1、-描述iSCSI存儲(chǔ)的工作原理和機(jī)制；-如何定義iSCSI的服務(wù)器端和客戶端；-解釋說(shuō)明iSCSI的配置和相關(guān)工具；在第一章中我們就了解到了什么是iSCSI。iSCSI（ipOverSCSI）業(yè)內(nèi)也常叫作ipSAN，即是通過(guò)TCP/IP的網(wǎng)絡(luò)協(xié)議來(lái)傳輸磁盤的SCSI數(shù)據(jù)，隨著以太網(wǎng)技術(shù)的發(fā)展，千兆萬(wàn)兆都將應(yīng)用在企業(yè)中，而以iSCSI存儲(chǔ)的性價(jià)比，很多中小型企業(yè)會(huì)更加傾向于使用。也就是說(shuō)，iSCSI是基于TCP/IP下的網(wǎng)絡(luò)存儲(chǔ)解決方案，那么iSCSI和SCSI/FC存儲(chǔ)機(jī)制有什么不同呢：左邊的模型是iSCSI存儲(chǔ)的整個(gè)數(shù)據(jù)流動(dòng)模型，右邊的是FCSAN的模型，通過(guò)這個(gè)圖可以清晰地看出iSCSI存

2、儲(chǔ)和FC光纖存儲(chǔ)的對(duì)應(yīng)關(guān)系。從模型架構(gòu)的角度來(lái)看，iSCSI驅(qū)動(dòng)器結(jié)合了主機(jī)的TCP/IP協(xié)議棧、網(wǎng)絡(luò)驅(qū)動(dòng)器和網(wǎng)卡，提供了與SCSI/FC驅(qū)動(dòng)器一樣的功能。盡量用單獨(dú)的網(wǎng)絡(luò)來(lái)使用iSCSI存儲(chǔ)。iSCSI存儲(chǔ)分為服務(wù)器端（targets）和客戶端（initiators），客戶端發(fā)送SCSI命令到遠(yuǎn)程的存儲(chǔ)設(shè)備端（服務(wù)器端），iSCSI使用的是TCP/IP協(xié)議，默認(rèn)使用TCP的3260端口?？蛻舳耍?通過(guò)discovery程序來(lái)請(qǐng)求遠(yuǎn)程的塊設(shè)備；-客戶端必須安裝了iscsi設(shè)備驅(qū)動(dòng)器；-要安裝iscsi-initiator-utils-*.rpm軟件包；服務(wù)器端：-發(fā)布一個(gè)或多個(gè)塊設(shè)備給init

3、iator訪問(wèn)；-從RHEL5.3以后開(kāi)始支持iSCSI；-需要安裝scsi-target-utils-*.rpm軟件包；對(duì)于每個(gè)target來(lái)說(shuō)，主機(jī)ID是唯一的，存儲(chǔ)塊設(shè)備的LUNID是由iSCSItarget來(lái)分配的。iSCSI驅(qū)動(dòng)器為SCSI請(qǐng)求和回應(yīng)提供了一個(gè)通過(guò)IP網(wǎng)絡(luò)傳輸?shù)那馈Ｒ坏﹊SCSI驅(qū)動(dòng)器安裝了，主機(jī)將會(huì)對(duì)存儲(chǔ)設(shè)備做discovery的處理，如下：-iscsi驅(qū)動(dòng)器通過(guò)discovery機(jī)制請(qǐng)求存儲(chǔ)網(wǎng)絡(luò)中可用的target；-每個(gè)iscsitarget發(fā)送可用的iscsitarget名稱到iscsi驅(qū)動(dòng)器；-iscsitarget接受客戶端登入，并且給客戶端發(fā)送targ

4、etidentitier作為確認(rèn)；-iscsi驅(qū)動(dòng)器查詢target端的設(shè)備信息；-target端回復(fù)相關(guān)的設(shè)備信息；-iscsi驅(qū)動(dòng)器為這些可用的target設(shè)備創(chuàng)建一個(gè)表；一旦這個(gè)表創(chuàng)建完成，iscsitarget端對(duì)于主機(jī)來(lái)說(shuō)就像直連了一個(gè)存儲(chǔ)設(shè)備一樣是可用的。對(duì)包頭和數(shù)據(jù)摘要支持加密：iSCSI協(xié)議在iSCSI數(shù)據(jù)包上定義了一個(gè)32位的CRC摘要來(lái)保護(hù)數(shù)據(jù)的傳輸，因?yàn)?6位的校驗(yàn)值用于TCP數(shù)據(jù)傳輸顯然太過(guò)弱了，所以需要更強(qiáng)壯的加密來(lái)保證遠(yuǎn)距離的數(shù)據(jù)傳輸安全。雙向的CHAP（握手認(rèn)證協(xié)議）認(rèn)證：用于對(duì)target端做訪問(wèn)控制，并且用以確定客戶端的可靠連接。支持R2T（ready-to-

5、transfer）流控制：用于target端通信流控制的一種類型。支持多路徑：iSCSI的target端通過(guò)多路徑的使用來(lái)實(shí)現(xiàn)自動(dòng)的failover錯(cuò)誤輪轉(zhuǎn)的機(jī)制。服務(wù)器端的discovery廣播機(jī)制：一種驅(qū)動(dòng)器可以給可用的target提交請(qǐng)求的機(jī)制。動(dòng)態(tài)的targetdiscovery機(jī)制：可用的target信息可以動(dòng)態(tài)的改變。為入口和target改變的異步事件通知：在target可以和initiator以異步的信息通信時(shí)發(fā)生的變化?？焖贁?shù)據(jù)支持：通過(guò)iSCSI命令PDU（ProtocolDataUnit）發(fā)送一個(gè)未請(qǐng)求的數(shù)據(jù)的能力。動(dòng)態(tài)的驅(qū)動(dòng)器重配置：在initiator端做任何修改都不需

6、要重啟任何iSCSI的會(huì)話。重啟后自動(dòng)掛載iSCSI：要保證網(wǎng)絡(luò)的暢通，不然開(kāi)機(jī)自啟動(dòng)也掛載不起來(lái)。iSCSI驅(qū)動(dòng)器為每個(gè)iSCSI設(shè)備使用默認(rèn)的內(nèi)核名，Linux內(nèi)核在發(fā)現(xiàn)了iSCSI設(shè)備后將動(dòng)態(tài)地分配SCSI設(shè)備名，但是系統(tǒng)重啟之后命名將可能發(fā)生變化，SCSI命令可能發(fā)送到錯(cuò)誤的邏輯單元。持久的設(shè)備命名可以使用UDEV，設(shè)備唯一的UUID以及設(shè)備卷標(biāo)，通常為了開(kāi)機(jī)后自動(dòng)掛載iSCSI上的文件系統(tǒng)，都會(huì)將iSCSI設(shè)備掛載信息寫(xiě)入到/etc/fstab中，但必須加上_netdev參數(shù)，沒(méi)有加入此參數(shù)的話，rc.sysinit會(huì)在系統(tǒng)的網(wǎng)絡(luò)服務(wù)啟動(dòng)之前嘗試去掛載iSCSI設(shè)備，此時(shí)掛載必然是失

7、敗的。iSCSI在target端對(duì)要發(fā)布出去的設(shè)備有專門的命名IQN（iSCSIQualifiedName），而且IQN必須在全局是唯一的。IQN命名的格式：iqn.:例如：.example.sales:oracle.rac.disk2首先是安裝scsi-target-utils軟件包，在安裝完成后，用戶程序tgtd服務(wù)必須啟動(dòng)了并且設(shè)置了開(kāi)機(jī)自啟動(dòng)，接下來(lái)就可以在配置文件/etc/tgt/targets.conf中定義新的target條目。配置實(shí)例：Backing-store/dev/vol0/iscsi指定要發(fā)布的設(shè)備；Initiator-address對(duì)于客戶端的訪問(wèn)控制；Initiat

8、or-address對(duì)于iSCSI服務(wù)器端的配置，既可以像上一節(jié)利用配置文件配置，也可以手動(dòng)地用命令進(jìn)行配置。創(chuàng)建一個(gè)新的target條目：#tgtadmlldiscsiopnewmodetargettid1-T.example.cluster2:iscsi發(fā)布本地的塊設(shè)備以及配置target的訪問(wèn)控制：#tgtadmlldiscsiopnewmodelogicalunittid1lun1-b/dev/vol1/iscsi設(shè)置訪問(wèn)權(quán)限：#tgtadmlldiscsiopbindmodetargettid1-I刪除target條目：#tgtadmlldiscsiopdeletemodetarge

9、ttid1-T.example.cluster2:iscsiiSCSI客戶端的配置文件是/etc/iscsi/iscsid.conf，其中有以下四大項(xiàng)可設(shè)置項(xiàng)：Startup：設(shè)置自動(dòng)還是手動(dòng)；CHAP：用戶名和密碼；Timeout：連接，登入/登出；iSCSI：流控制，負(fù)載大小，數(shù)據(jù)摘要檢查；以下是CHAP項(xiàng)中的部分設(shè)置項(xiàng)：node.session.auth.authmethod開(kāi)啟CHAP驗(yàn)證，默認(rèn)是NONE；node.session.auth.username用于CHAP驗(yàn)證的用戶名；discovery.sendtargets.auth.authmethod為discovery會(huì)話開(kāi)啟C

10、HAP驗(yàn)證；discovery.sendtargets.auth.username為initiator端設(shè)置discovery會(huì)話的CHAP用戶名；可以使用CHAP配置雙向授權(quán)驗(yàn)證。在不加密的通信中，基于CHAP的授權(quán)由以下特點(diǎn)：用戶名和密碼都是明文傳輸?shù)?；如果用戶名和密碼被嗅探，遭受攻擊將是很大可能的；鑒于此，可以考慮將iSCSI置于一個(gè)獨(dú)立的存儲(chǔ)網(wǎng)絡(luò)中。Iscsiadm是iSCSI的客戶端管理工具，可以用于管理discovery和登入iSCSI服務(wù)器端，可以管理訪問(wèn)控制和open-iscsi數(shù)據(jù)庫(kù)的配置，本工具的很多操作都需要iscsid進(jìn)程出于運(yùn)行狀態(tài)?？蛻舳擞袔讉€(gè)重要文件：/etc/i

11、scsi/iscsid.conf-客戶端主配置文件；/etc/iscsi/initiatorname.iscsi-設(shè)置initiator名和別名；/var/lib/iscsi/nodes/-節(jié)點(diǎn)和target信息；/var/lib/iscsi/send_targets-target的入口信息；在initiator客戶端啟動(dòng)iscsi服務(wù)：#serviceiscsistart發(fā)現(xiàn)網(wǎng)絡(luò)中可用的target：#iscsiadm-mdiscovery-tsendtargets-p:3260登入某可用的target會(huì)話：#iscsiadm-mnode-T.example.cluster2:iscsi-p:3260-l查看target信息：#iscsiadm-mnode-PN查看節(jié)點(diǎn)信息（N=0,1）#iscsiadm-msession-PN查看iscsi的會(huì)話信息（N=1-3）#iscsiadm-mdiscovery-PN查看discovery信息（N=0,1）登出一個(gè)target會(huì)話：#iscsiadm-mnode-T.example.cluster:iscsi-p:3260-u當(dāng)需要重新進(jìn)行連接時(shí)，可以重啟iscsi服務(wù)，系統(tǒng)將自動(dòng)進(jìn)行連接，也可以通過(guò)以下的命令實(shí)現(xiàn)重新連接：#iscsiadm-mnode-T.example.cluster:iscsi-p:3260-l關(guān)閉