iSCSI ( Internet SCSI )支援從用戶端(發起端)通過 IP 向遠端伺服器上的 SCSI 儲存設備(目标)發送 SCSI 指令。 iSCSI 限定名稱用于确定發起端和目标,并采用 iqn.yyyy-mm.{reverse domain}:label 的格式。預設情況下,網絡通信是至 iSCSI 目标上的端口 3260/tcp 的明文。
iSCSI 發起端:需要通路原始 SAN 存儲的用戶端。
iSCSI 目标:從 iSCSI 伺服器提供的遠端硬碟磁盤,或“目标門戶”
iSCSI 目标門戶:通過網絡向發起端提供目标的伺服器。
IQN :“ iSCSI 限定名稱”。每個發起端和目标需要唯一名稱進行辨別,最好的做法是使用一個在 Internet 上可能獨一無二的名稱。
通過 iSCSI 發起端通路新目标 :
安裝 iSCSI 發起端軟體: iscsi-initiator-utils
在 /etc/iscsi/initiatorname.iscsi 中設定發起端的 IQN
(通常名稱空間中的唯一标簽與組織管理的 DNS 名稱相比對,自定義)
以下在虛拟機下操作:
查找 iSCSI 伺服器所提供的 iSCSI 目标(目标門戶)
# iscsiadm -m discovery -t st -p 192.168.0.254
登入伺服器上的一個或多個 iscsi 目标
# iscsiadm -m node -T iqn.2010-09.com.example:rdisks.demo -p 192.168.0.254 -l
# ll /dev/sda
此時,可以使用 iSCSI 磁盤,就好像它是本地連接配接硬碟驅動器。
可以挂載現有檔案系統。如果磁盤未格式化,可以通過 fdisk 進行分區,例如,通過檔案系統格式化分區或作為 LVM 實體卷。
在 /etc/fstab 中永久挂載檔案系統
1. 使用 blkid 确定檔案系統 UUID 并使用 UUID 挂載,而不是 /dev/sd* 裝置名稱。(每次引導時顯示的裝置名稱都不同,具體取決于 iSCSI 裝置通過網絡進行響應的順序。如果按裝置名稱挂載,這會導緻使用錯誤的裝置。)
2. 在 /etc/fstab 中使用 _netdev 作為挂載選項。(這将確定用戶端不會嘗試挂載檔案系統,直至啟用聯網。否則,在引導時系統将出錯。)
3. 確定 iscsi 和 iscsid 服務在引導時啟動。
若要中斷使用 iSCSI 目标:
確定沒有使用目标所提供的任何裝置。
確定從 /etc/fstab 等位置中删除使用目标的所有永久參考。
登出 iSCSI 目标,以暫時斷開連接配接。
# iscsiadm -m node -T iqn.2010-09.com.example:rdisks.demo -p 192.168.0.254 -u
删除 iSCSI 目标的本地記錄,以永久斷開連接配接。
# iscsiadm -m node -T iqn.2010-09.com.example:rdisks.demo -p 192.168.0.254 -o delete
加密集中存儲預設情況下,發起端和目标之間的 iSCSI 通信以明文形式發送,以獲得最大性能。但是,這樣存在明顯的安全風險。可以在單獨的網絡上隔離 iSCSI 流量,或在 IPsec 或 TLS 加密隧道中進行封裝。
LUKS ( Linux 統一密鑰設定)可用于對塊裝置内容進行加密。提高 iSCSI 目标上資料安全性的另一個方法是使用 LUKS 機密 iSCSI 目标的内容、其分區或其邏輯卷,并且僅當其到達 iSCSI 發起端時解密磁盤上的資料。
若要将 LUKS 與 iSCSI 一起使用,必須先設定加密,然後再格式化塊裝置,以進行使用之前。對于現有已加密的塊裝置,必須打開裝置(用密碼解密),然後再使用其内容,并且不使用裝置時,應将其關閉。檔案 /etc/crypttab 包含在引導時為打開檔案加密裝置而自動提示輸入 LUKS 密碼所需的資訊以及指明加密裝置名稱所需要的資訊,之後可以在 /etc/fstab 中使用這些資訊。
建立加密塊裝置1. 使用 fdisk 對磁盤進行分區:
# fdisk -cul /dev/sda
其中, /dev/sda 是磁盤名稱,即 iSCSI 磁盤裝置
2. 為獲得更高的安全性,用 /dev/urandom 中的随機資料填寫裝置:
# dd if=/dev/urandom of=/dev/sda1 [ /dev/sda1] 是上面建立的分區的名稱。
該步驟可選,但它可以極大地提高加密強度。不足之處是可能需要花費很長的時間(大多數系統上,每千兆位元組需要若幹分鐘)。
3. 通過 cryptsetup luksFormat 加密裝置:
# cryptsetup luksFormat /dev/sda1
解密并永久挂載加密塊裝置# cryptsetup luksOpen /dev/sda1 iscsi
# mkfs.ext4 /dev/mapper/iscsi。。。。。在打開的裝置上建立檔案系統
# vim /etc/crypttab
iscsi /dev/sda1
# vim /etc/fstab
/dev/mapper/iscsi /iscsi ext4
_netdev0 0
# mkdir /iscsi 。。。。。挂載檔案系統,以確定其永久
# mount -a 。。。。。。挂載
解除安裝并關閉加密的塊裝置1. 解除安裝裝置:
# umount /iscsi