iscsi (phát âm: ai-x-k-zi) là từ viết tắt của Giao diện hệ thống máy tính nhỏ trên Internet. iscsi là một giao thức tầng vận chuyển chạy trên giao thức tcp (giao thức điều khiển truyền dẫn). Nó cho phép truyền dữ liệu scsi cấp khối giữa bộ khởi tạo iscsi và mục tiêu lưu trữ qua mạng tcp/ip. iscsi hỗ trợ mã hóa các gói mạng và giải mã khi đến nơi.
scsi là một tập hợp các hướng dẫn dựa trên khối kết nối các thiết bị máy tính với bộ lưu trữ được nối mạng, bao gồm bộ lưu trữ dữ liệu và phương tiện đọc/ghi.
Giao thức này sử dụng một bộ khởi tạo để gửi các lệnh scsi đến một mục tiêu lưu trữ trên một máy chủ từ xa. Mục tiêu lưu trữ có thể là san, nas, lưu trữ băng, máy chủ chung – ssd và hdd – lun hoặc các loại khác. Giao thức này cho phép quản trị viên lưu trữ dữ liệu từ xa vào bộ lưu trữ gắn mạng và ảo hóa các thành phần lưu trữ từ một vị trí từ xa cho các ứng dụng yêu cầu lưu trữ trực tiếp, cho phép quản trị viên sử dụng tốt hơn các loại lưu trữ được chia sẻ.
Giao thức iscsi đóng một vai trò quan trọng trong nhiều cấu hình mạng khác nhau.
phần tử iscsi
trình khởi tạo iscsi, hba hoặc isoe
Những kỹ thuật này đóng gói các lệnh scsi thành các gói mạng và hướng chúng đến các mục tiêu lưu trữ. Bộ khởi tạo iscsi dựa trên phần mềm là một trong những tùy chọn rẻ nhất và thường đi kèm với hệ điều hành (OS).
Bộ điều hợp dựa trên máy chủ (hba) là một thiết bị phần cứng. HBA đắt hơn so với phần mềm, nhưng nó có hiệu suất cao và nhiều chức năng. Phần cứng thay thế cho thiết bị hba đầy đủ là thẻ isoe với công cụ giảm tải iscsi. Thiết bị giảm tải các hoạt động của bộ khởi tạo từ bộ xử lý chính của máy chủ, giải phóng các chu kỳ cpu trên máy chủ lưu trữ.
đích iscsi
iscsi truyền các gói qua mạng tcp/ip. Mục tiêu iscsi là bộ nhớ từ xa, xuất hiện dưới dạng ổ đĩa cục bộ cho hệ thống máy chủ. Giao thức iscsi liên kết các máy chủ và máy chủ thông qua các mạng ip: lan, wan và internet.
Khi một gói đến đích iscsi, giao thức sẽ tách gói để hiển thị các lệnh scsi cho hệ điều hành. Nếu iscsi có các gói mạng được mã hóa, nó sẽ giải mã các gói ở giai đoạn này.
hiệu suất iscsi
Hiệu suất iscsi phụ thuộc nhiều vào các công nghệ cơ bản như 10 Gigabit Ethernet (10 gbe) và các công nghệ cầu nối trung tâm dữ liệu.
- 10gb. Tốc độ kết nối mạng Ethernet có tác động lớn nhất đến hiệu suất của iSCSI. Mặc dù các mạng nhỏ hơn như 1 gbe vẫn có thể chạy giao thức iscsi nhưng giao thức này chậm hơn và không đủ cho các trung tâm dữ liệu doanh nghiệp hoặc trung bình. Quản trị viên có thể cải thiện một số hiệu suất trên mạng con 10gb bằng cách thêm nhiều nics, nhưng một công tắc sẽ không tăng tốc nhiều cổng iSCSI. 10 gbe là tốc độ khuyến nghị cho môi trường lưu trữ doanh nghiệp. Bởi vì nó là một ống rộng như vậy nên có rất ít điện thoại có nhiều NIC. Ngược lại, việc thêm bộ điều hợp máy chủ tiêu chuẩn sẽ tăng tốc các gói iscsi qua mạng thêm 10 gbe.
- Kết nối các trung tâm dữ liệu. Cầu nối là một tập hợp các tiện ích mở rộng ethernet bảo vệ lưu lượng truy cập scsi khỏi mất dữ liệu. Điều này cho phép iSCSI cạnh tranh với Fibre Channel, một tiêu chuẩn có độ tin cậy cao đã chạy trên các kết nối không mất dữ liệu trong nhiều năm.
- Đa đường. I/O đa đường tăng tốc các gói mạng iscsi và hầu hết các hệ điều hành đều hỗ trợ công nghệ này. Tính năng đa luồng iscsi điển hình gán nhiều địa chỉ cho một phiên iscsi duy nhất, do đó tăng tốc độ truyền dữ liệu.
- Khung khổng lồ. Các khung 9000 byte này giúp giảm tắc nghẽn trên các mạng ethernet chậm không sử dụng 10 gbe, giúp tăng hiệu suất khoảng 10-20%. Khung Jumbo không cải thiện đáng kể hiệu suất trong 10 gbe.
- Khi chi phí là một vấn đề. iscsi tiết kiệm chi phí hơn fc vì nó không yêu cầu phần cứng hoặc cáp đắt tiền để kết nối các máy chủ ứng dụng với bộ nhớ dùng chung.
- Khi bạn muốn kết nối nhiều máy chủ với một mục tiêu lưu trữ. Tỷ lệ đăng ký vượt mức là số lượng máy chủ mà fc hoặc iscsi sẽ hỗ trợ trên thiết bị đích. tỷ lệ fc thường được hỗ trợ từ 4:1 đến 20:1, nhưng iscsi có thể hỗ trợ nhiều máy chủ hơn cho một mục tiêu lưu trữ.
- Khi kỹ năng là một vấn đề. fc san tốn kém để triển khai và duy trì, đồng thời yêu cầu quản trị viên có kỹ năng chuyên môn. iscsi san chạy trên các mạng ethernet hiện có và người dùng nó thường có thể học cách cài đặt và vận hành chúng.
- san đại diện cho một kho lưu trữ ảo được chia sẻ cho nhiều máy chủ. Đối với sans ethernet, máy chủ sử dụng iscsi để truyền dữ liệu dựa trên khối sang san.
- nas hỗ trợ các mục tiêu iscsi. Ví dụ: trong môi trường windows, hdd được sử dụng làm bộ khởi tạo, vì vậy chia sẻ iscsi được hiển thị dưới dạng ổ đĩa cục bộ trên nas.
- Băng. Nhiều nhà cung cấp băng cho phép hỗ trợ iscsi trên các ổ băng của họ, cho phép người khởi tạo iscsi sử dụng ổ băng làm mục tiêu lưu trữ.
- Luân. Số đơn vị logic xác định duy nhất một nhóm thiết bị lưu trữ vật lý hoặc ảo hóa. Trình khởi tạo iscsi ánh xạ tới một iscsi lun cụ thể làm mục tiêu của nó. Khi nhận được gói mạng scsi, mục tiêu sẽ hiển thị lun của nó dưới dạng bộ nhớ khả dụng.
iscsi và kênh cáp quang: hai cách lưu trữ truyền dữ liệu chính
iscsi và kênh cáp quang (fc) là những phương pháp chính để truyền dữ liệu đến bộ lưu trữ từ xa. Nhìn chung, fc là một mạng lưu trữ đắt tiền nhưng có hiệu suất cao, đòi hỏi các kỹ năng quản lý chuyên biệt. iscsi ít tốn kém hơn, triển khai và quản lý đơn giản hơn nhưng có độ trễ cao hơn.
Có những giao thức khác hoạt động bằng cách kết hợp cả hai. Phổ biến nhất là giao thức Fibre Channel over IP (fcip), một giao thức tạo đường hầm để đồng bộ hóa dữ liệu san-to-san, bao bọc các khung fc và truyền chúng qua tcp; giao thức thứ hai là kênh cáp quang qua ethernet (fcoe), cho phép fc san để truyền các gói qua ethernet.
Khi nào iscsi được triển khai thay cho fc?
iscsi và mục tiêu lưu trữ
Các mục tiêu điển hình bao gồm san, nas, tape và lun.
Hạn chế của iscsi
Việc triển khai Iscsi không quá khó, đặc biệt đối với các giao thức do phần mềm xác định. Tuy nhiên, việc định cấu hình bộ khởi tạo và mục tiêu iscsi yêu cầu các bước bổ sung và kết nối 10 gbe là rất quan trọng để có hiệu suất cao. Một nguyên tắc nhỏ để đạt được thông lượng cao là chạy lưu lượng iscsi trên một mạng vật lý riêng biệt hoặc một mạng lan ảo riêng biệt.
Bảo mật là một vấn đề khác, vì iscsi có xu hướng “đánh hơi” các gói. Đánh hơi gói tin là một kiểu tấn công mạng trong đó phần mềm độc hại hoặc thiết bị của kẻ tấn công bắt giữ các gói dữ liệu được truyền qua một mạng dễ bị tấn công. Quản trị viên có thể thực hiện các biện pháp bảo mật để ngăn điều này xảy ra, nhưng nhiều quản trị viên tại các công ty nhỏ bỏ qua các biện pháp bảo mật cần thiết để đơn giản hóa việc quản lý iSCSI.
Đây hiếm khi là một kế hoạch tốt vì đã có sẵn các biện pháp phòng vệ chống lại việc đánh hơi gói tin. Các biện pháp phòng thủ chính chống lại các cuộc tấn công như vậy là Giao thức xác thực bắt tay thử thách (chương) và Bảo mật giao thức Internet (ipsec), cả hai đều dành riêng cho iscsi.
chap hoạt động bằng cách xác nhận liên kết giữa người khởi tạo và mục tiêu. Trước khi truyền dữ liệu, chap gửi thông báo thách thức đến người yêu cầu kết nối. Người yêu cầu gửi lại một giá trị bắt nguồn từ hàm băm để máy chủ xác thực. Nếu giá trị băm khớp, liên kết sẽ được kích hoạt. Nếu không, phần này sẽ kết thúc kết nối.
Đối với các gói iscsi chạy trên Internet, giao thức ipsec xác thực và mã hóa các gói được gửi qua Internet. Công dụng chính của nó là xác thực lẫn nhau ipsec giữa các proxy (máy chủ đến máy chủ, mạng nối tiếp hoặc mạng đến máy chủ). Giao thức này cũng đàm phán mã hóa và giải mã trong một phiên, đồng thời hỗ trợ xác thực ngang hàng ở cấp độ mạng và nguồn gốc dữ liệu cũng như xác thực tính toàn vẹn của dữ liệu. Vì ipsec rất phức tạp để triển khai và định cấu hình nên công dụng chính của nó là truyền dữ liệu nhạy cảm trong vpn (mạng riêng ảo).
Các biện pháp bảo mật iscsi khác bao gồm việc sử dụng danh sách kiểm soát truy cập (ACL) để kiểm soát quyền truy cập vào dữ liệu người dùng và bảng điều khiển quản lý an toàn.