資源描述:
《安全SAN分區(qū)的最佳做法》由會(huì)員上傳分享�����,免費(fèi)在線閱讀����,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)���。
1���、安全SAN分區(qū)的最佳做法在本文中,主機(jī)和存儲(chǔ)在博科SAN結(jié)構(gòu)可以很容易地被使用分區(qū)的最佳做法保護(hù)�����。本文介紹和澄清的分區(qū)是在存儲(chǔ)區(qū)域網(wǎng)絡(luò)(SAN)fabric中的一個(gè)安全功能�����。理解了術(shù)語(yǔ)和執(zhí)行了分區(qū)的最佳做法,一個(gè)博科?SANfabric是可以很容易的被保護(hù)和縮放��,同時(shí)保持最高的運(yùn)行時(shí)間�。以下是要討論的主題:?在一個(gè)fabric中分區(qū)的定義和LUN的安全?確定一個(gè)區(qū)域中的主機(jī)和存儲(chǔ)成員?SAN交換機(jī)是如何執(zhí)行分區(qū)??避免分區(qū)術(shù)語(yǔ)的混淆?如何在區(qū)域中用分區(qū)的方法組合主機(jī)和存儲(chǔ)?博科公司的分區(qū)建議和總結(jié)什么是分區(qū)��?分區(qū)是在存儲(chǔ)區(qū)域
2�、網(wǎng)絡(luò)中聚合需要溝通的主機(jī)和存儲(chǔ)節(jié)點(diǎn)的基于fabric的服務(wù)。分區(qū)造成一種只有當(dāng)他們的成員��,在同一區(qū)域時(shí)節(jié)點(diǎn)可以互相溝通的情形����。當(dāng)你在一個(gè)SAN使用分區(qū)時(shí),節(jié)點(diǎn)可以是多個(gè)區(qū)域的成員�����,這體現(xiàn)了很大的靈活性�����。分區(qū)不僅阻止主機(jī)免受未授權(quán)的存儲(chǔ)資產(chǎn)訪問(wèn),而且可以停止不受歡迎的主機(jī)到主機(jī)的通信和全fabric的注冊(cè)狀態(tài)變更通知(RSCN)的中斷�。博科只在需要更新的區(qū)域分離這些通知(被fabric名稱(chēng)服務(wù)器管理的RSCNs和在fabric中終端設(shè)備的通知事件,如存儲(chǔ)節(jié)點(diǎn)或一個(gè)將離線的交換機(jī)���。)����,因此沒(méi)有收到RSCN的節(jié)點(diǎn)是不受fabric
3��、變化影響的�����。這對(duì)于無(wú)中斷fabric運(yùn)轉(zhuǎn)是重要的���,因?yàn)镽SCNs可能擾亂存儲(chǔ)流量。當(dāng)這一中斷較常見(jiàn)時(shí)��,并與舊主機(jī)總線適配器(HBA)驅(qū)動(dòng)程序���,RSCNs獲得了不應(yīng)有的負(fù)面聲譽(yù)���。然而,自那時(shí)以來(lái),大多數(shù)的HBA廠商已經(jīng)解決了這問(wèn)題��。當(dāng)他們將節(jié)點(diǎn)劃成小的顆粒群�,使破壞性RSCNs幾乎消除。詳細(xì)內(nèi)容請(qǐng)看討論單一HBA分區(qū)的文章部分����,題為“分區(qū)的方法?��!痹贔abric中的LUN保護(hù)連接主機(jī)到存儲(chǔ)是一個(gè)SAN的最基本的功能��。對(duì)于大多數(shù)存儲(chǔ)陣列來(lái)說(shuō)�����,該存儲(chǔ)空間的單位是邏輯單元號(hào)(LUN)�,多個(gè)LUNs(單一驅(qū)動(dòng)器的一個(gè)分區(qū)或一批受RAI
4�、D保護(hù)的驅(qū)動(dòng)器。)被映射到陣列的光纖通道(FC)端口上���。目前�����,分區(qū)幾乎總是用來(lái)組合存儲(chǔ)端口和主機(jī)�����。分區(qū)允許主機(jī)訪問(wèn)某個(gè)存儲(chǔ)陣列特定端口上的所有LUNs�。LUNmasking可以經(jīng)由HBA卡或更常見(jiàn)的存儲(chǔ)陣列執(zhí)行,確保被授權(quán)的主機(jī)能有權(quán)使用僅僅被每個(gè)存儲(chǔ)端口提出被定義的一組LUNs����。雖然LUNmasking可專(zhuān)門(mén)用于映射LUNs到主機(jī),但是在fabric中會(huì)使每個(gè)主機(jī)暴露在每個(gè)危及穩(wěn)定的RSCN上���。分區(qū)和LUNmasking相結(jié)合����,提供了兩個(gè)層次的安全����,即使當(dāng)其中一層被錯(cuò)誤配置時(shí),也可防止對(duì)一個(gè)LUN的不適當(dāng)訪問(wèn)��。最佳做法:始
5�、終實(shí)施分區(qū)����,即使您使用LUNmasking��。確定主機(jī)和存儲(chǔ)區(qū)域成員當(dāng)配置分區(qū)時(shí)�,節(jié)點(diǎn)必須被確定和歸類(lèi)��。如何確定節(jié)點(diǎn)可以影響下列各項(xiàng):?如何妥善地衡量分區(qū)配置?如何配置一些先進(jìn)的功能?如果HBA卡需要更換����,需要怎樣的過(guò)程分區(qū)類(lèi)型有兩種類(lèi)型的分區(qū)識(shí)別:端口萬(wàn)維網(wǎng)名稱(chēng)(pWWN)和域名,端口(D�����,P)��。為了更容易管理����,你可以給pWWN和D,P標(biāo)識(shí)符指定別名��。pWWN��,D�,P或兩者的相結(jié)合可用于一個(gè)區(qū)域配置����,甚至在一個(gè)單一區(qū)域中��。內(nèi)置于存儲(chǔ)和主機(jī)接口的pWWN識(shí)別使用全局唯一標(biāo)識(shí)符�。接口也有節(jié)點(diǎn)萬(wàn)維網(wǎng)名稱(chēng)(nWWNs)。正如其名稱(chēng)暗
6�����、示�����,pWWN指設(shè)備端口��,而nWWN指整體設(shè)備����。例如,一個(gè)雙口的HBA卡有一個(gè)nWWN和兩個(gè)pWWN����。總是使用pWWN識(shí)別代替nWWN����,因?yàn)橐粋€(gè)pWWN準(zhǔn)確識(shí)別需要?jiǎng)潊^(qū)的主機(jī)或存儲(chǔ)。D�����,P識(shí)別使用交換機(jī)域ID和交換機(jī)端口以確定該區(qū)域成員��。在光纖操作系統(tǒng)?5.2.0版本以前��,在D����,P中的“P”等于端口區(qū)域的ID,其值在0到255之間��。由于Brocade48000的48端口插板需要的P值為從0到383�,因此現(xiàn)在P的值等于一個(gè)端口的端口索引。由于使用端口索引代替區(qū)域ID�,當(dāng)在48端口插板需要使用D,P來(lái)識(shí)別時(shí),fabric中所有交換
7��、機(jī)必須在光纖操作系統(tǒng)5.2.0或更高的版本運(yùn)行����。請(qǐng)注意�����,D�����,P識(shí)別不是全球獨(dú)有(如圖1所示)�����,因?yàn)槊恳粋€(gè)fabric可以有重復(fù)的域ID����,每一個(gè)交換機(jī)有一個(gè)1��,2�,3等的端口索引。任何電纜連接到劃成區(qū)域的D�����,P的設(shè)備能依照區(qū)域配置的定義相互溝通�����。對(duì)于所有fabric,唯一的識(shí)別方法是獨(dú)一無(wú)二的pWWN��。圖1.D����,P識(shí)別不是全球唯一的�。如果HBA卡或存儲(chǔ)端口壞了,當(dāng)更換設(shè)備不允許對(duì)其pWWN進(jìn)行編程時(shí)���,分區(qū)配置可能需要進(jìn)行調(diào)整�����,以適應(yīng)新的pWWN��。用D�����,P識(shí)別�,一個(gè)壞的HBA或存儲(chǔ)端口只是需要更換�����,沒(méi)有分區(qū)的變化需要——因?yàn)槭荄
8、��,P識(shí)別允許任何pWWN連接到交換機(jī)端口D�,P與它自己區(qū)域中其它成員通信。用pWWN識(shí)別�,電纜連接到不同的交換機(jī)端口的設(shè)備,是不會(huì)影響分區(qū)���,因?yàn)閜WWN跟隨設(shè)備����,而不跟隨交換機(jī)端口�。pWWN識(shí)別比D,P識(shí)別可以更安全����,因?yàn)槲锢砩媳浑娎|連接到端口的任何設(shè)備可以不適當(dāng)?shù)販?zhǔn)許存儲(chǔ)存取未經(jīng)授權(quán)的主
