集中安全存儲 iscsi

通路 iSCSI 存儲

iSCSI ( Internet SCSI )支援從用戶端(發起端)通過 IP 向遠端伺服器上的 SCSI 儲存設備(目标)發送 SCSI 指令。 iSCSI 限定名稱用于确定發起端和目标,并采用 iqn.yyyy-mm.{reverse domain}:label 的格式。預設情況下,網絡通信是至 iSCSI 目标上的端口 3260/tcp 的明文。

iSCSI 發起端:需要通路原始 SAN 存儲的用戶端。

 iSCSI 目标:從 iSCSI 伺服器提供的遠端硬碟磁盤,或“目标門戶”

 iSCSI 目标門戶:通過網絡向發起端提供目标的伺服器。

 IQN :“ iSCSI 限定名稱”。每個發起端和目标需要唯一名稱進行辨別,最好的做法是使用一個在 Internet 上可能獨一無二的名稱。

通過 iSCSI 發起端通路新目标 :

 安裝 iSCSI 發起端軟體: iscsi-initiator-utils

 在 /etc/iscsi/initiatorname.iscsi 中設定發起端的 IQN

(通常名稱空間中的唯一标簽與組織管理的 DNS 名稱相比對,自定義)

以下在虛拟機下操作：

查找 iSCSI 伺服器所提供的 iSCSI 目标(目标門戶)

# iscsiadm -m discovery -t st -p 192.168.0.254

登入伺服器上的一個或多個 iscsi 目标

# iscsiadm -m node -T iqn.2010-09.com.example:rdisks.demo -p 192.168.0.254 -l

# ll /dev/sda

此時,可以使用 iSCSI 磁盤,就好像它是本地連接配接硬碟驅動器。

可以挂載現有檔案系統。如果磁盤未格式化,可以通過 fdisk 進行分區,例如,通過檔案系統格式化分區或作為 LVM 實體卷。

在 /etc/fstab 中永久挂載檔案系統

1. 使用 blkid 确定檔案系統 UUID 并使用 UUID 挂載,而不是 /dev/sd* 裝置名稱。(每次引導時顯示的裝置名稱都不同,具體取決于 iSCSI 裝置通過網絡進行響應的順序。如果按裝置名稱挂載,這會導緻使用錯誤的裝置。)

2. 在 /etc/fstab 中使用 _netdev 作為挂載選項。(這将確定用戶端不會嘗試挂載檔案系統,直至啟用聯網。否則,在引導時系統将出錯。)

3. 確定 iscsi 和 iscsid 服務在引導時啟動。

若要中斷使用 iSCSI 目标:

確定沒有使用目标所提供的任何裝置。

確定從 /etc/fstab 等位置中删除使用目标的所有永久參考。

登出 iSCSI 目标,以暫時斷開連接配接。

# iscsiadm -m node -T iqn.2010-09.com.example:rdisks.demo -p 192.168.0.254 -u

删除 iSCSI 目标的本地記錄,以永久斷開連接配接。

# iscsiadm -m node -T iqn.2010-09.com.example:rdisks.demo -p 192.168.0.254 -o delete

加密集中存儲

預設情況下,發起端和目标之間的 iSCSI 通信以明文形式發送,以獲得最大性能。但是,這樣存在明顯的安全風險。可以在單獨的網絡上隔離 iSCSI 流量,或在 IPsec 或 TLS 加密隧道中進行封裝。

LUKS ( Linux 統一密鑰設定)可用于對塊裝置内容進行加密。提高 iSCSI 目标上資料安全性的另一個方法是使用 LUKS 機密 iSCSI 目标的内容、其分區或其邏輯卷,并且僅當其到達 iSCSI 發起端時解密磁盤上的資料。

若要将 LUKS 與 iSCSI 一起使用,必須先設定加密,然後再格式化塊裝置,以進行使用之前。對于現有已加密的塊裝置,必須打開裝置(用密碼解密),然後再使用其内容,并且不使用裝置時,應将其關閉。檔案 /etc/crypttab 包含在引導時為打開檔案加密裝置而自動提示輸入 LUKS 密碼所需的資訊以及指明加密裝置名稱所需要的資訊,之後可以在 /etc/fstab 中使用這些資訊。

建立加密塊裝置

1. 使用 fdisk 對磁盤進行分區:

# fdisk -cul /dev/sda

其中, /dev/sda 是磁盤名稱,即 iSCSI 磁盤裝置

2. 為獲得更高的安全性,用 /dev/urandom 中的随機資料填寫裝置:

# dd if=/dev/urandom of=/dev/sda1 [ /dev/sda1] 是上面建立的分區的名稱。

該步驟可選,但它可以極大地提高加密強度。不足之處是可能需要花費很長的時間(大多數系統上,每千兆位元組需要若幹分鐘)。

3. 通過 cryptsetup luksFormat 加密裝置:

# cryptsetup luksFormat /dev/sda1

解密并永久挂載加密塊裝置

# cryptsetup luksOpen /dev/sda1 iscsi

# mkfs.ext4 /dev/mapper/iscsi。。。。。在打開的裝置上建立檔案系統

# vim /etc/crypttab

iscsi /dev/sda1

# vim /etc/fstab

/dev/mapper/iscsi /iscsi ext4

_netdev

0 0

# mkdir /iscsi 。。。。。挂載檔案系統,以確定其永久

# mount -a 。。。。。。挂載

解除安裝并關閉加密的塊裝置

1. 解除安裝裝置:

# umount /iscsi