首页 > 代码库 > 利用ISCSI搭建IP存储网络iSCSI在安全方面相关设定

利用ISCSI搭建IP存储网络iSCSI在安全方面相关设定

2024-07-28 07:53:42   210人阅读

                  ISCSI技术的优势


与传统的SCSI技术比较起来,iSCSI技术有三个革命性的变化:

把原来只用于本机的SCSI透过TCP/IP网络传送,使连接距离可作无限的地域延伸; 

连接的服务器数量无限(原来的SCSI-3的上限是15); 

由于是服务器架构,因此也可以实现在线扩容以至动态部署。


wKiom1RE97mzGA7mAAKsGOWWPtQ203.jpg

                  授权访问iSCSI磁盘的必要性

只允许客户端主机A连接target共享出来的磁盘分区一,而客户端主机B只允许连接target共享出来的磁盘分区二。

案例:

有一个PC构架的iSCSI target服务器,共享的硬盘标识为/dev/sdc和 /dev/sdd,大小分别为10G和5G,分别将/dev/sdd共享给一个IP地址为192.168.12.136的windows客户端主机,将/dev/sdc共享给一个IP地址为192.168.12.235的Linux客户端主机,iSCSI target服务器的IP地址为192.168.12.246。

安装iSCSI target软件

Iscsitarget下载地址为:http://iscsitarget.sourceforge.net

wKioL1RFIWSQxxwrAANHAZgl9u8273.jpg

[root@iscsi-target iscsi]#tar -xzvf iscsitarget-1.4.20.1.tar.gz

[root@iscsi-target iscsi]#cd iscsitarget-1.4.20.1

[root@iscsi-target iscsitarget-1.4.20.1]#make

[root@iscsi-target iscsitarget-1.4.20.1]#make install

[root@iscsi-target iscsi]# service iscsi-target restart 

wKioL1RFCuPxU5zQAAP64Ay_68s081.jpg

2.修改/etc/tgt/targets.conf 添加如下

wKioL1RFC_3iqcHPAAFdhIyrm8k222.jpg

3.重启tgtd服务,并将其设为开机启动:

/etc/init.d/tgtd restart
chkconfig tgtd on

客户端

yum install iscsi-initiator-utils

发现服务器192.168.12.246的iscsi共享卷

iscsiadm -m discovery -t sendtargets -p 192.168.12.246

wKioL1RFFO2DARsyAAIe_cbBVd8410.jpg

只要能连到的客户端 就能发现target服务器 如何让他有规则的发现连接 有2种方法可以实现授权访问

1.基于ip

修改/etc/iet/initiators.allow文件

iqn.2010-11.net.ixdba:sdc  192.168.12.235

iqn.2010-11.net.ixdba:sdd  192.168.12.136


3、 Initiator主机以密码认证获取iSCSI Target资源


(1)修改/etc/iet/initiators.allow文件,修改后的内容如下:

#iqn.2010-11.net.ixdba:sdc  192.168.12.235

#iqn.2010-11.net.ixdba:sdd  192.168.12.136

ALL ALL

3、 Initiator主机以密码认证获取iSCSI Target资源

(2)接着修改/etc/iet/ietd.conf文件,修改后的内容如下:

IncomingUser  discovery.auth  discoverysecret

第一个“IncomingUser”是个全局参数,用来指定Discovery查询认证所使用的账号和密码,必须与initiator主机中设定的用户名密码一致。

Target iqn.2010-11.net.ixdba:sdd

IncomingUser  login.windows.auth  windowssecret

Lun 0 Path=/dev/sdd,Type=fileio

Target iqn.2010-11.net.ixdba:sdc

IncomingUser  login.linux.auth linuxsecret

Lun 0 Path=/dev/sdc,Type=fileio


 Initiator主机以密码认证获取iSCSI Target资源

(2)接着修改/etc/iet/ietd.conf文件,修改后的内容如下:

Target iqn.2010-11.net.ixdba:sdd

IncomingUser  login.windows.auth  windowssecret

Lun 0 Path=/dev/sdd,Type=fileio

Target iqn.2010-11.net.ixdba:sdc

IncomingUser  login.linux.auth linuxsecret

Lun 0 Path=/dev/sdc,Type=fileio

第二个和第三个“IncomingUser”选项包含在对应的Target中,用来指定windows和Linux客户端主机登录Target/iqn/Lun时所使用的账号密码。也必须与initiator主机中设定的用户名密码一致。


(3)配置Linux Initiator主机


修改/etc/iscsi/iscsid.conf文件,添加如下选项: 

#以下三个是针对login的

node.session.auth.authmethod = CHAP  #表示在login时启用CHAP验证。

node.session.auth.username = login.linux.auth  #验证用户名称,可以是任意字符,但必须与target端IncomingUse配置的名字一致。

node.session.auth.password = linuxsecret  #验证密码,必须与target端对应的IncomingUse选项设置的密码一致。


配置Linux Initiator主机

#以下三个是针对discovery的 

discovery.sendtargets.auth.authmethod = CHAP   #表示discovery时启用CHAP验证。

discovery.sendtargets.auth.username = discovery.auth  #验证用户名称,可以是任意字符,但必须与target端IncomingUse配置的名称一致。

discovery.sendtargets.auth.password = discoverysecret   #验证密码,必须与target端对应的IncomingUse选项设置的密码一致。

配置完毕,重启initiator,重新执行Discovery查询,操作如下:

[root@ Initiator iscsi ]#/etc/init.d/iscsi restart

[root@ Initiator iscsi ]# iscsiadm -m discovery -t sendtargets -p 192.168.12.246


wKioL1RFKcfhgWTqAAKFx3F7bM0694.jpg


本文出自 “屌丝人生” 博客,谢绝转载!

利用ISCSI搭建IP存储网络iSCSI在安全方面相关设定


联系
我们