В настоящее время мы запускаем iscsi в открытой сети и хотели бы перенести наш iscsi в отдельный vlan. При чтении документации это кажется невозможным. Вместо этого iet / iscsitarget, похоже, рекламирует службу на всех IP-адресах цели iscsi. Поскольку не все эти IP-адреса доступны на наших инициаторах iscsi. Что, в свою очередь, прерывает автозапуск нашего xen во время загрузки (слишком долгий таймаут).
Ограничение подсети в /etc/iet/initiators.allow и запрещение всего в /etc/iet/initiators.deny, похоже, не дает желаемого эффекта:
# /etc/iet/initiators.allow
ALL 192.168.50.0/24
ALL 192.168.51.0/24
# /etc/iet/initiators.deny
ALL ALL
Я думаю, вы должны иметь возможность привязать свою цель IET к определенному интерфейсу (например, вашему интерфейсу iSCSI VLAN), предоставив -a <IPaddress> параметр при запуске.
Настройка rp_filter и / или использование правил iptables (более дорого, но необходимо, если у вас включена маршрутизация для вашей подсети iscsi) должно гарантировать, что хосты не могут достичь целевого адреса iSCSI VLAN через другие интерфейсы или из других подсетей.