集成iSCSI 和FC SAN有五种常见的方法,各有优缺,适应环境也各不相同。
不久前,中小公司开始部署iSCSI,以前他们都采用直连式存储;大公司一直采用FC SAN,而且技术更加成熟。但是,iSCSI技术成本较低、简单明了,《财富》1000强公司中已经有越来越多的公司开始利用iSCSI SAN实施FC基础架构,用以保护数据,实现Tier-2存储。
集成iSCSI 和FC也存在很大挑战。将iSCSI引入现有的FC SAN中,不仅会产生集成问题,还会导致一些存储架构变复杂,因为存储架构不仅需要了解IP和FC,还要有能力管理和调试多协议存储环境。试图这么做的存储架构师必须非常熟悉iSCSI的设计选项,因为这些设计会影响集成产品的性能、安全和可用性。
性能
iSCSI的一些新特性与IP协议的性质密切相关。FC协议适合于连接服务器和阵列的网络,基于IP协议的iSCSI可能会与非存储IP流量竞争。为了减少IP流量混乱带来的影响,数据中心的管理员应该通过专用iSCSI网络分离iSCSI流量和非存储流量,因为专用iSCSI网络与网络其他部分没有物理连接,或者采用访问控制清单、虚拟局域网(VLAN)等以太网隔离技术。华盛顿Spokane公共学校的高级网络管理员Kevin Mount说:“为了避免内部LAN产生干涉,我们决定在Foundry公司生产的48端口以太网交换机中独立运行iSCSI网络。”
尽管物理隔离和虚拟隔离技术大大提高了安全和性能,存储管理员依然需要在网络交换机和适配器中利用以太网巨帧和流量控制等先进技术,缓减阻塞,优化吞吐量。当一条千兆链路的网络带宽不够用时,可以利用以太网链路聚集(trunking)或链路汇集,将多条链路连接成一条聚集链路;这样就不必部署价格昂贵的10Gb以太网基础设施,又能克服网络带宽的限制。
在主机方面,TCP卸载引擎(TOE)和iSCSI HBA可以有效节省CPU周期,尤其是对速度较慢但注重性能的应用程序服务器。SNIA IP存储论坛主席David Dale认为,尽管TCP和iSCSI的传输速率为1Gb/s,不足最先进服务器硬件速率的10%,而目前85%的iSCSI在部署过程中只采用iSCSI Initiator软件,但是一旦10Gb iSCSI 得到普及,TOE和iSCSI HBA的作用就会越来越大。除了改善I/O性能,iSCSI HBA还会增加从SAN启动和加密等服务。
在多协议环境中,存储管理员需要注意以太网的特性,如以太网交换机和网络接口卡(NIC)之间的容错速度/方式会产生自适应问题,可能对iSCSI网络的性能产生不利影响。Mount 说:“为了降低自适应问题发生的概率,我们对所有的交换机和服务器以太网端口设置不可更改的编码。”
安全
iSCSI和FC采用不同的方法保证存储访问的安全,这可能是多协议存储架构师必须解决的最大问题。FC利用FC交换机实行分区,通过全局名称排列LUN编号和主机标识,而iSCSI采用上述隔离iSCSI的物理和虚拟方法,通过IP地址、主机系统和存储设备的名称、内部/外部CHAP身份验证等方式限制访问,从而保证存储安全。
实行多种iSCSI身份验证方式似乎让人不知所从,其实规则很简单:对于基于IP实现隔离的iSCSI网络,主机系统和存储设备的名称就已经足够验证用户身份。在iSCSI与LAN之间存在物理连接的情况下,应该部署更加严密的CHAP身份验证方式,消除IP地址访问iSCSI LUN时带来的外部影响。当环境中拥有大量iSCSI设备时,可以采用Radius服务器实现集中验证,这样就不需要在iSCSI的存储设备中管理用户证书。
休斯顿贝勒医学院企业服务与信息系统主管Mike Layton采用了类似的策略,他利用主机系统和存储设备名称实现iSCSI授权,验证访问其FC SAN的少量服务器。他的基于日立数据系统(HDS)公司的FC SAN,在隔离的iSCSI LAN中采用NetApp FAS980c网关产品。
集成iSCSI和FC的最大好处在于:支持IP协议中的IPsec加密协议,IP流量出现故障时,都应该集成iSCSI和FC。但是,当服务器处于繁忙状态时,IPsec加密协议的开销非常大。在采用IPsec协议的环境中,服务器和网络带宽匮乏的计算机都应该凭借Cavium网络公司等公司提供的硬件加密技术,配备iSCSI HBA或NIC。从网络层面讲,Decru公司(现为NetApp)、NeoScale系统公司等公司都提供加密产品,设置在数据存取路径中,在FC和iSCSI数据抵达网络附属存储阵列之前,就对其进行加密。
存储管理接口很容易受到安全漏洞的攻击,但是在存储设计过程中又通常遭到忽视。不设密码、所有存储设备只设一个密码或者从不更改密码,都会使设计良好的SAN面临危险。只有特定系统和密码策略非常有效的VLAN才能访问管理接口,在具有大量IP设备的环境中采用集中化的Radius身份验证服务器,这些措施可以降低未获认证的管理变化带来的风险。
可用性
可用性是包括iSCSI SAN在内的SAN最重要的性能需求,需要在服务器、网络和阵列等层面上进行部署。在网络层面上,可以成对部署交换机,采用生成树状动态路由等以太网故障转移技术,实现冗余。在服务器层面上,通过双连服务器和以太网交换机,实现高可用性。凭借微软公司2005年发布的iSCSI Initiator 2.0版,多路径IO(MPIO)使主机能够与iSCSI网络实现冗余连接。“我们的主机全都运行MPIO,而且与iSCSI SAN实现双连接。”麻省 Babson 学院和Wellesley学院开发体系结构主任Kuljit Dharni解释道:“主板上的NIC卡用于常规的LAN访问,以太网端口和英特尔PCI千兆网络适配器与iSCSI SAN相连。”
iSCSI存储设备的冗余选项根据供应商和产品种类而定。iSCSI网关产品、智能存储交换机和基于服务器的iSCSI存储设备,都可以在群集配置中见到,所谓群集配置是指两套设备以双机互备援(active-active)模式或双机热备份(active-passive)模式运行。一些中端存储阵列产品支持iSCSI,如EMC公司的Clariion CX3-20和CX3-40产品,可以通过双控制器架构提供冗余。高端阵列——如EMC 公司的Symmetrix DMX系列产品——需要底盘,只是简单地添加多个iSCSI刃片就能实现冗余。
iSCSI集成选项
将iSCSI集成到FC SAN中的方法多样、程度不一,取决于现有的存储环境和集成目的。一方面,存储架构师都有各自的目标,如贝勒学院的Layton希望通过iSCSI访问所有的FC存储。另一方面,存储管理员也有各自的目标,如Dharni完全实施iSCSI,不再使用FC SAN。另外,还可以同时运行FC 和iSCSI SAN,Spokane公立学校的Mount和伊利诺伊北伯克(Northbrook)Logs金融服务公司的数据系统管理员Dan Schneidemantle就采用这种方法。
在上述的最后一种情况中,设计时需要考虑的关键因素是iSCSI和FC SAN集成的程度。在多协议环境中,存储架构师往往部署iSCSI SAN,并使其与现有的FC架构同时运行,独立管理,以避免产生复杂的集成问题。EqualLogic 产品管理部主任Eric Schott 说:“我们的大多数客户独立运行iSCSI SAN和FC SAN。”“iSCSI LUN和FC LUN采用不同的安全模式,要将其匹配可不是件容易的事。”Schott补充道,“对许多存储架构师而言,就算集成好处再多,如果会增加系统复杂性也就不值得了。”
对于由一个供应商提供的多协议存储阵列,可以统一管理iSCSI和FC SAN。EMC、HDS、HP和 Net-App等公司都提供多协议阵列,统一管理iSCSI和FC,在某些情况下还可以管理NAS。FalconStor软件公司、 NetApp公司和Sanrad 公司提供的iSCSI虚拟化产品也可以实现统一存储管理。存储管理员若要将iSCSI集成到现有的SAN中,需要考虑以下集成问题:
iSCSI网关
支持iSCSI的FC交换机和导向器
智能存储交换机和网关
基于阵列的iSCSI集成方式
基于服务器的iSCSI集成方式
支持iSCSI的FC交换机
iSCSI网关
iSCSI网关可以转换协议,将iSCSI协议转化为FC协议,反之亦然。通常,iSCSI网关至少具有两个FC端口,可以连接到终端FC存储设备;至少具有两个1Gb的以太网端口,和服务器进行IP连接。iSCSI网关把FC LUN作为iSCSI的存储设备,通过IP就可以访问FC存储,无需在服务器中设置FC HBA。常见的网关产品有:博科通讯公司的iSCSI网关、思科系统公司的MDS 9216i、Emulex公司的725/735 iSCSI存储路由器、以及QLogic公司的SANbox 6140智能存储路由器。
在SAN中利用iSCSI网关产品实现存储需要两大步骤。首先,FC存储管理员为iSCSI网关提供LUN,然后在iSCSI网关限制iSCSI对FC LUN的访问,只有特定的IP地址、主机系统和存储设备、或者CHAP证书才能访问LUN。一旦完成这些设置,并且在iSCSI客户机上正确配置iSCSI存储设备,就可以在本地磁盘驱动器中看到指定存储。
iSCSI网关的主要好处就是,可以十分容易、毫无故障地将其添加到现有的FC SAN中。iSCSI网关不需要FC网络改变架构,只需简单地配置iSCSI Initiator软件,服务器就能访问FC存储。但是,iSCSI网关价格较贵——一套iSCSI网关产品的市场价大约为10,000美元。Windows系统和Linux系统的FC HBA至少需要花费400美元,因此有必要分析成本与收益:只有当大量服务器采用iSCSI网关时,才比较合算。服务器数量较少时,可以在服务器中添加FC HBA,直接连到FC SAN,这样显得更合算。博科公司市场产品部主任Mario Blandini说:“你至少需要拥有100台服务器,才能看到iSCSI网关的性价优势。”
支持iSCSI的FC交换机
如果你运行高端FC交换机和导向器,你的供应商很有可能会竭力推荐iSCSI网关,这样你就不必独立部署网关产品。将iSCSI网关放入FC导向器中,你就拥有了独立的管理控制台,继承导向式交换机的所有冗余和性能优势。
博科公司提供的SilkWorm 48000交换器就配备SilkWorm FC4-16IP iSCSI网关,交换器具有8个4Gb/sec的FC端口,8个1Gb的以太网端口,聚集的吞吐量达64Gb/sec。同理,思科公司供应IP存储服务模块(8个1Gb的以太网端口)和多协议服务模块(14个2Gb/sec的FC端口、2个1Gb的以太网端口),分别匹配MDS 9200 系列的多层网络交换机and MDS 9500系列的多层导向器。
供应商将iSCSI协议载入FC交换机,提供独立的iSCSI网关产品不具备的特性。例如,思科的产品支持虚拟路由冗余协议(VRRP),存储架构师就能为以太网与iSCSI的连接配置可选路径,这时如果主要端口发生故障,以太网端口能继续传输iSCSI。思科的iSCSI服务器负载平衡(iSLB),使存储管理员可以利用一个iSCSI目标入口(target-portal)的IP地址,配置所有的服务器,将以太网端口的任务传输到交换机。交换机将以太网端口的内容传输到iSCSI客户机,这么做不仅可以简化存储管理,还可以设计冗余充分的iSCSI网络,只要允许iSLB通过VRRP自动重新分配无效端口即可。
智能存储交换机和网关
iSCSI网关受到协议转换的限制,而智能交换机和网关却能提供虚拟化、快照、复制、镜像等存储服务。换句话说,智能交换机和网关就类似于多协议存储阵列,只是它们他们没有附属存储设备。
智能交换机和网关可以帮助存储架构师聚集现有存储,添加多协议支持(包括iSCSI),并且在单方管理协议下提供虚拟化、存储管理。NetApp的V系列网关是NetApp的存储控制台,没有附属存储设备,可以将iSCSI、FC和NAS连接到中央存储池。贝勒学院的Layton说:“我们用NetApp [FAS] 980c网关替代HDS FC SAN,使得SAN的iSCSI和NAS容量均有所增长。”
Sanrad公司的iSCSI V-Switch交换机能连接末端的SCSI、FC、iSCSI阵列,同时能将iSCSI连接到前端服务器。与NetApp的V系列网关相似,V-Switch存储服务平台也支持虚拟化、监管、镜像、快照和复制功能。Spokane 公立学校的Mount说:“Sanrad公司的iSCSI V-Switch交换机不仅能以iSCSI方式连接到Xiotech公司的FC阵列,也使我们能够统一管理FC存储和SCSI附属SATA存储。”
但是这种方法也有缺点。LeftHand网络公司解决方案市场部经理Pete Caviness说:“交换机中如果没有附属存储设备,虚拟化就会变得很贵,因为你需要为交换机付款,需要获取存储。”
基于阵列的iSCSI集成方式
EMC、HDS、HP、NetApp等大型存储阵列供应商都声称自己的阵列最适用于iSCSI和FC的集成。一些公司根据供应商调整基础架构,多协议阵列,能够统一管理iSCSI和FC,因此非常吸引这些公司的注意力。EMC公司存储产品市场部高级管理员Peter Lavache认为:“EMC公司的Navisphere管理套件能从监管、设置、复制等方面对iSCSI和FC实现透明管理。”
采用多协议阵列,就不必部署iSCSI架桥和网关,主机可以通过iSCSI直接与存储阵列相连。但是这些供应商出售的FC阵列并非全都支持iSCSI,是否支持iSCSI主要取决于阵列的种类和年代。NetApp公司支持iSCSI已有时日, 2003年开始,NetApp公司的所有产品都支持iSCSI。目前,所有的NetApp存储盒默认状态下都支持iSCSI。其它供应商采取的措施相对谨慎。EMC公司的高端产品Symmetrix一开始就支持iSCSI,但是直到不久前,EMC公司才开始提供支持iSCSI的终端产品——Clariion CX3-20和CX3-40阵列。同样,惠普公司的高端产品StorageWorks XP阵列一直支持iSCSI,但是知道2006年才推出支持iSCSI的终端产品
StorageWorks EVA阵列
目前,微软公司的Windows Storage Server 2003 R2也支持iSCSI。FalconStor公司在IPStor平台中添加FC,在一个存储盒中支持iSCSI、FC和 NAS。IPStor与智能存储交换机类似,拥有存储虚拟化、快照、镜像和复制等先进的存储功能。
IPStor与Sanrad公司的iSCSI V-Switch交换机也极为相似,不过有一处差别:IPStor软件几乎可以在所有的配置环境下、在任意服务器平台中运行。Logs金融服务公司的Schneidemantle说:“我们之所以选择FalconStor公司的IPStor,是因为IPStor非常灵活,这样,我们就能集成现有的HP MSA1000 FC阵列和FalconStor SATA存储,而这一切都通过IPStor加以管理。”他在主数据中心,配置一级、二级数据中心以及IPStor群集中心,二级数据中心可以通过iSCSI将数据复制到IPStor群集中心。
基于服务器的iSCSI集成技术最大的好处在于,能够很灵活地提供大量集成需求。缺点是,运行标准服务器的软件很容易产生问题,就如Schneidemantle所发现的那样。他说:“我们调整了双机互备援(active-active)模式的IPStor群集故障转移,将其改变为手动转移电力故障,这样两台机器不会产生群集节点。”
10GbE有望实现
10GbE以太网的价格有望下降,成为iSCSI网络有力负担的选择方式。届时,存储架构师也可以采用iSCSI部署高端应用程序,而过去人们一直采用FC存储部署这些程序。IDC研究副主席Robert Grey说:“现有的应用程序仍将采用FC,但是越来越多的新型应用程序将会选择iSCSI。”