同 FC、DAS、NAS、SAN等 存 儲技術(shù)相比，iSCSI具有配置簡單，使用方便，通用性好，成本低廉等特點(diǎn)，在實(shí)際工作得到較為普遍的應(yīng)用。當(dāng)搭建了簡單實(shí)用的iSCSI網(wǎng)絡(luò)存儲后，默認(rèn)情況下客戶端都可以隨意的連接和使用iSCSI Target服務(wù)器上提供的共享磁盤和分區(qū)，這在安全性要求較高的環(huán)境中是不允許的。因此，

對上述連接進(jìn)行認(rèn)證和授權(quán)，是管理iSCSI存儲網(wǎng)絡(luò)不可或缺的手段。例如，讓指定的客戶端只能訪問特定的共享分區(qū)等。同其他的網(wǎng)絡(luò)存儲技術(shù)相比，iSCSI在安全管理和認(rèn)證授權(quán)方面有獨(dú)到之處，不僅允許針對特定的IP來設(shè)置訪問權(quán)限，還可以使用賬戶名和密碼的方式進(jìn)行訪問控制。

配置iSCSI存儲環(huán)境

這里使用iSCSI Target軟件在Linux主機(jī)上配置iSCSI Target。 執(zhí) 行“tar-xzvf iscsitarget-x.x.x.x.tar”，“cd iscsi target-x.x.x.x”，“make”，“make install”等命令，來裝該軟件，其中的“x.x.x.x”為具體版本。執(zhí)行“service iscsi-target start”命令，啟動iSCSI Target服務(wù)。執(zhí) 行“vi /etc/iet/ietd.conf”命令，對其配置文件進(jìn)行編輯，在其中輸入諸如“Target iqn.2016.09.com.xxx.storage.disk2.sys1.xyz”之類的行，其中的“xxx.com”表示具體的域名，該行作用是設(shè)置iSCSI Target的名稱，注意其名稱在局域網(wǎng)中應(yīng)該是唯一的。

添加諸如“Lun 0 Path=/dev/sdc,Type=fileio,Scs iId=xyz,ScsiSN=xyz”之 類的行，用來設(shè)置LUN邏輯單元號，表示將某個磁盤設(shè)置為共享存儲設(shè)備。即塊設(shè)備號 為 0，映 射的磁盤為“/dev/sdc”可以根據(jù)需要進(jìn)行修改。之后執(zhí)行“service iscsi-target restart”命令，重啟iSCSI Target服務(wù)讓設(shè)置生效。對于Windows客戶機(jī)來說，其自帶了iSCSI發(fā)起程序，可以快速連接目標(biāo)iSCSI Target服務(wù)器。Linux客戶端可以使用自帶的iSCSI Initiator命 令進(jìn)行連接。如果沒有該命令，可以執(zhí)行“yum install iscsi*”命令進(jìn)行安裝。

使用IP認(rèn)證，實(shí)現(xiàn)安全訪問

這里就以具體的實(shí)例說明。在某臺Linux主機(jī)上開啟了iSCSI Target服務(wù)，其 IP 為 192.168.1.100，提供的共享磁盤為“/dev/sdc”，其容量為 100GB，將該共 享 盤 分 為“/dev/sdc1”和“/dev/sdc2”兩個分區(qū)，兩者容量均為50GB。對于前者來說，分配給IP為192.168.1.101的客戶端使用，對于后者來說，分配給IP為192.168.1.102的客戶端使用。因?yàn)槭褂昧薸SCSI Target這款軟件來搭建iSCSI網(wǎng)絡(luò)存儲，所以執(zhí)行“vi /etc/iet/ietd.conf”命令，打開其配置文件，在其中添加“target iqn.2016-09.net.ixdba:sdc1”，“Lun0Path=/dev/sdc1,Type=fileio”，“targetiqn.2016-09.net.ixdba:sdc2”，“Lun0Path=/dev/sdc2,Type=fileio”等內(nèi)容，其作用是定義兩個Target，為其分別分配“/dev/sdc1”和“/dev/sdc2”分區(qū)。

執(zhí)行“vi /etc/iet/initiators.allow” 命令，編輯訪問規(guī)則文件。該文件的主要作用是定義了客戶機(jī)訪問iSCSI Target服務(wù)器的規(guī)則，例如在其中添加“iqn.2016-09.net.ixdba:sdc1192.168.1.101”，“iqn.2016-09.net.ixdba:sdc2 192.168.1.102”兩行內(nèi)容。這樣，就限定了不同的IP可以訪問的目標(biāo)共享磁盤。執(zhí)行“service iscsitarget restart”命令，重啟iscsi-target服務(wù)，為客戶端的訪問做好準(zhǔn)備。之后在IP為192.168.1.101的客戶機(jī)上執(zhí)行“/etc/init.d/iscsi restart” 命 令，重啟Initiator服務(wù)，其作用是重新執(zhí)行Target發(fā)現(xiàn)操作。執(zhí)行“iscsiadm -m discovery -t sendtargets-p 192.168.1.100”命令，來查看在iSCSI Target服務(wù)器上設(shè)定了哪些LUN。

在默認(rèn)情況下，可以顯示其劃分的所有LUN，因?yàn)樯厦嬉呀?jīng)對該IP的訪問權(quán)限進(jìn)行了控制，因此其只能看 到“iqn.2000-04.net.ixdba:sdc1”的 LUN。 這 里的“iscsiadm”命令是iSCSI Initiator這一客戶端工具提供的，其作用是用來管理iSCSI配置數(shù)據(jù)庫文件的。執(zhí)行“iscsiadm -m node -T xxxxxx -p 192.168.1.100”命令，登錄到目標(biāo)iSCSI Target服務(wù)器上。其中的“xxxxxx”為根據(jù)上一個命令獲得的Target名稱。執(zhí)行“fdisk -l”命令，來查看其可以訪問的共享分區(qū)信息，包括其標(biāo)識信息、容量等。之后就可以使用“fdisk”命令，對其進(jìn)行分區(qū)格式化等操作。

除了在Linux客戶機(jī)上訪問以上共享磁盤外，還可以在Windows客戶端進(jìn)行訪問，例如某Windows主機(jī) 的 IP為 192.168.1.102，在Windows控制面板中運(yùn)行iSCSI發(fā)起程序，在其主界面中的“發(fā)現(xiàn)”面板中點(diǎn)擊“發(fā)現(xiàn)門戶”按鈕，在打開窗口中輸入上述iSCSI Target服務(wù)器的IP和端口號，在“目標(biāo)”欄中輸入“192.168.1.100”，點(diǎn)擊“快速連接”按鈕，就會和目標(biāo)iSCSI Target服務(wù)器進(jìn)行連接，來獲取可用的Target信息，因?yàn)楦鶕?jù)以上設(shè)定，該IP只能獲得“/dev/sdc2”分區(qū)信息，所以在“以發(fā)現(xiàn)的目標(biāo)”欄中值顯示該Target信息，選擇該目標(biāo)Target項(xiàng)，點(diǎn)擊“連接”按鈕，就可以與其建立連接，在本機(jī)磁盤管理窗口中對其進(jìn)行分區(qū)和格式化操作。

使用密碼認(rèn)證機(jī)制，實(shí)現(xiàn)安全連接

除了將客戶端IP和目標(biāo)iSCSI共享磁盤綁定外，還可以使用賬戶名和密碼檢測機(jī)制，來管控客戶端的訪問操作。在iSCSI Target服務(wù)器上執(zhí)行“vi /etc/iet/initiator.allow” 命令，在其中進(jìn)行合適的修改，例 如 包 含“iqn.2016-0 9.net.ixdba:s d c 1 192.168.1.101”，“iqn.2016-09.net.ixdba:sdc2 192.168.1.102”，“ALL ALL”等行內(nèi)容，允許客戶端查看所有的iSCSI共享磁盤。執(zhí) 行“vi /etc/iet/ietd.conf”命令，在該配置文件中添加“Incoming authname securelink”行，其作用是當(dāng)客戶端針對iSCSI Target服務(wù)器執(zhí)行發(fā)現(xiàn)操作時(shí)，所需要輸入的賬戶名和密碼，這里的賬戶名為“authname”，密碼為“securelink”。

添 加“Targetiqn.2 0 1 6-0 9.n e t.ixdba:sdc1”，“Incoming authname1 securelink1”，“Lun 0 Path=/dev/sdc1,Type=fileio”行，其作用是當(dāng)客戶機(jī)試圖連接和使用“/dev/sdc1”共享磁盤時(shí)，必須輸入的賬戶名和密碼。這里的賬戶名為“authname1”，密碼為“securelink1”。添加“Target iqn.2016-09.net.ixdba:sdc2”，“Incoming authname2 securelink2”，“Lun 0 Path=/dev/sdc2,Type=fileio”行，其作用是當(dāng)客戶機(jī)試圖連接和使用“/dev/sdc2”共享磁盤時(shí)，必須輸入的賬戶名和密碼。這里的賬戶名為“authname2”，密碼為“securelink2”。這里的賬戶名和密碼可以跟均需要進(jìn)行設(shè)定，注意，在客戶機(jī)上必須設(shè)置相同的賬戶名和密碼，才可以順利訪問iSCSI Target服務(wù)器。

在某Linux客戶機(jī)（例如IP為192.168.10.101）上執(zhí)行“vi /etc/iscsi/iscsid.conf”命令，對該配置文件進(jìn)行編輯，添加“node.session.suth.authmethod= CHAP”行，其作用是在登錄iSCSI Target服務(wù)器時(shí)執(zhí)行CHAP驗(yàn)證機(jī)制。添加“node.session.auth.username = authname”，“node.session.auth.password = securelink”行，其作用是設(shè)置登錄驗(yàn)證信息，注意其賬戶名和密碼必須域服務(wù)器端保持一致。添加“discovery.sendtarget.auth.authmothod = CHAP”行，表示在執(zhí)行發(fā)現(xiàn)操作時(shí)，使用CHAP驗(yàn)證機(jī)制。 添 加“discovery.sendtarget.auth.username= authuser1”，“discovery.sendtarget.auth.password= securelink1”行，其作用是在執(zhí)行發(fā)現(xiàn)操作時(shí)，必須使用賬戶名為“authname1”，密碼為“securelink1”的認(rèn)證信息進(jìn)行連接。

之后執(zhí)行“/etc/init.d/iscsi restart”命令，重啟Initiator服務(wù)。執(zhí)行“iscsiadm -m discovery -t sendtargets -p 192.168.1.100”命 令，來 查 看 在iSCSI Target服務(wù)器上設(shè)定了哪些LUN，因?yàn)樵趇SCSI Target服務(wù)器上已經(jīng)允許查詢所有的LUN信息，所以在任何客戶機(jī)上都可以查看服務(wù)器提供的共享磁盤。但是當(dāng)執(zhí)行“fdisk -l”命令時(shí)，則只能連接到“/dev/sdc1”共享磁盤，因?yàn)楦鶕?jù)以認(rèn)證信息配置，該機(jī)只能連接和使用該共享磁盤。之后就可使用“fdisk”命令，對其執(zhí)行分區(qū)格式化等操作。

當(dāng)然，也可以使用Windows自帶的iSCSI發(fā)起程序，也可以實(shí)現(xiàn)安全連接。在Windows控制面板中運(yùn)行iSCSI發(fā)起程序，在其主界面中的“發(fā)現(xiàn)”面板中點(diǎn)擊“發(fā)現(xiàn)門戶”按鈕，在打開窗口中輸入上述iSCSI Target服務(wù)器的IP和端口號，點(diǎn)擊“高級”按鈕，在高級設(shè)置窗口中選擇“啟用CHAP登錄”選項(xiàng)，在“名稱”欄中輸入上述用于查詢iSCSI Target服務(wù)器的賬戶名（例如“authname”），在“目標(biāo)機(jī)密”欄中輸入與之關(guān)聯(lián)的密碼（例 如“securelink”），點(diǎn)擊“確定”按鈕保存配置信息。

之后打開“目標(biāo)”面板，在其中的“已發(fā)現(xiàn)的目標(biāo)”欄中顯示目標(biāo)iSCSI Target服務(wù)器提供的兩個Target項(xiàng)目。選擇其中某個項(xiàng)目，點(diǎn)擊“連接”按鈕，在打開窗口中選擇“高級”按鈕，在高級設(shè)置窗口中選擇“啟用CHAP登錄”項(xiàng)，在“名稱”欄中輸入上述用于登錄iSCSI Target服務(wù)器的賬戶名（例如“authname2”），在“目 標(biāo)機(jī)密”欄中輸入與之關(guān)聯(lián)的密碼（例如“securelink2”），點(diǎn)擊確定按鈕保存配置信息。這樣，Windows的iSCSI發(fā)起程序就順利連接到目標(biāo)iSCSI Target指服務(wù)器上指定的共享分區(qū)。當(dāng)然，這需要服從以上的設(shè)定信息。例如，其不能訪問沒有對應(yīng)登錄權(quán)限的共享磁盤。運(yùn)行“diskmgmt.msc”程序，在磁盤管理窗口中可以看到該共享分區(qū)，之后按照常規(guī)方式對其進(jìn)行分區(qū)格式化等操作，就可以在本機(jī)上使用該共享分區(qū)。