欢迎来到天天文库
浏览记录
ID:37333425
大小:527.79 KB
页数:16页
时间:2019-05-21
《安全SAN分区的最佳做法》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、安全SAN分区的最佳做法在本文中,主机和存储在博科SAN结构可以很容易地被使用分区的最佳做法保护。本文介绍和澄清的分区是在存储区域网络(SAN)fabric中的一个安全功能。理解了术语和执行了分区的最佳做法,一个博科®SANfabric是可以很容易的被保护和缩放,同时保持最高的运行时间。以下是要讨论的主题:在一个fabric中分区的定义和LUN的安全确定一个区域中的主机和存储成员SAN交换机是如何执行分区?避免分区术语的混淆如何在区域中用分区的方法组合主机和存储博科公司的分区建议和总结什么是分区?分区是在存储区域
2、网络中聚合需要沟通的主机和存储节点的基于fabric的服务。分区造成一种只有当他们的成员,在同一区域时节点可以互相沟通的情形。当你在一个SAN使用分区时,节点可以是多个区域的成员,这体现了很大的灵活性。分区不仅阻止主机免受未授权的存储资产访问,而且可以停止不受欢迎的主机到主机的通信和全fabric的注册状态变更通知(RSCN)的中断。博科只在需要更新的区域分离这些通知(被fabric名称服务器管理的RSCNs和在fabric中终端设备的通知事件,如存储节点或一个将离线的交换机。),因此没有收到RSCN的节点是不受fabric
3、变化影响的。这对于无中断fabric运转是重要的,因为RSCNs可能扰乱存储流量。当这一中断较常见时,并与旧主机总线适配器(HBA)驱动程序,RSCNs获得了不应有的负面声誉。然而,自那时以来,大多数的HBA厂商已经解决了这问题。当他们将节点划成小的颗粒群,使破坏性RSCNs几乎消除。详细内容请看讨论单一HBA分区的文章部分,题为“分区的方法。”在Fabric中的LUN保护连接主机到存储是一个SAN的最基本的功能。对于大多数存储阵列来说,该存储空间的单位是逻辑单元号(LUN),多个LUNs(单一驱动器的一个分区或一批受RAI
4、D保护的驱动器。)被映射到阵列的光纤通道(FC)端口上。目前,分区几乎总是用来组合存储端口和主机。分区允许主机访问某个存储阵列特定端口上的所有LUNs。LUNmasking可以经由HBA卡或更常见的存储阵列执行,确保被授权的主机能有权使用仅仅被每个存储端口提出被定义的一组LUNs。虽然LUNmasking可专门用于映射LUNs到主机,但是在fabric中会使每个主机暴露在每个危及稳定的RSCN上。分区和LUNmasking相结合,提供了两个层次的安全,即使当其中一层被错误配置时,也可防止对一个LUN的不适当访问。最佳做法:始
5、终实施分区,即使您使用LUNmasking。确定主机和存储区域成员当配置分区时,节点必须被确定和归类。如何确定节点可以影响下列各项:如何妥善地衡量分区配置如何配置一些先进的功能如果HBA卡需要更换,需要怎样的过程分区类型有两种类型的分区识别:端口万维网名称(pWWN)和域名,端口(D,P)。为了更容易管理,你可以给pWWN和D,P标识符指定别名。pWWN,D,P或两者的相结合可用于一个区域配置,甚至在一个单一区域中。内置于存储和主机接口的pWWN识别使用全局唯一标识符。接口也有节点万维网名称(nWWNs)。正如其名称暗
6、示,pWWN指设备端口,而nWWN指整体设备。例如,一个双口的HBA卡有一个nWWN和两个pWWN。总是使用pWWN识别代替nWWN,因为一个pWWN准确识别需要划区的主机或存储。D,P识别使用交换机域ID和交换机端口以确定该区域成员。在光纤操作系统®5.2.0版本以前,在D,P中的“P”等于端口区域的ID,其值在0到255之间。由于Brocade48000的48端口插板需要的P值为从0到383,因此现在P的值等于一个端口的端口索引。由于使用端口索引代替区域ID,当在48端口插板需要使用D,P来识别时,fabric中所有交换
7、机必须在光纤操作系统5.2.0或更高的版本运行。请注意,D,P识别不是全球独有(如图1所示),因为每一个fabric可以有重复的域ID,每一个交换机有一个1,2,3等的端口索引。任何电缆连接到划成区域的D,P的设备能依照区域配置的定义相互沟通。对于所有fabric,唯一的识别方法是独一无二的pWWN。图1.D,P识别不是全球唯一的。如果HBA卡或存储端口坏了,当更换设备不允许对其pWWN进行编程时,分区配置可能需要进行调整,以适应新的pWWN。用D,P识别,一个坏的HBA或存储端口只是需要更换,没有分区的变化需要——因为是D
8、,P识别允许任何pWWN连接到交换机端口D,P与它自己区域中其它成员通信。用pWWN识别,电缆连接到不同的交换机端口的设备,是不会影响分区,因为pWWN跟随设备,而不跟随交换机端口。pWWN识别比D,P识别可以更安全,因为物理上被电缆连接到端口的任何设备可以不适当地准许存储存取未经授权的主
此文档下载收益归作者所有