Microsoft iSCSI 发起程序本地安装在 Windows Server 2008 R2、Windows 7、Windows Server 2008 和 Windows Vista 上。在这些操作系统上,不需要任何安装步骤。
备注 |
---|
但仅在 Windows Server 操作系统中支持使用 Microsoft iSCSI 启动发起程序启动计算机。 |
有关如何在 Windows Server 2003 或 Windows XP 上安装 Microsoft iSCSI 发起程序的信息,请参阅 Microsoft 网站上的 Microsoft iSCSI Initiator 版本 2.08 (http://go.microsoft.com/fwlink/?LinkID=44352)(可能为英文网页)。
安全性
Microsoft iSCSI 发起程序支持使用和配置质询握手身份验证协议 (CHAP) 和 Internet 协议安全性 (IPsec)。所有支持的 iSCSI HBA 也都支持 CHAP,而某些可能不支持 IPsec。
CHAP
CHAP 是一个用于对连接对等方进行身份验证的协议。它基于共享密码或机密的对等方。Microsoft iSCSI 发起程序支持单向和相互 CHAP。Microsoft iSCSI 发起程序假定的使用模型是每个目标可以拥有其自己的唯一 CHAP 机密用于单向 CHAP,而发起程序拥有一个机密用于对所有目标的相互 CHAP。Microsoft iSCSI 发起程序可以使用 iscsicli 命令 AddTarget 为每个目标持续保留目标 CHAP 机密。
在持续将访问仅限于 Microsoft iSCSI 发起程序服务之前对机密进行加密。如果已持续保留目标机密,则不需要在每次登录尝试时都进行传递。管理应用程序(如 Microsoft iSCSI 发起程序中的图形用户界面)可以在每次登录尝试时都传递目标 CHAP 机密。对于永久性目标,将持续保留目标 CHAP 机密以及用于登录到该目标的其他信息。在持续保留之前,也对分配给 Microsoft iSCSI 发起程序中内核模式驱动程序的每个永久性目标的目标 CHAP 机密进行加密。
CHAP 要求 Microsoft iSCSI 发起程序具有一个用于操作的用户名和机密。通常,将 CHAP 用户名传递给目标,然后目标在其专用表中查找用于该用户名的机密。默认情况下,Microsoft iSCSI 发起程序将 iSCSI 限定名称 (IQN) 用作 CHAP 用户名。可以通过将 CHAP 用户名传递给登录请求将其覆盖。注意,Microsoft iSCSI 发起程序中的内核模式驱动程序将 CHAP 用户名限制为 223 个字符。
有关 CHAP 的详细信息,请参阅 http://go.microsoft.com/fwlink/?LinkId=159074 上的 Microsoft 网站(可能为英文网页)。
IPsec
IPsec 是一种在 IP 数据包层提供身份验证和数据加密的协议。在对等端之间使用 Internet 密钥交换 (IKE) 协议,以允许对等端彼此进行身份验证以及协商将用于连接的数据包加密和身份验证机制。
由于 Microsoft iSCSI 发起程序使用 Windows TCP/IP 堆栈,因此它可以使用 Windows TCP/IP 堆栈中所有可用的功能。对于身份验证,它包括预共享密钥、Kerberos 协议和证书。使用 Active Directory 将 IPsec 筛选器分发给运行 Microsoft iSCSI 发起程序的计算机。除了隧道和传输模式之外,还支持 3DES 和 HMAC-SHA1。
由于 iSCSI HBA 在适配器中嵌入了一个 TCP/IP 堆栈,而 iSCSI HBA 可以实现 IPsec 和 IKE,因此 iSCSI HBA 上可用的功能可能有所不同。它至少支持预共享密钥、3DES 和 HMAC-SHA1。Microsoft iSCSI 发起程序有一个通用的 API,它用于为 Microsoft iSCSI 发起程序和 iSCSI HBA 配置 IPsec。
有关 IPsec 的详细信息,请参阅 http://go.microsoft.com/fwlink/?LinkId=159075 上的 Microsoft 网站(可能为英文网页)。
Microsoft iSCSI 发起程序最佳实践
下面是建议用于 Microsoft iSCSI 发起程序配置的最佳实践:
- 部署在快速网络(GigE 或速度更快的网络)上。
- 确保物理安全。
- 对所有帐户使用强密码。
- 使用 CHAP 身份验证,因为它确保每个主机都拥有其自己的密码。也建议使用相互 CHAP 身份验证。
- 使用 iSNS 发现和管理对 iSCSI 目标的访问。
备注 |
---|
使用 Microsoft 多路径 IO (MPIO) 管理到 iSCSI 存储的多个路径。Microsoft 不支持在用于连接到基于 iSCSI 的存储设备的网络适配器上成组。 |
存储阵列性能最佳实践
应该确保优化存储阵列以实现负载的最佳性能。建议选择包含 RAID 功能和缓存的 iSCSI 阵列。如果您配置的 Microsoft Exchange Server 版本具有对延迟敏感的其他 I/O 应用程序,则将 Microsoft Exchange Server 磁盘保留在阵列上单独的池中,这一点尤其重要。有关结合使用 Exchange Server 和 iSCSI 的最佳实践的详细信息,请参阅 Microsoft Exchange 解决方案检查程序 (http://go.microsoft.com/fwlink/?LinkId=154595)(可能为英文网页)。
对于没有低延迟或高 IOPS 要求的应用程序,可以通过 SAN 或 WAN 链接实现 Microsoft iSCSI 发起程序的存储网络,这允许全局分发。Microsoft iSCSI 发起程序消除了存储网络的传统界线,使企业能够访问全球数据并且帮助确保最强大的灾难保护。为了最大程度地提高性能,建议您在网络上使用专用于 iSCSI 通信的 iSCSI。
遵循供应商关于存储阵列的最佳实践原则来配置 Microsoft iSCSI 发起程序超时。
安全最佳实践
Microsoft iSCSI 发起程序中的协议的实现兼顾了安全性。除了将 iSCSI SAN 与 LAN 通信隔离之外,还可以通过以下安全方法使用 Microsoft iSCSI 发起程序:
- 单向和相互 CHAP
- IPsec
- 访问控制
在登录之前,通过 Windows 主机在 iSCSI 目标上配置对特定 LUN 的访问控制。这也称为 LUN 掩码。
除了 IPsec 之外,Microsoft iSCSI 发起程序还支持单向和相互 CHAP。根据 iSCSI 标准,使用 IPsec 进行加密,使用 CHAP 进行身份验证。加密通信的密钥交换提供 Windows Internet 密钥交换安全功能。Microsoft iSCSI 发起程序具有一个通用的 API,可以使用该 API 来配置发起程序和 iSCSI HBA。
网络最佳实践
以下是使用 Microsoft iSCSI 发起程序时建议用于网络的最佳实践:
- 使用非阻止交换机,并将“配置网络端口速度”设置为特定的值,而不是允许速度协商。
- 禁用单播风暴控制。默认情况下,大多数交换机都禁用单播风暴控制。如果您的交换机启用了单播风暴控制,则应该在连接到 Microsoft iSCSI 发起程序主机和目标的端口上禁用它以避免丢失数据包。
- 使用 MPIO 管理与 Microsoft iSCSI 发起程序中的存储的多个网络连接。这为 Windows Server 操作系统提供了额外的冗余和容错。
备注 Microsoft 不支持将 MPIO 和 MCS 连接用于同一设备。使用 MPIO 或 MCS 来管理存储路径和负载平衡策略。 - 在网络交换机和适配器上启用流控制。流控制可确保接收方能调整发送方的速度,这对于避免数据丢失非常重要。
- 禁用用于检测循环的跨树算法。循环检测在创建端口时引入了延迟,这对数据传输来说可能非常有用,并且它可以导致应用程序超时。
- 将 SAN 和 LAN 通信隔离。应该将 Microsoft iSCSI 发起程序中的 SAN 接口与其他企业网络通信 (LAN) 分离。服务器应该使用专用的网络适配器进行 SAN 通信。在单独的网络上为 Microsoft iSCSI 发起程序部署通信有助于最大程度地减少网络拥塞和延迟。此外,使用基于端口的虚拟局域网 (VLAN) 或物理分离的网络将 SAN 和 LAN 通信分离时,Microsoft iSCSI 发起程序的通信更加安全。
- 配置其他路径的高可用性。对服务器中的其他网络适配器使用 MPIO 或每个会话多个连接 (MCS)。这会通过冗余的以太网交换构造创建与 Microsoft iSCSI 发起程序中存储阵列的其他连接。
- 解除仅连接到 Microsoft iSCSI 发起程序 SAN 的 Microsoft iSCSI 发起程序网络适配器中的“文件和打印共享”。
- 使用 Gigabit 或速度更快的以太网连接以便对存储进行高速访问。阻塞或速度较低的网络可能会引起延迟问题,对于通过 Microsoft iSCSI 发起程序连接的设备,这会中断 Microsoft iSCSI 发起程序和应用程序之间的访问。很多情况下,正确设计的 IP SAN 可以提供比内部硬盘驱动器更高的性能。Microsoft iSCSI 发起程序适合 WAN 和速度较低的实现,包括不考虑延迟和带宽的复制。
- 使用服务器级网络适配器。建议使用为企业网络和存储应用程序设计的网络适配器。
- 对 Gigabit 网络基础结构使用等级为 CAT-6 的电缆。对于 10 Gigabit 的实现,超过 55 米的距离通常需要使用 CAT-6a 或 CAT-7 电缆。
- 使用 Jumbo 帧(如果网络基础结构支持)。可以使用 Jumbo 帧来允许通过每个以太网事务传输更多数据并减少帧数。更大的帧减少了在服务器和 iSCSI 目标方面的开销。对于端到端支持,网络中的每个设备都需要支持 Jumbo 帧,包括网络适配器和以太网交换机。
网络硬件最佳实践
在要求运行时间和冗余的服务器环境中,建议配置多个网卡以允许服务器环境中的冗余。本部分讨论通常具有不同管理要求的网络连接:
iSCSI 网络连接 通常,将 iSCSI 数据网络连接到与用于客户端访问的网络不同的网段。要为该连接提供冗余,建议在两个网络适配器上使用两个或多个端口。这些连接应该由 MPIO 管理,用于为连接提供冗余,并且提高吞吐量(取决于配置)。
客户端访问网络 客户端访问网络是一个使用专门用于客户端访问服务器的网段的网络端口。例如,客户端使用该网络连接到文件服务器、Exchange Server 或 SQL Server。对于网络适配器端口冗余,可以利用网络适配器成组来跨两个或多个网络端口提供冗余,在某些配置中,这会提高吞吐量。
管理网络 通常,管理网络是一个孤立的网段,用于进行服务器管理。在某些配置中,它还可以用于备份作业,以避免影响数据或客户端访问网络。
除了以上段落中描述的三种网络类型之外,在 Windows Server 故障转移群集 (WSFC) 配置中,群集检测信号通信还需要另一种网络。该网络专用于群集检测信号通信,不用于以前定义的任何其他类型的通信。
下表显示了配置示例:
服务器配置 | 建议 |
---|---|
独立服务器(非群集) |
六个网络端口至少跨两个卡。 配置两个用于客户端访问的端口(使用网络成组),两个用于 iSCSI 与存储连接的端口(使用 MPIO 提供冗余)。 配置一个用于系统管理的网络接口,一个用于系统备份的网络接口。 |
Windows Server 故障转移群集 |
六个网络端口至少跨三个网络适配器。 采用上述相同配置,并且至少添加一个专门用于群集检测信号通信的端口。 |
如果可能,应该将网络适配器端口连接到不同的网络交换机,以允许在一个网络交换机出现问题时提供冗余,如下图所示:
图 3 网络交换机冗余
上图描述了具有基本冗余级别的网络硬件配置。在需要较高容错级别的方案中,可以配置其他连接,如下图所示。绿色和蓝色的直线表示额外的网络容错级别。
图 4 具有其他连接的硬件配置
便于对 Windows Server 2008 R2 和 Windows 7 进行防火墙配置
可以直接通过 iSCSICLI 命令行实用程序允许通过防火墙使用 Internet 存储名称服务 (iSNS) 服务器。但是,如果需要,您仍然可以通过高级安全 Windows 防火墙控制它。
启用 iSNS 通信以便与 Microsoft iSCSI 发起程序一起使用 使用以下命令通过防火墙启用 iSNS 通信。这允许您将 iSNS 服务器与本地 Microsoft iSCSI 发起程序一起使用:
iscsicli FirewallExemptiSNSServer
连接到 iSCSI 目标设备
完成以下过程以建立一个从使用 Microsoft iSCSI 发起程序的客户端计算机到使用快速连接功能的 iSCSI 目标的连接。
备注 |
---|
快速连接功能不支持高级连接类型,如 MPIO 连接、CHAP、IPsec 或 MCS。该功能用于在不需要高级设置(如 MPIO 和 MCS 支持或安全功能支持)时快速创建与目标设备的连接。有关这些连接类型的信息,请参阅本文档后面的使用高级设置连接到 iSCSI 目标。 |
使用快速连接连接到 iSCSI 目标设备的步骤
-
单击「开始」,在“开始搜索”中键入 iSCSI,然后在“程序”下单击“iSCSI 发起程序”。
-
在“用户帐户控制”页中,单击“继续”。
-
如果这是第一次启动 Microsoft iSCSI 发起程序,您会收到一个提示,告知您 Microsoft iSCSI 服务未运行。必须启动该服务,Microsoft iSCSI 发起程序才能正常运行。单击“是”以启动该服务。将打开“Microsoft iSCSI 发起程序属性”对话框,并显示“目标”选项卡。
-
在“目标”选项卡的“快速连接”文本框中键入目标设备的名称或 IP 地址,然后单击“快速连接”。将显示“快速连接”对话框。
-
如果指定的目标门户上有多个目标,则显示列表。单击所需的目标,然后单击“连接”。
备注 如果只有一个目标可用,则自动连接该目标。 -
单击“完成”。
备注 |
---|
如果硬盘驱动器之前已进行了格式化,则现在可以对其进行访问并可随时使用。如果之前没有对其进行格式化,则必须对其进行格式化并分配一个驱动器号,然后才能使用该设备。 |
格式化硬盘驱动器的步骤
-
单击「开始」,在“开始搜索”中键入 diskmgmt.msc,然后在“程序”下单击 diskmgmt。
-
在“用户帐户控制”页中,单击“继续”。 将显示“磁盘管理”控制台。
-
如果以前没有使用过该硬盘驱动器,系统将提示您对其进行初始化。单击“MBR(主启动记录)”,然后单击“确定”。在“磁盘管理”控制台中,将显示 Microsoft iSCSI 发起程序已连接的磁盘。
-
右键单击硬盘驱动器,然后单击“新建简单卷”。将显示“新建简单卷向导”。
-
在“欢迎使用”页上,单击“下一步”。
-
在“指定卷大小”页上输入简单卷大小,然后单击“下一步”。
-
在“分配驱动器号和路径”页上,单击要使用的驱动器(例如,驱动器 D),然后单击“下一步”。
-
在“格式化分区”页上,键入所需的新分区名称,然后单击“下一步”。
-
在“正在完成新建简单卷”页上,查看新分区的摘要详细信息,然后单击“完成”。
-
若要在完成格式化过程之后访问新分区,请在“磁盘管理”控制台中,右键单击该分区,然后单击“打开”。也可以使用“我的电脑”访问通过 Microsoft iSCSI 发起程序连接的新分区。
使用高级设置连接到 iSCSI 目标
对于到 iSCSI 目标设备的高级连接(例如需要以下功能的连接),无法使用快速连接连接到这些设备:
- MPIO
- 每个会话多个连接 (MCS)
- CHAP、IPsec 或 RADIUS 安全
- 需要特定 TCP 端口的连接或需要选择特定网络适配器的连接
进行高级连接的步骤
-
单击「开始」,在“开始搜索”中键入 iSCSI,然后在“程序”下单击“iSCSI 发起程序”。
-
在“用户帐户控制”页中,单击“继续”。
-
如果这是第一次启动 Microsoft iSCSI 发起程序,您会收到一个提示,告知您 Microsoft iSCSI 服务未运行。必须启动该服务,Microsoft iSCSI 发起程序才能正常运行。单击“是”以启动该服务。将打开“Microsoft iSCSI 发起程序属性”对话框,并显示“目标”选项卡。
-
单击“发现”选项卡。
-
若要添加目标门户,请单击“发现门户”,然后在“发现门户”对话框中,键入要连接到的目标门户的 IP 地址或名称。如果需要,还可以键入要用于该连接的备用 TCP 端口。
备注 若要输入其他设置,如出站 IP 地址(当使用多个网络适配器时)和安全设置(如 CHAP 和 RADIUS),请单击“高级”。 -
单击“确定”。