免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 6123 | 回复: 4

存储基础:理解光纤通道分区(ZT) [复制链接]

论坛徽章:
0
发表于 2008-04-30 11:10 |显示全部楼层
一篇很不错的基础知识普及文章。\r\n\r\n光纤通道(FC)的安全机制比一般人所了解到的要丰富得多。这些安全机制通常没有得到充分地利用,而是被大家误解了,所以SAN被认为带来了安全问题。本期存储基础专栏将探讨FC技术中一个经常被忽略的功能--\"zone\"(分区):最容易、却也是最经常被设置错误的FC交换机功能。 \r\n\r\n  任何一款正规的FC交换机产品都允许你配置分区。分区和以太网的VLAN非常类似:它让你可以把通信隔开。分区比VLAN的效率要高很多,因为没有任何通信会在分区之间泄漏出来。\r\n  FC Zone从概念上说,要超出VLAN的范围。首先,Zone(分区)看起来更复杂,但是复杂的表面下却蕴藏着简单。一个设备节点,或者WWN可以同时处于多个分区之中。这个功能却很有可能被滥用了!创建健全而且易于管理的分区配置需要特定的结构--实现这点需要花些时间认真考虑。\r\n  有两种类型的分区:软分区和硬分区。\r\n  软分区\r\n  软分区意味着交换机将把设备的WWN分配到一个区之中,这和它们所连接的端口无关。例如,如果WWN Q和WWN Z在同一个软分区内,它们就能够彼此交谈。否则,如果Z和A处于同一个独立的分区之中,A和Z就能够看到对方,但是A看不到Q。这就是复杂的地方;这一功能在以太网交换机中并不普遍。\r\n  软分区的概念并不难理解。它意味着要依赖fabric中节点的WWN。使用软分区的好处是你可以连接交换机上的任何端口,你可以看到应该看到的其他节点。\r\n  这是好事么?不,完全不是。从管理难易程度看,软分区环境比较混乱。为了进行维护,你需要知道节点连接到哪里了。如果使用了软分区,交换机上就不会有端口描述,因为它很快就会过时。其次,软分区带来了一些安全风险。尽管到目前为止,还没有人看到黑客试图欺骗WWN,但是存在着这种可能性。通过修改一个设备的WWN改变它所在的分区非常困难,因为攻击者必须知道哪个WWN位于他想访问的分区里。可你不会把交换机配置放在可以公开访问的区域里,对吧?\r\n  硬分区\r\n  硬分区和以太网里的VLAN更类似。你把端口分配到一个分区里,任何连接到这个端口的设备都属于这个分区。如果有人可以破坏光纤连接的话,这种方法无疑具有更大的风险。可是,你是否真的需要担心这个问题?SAN理想的配置应该是这样的:在交换机上进行硬分区,将WWN和目标上的LUN地址绑定。你的存储阵列应该使用WWN masking,这样多个initiator都能够看到这个目标。\r\n  人们想象出了一些可怕的分区计划。把类似的操作系统分成一组听起来似乎是个不错的主意,但是这种做法在现实中毫无意义。以前,人们经常会因为Windows和其他操作系统使用的存储阵列放在一个分区而感到惊恐。Windows看到新的LUN的时候会弹出\"do you want to initialize this new volume?\"(你是否希望对新卷进行初始化)的信息,如果Windows管理员习惯了点击鼠标,在这种时候选择\"是\"的话,他很有可能毁掉了其他人的LUN。在存储阵列上进行了LUN masking之后,这种问题就不再存在了。\r\n  最佳分区经验\r\n  有一些关于分区的最佳经验值得我们分享。绝大部分人都认为软分区是一场噩梦,事实也的确如此。我们假设接下来讨论的都是硬分区。记住,每个节点都应该有两个HBA,但是为了保持冗余,每个HBA都可能在不同的fabric上、在不同的交换机上。每个交换机都应该有同样的分区设置。\r\n  \"single initiator zones\"阵营认为你应该根据initiator创建分区。这意味着每个分区只包含一个主机或者initiator。多存储阵列端口可以在不违背单一initiator规则的前提下,增加到分区之中--阵列是目标。这种方法很好理解,因为你可以很快了解你的主机在这种配置下可以访问哪个阵列。\r\n  另一些人则喜欢根据目标来建设分区。毕竟,每个目标只容许一定数量的主机进行访问,所以我们也可以把所有这些相似的initiator结合在一起,组成小型网络。一些存储管理员对于多个initiator彼此可见的情况心存疑惧,但是在某些情况下,这种做法非常好。当一台服务器重启动的时候,同一分区里的其他的服务器将会在同步日志中报告\"节点X从fabric中消失了\"。这种基于目标进行分区做法的好处在于你可以很快了解到哪些主机访问了特定的目标。\r\n  记住,每个\"分区\"在节点间都有双向(或更多)的通信映射。存储阵列上的一个端口可能处于多个分区之中(在single-initiator类型的分区中),每个分区都包含了主机,也就是initiator。\r\n  有些人喜欢完全跳过分区这一步。出于稳定性角度考虑,我们并不推荐这样做。Fabric重启动会导致所有人在同一时间重新登录,fabric升级会影响每个人。虽然仍然存在着潜在的安全风险,但是在现实中,你更需要担心的是新手造成的错误。\r\n  你的zone配置决策是非常重要的,所以请花些时间考虑哪种类型的hard zoning(硬分区)最适合你的环境。\n\n[ 本帖最后由 iPod 于 2008-5-6 13:05 编辑 ]

论坛徽章:
0
发表于 2008-04-30 11:14 |显示全部楼层

存储基础知识:理解光纤通道域

理解FC(光纤通道)是如何识别域的,以及一种新的基础机构虚拟化机制,能够帮助你利用这些方法的优势,达到自己的目标。 建设SAN并不难——你只要把设备接好——但是如何让它具备一定的灵活性,适应各种变化,就不是那么简单了。在本篇存储基本知识介绍中,我们将介绍FC域、地址分配和VSAN。 \r\n    首先,我们必须理解SAN光纤是如何在没有环路的情况下存在的。你在这里看到的一切都和Spanning Tree(树形图)很相似。当然,也会有些不同,但是概念是一样的。\r\n    FC交换机连接上线后,会动态分配到属于其的Domain ID。主交换机(Principal Switch ,PS)选择过程开始,这和很类似Spanning Tree中的根网桥选择,接下来是Domain_ID分配过程。\r\n    在交换机能够和其他交换机交谈之前,它首先要进行自我配置,了解连接情况。跳过连接初始化过程,我们只需要知道硬件使用的是哪种端口模式,并且决定附属N_Ports的地址。一台交换机负责为每个附属节点分配FCID,它源自于Domain_ID、Area_ID和附属节点的WWN。\r\n    简单地说,PS的选择过程是这样的:\r\n    • 清晰的Domain_ID列表\r\n    • 在每个内部交换连接(E-Ports),传送Build Fabric(BF)帧;不要从一个接收过BF的端口发送BF,以免出现环路\r\n    • 等待Fabric Stability Timeout,确保BF帧通过了整个Fabric\r\n    • 传送一个EFP帧,向这些帧的每个发送者发送SW_ACC(Switch Accept)\r\n    • 检查EFP帧,寻找PS_Priority、PS_Name (交换机的Node WWN)和Domain_ID列表\r\n    • 比较PS_Priority和PS_Name,选择优胜者,最小者胜出\r\n    • 重复这个过程,直到每个附加设备都同意这个PS\r\n    完成了PS选择之后,一台交换机就开始Domain_ID分配过程,即使Domain_ID是手工配置的,分配过程仍然会进行,因为该PS需要编辑一个Domain_ID列表。Domain_ID选择过程并不是很重要,因为绝大部分人都是手工配置域的。只需要记住的是,Domain_ID的变化会让每个人使用未更新的信息发送EFP帧。\r\n    配置Domain_ID非常重要,因为如果Domain_IDs出现冲突,Fabric结合就会出现问题。如果你只有一台交换机,并且希望通过将两个交换机连接在一起的方式扩展Fabric,除非它们都是Domain_ID 1,否则就不会遇到任何问题,但是一些厂商会缺省设置为Domain_ID 1。每台交换机,在连接到Fabric上之前,都需要通过设置,使用一个唯一的Domain_ID,方可使用。\r\n    在使用VSAN的时候,经常会出现Domain_ID冲突。VSAN和VLAN一样,不过是针对FC网络的。你可以对具有VSAN功能的交换机进行配置,把端口分配到不同的Fabric中。连接到交换机1端口的节点可能在Fabric 322,而它旁边的节点可能在Fabric 4;两个完全隔离的Fabric。例如,每个Fabric可能都有域31。在很大程度上,除了一些厂商的空想,Fabric内是没有路由的,所以不同Fabric中的节点彼此之间无法交谈。这非常棒,但有时候需要把两个Fabric进行合并。\r\n    将两个Fabric结合在一起通常需要将多个交换机连接在一起。如果“核心”交换机已经连接了两个交换机了的话,你有想把它们连接在一起,将两个Fabric合并起来,那么这些交换机最好都有唯一的Domain_ID。如果不是这样的话,通信会出现问题,因为FCID包含了Domain_ID。而且,域里的每个PS都有自己的服务器名,并含有N_Ports信息,当收到一个帧的时候,如果信息有冲突,交换机就不知道该如何发送这些信息。\r\n    和VLAN一样,VSAN可用来实现任意分界。和人工操作相比,这种方法简化了管理工作,让管理员更好容忍。由于ANSI的推动,Cisco的VSAN技术已被广泛采用,该技术被称为“Virtual Fabric”。和Ethernet的VLAN技术相比,VSAN最棒的地方在于,该项技术能力更强,更为全面。\r\n\r\n   Virtual Fabric(虚拟光纤)模型将虚拟上升到了另一个层次。你可以对服务器区进行配置,让连接到Fabric上所有的节点都知道如何访问它。FC服务运行在交换机上,而在IP世界中,DHCP或DNS之类的服务都是运行在主机上的。在VSAN环境中,实际上交换机多次运行每个服务,每个Fabric运行一次。 \r\n\r\n    说到Fabric服务,有一些知名的FC地址和SAN服务有关。下面是一份简要的名单:\r\n    • 0xFF FF F5:多点传送服务器\r\n    • 0xFF FF F6:时钟同步服务器\r\n    • 0xFF FF F7:KDC(密钥分发)\r\n    • 0xFF FF F8:别名服务器(针对多点传送或搜索组)\r\n    • 0xFF FF F9:QoS信息\r\n    • 0xFF FF FA:管理服务器\r\n    • 0xFF FF FB:时间服务器\r\n    • 0xFF FF FC:目录服务器\r\n    • 0xFF FF FD:光纤控制器\r\n    • 0xFF FF FE:光纤登陆服务器\r\n    FC地址(FCID)对于FC之上的SCSI并不是必须的。单播光纤通道帧是从节点的WWN发送接收的,所以FC地址只在两种情况下需要:在连接初始化的过程中,或者通过FC传送IP的情况下。当通过FC传送IP的时候,IP地址需要转变成FCID。和以太网非常相似,ARP也被用在了FC世界中。“ARP over FC”或FARP两个不同的协议都可以使用,只是取决于设备支持哪个协议。你是否会感到奇怪,为什么FC有这么多互用性的问题?

论坛徽章:
0
发表于 2008-05-06 06:26 |显示全部楼层
:confused: :hit: 谢谢版主提供好文,!期待您的下篇大作!! :terrible:

论坛徽章:
0
发表于 2008-05-06 13:05 |显示全部楼层
原帖由 tayiyao 于 2008-5-6 06:26 发表 \r\n:confused: :hit: 谢谢版主提供好文,!期待您的下篇大作!! :terrible:
\r\n\r\n转帖 :rose:

论坛徽章:
0
发表于 2009-11-08 21:19 |显示全部楼层
真是万分感谢楼主啊1!
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP