữa người khởi xướng và mục tiêu. Trước khi dữ liệu truyền, CHAP gửi thông báo thách thức đến người yêu cầu kết nối. Người yêu cầu gửi lại một giá trị xuất phát từ hàm băm để máy chủ xác thực. Nếu các giá trị băm khớp, liên kết sẽ kích hoạt. Nếu không, CHAP chấm dứt kết nối.
Đối với các gói iSCSI chạy trên mạng Internet, giao thức IPsec xác thực và mã hóa các gói dữ liệu được gửi qua mạng Internet. Việc sử dụng chính của nó là trong IPsec xác thực lẫn nhau giữa các tác nhân (máy chủ đến máy chủ, mạng nối tiếp hoặc mạng với máy chủ). Giao thức cũng đàm phán mã hóa và giải mã trong phiên và hỗ trợ xác thực ngang hàng nguồn gốc dữ liệu và cấp độ mạng và xác thực tính toàn vẹn dữ liệu. Vì IPsec rất phức tạp để triển khai và định cấu hình, nên việc sử dụng chính của nó là trong VPN (mạng riêng ảo) vận chuyển dữ liệu nhạy cảm.
Các biện pháp bảo mật iSCSI bổ sung bao gồm sử dụng danh sách kiểm soát truy cập (ACL) để kiểm soát truy cập dữ liệu người dùng và bảng điều khiển quản lý an toàn.
>>> Xem thêm: bán dell r440
| © Copyright 2011-2013 iSoftco®, All rights reserved Văn phòng công ty: P.16/706, Tòa nhà Thành Công, 57 Láng Hạ, phường Thành Công, quận Ba Đình, Hà Nội Tel: (84-4) 37 875018;(84-4) 3555 8604 | Fax: (84-4) 37 875017 | E-Mail: cho24h@isoftco.com |