安裝和配置 Microsoft iSCSI 發起程序
Microsoft iSCSI 發起程序本地安裝在 Windows Server 2008 R2、Windows 7、Windows Server 2008 和 Windows Vista 上。在這些操作系統上,不需要任何安裝步驟。
.gif) 備注 |
|---|
| 但僅在 Windows Server 操作系統中支持使用 Microsoft iSCSI 啟動發起程序啟動計算機。 |
有關如何在 Windows Server 2003 或 Windows XP 上安裝 Microsoft iSCSI 發起程序的信息,請參閱 Microsoft 網站上的 Microsoft iSCSI Initiator 版本 2.08 (http://go.microsoft.com/fwlink/?LinkID=44352)(可能為英文網頁)。
安全性
Microsoft iSCSI 發起程序支持使用和配置質詢握手身份驗證協議 (CHAP) 和 Internet 協議安全性 (IPsec)。所有支持的 iSCSI HBA 也都支持 CHAP,而某些可能不支持 IPsec。
CHAP
CHAP 是一個用于對連接對等方進行身份驗證的協議。它基于共享密碼或機密的對等方。Microsoft iSCSI 發起程序支持單向和相互 CHAP。Microsoft iSCSI 發起程序假定的使用模型是每個目標可以擁有其自己的唯一 CHAP 機密用于單向 CHAP,而發起程序擁有一個機密用于對所有目標的相互 CHAP。Microsoft iSCSI 發起程序可以使用 iscsicli 命令 AddTarget 為每個目標持續保留目標 CHAP 機密。
在持續將訪問僅限于 Microsoft iSCSI 發起程序服務之前對機密進行加密。如果已持續保留目標機密,則不需要在每次登錄嘗試時都進行傳遞。管理應用程序(如 Microsoft iSCSI 發起程序中的圖形用戶界面)可以在每次登錄嘗試時都傳遞目標 CHAP 機密。對于永久性目標,將持續保留目標 CHAP 機密以及用于登錄到該目標的其他信息。在持續保留之前,也對分配給 Microsoft iSCSI 發起程序中內核模式驅動程序的每個永久性目標的目標 CHAP 機密進行加密。
CHAP 要求 Microsoft iSCSI 發起程序具有一個用于操作的用戶名和機密。通常,將 CHAP 用戶名傳遞給目標,然后目標在其專用表中查找用于該用戶名的機密。默認情況下,Microsoft iSCSI 發起程序將 iSCSI 限定名稱 (IQN) 用作 CHAP 用戶名。可以通過將 CHAP 用戶名傳遞給登錄請求將其覆蓋。注意,Microsoft iSCSI 發起程序中的內核模式驅動程序將 CHAP 用戶名限制為 223 個字符。
有關 CHAP 的詳細信息,請參閱 http://go.microsoft.com/fwlink/?LinkId=159074 上的 Microsoft 網站(可能為英文網頁)。
IPsec
IPsec 是一種在 IP 數據包層提供身份驗證和數據加密的協議。在對等端之間使用 Internet 密鑰交換 (IKE) 協議,以允許對等端彼此進行身份驗證以及協商將用于連接的數據包加密和身份驗證機制。
由于 Microsoft iSCSI 發起程序使用 Windows TCP/IP 堆棧,因此它可以使用 Windows TCP/IP 堆棧中所有可用的功能。對于身份驗證,它包括預共享密鑰、Kerberos 協議和證書。使用 Active Directory 將 IPsec 篩選器分發給運行 Microsoft iSCSI 發起程序的計算機。除了隧道和傳輸模式之外,還支持 3DES 和 HMAC-SHA1。
由于 iSCSI HBA 在適配器中嵌入了一個 TCP/IP 堆棧,而 iSCSI HBA 可以實現 IPsec 和 IKE,因此 iSCSI HBA 上可用的功能可能有所不同。它至少支持預共享密鑰、3DES 和 HMAC-SHA1。Microsoft iSCSI 發起程序有一個通用的 API,它用于為 Microsoft iSCSI 發起程序和 iSCSI HBA 配置 IPsec。
有關 IPsec 的詳細信息,請參閱 http://go.microsoft.com/fwlink/?LinkId=159075 上的 Microsoft 網站(可能為英文網頁)。
Microsoft iSCSI 發起程序最佳實踐
下面是建議用于 Microsoft iSCSI 發起程序配置的最佳實踐:
- 部署在快速網絡(GigE 或速度更快的網絡)上。
- 確保物理安全。
- 對所有帳戶使用強密碼。
- 使用 CHAP 身份驗證,因為它確保每個主機都擁有其自己的密碼。也建議使用相互 CHAP 身份驗證。
- 使用 iSNS 發現和管理對 iSCSI 目標的訪問。
| 備注 |
|---|
| 使用 Microsoft 多路徑 IO (MPIO) 管理到 iSCSI 存儲的多個路徑。Microsoft 不支持在用于連接到基于 iSCSI 的存儲設備的網絡適配器上成組。 |
存儲陣列性能最佳實踐
應該確保優化存儲陣列以實現負載的最佳性能。建議選擇包含 RAID 功能和緩存的 iSCSI 陣列。如果您配置的 Microsoft Exchange Server 版本具有對延遲敏感的其他 I/O 應用程序,則將 Microsoft Exchange Server 磁盤保留在陣列上單獨的池中,這一點尤其重要。有關結合使用 Exchange Server 和 iSCSI 的最佳實踐的詳細信息,請參閱 Microsoft Exchange 解決方案檢查程序 (http://go.microsoft.com/fwlink/?LinkId=154595)(可能為英文網頁)。
對于沒有低延遲或高 IOPS 要求的應用程序,可以通過 SAN 或 WAN 鏈接實現 Microsoft iSCSI 發起程序的存儲網絡,這允許全局分發。Microsoft iSCSI 發起程序消除了存儲網絡的傳統界線,使企業能夠訪問全球數據并且幫助確保最強大的災難保護。為了最大程度地提高性能,建議您在網絡上使用專用于 iSCSI 通信的 iSCSI。
遵循供應商關于存儲陣列的最佳實踐原則來配置 Microsoft iSCSI 發起程序超時。
安全最佳實踐
Microsoft iSCSI 發起程序中的協議的實現兼顧了安全性。除了將 iSCSI SAN 與 LAN 通信隔離之外,還可以通過以下安全方法使用 Microsoft iSCSI 發起程序:
- 單向和相互 CHAP
- IPsec
- 訪問控制
在登錄之前,通過 Windows 主機在 iSCSI 目標上配置對特定 LUN 的訪問控制。這也稱為 LUN 掩碼。
除了 IPsec 之外,Microsoft iSCSI 發起程序還支持單向和相互 CHAP。根據 iSCSI 標準,使用 IPsec 進行加密,使用 CHAP 進行身份驗證。加密通信的密鑰交換提供 Windows Internet 密鑰交換安全功能。Microsoft iSCSI 發起程序具有一個通用的 API,可以使用該 API 來配置發起程序和 iSCSI HBA。
網絡最佳實踐
以下是使用 Microsoft iSCSI 發起程序時建議用于網絡的最佳實踐:
- 使用非阻止交換機,并將“配置網絡端口速度”設置為特定的值,而不是允許速度協商。
- 禁用單播風暴控制。默認情況下,大多數交換機都禁用單播風暴控制。如果您的交換機啟用了單播風暴控制,則應該在連接到 Microsoft iSCSI 發起程序主機和目標的端口上禁用它以避免丟失數據包。
- 使用 MPIO 管理與 Microsoft iSCSI 發起程序中的存儲的多個網絡連接。這為 Windows Server 操作系統提供了額外的冗余和容錯。
備注
Microsoft 不支持將 MPIO 和 MCS 連接用于同一設備。使用 MPIO 或 MCS 來管理存儲路徑和負載平衡策略。 - 在網絡交換機和適配器上啟用流控制。流控制可確保接收方能調整發送方的速度,這對于避免數據丟失非常重要。
- 禁用用于檢測循環的跨樹算法。循環檢測在創建端口時引入了延遲,這對數據傳輸來說可能非常有用,并且它可以導致應用程序超時。
- 將 SAN 和 LAN 通信隔離。應該將 Microsoft iSCSI 發起程序中的 SAN 接口與其他企業網絡通信 (LAN) 分離。服務器應該使用專用的網絡適配器進行 SAN 通信。在單獨的網絡上為 Microsoft iSCSI 發起程序部署通信有助于最大程度地減少網絡擁塞和延遲。此外,使用基于端口的虛擬局域網 (VLAN) 或物理分離的網絡將 SAN 和 LAN 通信分離時,Microsoft iSCSI 發起程序的通信更加安全。
- 配置其他路徑的高可用性。對服務器中的其他網絡適配器使用 MPIO 或每個會話多個連接 (MCS)。這會通過冗余的以太網交換構造創建與 Microsoft iSCSI 發起程序中存儲陣列的其他連接。
- 解除僅連接到 Microsoft iSCSI 發起程序 SAN 的 Microsoft iSCSI 發起程序網絡適配器中的“文件和打印共享”。
- 使用 Gigabit 或速度更快的以太網連接以便對存儲進行高速訪問。阻塞或速度較低的網絡可能會引起延遲問題,對于通過 Microsoft iSCSI 發起程序連接的設備,這會中斷 Microsoft iSCSI 發起程序和應用程序之間的訪問。很多情況下,正確設計的 IP SAN 可以提供比內部硬盤驅動器更高的性能。Microsoft iSCSI 發起程序適合 WAN 和速度較低的實現,包括不考慮延遲和帶寬的復制。
- 使用服務器級網絡適配器。建議使用為企業網絡和存儲應用程序設計的網絡適配器。
- 對 Gigabit 網絡基礎結構使用等級為 CAT-6 的電纜。對于 10 Gigabit 的實現,超過 55 米的距離通常需要使用 CAT-6a 或 CAT-7 電纜。
- 使用 Jumbo 幀(如果網絡基礎結構支持)。可以使用 Jumbo 幀來允許通過每個以太網事務傳輸更多數據并減少幀數。更大的幀減少了在服務器和 iSCSI 目標方面的開銷。對于端到端支持,網絡中的每個設備都需要支持 Jumbo 幀,包括網絡適配器和以太網交換機。
網絡硬件最佳實踐
在要求運行時間和冗余的服務器環境中,建議配置多個網卡以允許服務器環境中的冗余。本部分討論通常具有不同管理要求的網絡連接:
iSCSI 網絡連接 通常,將 iSCSI 數據網絡連接到與用于客戶端訪問的網絡不同的網段。要為該連接提供冗余,建議在兩個網絡適配器上使用兩個或多個端口。這些連接應該由 MPIO 管理,用于為連接提供冗余,并且提高吞吐量(取決于配置)。
客戶端訪問網絡 客戶端訪問網絡是一個使用專門用于客戶端訪問服務器的網段的網絡端口。例如,客戶端使用該網絡連接到文件服務器、Exchange Server 或 SQL Server。對于網絡適配器端口冗余,可以利用網絡適配器成組來跨兩個或多個網絡端口提供冗余,在某些配置中,這會提高吞吐量。
管理網絡 通常,管理網絡是一個孤立的網段,用于進行服務器管理。在某些配置中,它還可以用于備份作業,以避免影響數據或客戶端訪問網絡。
除了以上段落中描述的三種網絡類型之外,在 Windows Server 故障轉移群集 (WSFC) 配置中,群集檢測信號通信還需要另一種網絡。該網絡專用于群集檢測信號通信,不用于以前定義的任何其他類型的通信。
下表顯示了配置示例:
| 服務器配置 | 建議 |
|---|---|
|
獨立服務器(非群集) |
六個網絡端口至少跨兩個卡。 配置兩個用于客戶端訪問的端口(使用網絡成組),兩個用于 iSCSI 與存儲連接的端口(使用 MPIO 提供冗余)。 配置一個用于系統管理的網絡接口,一個用于系統備份的網絡接口。 |
|
Windows Server 故障轉移群集 |
六個網絡端口至少跨三個網絡適配器。 采用上述相同配置,并且至少添加一個專門用于群集檢測信號通信的端口。 |
如果可能,應該將網絡適配器端口連接到不同的網絡交換機,以允許在一個網絡交換機出現問題時提供冗余,如下圖所示:
.gif)
圖 3 網絡交換機冗余
上圖描述了具有基本冗余級別的網絡硬件配置。在需要較高容錯級別的方案中,可以配置其他連接,如下圖所示。綠色和藍色的直線表示額外的網絡容錯級別。
.gif)
圖 4 具有其他連接的硬件配置
便于對 Windows Server 2008 R2 和 Windows 7 進行防火墻配置
可以直接通過 iSCSICLI 命令行實用程序允許通過防火墻使用 Internet 存儲名稱服務 (iSNS) 服務器。但是,如果需要,您仍然可以通過高級安全 Windows 防火墻控制它。
啟用 iSNS 通信以便與 Microsoft iSCSI 發起程序一起使用 使用以下命令通過防火墻啟用 iSNS 通信。這允許您將 iSNS 服務器與本地 Microsoft iSCSI 發起程序一起使用:
iscsicli FirewallExemptiSNSServer
連接到 iSCSI 目標設備
完成以下過程以建立一個從使用 Microsoft iSCSI 發起程序的客戶端計算機到使用快速連接功能的 iSCSI 目標的連接。
| 備注 |
|---|
| 快速連接功能不支持高級連接類型,如 MPIO 連接、CHAP、IPsec 或 MCS。該功能用于在不需要高級設置(如 MPIO 和 MCS 支持或安全功能支持)時快速創建與目標設備的連接。有關這些連接類型的信息,請參閱本文檔后面的使用高級設置連接到 iSCSI 目標。 |
使用快速連接連接到 iSCSI 目標設備的步驟
-
單擊「開始」,在“開始搜索”中鍵入 iSCSI,然后在“程序”下單擊“iSCSI 發起程序”。
-
在“用戶帳戶控制”頁中,單擊“繼續”。
-
如果這是第一次啟動 Microsoft iSCSI 發起程序,您會收到一個提示,告知您 Microsoft iSCSI 服務未運行。必須啟動該服務,Microsoft iSCSI 發起程序才能正常運行。單擊“是”以啟動該服務。將打開“Microsoft iSCSI 發起程序屬性”對話框,并顯示“目標”選項卡。
-
在“目標”選項卡的“快速連接”文本框中鍵入目標設備的名稱或 IP 地址,然后單擊“快速連接”。將顯示“快速連接”對話框。
-
如果指定的目標門戶上有多個目標,則顯示列表。單擊所需的目標,然后單擊“連接”。
備注如果只有一個目標可用,則自動連接該目標。 -
單擊“完成”。
| 備注 |
|---|
| 如果硬盤驅動器之前已進行了格式化,則現在可以對其進行訪問并可隨時使用。如果之前沒有對其進行格式化,則必須對其進行格式化并分配一個驅動器號,然后才能使用該設備。 |
格式化硬盤驅動器的步驟
-
單擊「開始」,在“開始搜索”中鍵入 diskmgmt.msc,然后在“程序”下單擊 diskmgmt。
-
在“用戶帳戶控制”頁中,單擊“繼續”。 將顯示“磁盤管理”控制臺。
-
如果以前沒有使用過該硬盤驅動器,系統將提示您對其進行初始化。單擊“MBR(主啟動記錄)”,然后單擊“確定”。在“磁盤管理”控制臺中,將顯示 Microsoft iSCSI 發起程序已連接的磁盤。
-
右鍵單擊硬盤驅動器,然后單擊“新建簡單卷”。將顯示“新建簡單卷向導”。
-
在“歡迎使用”頁上,單擊“下一步”。
-
在“指定卷大小”頁上輸入簡單卷大小,然后單擊“下一步”。
-
在“分配驅動器號和路徑”頁上,單擊要使用的驅動器(例如,驅動器 D),然后單擊“下一步”。
-
在“格式化分區”頁上,鍵入所需的新分區名稱,然后單擊“下一步”。
-
在“正在完成新建簡單卷”頁上,查看新分區的摘要詳細信息,然后單擊“完成”。
-
若要在完成格式化過程之后訪問新分區,請在“磁盤管理”控制臺中,右鍵單擊該分區,然后單擊“打開”。也可以使用“我的電腦”訪問通過 Microsoft iSCSI 發起程序連接的新分區。
使用高級設置連接到 iSCSI 目標
對于到 iSCSI 目標設備的高級連接(例如需要以下功能的連接),無法使用快速連接連接到這些設備:
- MPIO
- 每個會話多個連接 (MCS)
- CHAP、IPsec 或 RADIUS 安全
- 需要特定 TCP 端口的連接或需要選擇特定網絡適配器的連接
進行高級連接的步驟
-
單擊「開始」,在“開始搜索”中鍵入 iSCSI,然后在“程序”下單擊“iSCSI 發起程序”。
-
在“用戶帳戶控制”頁中,單擊“繼續”。
-
如果這是第一次啟動 Microsoft iSCSI 發起程序,您會收到一個提示,告知您 Microsoft iSCSI 服務未運行。必須啟動該服務,Microsoft iSCSI 發起程序才能正常運行。單擊“是”以啟動該服務。將打開“Microsoft iSCSI 發起程序屬性”對話框,并顯示“目標”選項卡。
-
單擊“發現”選項卡。
-
若要添加目標門戶,請單擊“發現門戶”,然后在“發現門戶”對話框中,鍵入要連接到的目標門戶的 IP 地址或名稱。如果需要,還可以鍵入要用于該連接的備用 TCP 端口。
備注若要輸入其他設置,如出站 IP 地址(當使用多個網絡適配器時)和安全設置(如 CHAP 和 RADIUS),請單擊“高級”。 -
單擊“確定”。
