iSCSI là gì và cách thức hoạt động như thế nào?

iSCSI (đọc là: ai-x-kơ-zi) là từ viết tắt của Internet Small Computer Systems InterfaceiSCSI là một giao thức lớp vận chuyển hoạt động trên giao thức TCP (Transport Control Protocol). Nó cho phép truyền dữ liệu SCSI ở block-level giữa iSCSI initiator và storage target trên các mạng TCP / IP. iSCSI hỗ trợ mã hóa các gói mạng và giải mã khi đến đích.

SCSI là một tập các lệnh theo block kết nối các thiết bị điện toán với bộ lưu trữ được nối mạng, bao gồm cả phương tiện lưu trữ và đọc/ghi dữ liệu.

Giao thức này sử dụng các initiator để gửi các lệnh SCSI đến thiết bị lưu trữ đích (storage target) trên các máy chủ từ xa. Storage target có thể là SANNAS, bộ lưu trữ tape, máy chủ đa năng – cả SSD và HDD – LUN hoặc các loại khác. Giao thức này cho phép các quản trị viên khai thác tốt hơn các loại hình lưu trữ được chia sẻ bằng cách cho phép máy chủ lưu trữ dữ liệu vào bộ lưu trữ được kết nối qua mạng từ xa và ảo hóa thành phần lưu trữ từ xa cho các ứng dụng yêu cầu lưu trữ trực tiếp.

Iscsi

Giao thức iSCSI đóng một vai trò quan trọng trong nhiều cấu hình mạng khác nhau.

Các thành phần của iSCSI

iSCSI initiator, HBA hoặc iSOE

Các công nghệ này gói các lệnh SCSI vào các gói mạng và hướng chúng đến storage target. Các iSCSI initiator dựa trên phần mềm là một trong số các lựa chọn ít chí phí nhất và thường được kèm sẵn trong hệ điều hành (HĐH).

Host-based Adapter (HBA) là một thiết bị phần cứng. HBA đắt hơn phần mềm, nhưng hiệu suất của nó cao hơn với nhiều chức năng hơn. Một phần cứng thay thế cho thiết bị HBA đầy đủ là card iSOE với công cụ giảm tải cho iSCSI. Thiết bị này giảm tải các hoạt động của initiator khỏi bộ xử lý chính của máy chủ, giúp giải phóng các chu kỳ CPU trên các máy chủ lưu trữ.

iSCSI target

iSCSI vận chuyển các gói trên các mạng TCP / IP. Mục tiêu iSCSI là bộ lưu trữ từ xa, xuất hiện cho hệ thống máy chủ như một ổ đĩa cục bộ. Giao thức iSCSI liên kết các máy chủ và lưu trữ qua các mạng IP: LAN, WAN và Internet.

Khi các gói đến đích iSCSI, giao thức sẽ phân tách các gói để trình bày các lệnh SCSI cho hệ điều hành. Nếu iSCSI đã mã hóa gói mạng, nó sẽ giải mã gói ở giai đoạn này.

Hiệu suất iSCSI

Hiệu suất của iSCSI phụ thuộc nhiều vào các công nghệ cơ bản như 10 Gigabit Ethernet (10 GbE) và công nghệ bridging trong trung tâm dữ liệu.

  • 10 GbE. Tốc độ kết nối mạng Ethernet có tác động lớn nhất đến hiệu suất của iSCSI. Mặc dù các mạng nhỏ hơn như 1 GbE vẫn có thể chạy các giao thức iSCSI, tốc độ chậm hơn, và chúng không đủ cho các trung tâm dữ liệu cỡ vừa hoặc của doanh nghiệp. Quản trị viên có thể tăng một số hiệu suất trên mạng phụ 10 GbE bằng cách thêm nhiều NIC, nhưng một thiết bị switch duy nhất sẽ không tăng tốc độ cho nhiều cổng iSCSI. 10 GbE là tốc độ được đề nghị cho môi trường lưu trữ doanh nghiệp. Bởi vì nó là một đường pipe rộng, có rất ít cuộc gọi cho nhiều NIC. Thay vào đó, việc thêm các adapter chuẩn máy chủ sẽ tăng tốc các gói iSCSI đi qua mạng 10 GbE.
  • Bridging Data Center. Bridging là một bộ các phần mở rộng Ethernet bảo vệ lưu lượng SCSI chống mất dữ liệu. Điều này cho phép iSCSI cạnh tranh với Fibre Channel, chuẩn có độ tin cậy cao, đã chạy qua các kết nối không mất dữ liệu trong nhiều năm.
  • Multipathing. Multipathing  I/O tăng tốc các gói mạng iSCSI và hầu hết các hệ điều hành đều hỗ trợ công nghệ này. Các tính năng đa luồng iSCSI điển hình gán nhiều địa chỉ cho một phiên iSCSI duy nhất, giúp tăng tốc vận chuyển dữ liệu.
  • Jumbo frames. Các frame có kích thước 9000 byte này làm giảm tắc nghẽn trên các mạng Ethernet chậm không sử dụng 10 GbE, giúp tăng hiệu suất khoảng 10-20%. Jumbo frames sẽ không tăng nhiều hiệu suất trong 10 GbE.

iSCSI và Fibre Channel: Hai phương pháp chính để lưu trữ truyền dữ liệu

iSCSI và Fibre Channel (FC) là phương pháp hàng đầu để truyền dữ liệu đến bộ lưu trữ từ xa. Nhìn chung, FC là một mạng lưu trữ hiệu năng cao nhưng đắt tiền, đòi hỏi các bộ kỹ năng quản trị chuyên biệt. iSCSI ít tốn kém hơn và đơn giản hơn để triển khai và quản lý, nhưng có độ trễ cao hơn.

Có các giao thức khác hoạt động bằng cách kết hợp cả hai loại. Phổ biến nhất có giao thức Fibre Channel over IP (FCIP), một giao thức tunneling để đồng bộ dữ liệu SAN-to-SAN, chúng bao bọc các FC frame và vận chuyển trên TCP stream; Loại thứ hai là Fibre Channel over Ethernet (FCoE) cho phép FC SAN vận chuyển các gói dữ liệu qua mạng Ethernet.

Khi nào nên triển khai iSCSI qua FC?

  • Khi chi phí là một vấn đề. iSCSI tiết kiệm chi phí so với FC vì nó kết nối các máy chủ ứng dụng với bộ nhớ chia sẻ mà không cần phần cứng hoặc cáp đắt tiền.
  • Khi bạn muốn kết nối nhiều máy chủ với một storage target. Tỷ lệ over-subscription là số lượng máy chủ lưu trữ mà FC hoặc iSCSI sẽ hỗ trợ trên một thiết bị đích. Tỷ lệ FC thường hỗ trợ từ 4:1 đến 20:1, nhưng iSCSI có thể hỗ trợ nhiều máy chủ hơn cho một storage target.
  • Khi kỹ năng là một mối quan tâm. FC SAN rất tốn kém để triển khai và bảo trì, và yêu cầu quản trị viên với các kỹ năng chuyên biệt. Một iSCSI SAN chạy trên các mạng Ethernet hiện có và IT-man nói chung có thể tìm hiểu cách cài đặt và vận hành chúng.

iSCSI và storage target

Các target tiêu biểu bao gồm SAN, NAS, tape và LUN.

  • SAN thể hiện các kho lưu trữ ảo được chia sẻ cho nhiều máy chủ. Đối với Ethernet SAN, máy chủ lưu trữ sử dụng iSCSI để vận chuyển dữ liệu dạng block-based đến SAN.
  • NAS hỗ trợ các iSCSI target. Ví dụ, trong môi trường Windows, HĐH đóng vai trò là initiator, do đó, chia sẻ iSCSI trên NAS hiển thị dưới dạng ổ đĩa cục bộ.
  • Tape. Nhiều hãng cung cấp tape cho phép hỗ trợ iSCSI trên các ổ tape của họ, cho phép những iSCSI initiator sử dụng ổ tape làm storage target.
  • LUN. Một Logical Unit Number xác định duy nhất một tập các thiết bị lưu trữ vật lý hoặc được ảo hóa. Bộ khởi tạo iSCSI ánh xạ tới các LUN iSCSI cụ thể làm target của nó. Khi nhận được gói mạng SCSI, target sẽ phục vụ các LUN của nó dưới dạng lưu trữ có sẵn.

Hạn chế của iSCSI

Việc triển khai iSCSI không phải quá khó, đặc biệt là với các giao thức được xác định bằng phần mềm . Nhưng việc cấu hình initiator và iSCSI target cần thêm các bước, và kết nối 10 GbE là điều cần thiết để đạt hiệu suất cao. Kinh nghiệm để đạt lưu lượng truyền dẫn cao là chạy iSCSI traffic trên một mạng vật lý riêng hoặc mạng LAN ảo riêng biệt.

Bảo mật là một mối quan tâm khác, vì iSCSI dễ bị “sniffing” các packet. Packet sniffing là loại cyberattack trong đó phần mềm độc hại hoặc thiết bị của bên tấn công nắm bắt các gói di chuyển trên một mạng dễ bị tấn công. Quản trị viên có thể thực hiện các biện pháp bảo mật để ngăn chặn điều này, nhưng nhiều quản trị viên trong các công ty nhỏ bỏ qua các biện pháp bảo mật cần thiết để đơn giản hóa việc quản lý iSCSI.

Đây hiếm khi là một kế hoạch tốt, vì việc phòng thủ chống lại packet sniffing có sẵn và dễ dàng. Các biện pháp phòng vệ chính chống lại kiểu tấn công này là Challenge-Handshake Authentication Protocol (CHAP) và Internet Protocol Security (IPsec), cả hai đều dành riêng cho iSCSI.

CHAP hoạt động bằng cách thừa nhận một liên kết giữa người khởi xướng và mục tiêu. Trước khi dữ liệu truyền, CHAP gửi thông báo thách thức đến người yêu cầu kết nối. Người yêu cầu gửi lại một giá trị xuất phát từ hàm băm để máy chủ xác thực. Nếu các giá trị băm khớp, liên kết sẽ kích hoạt. Nếu không, CHAP chấm dứt kết nối.

Đối với các gói iSCSI chạy trên mạng Internet, giao thức IPsec xác thực và mã hóa các gói dữ liệu được gửi qua mạng Internet. Việc sử dụng chính của nó là trong IPsec xác thực lẫn nhau giữa các tác nhân (máy chủ đến máy chủ, mạng nối tiếp hoặc mạng với máy chủ). Giao thức cũng đàm phán mã hóa và giải mã trong phiên và hỗ trợ xác thực ngang hàng nguồn gốc dữ liệu và cấp độ mạng và xác thực tính toàn vẹn dữ liệu. Vì IPsec rất phức tạp để triển khai và định cấu hình, nên việc sử dụng chính của nó là trong VPN (mạng riêng ảo) vận chuyển dữ liệu nhạy cảm.

Các biện pháp bảo mật iSCSI bổ sung bao gồm sử dụng danh sách kiểm soát truy cập (ACL) để kiểm soát truy cập dữ liệu người dùng và bảng điều khiển quản lý an toàn.

Góp ý / Liên hệ tác giả