存儲設備提供的光纖通道 (FC) LUN 集成到 Oracle Solaris 環境中。本文介紹如何配置 Oracle Solaris 光纖通道系統以及如何配置
Sun ZFS 存儲設備來配置供 Oracle Solaris 服務器訪問的 FC LUN。可以使用瀏覽器用戶界面 (BUI) 完成這些配置。
本文做出以下假設:
已知 Sun ZFS 存儲設備的 root 帳戶口令。
已知 Sun ZFS 存儲設備的 IP 地址或主機名。
已配置好 Sun ZFS 存儲設備使用的網絡。
Sun ZFS 存儲設備已配置有具有足夠可用空閑空間的存儲資源池。
已知 Oracle Solaris 服務器的 root 帳戶口令。
Sun ZFS 存儲設備已經連接到光纖通道交換機。
已在 FC 交換機上配置了相應的區域,允許 Oracle Solaris 主機訪問 Sun ZFS 存儲設備。
配置 Oracle Solaris FC 系統
為了讓 Sun ZFS 存儲設備和 Oracle Solaris 服務器彼此標識,每個設備的 FC 全球編號 (WWN)
必須在另壹個設備中註冊。您必須確定在 FC 交換機上實現的某些形式 FC 區域的 WWN。
主機的 FC WWN 用於向 Sun ZFS 存儲設備標識主機,並且需要它來完成本文中的配置過程。
WWN 來自在 Oracle Solaris 主機和 Sun ZFS 存儲設備中安裝的 FC 主機總線適配器 (HBA)。
為了配置 Oracle Solaris FC 系統,您需要知道 Sun ZFS 存儲設備的 WWN。在傳統的雙結構存儲區域網絡 (SAN) 中,Sun
ZFS 存儲設備至少有壹個 FC 端口連接到每個結構。因此,您必須至少確定兩個 FC WWN。
標識 Sun ZFS 存儲設備 FC WWN
首先,您需要建立壹個到 Sun ZFS 存儲設備的管理會話。
在 Web 瀏覽器的地址欄中輸入壹個包含 Sun ZFS 存儲設備的 IP 地址或主機名的地址,如以下 URL 所示:
https://<ip-address or host name>:215
將顯示登錄對話框。
輸入用戶名和口令,然後單擊 LOGIN。
成功登錄到 BUI 之後,您可以通過 Configuration 選項卡標識 WWN。
單擊 Configuration > SAN > Fibre Channel
Ports。
將顯示安裝在 Sun ZFS 存儲設備中的 FC 端口。由於每個 HBA 通道只有壹個已發現的端口,因此這必須是 HBA 通道本身。
在前面的示例中,端口 1 具有 WWN 21:00:00:e0:8b:92:a1:cf,端口 2 具有 WWN
21:01:00:e0:8b:b2:a1:cf。
在每個 FC 端口框右側的列表框中,應該將 FC 通道端口設置為 Target。如果情況並非如此,則 FC
端口可能用於其他用途。在調查原因之前,請不要更改設置。(壹種可能的原因是可能用於了 NDMP 備份。)
標識 Oracle Solaris 主機 HBA WWN
如果 Oracle Solaris 主機已經通過相應的電纜連接到 FC 交換機,則使用以下命令來標識 WWN。
要獲得主機的 WWN,輸入以下命令:
root@solaris:~# cfgadm -al -o show_FCP_dev
root@solaris:~#
在該輸出中,您需要的控制器號為 c8 和 c9。當端口類型為
fc-fabric 時,您還可以看到兩個端口都連接到壹臺 FC 交換機。接下來,查詢這些控制器來確定發現的 WWN。
如果 HBA 端口未用於訪問任何其他連接 FC 的設備,則可使用以下命令來確定 WWN。
root@solaris:~# prtconf -vp | grep port-wwn
port-wwn: 210000e0.8b89bf8e
port-wwn: 210100e0.8ba9bf8e
root@solaris:~#
如果正在訪問 FC 設備,則以下命令將顯示 FC HBA WWN。
root@solaris:~# luxadm -e dump_map /dev/cfg/c8
root@solaris:~#
顯示為類型 0x1f 的最後壹個條目 (Unknown type, Host Bus Adapter)
在端口 WWN 條目下提供了相應的 WWN。重復此命令,使用在第 1 步中標識的其他控制器替換
/dev/cfg/c8。
從輸出中,您可以看到 c8 具有 WWN
21:00:00:00:e0:8b:89:bf:8e,c9 具有 WWN
21:01:00:e0:8b:a9:bf:8e。
然後,可以使用 Sun ZFS 存儲設備 HBA 和 Oracle Solaris 主機 HBA WWN 來配置任何 FC 交換機區域。
完成此操作之後,您可以運行以下命令來驗證正確的區域:
root@solaris:~# cfgadm -al -o show_FCP_dev c8 c9
root@solaris:~#
現在,您可以看到可由 Oracle Solaris 主機訪問的 Sun ZFS 存儲設備提供的 WWN。
使用瀏覽器用戶界面配置 Sun ZFS 存儲設備
作為壹個統壹的存儲平臺,Sun ZFS 存儲設備既支持通過 iSCSI 協議訪問數據塊協議
LUN,又支持通過光纖通道協議進行同樣的訪問。這壹節講述如何使用 Sun ZFS 存儲設備 BUI 來配置 Sun ZFS 存儲設備,使其能夠識別 Oracle
Solaris 主機並向該主機提供 FC LUN。
定義 FC 目標組
在 Sun ZFS 存儲設備上創建目標組,以便定義 Oracle Solaris 服務器可通過哪個端口和協議訪問提供給它的 LUN。對於此示例,創建 FC
目標組。
執行以下步驟在 Sun ZFS 存儲設備上定義 FC 目標組:
單擊 Configuration > SAN 顯示 Storage Area Network (SAN)
屏幕
單擊右側的 Targets 選項卡,然後選擇左側面板頂部的 Fibre Channel
Ports
將鼠標放置在 Fibre Channel Ports 框中,將在最左側出現壹個 Move 圖標()
單擊 Move 圖標並將此框拖到 Fibre Channel Target
Groups 框,如圖 4 所示。
拖動橙色框中的條目來創建新的目標組。將創建組,並將其自動命名為 targets-n,其中
n 是壹個整數。
將光標移到新目標組條目上。在 Fibre Channel Target Groups 框右側會出現兩個圖標
要重命名新的目標組 targets-0,單擊 Edit 圖標()顯示對話框
在 Name 域中,將默認名稱替換為新 FC 目標組的首選名稱,單擊
OK。本例中用名稱 FC-PortGroup 替換
targets-0。在此窗口中,您還可以通過單擊所選 WWN 左側的框來添加第二個 FC 目標端口。第二個端口標識為 PCIe 1:Port 2。
單擊 OK 保存更改。
單擊 APPLY。 Fibre Channel Target Groups
面板中顯示了如上的更改。
定義 FC 發起方
定義 FC 發起方以便允許從壹臺或多臺服務器訪問特定卷。應該配置對卷的訪問權限,以便允許最少數量的 FC
發起方訪問特定卷。如果多個主機可以同時寫入壹個指定卷並且使用非***享文件系統,則各主機上的文件系統緩存可能出現不壹致,最終可能導致磁盤上的映像損壞。壹般對於壹個卷,只會賦予壹個發起方對該卷的訪問權限,除非使用的是壹種特殊的集群文件系統。
FC 發起方用於從 Sun ZFS 存儲設備的角度出發來定義“主機”。在傳統的雙結構 SAN 中,主機將至少由兩個 FC 發起方來定義。FC
發起方定義包含主機 WWN。為了向 Sun ZFS 存儲設備標識 Oracle Solaris 服務器,必須在存儲設備中註冊 Oracle Solaris FC
發起方 WWN,為此要執行以下步驟。
單擊 Configuration > SAN 顯示 Storage Area Network (SAN)
屏幕
單擊右側的 Initiators 選項卡,然後選擇左側面板頂部的 Fibre Channel
Initiators
單擊 Fibre Channel Initiators 左側的 圖標顯示 New Fibre Channel Initiator 對話框
如果已在 FC 交換機上配置了區域,則應顯示 Oracle Solaris 主機的 WWN(假設沒有為它們指定別名)。
在對話框底部單擊壹個 WWN(如果顯示)預填充全球名稱,或者在 World Wide Name 框中鍵入相應的
WWN。
在 Alias 框中輸入壹個更有意義的符號名稱。
單擊 OK。
對於其他涉及 Oracle Solaris 主機的 WWN,重復前面的步驟。
定義 FC 發起方組
將壹些相關 FC 發起方組成邏輯組,這樣可以對多個 FC 發起方執行同壹個命令,例如,可以使用壹個命令對壹個組中的所有 FC 發起方分配 LUN
訪問權限。對於下面的示例,FC 發起方組將包含兩個發起方。註意,在集群中,多個服務器被視作壹個邏輯實體,因此發起方組可以包含更多發起方。
執行以下步驟創建壹個 FC 發起方組:
選擇 Configuration > SAN 顯示 Storage Area Network (SAN)
屏幕。
選擇右側的 Initiators 選項卡,然後單擊左側面板頂部的 Fibre Channel
Initiators。
將光標放置在上壹節中創建的壹個 FC 發起方條目上。此時,在該條目左側會出現壹個 Move 圖標()
單擊 Move 圖標並將其拖到右側的 Fibre Channel Initiator
Groups 面板中。此時,在 Fibre Channel Initiators Groups 面板底部出現了壹個新的條目(黃色亮顯)
將光標移到新的條目框上,然後釋放鼠標鍵。此時會創建壹個新的 FC 發起方組,其組名稱為
initiators-n,其中 n 是壹個整數,如圖 13
所示。
將光標移到新發起方組條目上。在目標發起方組框右側會出現幾個圖標
單擊 Edit 圖標()顯示對話框
在 Name 域中,將新發起方組的默認名稱替換為選定名稱,單擊 OK。本例使用
sol-server 作為該發起方組名稱。
在此對話框中,您可以通過單擊 WWN 左側的復選框向組中添加其他 FC 發起方。
在 SAN 配置屏幕中單擊 APPLY 確認所有修改,如圖 15 所示。
定義 Sun ZFS 存儲設備項目
為了對相關卷進行分組,您可以在 Sun ZFS 存儲設備中定義壹個項目。通過使用項目,可以繼承項目所提供文件系統和 LUN
的屬性。還可以應用限額和保留。
執行以下步驟創建壹個項目:
選擇 Shares > Projects 顯示 Projects 屏幕
單擊左側面板頂部的 Projects 左側的 圖標顯示
Create Project 對話框
要創建壹個新項目,輸入項目名稱,單擊 APPLY。在左側面板的 Projects 列表中出現了壹個新項目。
選擇這個新項目查看其所含組件
定義 Sun ZFS 存儲設備 LUN
接下來,您將從壹個現有存儲資源池中創建壹個 LUN,供 Oracle Solaris 服務器訪問。在下面的示例中,將創建壹個名為
DocArchive1 的精簡供應 64 GB LUN。
我們將使用定義 FC 目標組壹節中創建的 FC 目標組
FC-PortGroup 來確保可以通過 FC 協議訪問該 LUN。將使用定義 FC
發起方組壹節中定義的發起方組 sol-server 來確保只有在 sol-server
組中定義的服務器才可以訪問該 LUN。(在本例中,該發起方組只包含壹個服務器。)
執行以下步驟創建壹個 LUN:
選擇 Shares > Projects 顯示 Projects 屏幕。
在左側 Projects 面板中,選擇該項目。然後選擇右側面板頂部的 LUNs
單擊 LUNs 左側的 圖標顯示 Create LUN
對話框,如圖 20 所示。
輸入合適的值以配置該 LUN。對於本例,將 Name 設置為
DocArchive1,Volume size 設置為 64 G,並且選中
Thin provisioned 復選框。將 Target Group 設置為 FC 目標組
FC-PortGroup,將 Initiator Group 設置為
sol-server。將 Volume block size 設置為
32k,因為該卷將保存 Oracle Solaris ZFS 文件系統。
單擊 APPLY 創建該 LUN 使其供 Oracle Solaris 服務器使用。
配置 LUN 以供 Oracle Solaris 服務器使用
現在我們已準備好了 LUN,可以通過 FC 發起方組使用它了。接著必須執行以下步驟,配置 LUN 以供 Oracle Solaris 服務器使用:
發起壹個連接 Sun ZFS 存儲設備的 Oracle Solaris FC 會話,如清單 1 所示。由於在發起該 FC 會話前已創建了 LUN,該
LUN 將會自動啟用。
清單 1. 發起 Oracle Solaris FC 會話
root@solaris:~# cfgadm -al c8 c9
root@solaris:~# cfgadm -c configure c8::210100e08bb2a1cf
root@solaris:~# cfgadm -c configure c9::210000e08b92a1cf
root@solaris:~# cfgadm -al -o show_FCP_dev c8 c9
root@solaris:~#
驗證對 FC LUN 的訪問,如清單 2 所示。
清單 2. 驗證對 FC LUN 的訪問
root@solaris:~# devfsadm -c ssd
root@solaris:~# tail /var/adm/messages
[...]
[...]
在本例中,多路徑狀態最初顯示為 degraded,因為此時只識別了壹個路徑。進壹步,多路徑狀態更改為
optimal,因為存在多個到達卷的路徑。
磁盤設備現在同樣可供內部服務器磁盤使用。
格式化 LUN,如清單 3 所示。
清單 3. 格式化 LUN 格式
root@solaris:~# format
Searching for disks...done
c1t600144F0F05E906C00004ED6096D0001d0: configured with capacity of 63.93GB
AVAILABLE DISK SELECTIONS:
[...]
Specify disk (enter its number): 4
selecting c1t600144F0F05E906C00004ED6096D0001d0
[disk formatted]
Disk not labeled. Label it now? y
FORMAT MENU:
disk - select a disk
type - select (define) a disk type
partition - select (define) a partition table
current - describe the current disk
format - format and analyze the disk
repair - repair a defective sector
label - write label to the disk
analyze - surface analysis
defect - defect list management
backup - search for backup labels
verify - read and display labels
save - save new disk/partition definitions
inquiry - show vendor, product and revision
volname - set 8-character volume name
!<cmd> - execute <cmd>, then return
quit
format> q
在準備好的 LUN 上構建 Oracle Solaris ZFS 文件系統,為此創建壹個新的 ZFS 池、將此設備添加到 ZFS 池中,並創建 ZFS
文件系統,如清單 4 的示例所示。
清單 4. 構建 Oracle Solaris ZFS 文件系統
root@solaris:~# zfs createzpool create docarchive1 \
c1t600144F0F05E906C00004ED6096D0001d0
root@solaris:~# zfs list
[...]
root@solaris:~# zfs create docarchive1/index
root@solaris:~# zfs create docarchive1/data
root@solaris:~# zfs create docarchive1/logs
root@solaris:~# zfs list
[...]
df(1) 命令的最後兩行輸出表明,現在大約有 64 GB 新空間可供使用。轉載僅供參考,版權屬於原作者。祝妳愉快,滿意請采納哦
FC、IP網絡的安全性
不論是光纖通道還是IP網絡,主要的潛在威脅來自非授權訪問,特別是管理接口。例如,壹旦獲得和存儲區域網絡(SAN)相連接服務器管理員的權限,欺詐進入就可以得逞。這樣入侵者可以訪問任何壹個和SAN連接的系統。因此,無論使用的是哪壹種存儲網絡,應該認識到應用充分的權限控制、授權訪問、簽名認證的策略對防止出現安全漏洞是至關重要的。
測錯攻擊在IP網絡中也比在光纖通道的SAN中易於實現。針對這類攻擊,壹般是采用更為復雜的加密算法。
盡管DoS似乎很少發生,但是這並不意味著不可能。然而如果要在光纖通道SAN上實現DoS攻擊,則不是壹般的黑客軟件所能實現的,因為它往往需要更為專業的安全知識。
實現SAN數據安全方法
保證SAN數據安全的兩個基本安全機制是分區制zoning和邏輯單元值(Logical Unit Number)掩碼。
分區制是壹種分區方法。通過該方法,壹定的存儲資源只對於那些通過授權的用戶和部門是可見的。壹個分區可以由多個服務器、存儲設備、子系統、交換機、HBA和其它計算機組成。只有處於同壹個分區的成員才可以互相通訊。
分區制往往在交換級來實現。根據實現方式,可以分為兩種模式,壹為硬分區,壹為軟分區。硬分區是指根據交換端口來制定分區策略。所有試圖通過未授權端口進行的通訊均是被禁止的。由於硬分區是在系統電路裏來實現,並在系統路由表中執行,因此,較之軟分區,具有更好的安全性。
在光纖通道網絡中,軟分區是基於廣域命名機制的(WWN)的。WWN是分配給網絡中光纖設備的唯壹識別碼。由於軟分區是通過軟件來保證在不同的分區中不會出現相同的WWNs,因此,軟分區技術比硬分區具有更好的靈活性,特別是在網絡配置經常變化的應用中具有很好的可管理性。
有些交換機具有端口綁定功能,從而可以限制網絡設備只能和通過預定義的交換端口進行通訊。利用這種技術,可以實現對存儲池的訪問限制,從而保護SAN免受非授權用戶的訪問。
另壹種被廣泛采用的技術是LUN掩碼。壹個LUN就是對目標設備(如磁帶和磁盤陣列)內邏輯單元的SCSI識別標誌。在光纖通道領域,LUN是基於系統的WWN實現的。
LUN掩碼技術是將LUN分配給主機服務器,這些服務器只能看到分配給它們的LUN。如果有許多服務器試圖訪問特定的設備,那麽網絡管理者可以設定特定的LUN或LUN組可以訪問,從而可以拒絕其它服務器的訪問,起到保護數據安全的目的。不僅在主機上,而且在HBA、存儲控制器、磁盤陣列、交換機上也可以實現各種形式的LUN屏蔽技術。
如果能夠將分區制和LUN技術與其它的安全機制***同運用到網絡及其設備上的話,對網絡安全數據安全將是非常有效的。
業界對存儲安全的做法
盡管目前對於在哪壹級設備應用存儲安全控制是最優的還沒有壹個明確的結論,例如,IPSec能夠在ASIC、VPN設備、家電和軟件上實現,但目前已有很多商家在他們的數據存儲產品中實現了加密和安全認證功能。
IPSec對於其它基於IP協議的安全問題,比如互聯網小型計算機接口(iSCSI)、IP上的光纖通道 (FCIP)和互聯網上的光線通道 (IFCP)等,也能起到壹定的的作用。
通常使用的安全認證、授權訪問和加密機制包括輕量級的路徑訪問協議Lightweight Directory Access Protocol (LDAP)、遠程認證撥入用戶服務(RADIUS), 增強的終端訪問控制器訪問控制系統(TACACS+)、Kerberos、 Triple DES、高級加密標準(AES)、安全套接層 (SSL)和安全Shell(SSH)。
盡管SAN和NAS的安全機制有諸多相似之處,其實它們之間也是有區別的。很多NAS系統不僅支持SSH、SSL、Kerberos、RADIUS和LDAP安全機制,同時也支持訪問控制列表(ACL)以及多級許可。這裏面有壹個很重要的因素是文件鎖定,有很多產品商家和系統通過不同的方式來實現這壹技術。例如,微軟采用的為硬鎖定,而基於 Unix的系統采用的是相對較為松弛的建議級鎖定。由此可以看到,如果在Windows-Unix混合環境下,將會帶來壹定的問題。
呼喚存儲安全標準化
SAN安全的實現基礎在交換機這壹層。因此,存儲交換機的標準對網絡產品制造商的技術提供方式的影響是至關重要的。
存儲安全標準化進程目前還處於萌芽階段。ANSI成立了T11光纖通信安全協議(FC-SP)工作組來設計存儲網絡基礎設施安全標準的框架。目前已經提交了多個協議草案,包括FCSec協議,它實現了IPSec和光纖通訊的壹體化;同時提交的還有針對光纖通訊的挑戰握手認證協議(CHAP)的壹個版本;交換聯結認證協議(SLAP)使用了數字認證使得多個交換機能夠互相認證;光纖通信認證協議(FCAP)是SLAP的壹個擴展協議。IEEE的存儲安全工作組正在準備制定壹個有關將加密算法和方法標準化的議案。
存儲網絡工業協會(SNIA)於2002年建立了存儲安全工業論壇(SSIF),但是由於不同的產品商支持不同的協議,因此實現協議間的互操作性還有很長壹段路要走。
關註存儲交換安全
大家都已經註意到了為了保證存儲安全,應該在存儲交換機和企業網絡中的其它交換機上應用相同的安全預警機制,因此,對於存儲交換機也應有壹些特殊的要求。
存儲交換安全最重要的壹個方面是保護光纖管理接口,如果管理控制臺沒有很好的安全措施,則壹個非授權用戶有可能有意或無意地入侵系統或改變系統配置。有壹種分布鎖管理器可以防止這類事情發生。用戶需要輸入ID和加密密碼才能夠訪問交換機光纖的管理界面。為了將SAN設備的管理端口通過安全認證機制保護起來,最好是將SAN配置管理工作集中化,並且對管理控制臺和交換機之間的通訊進行加密。另外壹個方面,在將交換機接入到光纖網絡之前,也應該通過ACL和 PKI機制實現授權訪問和安全認證。因此,交換機間鏈接應當建立在嚴密的安全防範措施下。