Назад | Перейти на главную страницу

Почему должен быть изолирован трафик iscsi?

Почему следует изолировать трафик iscsi SAN? Я пытаюсь объяснить своему сетевику, почему мы должны изолировать трафик.

Так как:

  • Если кто-то получит несанкционированный доступ к вашей сети хранения данных, произойдут очень и очень неприятные вещи.
  • Очень, очень плохие вещи произойдут, если ваш трафик iSCSI не разделен, и кто-то сочтет отличной идеей возиться с топологией STP на пограничном коммутаторе, в результате чего вся ваша сеть И ваша подсистема хранения сразу выйдут из строя
  • Если проектирование сети iSCSI не будет выполнено тщательно, могут произойти очень и очень плохие вещи. Хранение его в изолированных VLAN значительно усложняет выполнение чего-то глупого, например, попытки передавать трафик iSCSI через маршрутизатор или брандмауэр (в сети iSCSI не должно быть никаких маршрутизаторов или брандмауэров)
  • Очень, очень плохие вещи произойдут, если ваш администратор хранилища / виртуализации захочет реализовать jumbo-кадры, а ваш сетевой администратор не захочет реализовать jumbo-кадры. Разделение iSCSI на выделенных коммутаторах предотвратит это. Даже совместное использование коммутаторов с обычным сетевым трафиком предотвратит несоответствие MTU, поскольку вы увеличите MTU только на коммутаторах, которые имеют трафик iSCSI, а не на подключенных коммутаторах.

Я, наверное, мог бы перечислить больше причин, но думаю, этого достаточно, чтобы получить представление. Не смешивайте трафик iSCSI с каким-либо другим трафиком на тех же портах. Если у вас есть достойные коммутаторы, продолжайте и делите коммутационную матрицу с другим трафиком, но сохраняйте iSCSI на отдельных портах в разных VLAN.

Поскольку невыполнение этого требования позволяет регулярному трафику влиять на трафик хранилища, что является плохой идеей, поскольку это означает, что, скажем, загрузка пользователя может задержать важное чтение или запись.

Вы не хотите, чтобы побочные эффекты трафика мешали вашему доступу к SAN. У нас есть небольшая среда VMWare VSphere, в которой сначала трафик VMotion и iSCSI проходил через одни и те же коммутаторы в одной сети. Разные сетевые адаптеры, но одна и та же сеть. Ошибка в ESXi 5.0 приводила к тому, что узлы случайным образом теряли доступ к iSCSI SAN всякий раз, когда было активным более длительное действие VMotion, в котором использовалось более одного сетевого адаптера. В зависимости от решения SAN и используемых клиентов iSCSI можно ожидать всякого рода забавного поведения при смешивании трафика. Конечно, он тоже может работать без каких-либо проблем, но обычно это длится только до того дня, когда все ваши коллеги уйдут в отпуск, и внезапно начнется ад.

Другая проблема, когда в вашей сети по умолчанию есть системы iSCSI SAN: кто-то может использовать IP-адрес, назначенный вашему узлу SAN. Это, вероятно, не произойдет случайно, но кто-то, пытающийся доставить вам или компании проблемы, может просканировать вашу сеть, обнаружить SAN и использовать любое устройство с поддержкой IP, чтобы волшебным образом исчезнуть ваша SAN.