光纤通道(FC)的内在安全机制比多数人通常所认为的还要多,但是它们经常得不到充分利用,而且还被误解,因此SAN(存储局域网)才被说成有安全问题。本期存储课堂所讲的内容就是探索光纤通道分区:光纤通道交换机最容易和最经常被误设的功能。
任何功能完整的光纤通道交换机都可以设置分区。这里的分区同以太网虚拟局域网非常相似:将数据传输隔开。但是光纤通道分区比起虚拟局域网要更有效,因为数据传输不会在分区之间"漏出"。
从概念上讲,光纤通道分区比虚拟局域网更加符合分区的概念。第一眼看上去光纤通道分区似乎更加复杂,但是隐藏在复杂背后的其实是简单。一个设备节点,或全局名称(WWN),可以同时存在于多个不同的分区。这种能力真的会被滥用!进行健全的、管理性强的分区设置需要一定的架构--可不是一分钟就能解决的。
这里有两种分区:软分区和硬分区。
软分区
软分区的含义是交换机将设备的全局名称放在一个分区中,而不管连接的是哪个端口。例如,如果全局名称Q和全局名称Z在同一个分区中,那么它们可以互相对话。相同的,如果Z和A又在另一个分区,那么Z和A可以看到对方,但是A不能看到Q。这是分区的复杂性部分;这种特点在以太网交换机中并不常见。
软分区的概念不难理解。它只是简单的表明架构是基于节点的全局名称。使用这种软分区的好处是,你可以连接到交换机的任何一个端口,而且如果你能看到其他节点,那么你也能访问这些节点。
这样好吗?不,完全不好。从管理性的角度来看,软分区环境简直是一团糟。进行维护时,你必须知道每个节点连接到哪里。如果使用软分区,在交换机上就没有关于端口的描述,因为这些端口的信息很可能很快就过时。此外,软分区还有一定的安全风险。就每个人所相信的而言,没有人曾经看到过一个黑客正在试图哄骗全局名称的过程,但是这种行为是可能的。通过改变设备的全局名称来改变它的分区是非常困难的,因为黑客不知道哪些全局名称可以访问他所想要进入的分区。你总不会把自己的交换机设置信息放在大庭广众之下吧?
硬分区
硬分区更类似以太网世界中的虚拟局域网。如果将一个端口放到一个分区,任何连接到这个端口的流量都是来自这个分区,或所设置的数个分区。当然,如果有人可以移动光缆的话,那么这种分区在面对物理攻击的时候就没那么安全了。但是,你需要担心这种情况吗?因此对于SAN来说,最好的设置是:交换机硬分区,并且对可以访问阵列端(target)逻辑单元号(LUN)的全局名称进行限制。你的存储阵列还需要全局名称屏蔽,以便多个发起端(initiator)可以被分区设置成可以同时看到阵列端。
一些人的分区架构想法很奇怪。将相同操作系统放在一个分区看起来是个好主义,但在实际上没有任何意义。过去人们总是很容易害怕将Windows服务器和使用不同操作系统的存储阵列放在同一个分区。当看到新的LUN时,Windows会弹出"你是否需要初始化新卷?"对话窗口,而且如果Windows管理员顺手决定点击"是"的话,那么他就破坏了其他人的逻辑单元号。如果存储阵列有逻辑单元号屏蔽的话,那么这就不成问题。
最佳分区参考
许多机构提供分区建议。大部分都同意软分区非常糟糕。确实是这样。我们在这里讨论硬分区。记住,每个节点需要有两个主机总线适配器,但是每个主机总线适配器都通过不同的交换机处于不同的光纤通道网络。每个交换机都有相同的分区设置。
"单一发起端分区"阵营认为你需要基于发起端来建立分区。这意味着每个分区都只有一个主机,或发起端。在不违反单一发起端规则的条件下,可以将多个存储阵列端口添加到这个分区--阵列就是目标端。这种方法很合理,因为你可以很快的从你的设置中看到主机可以访问哪些阵列。
其他人倾向于基于阵列端进行分区。毕竟,每个阵列端都可以让多个主机进行访问,因此我们可以将那些具有相同目的的发起端整合在一起,建立一个迷你网络。一些存储管理者对这种多个发起端可以互相看到对方的想法感到紧张,但是在一定的情况下,这种方式还是很好的。当一个服务器重启,其他相同分区的服务器在系统日志中就会报告"节点X从网络中消失"。这种基于阵列端的分区的好处时你可以快速的浏览哪些主机可以访问特定的阵列端。
记住,每个"分区"实际上只是一个节点间的双向(或更多)通讯映像。存储阵列的一个端口可以置于多个不同的分区(在单发起端模式的分区下),每个分区都包括主机,也叫发起端。
一些人喜欢跳过分区设置。仅从稳定性角度来考虑,不提倡这种做法。一次光纤通道网络复位就能在同一时间让所有人都必须重新登录,还要给每个人发送光纤通道网络更新信息。安全问题也存在,但是实际上都是些你肯定会注意的而且只有新手才会犯的问题。
你的分区设置决定非常重要,因此需要花一点时间来决定哪种硬分区模式能够更好适应你的环境。
总结
分区就和虚拟局域网类似。端口或全局名称可以同时置于多个分区;
软分区是基于全局名称进行分区,如果光纤移到新的端口,那么这种分区很难管理;
硬分区是基于端口的:你可以跟踪哪些节点连接到哪里。一些奇特的交换机有复合分区:"全局名称C必须在这个端口。"