iSCSI
Internet 小型计算机系统接口(iSCSI)是一种基于 TCP/IP 的协议,用来建立和管理 IP 存储设备、主机和客户机等之间的相互连接,并创建存储区域网络 (SAN)。SAN 使得 SCSI 协议应用于高速数据传输网络成为可能,这种传输以数据块级别(block-level)在多个数据存储网络间进行。
SCSI 结构基于客户/服务器模式,其通常应用环境是:设备互相靠近,并且这些设备由 SCSI 总线连接。iSCSI 的主要功能是在 TCP/IP 网络上的主机系统 (启动器 initiator)和存储设备(目标器 target)之间进行大量数据的封装和可靠传输过程。此外,iSCSI 提供了在 IP 网络封装 SCSI 命令,且运行在 TCP 上。
如今我们所涉及的 SAN (Storage Area Network),其实现数据通信的主要要求是:1. 数据存储系统的合并;2. 数据备份;3. 服务器群集;4. 复制;5. 紧急情况下的数据恢复 。另外,SAN 可能分布在不同地理位置的多个 LANs 和 WANs 中。必须确保所有 SAN 操作安全进行并符合服务质量(QoS)要求,而 iSCSI 则被设计来在 TCP/IP 网络上实现以上这些要求。
iSCSI(Internet SCSI)是2003年IETF(InternetEngineering Task Force,互联网工程任务组 ) 制订的一项标准,用于将SCSI数据块映射成以太网数据包。SCSI(Small Computer System Interface)是块数据传输协议,在存储行业广泛应用,是存储设备最基本的标准协议。从根本上说,iSCSI协议是一种利用IP网络来传输潜伏时间 短的SCSI数据块的方法,ISCSI使用以太网协议传送SCSI命令、响应和数据。ISCSI可以用我们已经熟悉和每天都在使用的以太网来构建IP存储 局域网。通过这种方法,ISCSI克服了直接连接存储的局限性,使我们可以跨不同服务器共享存储资源,并可以在不停机状态下扩充存储容量。
iSCSI的工作过程:当iSCSI主机应用程序 发出数据读写请求后,操作系统 会 生成一个相应的SCSI命令,该SCSI命令在iSCSI initiator层被封装成ISCSI消息包并通过TCP/IP传送到设备侧,设备侧的iSCSI target层会解开iSCSI消息包,得到SCSI命令的内容,然后传送给SCSI设备执行;设备执行SCSI命令后的响应,在经过设备侧iSCSI target层时被封装成ISCSI响应PDU,通过TCP/IP网络传送给主机的ISCSI initiator层,iSCSI initiator会从ISCSI响应PDU里解析出SCSI响应并传送给操作系统,操作系统再响应给应用程序。
这几年来,iSCSI存储技术得到了快速发展。iSCSI的最大好处是能提供快速的网络环境,虽然目前其性能和带宽跟光纤网络 还有一些差距,但能节省企业约30-40%的成本。iSCSI技术优点和成本优势的主要体现包括以下几个方面:
硬件成本低:构建iSCSI存储网络,除了存储设备外,交换机、线缆、接口卡都是标准的以太网配件,价格相对来说比较低廉。同时,iSCSI还可以在现有的网络上直接安装,并不需要更改企业的网络体系,这样可以最大程度地节约投入。
操作简单,维护方便:对iSCSI存储网络的管理,实际上就是对以太网设备的管理,只需花费少量的资金去培训iSCSI存储网络管理员。当iSCSI存储网络出现故障时,问题定位及解决也会因为以太网的普及而变得容易。
扩充性强:对于已经构建的iSCSI存储网络来说,增加iSCSI存储设备和服务器都将变得简单且无需改变网络的体系结构 。
带宽和性能:iSCSI存储网络的访问带宽依赖以太网带宽。随着千兆以太网的普及和万兆以太网 的应用,iSCSI存储网络会达到甚至超过FC(FiberChannel,光纤通道)存储网络的带宽和性能。突破距离限制:iSCSI存储网络使用的是以太网,因而在服务器和存储设备的空间布局上的限制就会少了很多,甚至可以跨越地区和国家。
在过去的一年,存储界最热门的技术就是iSCSI技术,各存储设备厂商都纷纷推出iSCSI设备(企业级别或家用级别),iSCSI存储设备的销量也在快速增长。
性能
iSCSI的一些新特性与IP协议的性质密切相关。FC协议适合于连接服务器 和 阵列的网络,基于IP协议的iSCSI可能会与非存储IP流量竞争。为了减少IP流量混乱带来的影响,数据中心的管理员应该通过专用iSCSI网络分离 iSCSI流量和非存储流量,因为专用iSCSI网络与网络其他部分没有物理连接,或者采用访问控制清单、虚拟局域网(VLAN)等以太网隔离技术。华盛 顿 Spokane公共学校的高级网络管理员Kevin Mount说:“为了避免内部LAN产生干涉,我们决定在Foundry公司生产的48端口以太网交换机中独立运行iSCSI网络。” 尽管物理隔离和虚拟隔离技术大大提高了安全和性能,存储管理员依然需要在网络交换机 和适配器 中利用以太网巨帧和流量控制等先进技术,缓减阻塞,优化吞吐量。当一条千兆链路的网络带宽不够用时,可以利用以太网链路*(trunking)或链路汇集,将多条链路连接成一条*链路;这样就不必部署价格昂贵的10Gb以太网基础设施,又能克服网络带宽的限制。 在主机方面,TCP卸载引擎(TOE)和iSCSI HBA可以有效节省CPU 周 期,尤其是对速度较慢但注重性能的应用程序服务器。SNIA IP存储论坛主席David Dale认为,尽管TCP和iSCSI的传输速率为1Gb/s,不足最先进服务器硬件速率的10%,而目前85%的iSCSI在部署过程中只采用 iSCSI Initiator软件,但是一旦10Gb iSCSI 得到普及,TOE和iSCSI HBA的作用就会越来越大。除了改善I/O性能,iSCSI HBA还会增加从SAN启动和加密等服务。 在多协议环境中,存储管理员需要注意以太网的特性,如以太网交换机和网络接口 卡(NIC)之间的容错速度/方式会产生自适应问题,可能对 iSCSI网络的性能产生不利影响。Mount 说:“为了降低自适应问题发生的概率,我们对所有的交换机和服务器以太网端口设置不可更改的编码。”
安全性
iSCSI和FC采用不同的方法保证存储访问的安全,这可能是多协议存储架构师必须解决的最大问题。FC利用FC交换机实行分区,通过全局名称排列 LUN编号和主机标识,而iSCSI采用上述隔离iSCSI的物理和虚拟方法,通过IP地址、主机系统和存储设备的名称、内部/外部CHAP身份验证等方 式限制访问,从而保证存储安全。 实行多种iSCSI身份验证方式似乎让人不知所从,其实规则很简单:对于基于IP实现隔离的 iSCSI网络,主机系统和存储设备的名称就已经足够验证用户身份。在iSCSI与LAN之间存在物理连接的情况下,应该部署更加严密的CHAP身份验证 方式,消除IP地址访问iSCSI LUN时带来的外部影响。当环境中拥有大量iSCSI设备时,可以采用Radius服务器实现集中验证,这样就不需要在iSCSI的存储设备中管理用户证 书。 休斯顿贝勒医学院企业服务与信息系统主管Mike Layton采用了类似的策略,他利用主机系统和存储设备名称实现iSCSI授权,验证访问其FC SAN的少量服务器。他的基于日立数据系统(HDS)公司的FC SAN,在隔离的iSCSI LAN中采用NetApp FAS980c网关产品。 集成iSCSI和FC的最大好处在于:支持IP协议中的IPsec加密协议,IP流量出现故障 时,都应该集成iSCSI和FC。但是,当服务器处于繁忙状态时,IPsec加密协议的开销非常大。在采用IPsec协议的环境中,服务器和网络带宽匮乏 的计算机都应该凭借Cavium网络公司等公司提供的硬件加密技术,配备iSCSI HBA或NIC。从网络层面讲,Decru公司(现为NetApp)、NeoScale系统公司等公司都提供加密产品,设置在数据存取路径中,在FC和 iSCSI数据抵达网络附属存储阵列之前,就对其进行加密。 存储管理接口很容易受到安全漏洞的攻击,但是在存储设计过程中又通常遭到忽视。不设密码、所有 存储设备只设一个密码或者从不更改密码,都会使设计良好的SAN面临危险。只有特定系统和密码策略非常有效的VLAN才能访问管理接口,在具有大量IP设 备的环境中采用集中化的Radius身份验证服务器,这些措施可以降低未获认证的管理变化带来的风险。
可用性
可用性是包括iSCSI SAN在内的SAN最重要的性能需求,需要在服务器、网络和阵列等层面上进行部署。在网络层面上,可以成对部署交换机,采用生成树状动态路由等以太网故障 转移技术,实现冗余。在服务器层面上,通过双连服务器和以太网交换机,实现高可用性。凭借微软公司2005 年 发布的iSCSI Initiator 2.0版,多路径IO(MPIO)使主机能够与iSCSI网络实现冗余连接。“我们的主机全都运行MPIO,而且与iSCSI SAN实现双连接。”麻省 Babson 学院和Wellesley学院开发体系结构主任Kuljit Dharni解释道:“主板 上 的NIC卡用于常规的LAN访问,以太网端口和英特尔PCI千兆网络适配器与iSCSI SAN相连。”iSCSI存储设备的冗余选项根据供应商和产品种类而定。iSCSI网关产品、智能存储交换机和基于服务器的iSCSI存储设备,都可以在 群集配置中见到,所谓群集配置是指两套设备以双机互备援(active-active)模式或双机热备份(active-passive)模式运行。一些 中端存储阵列产品支持iSCSI,如EMC公司的Clariion CX3-20和CX3-40产品,可以通过双控制器架构提供冗余。高端阵列——如EMC 公司的Symmetrix DMX系列产品——需要底盘,只是简单地添加多个iSCSI刃片就能实现冗余。
iSCSI集成选项将iSCSI集成到FC SAN中的方法多样、程度不一,取决于现有的存储环境和集成目的。一方面,存储架构师都有各自的目标,如贝勒学院的Layton希望通过iSCSI访问所 有的FC存储。另一方面,存储管理员也有各自的目标,如Dharni完全实施iSCSI,不再使用FC SAN。另外,还可以同时运行FC 和iSCSI SAN,Spokane公立学校的Mount和伊利诺伊北伯克(Northbrook)Logs金融服务公司的数据系统管理员Dan Schneidemantle就采用这种方法。
在上述的最后一种情况中,设计时需要考虑的关键因素是iSCSI和FC SAN集成的程度。在多协议环境中,存储架构师往往部署iSCSI SAN,并使其与现有的FC架构同时运行,独立管理,以避免产生复杂的集成问题。EqualLogic 产品管理部主任Eric Schott 说:“我们的大多数客户独立运行iSCSI SAN和FC SAN。”“iSCSI LUN和FC LUN采用不同的安全模式,要将其匹配可不是件容易的事。”Schott补充道,“对许多存储架构师而言,就算集成好处再多,如果会增加系统复杂性也就不 值得了。”
对于由一个供应商提供的多协议存储阵列,可以统一管理iSCSI和FC SAN。EMC、HDS、HP和 Net-App等公司都提供多协议阵列,统一管理iSCSI和FC,在某些情况下还可以管理NAS。FalconStor软件公司、 NetApp公司和Sanrad 公司提供的iSCSI虚拟化产品也可以实现统一存储管理。存储管理员若要将iSCSI集成到现有的SAN中,需要考虑以下集成问题:
iSCSI网关支持iSCSI的FC交换机和导向器智能存储交换机和网关基于阵列的iSCSI集成方式基于服务器的iSCSI集成方式支持iSCSI的FC交换机iSCSI网关 iSCSI网关可以转换协议,将iSCSI协议转化为FC协议,反之亦然。通常,iSCSI网 关至少具有两个FC端口,可以连接到终端FC存储设备;至少具有两个1Gb的以太网端口,和服务器进行IP连接。iSCSI网关把FC LUN作为iSCSI的存储设备,通过IP就可以访问FC存储,无需在服务器中设置FC HBA。常见的网关产品有:博科通讯公司的iSCSI网关、思科系统公司的MDS 9216i、Emulex公司的725/735 iSCSI存储路由器、以及QLogic 公司的SANbox *0智能存储路由器。
在SAN中利用iSCSI网关产品实现存储需要两大步骤。首先,FC存储管理员为iSCSI网 关提供LUN,然后在iSCSI网关限制 iSCSI对FC LUN的访问,只有特定的IP地址、主机系统和存储设备、或者CHAP证书才能访问LUN。一旦完成这些设置,并且在iSCSI客户机上正确配置 iSCSI存储设备,就可以在本地磁盘驱动器 中看到指定存储。
iSCSI网关的主要好处就是,可以十分容易、毫无故障地将其添加到现有的FC SAN中。iSCSI网关不需要FC网络改变架构,只需简单地配置iSCSI Initiator软件,服务器就能访问FC存储。但是,iSCSI网关价格较贵——一套iSCSI网关产品的市场价大约为10,000美元。 Windows系统和Linux系统的FC HBA至少需要花费400美元,因此有必要分析成本与收益:只有当大量服务器采用iSCSI网关时,才比较合算。服务器数量较少时,可以在服务器中添加 FC HBA,直接连到FC SAN,这样显得更合算。博科公司市场产品部主任Mario Blandini说:“你至少需要拥有100台服务器,才能看到iSCSI网关的性价优势。”
局限性
但是,存储工程师在畅谈iSCSI 前景的时候,也需要实事求是地分析目前的形势和发展方向。实际上,到目前为止,还没有一个成熟的产品来展示iSCSI 的魅力,它还没有大面积商业化应用。而存储网络面临的诸多问题,iSCSI 并非都能迎刃而解,如距离和带宽之间的矛盾。虽然,iSCSI 满足了长距离连接的需求,方便了广域存储的连接,但是,IP 的带宽仍然是其无法解决的问题。虽然IP 网络发展迅速,1Gbps 的网络逐渐普及,但从广域网来说,带宽仍然相当昂贵。即便可以利用1Gbps 的带宽进行iSCSI 数据传输,速度仍不理想。而且,IP 网络的效率和延迟都是存储数据传输的巨大障碍。