Vina Aspire > IBM Vietnam > IP-SAN chuyển tiếp giao thức SCSI thông qua giao thức TCP

IP-SAN chuyển tiếp giao thức SCSI thông qua giao thức TCP

SAN (Storage Area Network) là gì?

SAN ( Storage Area Network ) là mạng vùng lưu trữ. Mạng SAN tách biệt hoàn toàn với các mạng LAN và WAN. SAN có khả năng kết nối tất cả các tài nguyên lưu trữ trong mạng với nhau. Vì SAN là mạng tốc độ cao dành riêng cho việc lưu trữ và quản trị dữ liệu, do đó người dùng có thể sử dụng và quản trị tài nguyên lưu trữ hiệu quả hơn, giúp quản lý tập trung các thao tác nhằm tăng độ an toàn, đồng thời sao lưu và khôi phục khi xảy ra sự cố.

ISCSI là gì?

ISCSI (Internet Small Computer System Interface) là giao thức tầng vận chuyển hoạt động trên giao thức TCP/IP, hỗ trợ truy cập máy chủ lưu trữ bằng cách thực hiện các lệnh SCSI qua mạng IP. Tiêu chuẩn ISCSI được xác định bởi RFC 3720.

SCSI là một tập hợp các lệnh block-based kết nối các thiết bị máy tính với bộ lưu trữ được kết nối mạng. Giao thức iSCSI sử dụng trình khởi tạo (initiator) để gửi các lệnh SCSI đến các thiết bị lưu trữ mục tiêu (target) trên các máy chủ từ xa. Mục tiêu lưu trữ có thể là SAN, NAS, băng từ SSD, HDD hoặc các máy chủ khác.

Giao thức ISCSI giúp quản trị viên sử dụng tốt hơn bộ nhớ dùng chung bằng cách cho phép các máy chủ lưu trữ dữ liệu vào bộ nhớ được nối mạng từ xa và ảo hóa bộ nhớ từ xa cho các ứng dụng yêu cầu bộ nhớ được đính kèm trực tiếp.

ISCSI là giao thức tầng vận chuyển hoạt động trên giao thức TCP/IP

Các thành phần trong ISCSI

SCSI giúp vận chuyển các packet qua mạng TCP/IP như LAN, WAN và Internet

  • ISCSI Initiator (bộ khởi tạo ISCSI), HBA và iSOE

Những công nghệ này đóng gói các lệnh SCSI vào các packets và gửi trực tiếp đến thiết bị lưu trữ mục tiêu. Bộ khởi tạo ISCSI dựa trên phần mềm là lựa chọn ít đắt đỏ nhất, đồng thời cũng thường có sẵn như một thành phần của hệ điều hành.

HBA hay Host-based adapters là một giải pháp phần cứng, do đó nó đắt đỏ hơn so với bộ khởi tạo ISCSI tuy nhiên có hiệu năng cao hơn cũng như cung cấp nhiều tính năng hơn. Một loại phần cứng tương đương là iSOE card với động cơ giảm tải ISCSI, giúp đảm nhiệm công việc của bộ khởi tạo ISCSI và giải phóng tài nguyên CPU trên máy chủ.

  • ISCSI Target

SCSI vận chuyển các packet qua mạng TCP/IP như LAN, WAN và Internet. Mục tiêu ISCSI (iSCSI target) là hệ thống lưu trữ từ xa, đóng vai trò như một ổ đĩa cục bộ của các máy chủ. Khi các gói tin đến ISCSI target, giao thức sẽ tách các gói tin để trình bày các lệnh SCSI cho hệ điều hành. Nếu ISCSI đã mã hóa gói mạng, nó sẽ giải mã gói ở giai đoạn này.

Cách thức hoạt động của ISCSI

Giao thức iSCSI đóng một vai trò quan trọng trong nhiều cấu hình mạng khác nhau.

SCSI hoạt động bằng cách vận chuyển dữ liệu mức khối (block) giữa trình khởi tạo ISCSI trên máy chủ và ISCSI target trên thiết bị lưu trữ. Giao thức ISCSI đóng gói các lệnh SCSI và tập hợp dữ liệu trong các gói (packet) cho lớp TCP/IP.

Các gói được gửi qua mạng bằng kết nối điểm-điểm (point-to-point). Khi đến nơi, giao thức ISCSI sẽ tháo rời các gói, tách các lệnh SCSI để hệ điều hành (OS) nhận diện bộ lưu trữ như thể nó là một thiết bị SCSI kết nối cục bộ có thể được định dạng như bình thường.

Ngày nay, ISCSI phổ biến trong các doanh nghiệp vừa và nhỏ (SMB) để tạo các vùng lưu trữ (storage pool) sử dụng trong ảo hóa máy chủ. Trong môi trường ảo hóa, vùng lưu trữ có thể truy cập được đối với tất cả các máy chủ trong cụm và các nút cụm giao tiếp với vùng lưu trữ qua mạng thông qua việc sử dụng giao thức ISCSI. Có một số thiết bị ISCSI hỗ trợ loại giao tiếp này giữa máy chủ khách và hệ thống lưu trữ.

Giao thức ISCSI đóng gói các lệnh SCSI và tập hợp (packet) cho lớp TCP/IP

ISCSI và Fibre Channel

ISCSI và Fibre Channel (FC) là phương pháp hàng đầu để truyền dữ liệu đến bộ lưu trữ từ xa. Nhìn chung, FC là một mạng lưu trữ hiệu năng cao nhưng đắt tiền, đòi hỏi các bộ kỹ năng quản trị chuyên biệt. iSCSI ít tốn kém hơn và đơn giản hơn để triển khai và quản lý, nhưng có độ trễ cao hơn.

Có các giao thức khác hoạt động bằng cách kết hợp cả hai loại. Phổ biến nhất có giao thức Fibre Channel over IP (FCIP), một giao thức tunneling để đồng bộ dữ liệu SAN-to-SAN, chúng bao bọc các FC frame và vận chuyển trên TCP stream; Loại thứ hai là Fibre Channel over Ethernet (FCoE) cho phép FC SAN vận chuyển các gói dữ liệu qua mạng Ethernet.

Khi nào nên triển khai ISCSI qua FC?

  • Khi chi phí là một vấn đề. ISCSI tiết kiệm chi phí so với FC vì nó kết nối các máy chủ ứng dụng với bộ nhớ chia sẻ mà không cần phần cứng hoặc cáp đắt tiền.
  • Khi bạn muốn kết nối nhiều máy chủ với một storage target. Tỷ lệ over-subscription là số lượng máy chủ lưu trữ mà FC hoặc ISCSI sẽ hỗ trợ trên một thiết bị đích. Tỷ lệ FC thường hỗ trợ từ 4:1 đến 20:1, nhưng ISCSI có thể hỗ trợ nhiều máy chủ hơn cho một storage target.
  • Khi kỹ năng là một mối quan tâm. FC SAN rất tốn kém để triển khai và bảo trì, và yêu cầu quản trị viên với các kỹ năng chuyên biệt. Một ISCSI SAN chạy trên các mạng Ethernet hiện có và IT-man nói chung có thể tìm hiểu cách cài đặt và vận hành chúng.

Vậy lợi ích của ISCSI so với Fibre Channel là gì?

  • Chi phí rẻ hơn: Fibre Channel có thể có giá lên đến 1200$ cho mỗi port, do yêu cầu hạ tầng phần cứng đặc biệt trong khi ISCSI có thể tận dụng hạ tầng Internet, LAN/WAN sẵn có cho nên điều đó giúp giảm chi phí một cách đáng kể.
  • Khoảng cách xa hơn, hỗ trợ mọi thiết bị: ISCSI được biết đến là không có giới hạn về khoảng cách kết nối mạng cũng như loại thiết bị, từ desktop đến các máy chủ. Fibre Channel thì bị giới hạn khá nhiều bởi cơ sở hạ tầng.
  • Khả năng kết nối nhiều host đến một thiết bị lưu trữ đích: Tỉ lệ host/storage targer của Fibre Channel từ 4:1 đến 20:1 trong khi ISCSI hỗ trợ số lượng host lớn hơn nhiều.
  • ISCSI cấu hình dễ hơn do đó không yêu cầu cao về trình độ của đội ngũ IT.

ISCSI và storage target

Các target tiêu biểu bao gồm SAN, NAS, tape và LUN.

  • SAN thể hiện các kho lưu trữ ảo được chia sẻ cho nhiều máy chủ. Đối với Ethernet SAN, máy chủ lưu trữ sử dụng ISCSI để vận chuyển dữ liệu dạng block-based đến SAN.
  • NAS hỗ trợ các ISCSI target. Ví dụ, trong môi trường Windows, HĐH đóng vai trò là initiator, do đó, chia sẻ ISCSI trên NAS hiển thị dưới dạng ổ đĩa cục bộ.
  • Tape. Nhiều hãng cung cấp tape cho phép hỗ trợ iSCSI trên các ổ tape của họ, cho phép những iSCSI initiator sử dụng ổ tape làm storage target.
  • LUN. Một Logical Unit Number xác định duy nhất một tập các thiết bị lưu trữ vật lý hoặc được ảo hóa. Bộ khởi tạo iSCSI ánh xạ tới các LUN iSCSI cụ thể làm target của nó. Khi nhận được gói mạng SCSI, target sẽ phục vụ các LUN của nó dưới dạng lưu trữ có sẵn.

Hiệu suất ISCSI

1Gbps là tốc độ phổ biến của ISCSI với những hạ tầng nhỏ vốn có số lượng chiếm tỉ lệ lớn nhất, tuy nhiên ISCSI cũng hỗ trợ các mạng lên đến 10Gbps để cạnh tranh trực tiếp với Fibre Channel. Bên cạnh thông số tốc độ cơ bản thì ISCSI cũng có một số kỹ thuật nâng cao để tăng hiệu quả truyền dữ liệu:

  • Multipathing: Là một kỹ thuật cho phép quản trị viên lưu trữ thiết lập một số đường dẫn giữa máy chủ khách hàng và tài nguyên lưu trữ. Hiệu suất được nâng cao vì băng thông có thể được điều chỉnh giữa các đường dẫn để cân bằng tải, do đó làm cho việc truy cập vào bộ nhớ hiệu quả hơn. Multipathing cũng cung cấp khả năng chịu lỗi (fault tolerance) để cải thiện độ tin cậy của hệ thống lưu trữ ISCSI.
  • Jumbo Frame: Là một cải tiến khác của giao thức Ethernet cho phép hệ thống lưu trữ ISCSI gửi lượng dữ liệu lớn hơn mức cho phép với kích thước khung Ethernet tiêu chuẩn. Việc di chuyển các khối dữ liệu lớn hơn tại một thời điểm cũng mang lại những cải thiện về hiệu suất.
  • 10 GbE: Yếu tố tác động lớn nhất đến hiệu suất của ISCSI đó chính là tốc độ kết nối mạng Ethernet. Các mạng nhỏ hơn như 1 GbE tuy vẫn có khả năng chạy các giao thức ISCSI nhưng tốc độ sẽ chậm hơn, và không đủ để phục vụ các trung tâm dữ liệu của doanh nghiệp hoặc cỡ vừa. Mặc dù quản trị viên có thể tăng hiệu suất trên mạng phụ 10 GbE bằng cách bổ sung nhiều NIC, nhưng một thiết bị switch duy nhất sẽ không tăng tốc độ được cho nhiều cổng ISCSI. 10 GbE là tốc độ lý tưởng dành cho môi trường lưu trữ của doanh nghiệp, do đặc tính của nó là một đường pipe rộng và có rất ít cuộc gọi cho nhiều NIC. Thay vào đó, việc thêm các adapter chuẩn máy chủ sẽ hỗ trợ tăng tốc các gói ISCSI đi qua mạng 10 GbE.
  • Bridging Data Center: Bridging được định nghĩa là một bộ các phần mở rộng Ethernet giúp bảo vệ lưu lượng SCSI khỏi việc mất mát dữ liệu. Từ đó cho phép ISCSI cạnh tranh với Fibre Channel, chuẩn có độ tin cậy cao và đã từng chạy qua các kết nối không mất dữ liệu trong nhiều năm.

Bảo mật trong ISCSI

Làm việc với hạ tầng mạng IP sẽ gây ra những nguy cơ bảo mật hiện hữu với ISCSI. Nguy cơ lớn nhất là dữ liệu truyền qua mạng có thể bị nghe lén bởi hacker, do đó cần có những phương thức để bảo vệ ISCSI SAN.
Đầu tiên đó là sử dụng danh sách kiểm soát truy cập (ACL – Access Control List) để giới hạn quyền truy cập của từng người dùng với những dữ liệu nhất định. Bên cạnh đó là các giao thức xác minh như Challenge-Handshake để mã hoá và bảo mật dữ liệu nói chung và dữ liệu đang trong quá trình truyền dẫn nói riêng.

Hạn chế của iSCSI

Việc triển khai iSCSI không phải quá khó, đặc biệt là với các giao thức được xác định bằng phần mềm . Nhưng việc cấu hình initiator và iSCSI target cần thêm các bước, và kết nối 10 GbE là điều cần thiết để đạt hiệu suất cao. Kinh nghiệm để đạt lưu lượng truyền dẫn cao là chạy iSCSI traffic trên một mạng vật lý riêng hoặc mạng LAN ảo riêng biệt.

Bảo mật là một mối quan tâm khác, vì iSCSI dễ bị “sniffing” các packet. Packet sniffing là loại cyberattack trong đó phần mềm độc hại hoặc thiết bị của bên tấn công nắm bắt các gói di chuyển trên một mạng dễ bị tấn công. Quản trị viên có thể thực hiện các biện pháp bảo mật để ngăn chặn điều này, nhưng nhiều quản trị viên trong các công ty nhỏ bỏ qua các biện pháp bảo mật cần thiết để đơn giản hóa việc quản lý iSCSI.

Đối với các gói ISCSI trên mạng Internet, giao thức IPsec sẽ xác thực và mã hóa các gói dữ liệu được gửi thông qua mạng Internet. Mục đích là để xác thực các tác nhân với nhau (mạng với máy chủ, máy chủ đến máy chủ hoặc mạng nối tiếp). Bên cạnh đó, giao thức cũng thực hiện đàm phán mã hóa và giải mã trong phiên, hỗ trợ xác thực ngang hàng nguồn gốc dữ liệu, cấp độ mạng cũng như xác thực tính toàn vẹn dữ liệu. Vì IPsec khá phức tạp để triển khai và định cấu hình, nên được sử dụng chủ yếu trong VPN để vận chuyển dữ liệu riêng tư.

Ngoài ra, các biện pháp bảo mật ISCSI khác bao gồm việc sử dụng danh sách kiểm soát truy cập (ACL) để kiểm soát quyền truy cập dữ liệu của người dùng cũng như bảng điều khiển quản lý an toàn.

Vina Aspire là công ty tư vấn, cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.

Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:

Email: info@vina-aspire.com | Website: www.vina-aspire.com
Tel: +84 944 004 666 | Fax: +84 28 3535 0668


Vina Aspire – Vững bảo mật, trọn niềm tin


Bài viết liên quan

About Us

Learn More

Vina Aspire is a leading Cyber Security & IT solution and service provider in Vietnam. Vina Aspire is built up by our excellent experts, collaborators with high-qualification and experiences and our international investors and partners. We have intellectual, ambitious people who are putting great effort to provide high quality products and services as well as creating values for customers and society.

may ao thun Kem sữa chua May o thun May o thun đồng phục Định cư Canada Dịch vụ kế ton trọn gi sản xuất đồ bộ
Translate »