如果有机会能够在不限制系统功能或者控制灵活性的情况下增强安全性,就再好不过了。使用VMware的VSpere 4.0中特定iSCSI启动程序验证改动可以实现该条件。
***个主要修改是VMware ESX或者ESXi主机当前可以同时使用不同iSCSI主机,即使这些iSCSI主机属于不同的管理组或者是拥有不同的验证能力。这二个主要修改是VMware ESX 4.0增强了VI 3中的iSCSI验证程序,主要是通过另外的四个不同安全级别、手动挑战-握手验证协议(CHAP:Challenge-Handshake Authentication Protocol)安全以及为多目标独立配置验证的能力实现。
匿名和验证访问
在验证级别, ESX 3.5对iSCSI目标支持两种不同类型的访问方式:匿名访问和验证访问。ESX 3.5验证访问使用挑战-握手协议。访问的实施有时候会受到限制,因为仅仅使用一个本地名字和证书密钥集合。在有多个潜在iSCSI目标的工作环境中,这种情况有可能会有问题。在这些多目标有不同验证程序的工作环境中,只有那些具有相同值的目标才可以使用。这也就是说,实际上ESX 3.5中的CHAP验证要么是对全部对象适用,要么是不起作用。
然而随着ESX 4.0的问世,VMware对iSCSI验证模式提供了进一步的灵活性。可以在iSCSI启动程序的根用户级别或者目标级别配置CHAP验证程序。在根用户级别配置证书,当然如果需要的话,也可以从目标级别继承。ESX 4.0也新增了手动CHAP验证,这在主机和iSCSI存储系统之间增加一个新安全级别。
例如,假设一个公司在企业内部使用很多不同的存储技术:这个项目用这一项技术,另外一个项目用那一项技术等;另外也假设VMware项目用到其中一项技术,但是iSCSI目标的配置却各不相同。为使用VMware以及这两种解决方案,必须对ESX 3.5的存储技术做出修改才可以使用这两项技术。
对VSphere iSCSi启动程序验证进行修改,在ESX 4.0中配置手动CHAP
为研究如何在ESX 4.0中配置手动CHAP,我使用StarWind软件公司的iSCSI存储区域网络(SAN:Storage Area Network)作为iSCSI存储系统。StarWind的iSCSI SAN解决方案是运行在Windows操作系统之上的应用程序,配置起来非常简单。我根据主要工作用途选择企业版的解决方案,因为其可以轻量级供给存储。
首先下载StarWind iSCSI SAN并安装在Windows系统上。我选择完全安装,在安全结束后启动管理界面开始进行存储系统配置。登录iSCSI连接之后,通过给连接增加一个设备来增加一个存储系统。由于我的测试环境没有足够的空间并且我希望使用轻量级供给iSCSI目标,所以我选择的是“快照和CSP设备(Snapshot and CDP device)”。同时我还确保允许多iSCSI连接,因为我在其它测试ESX主机中也要用到该设备。
对VSphere iSCSi启动程序验证进行修改,激活手动CHAP验证
修改连接许可权限,把对StarWind iSCSI SAN的CHAP验证程序添加进来,另外对ESX主机新增CHAP验证程序。因为多ESX主机将会使用这个验证程序,我也为其它主机增加CHAP验证程序。
为访问主机级别已有的iSCSI目标,可以修改ESX 4.0主机上的iSCSI软件启动程序,在ESX 4.0上配置表项中的存储系统适配器控制面板中可以进行修改。在ESX 3.5中有一个配置表项,该表能够只接受iSCSI目标的CHAP验证证书。ESX 4.0把CHAP配置工作移到一个按钮上,它不仅新增手动CHAP验证,并且增添和CHAP可以使用的安全级别相关的规则。CHAP安全设置如下表所示:
对VSphere iSCSi启动程序验证进行修改,需要切记的是硬件iSCSI启动程序不支持手动CHAP。
为了在主机和StarWind iSCSI SAN之间配置验证程序,我首先进入CHAP域中iSCSI目标的本地用户名和密钥进行配置,然后进入手动CHAP域中主机的本地用户名和密钥进行配置。在点击“OK”之后,系统提示是否重新扫描软件iSCSI启动程序。这样在ESX 4.0和iSCSI目标之间就成功创建了双向连接。
除了支持手动CHAP,ESX 4.0允许不同目标支持多种CHAP验证级别和不同的CHAP证书。在不太复杂的工作环境中,可以在启动程序级别配置这些设置,并且每一个目标都可以继承这些设置。正如当今的经济领域一样,当需要把简单问题逐渐复杂化时,从目前已有的系统上入手开始工作。如果能够不中断这些资源正在提供的服务而配置系统的话,最终将会更加灵活,同时也可以节省成本,这正是我在本文中提到的对Spere 4做出修改后所能提供的优点。
【编辑推荐】