Niniejszy dokument pokazuje, jak skonfigurować zaawansowaną listę ACL (access control list) iSCSI na urządzeniu QNAP Turbo NAS i zweryfikować ustawienia. Tę funkcję obsługują wszystkie modele Turbo NAS oparte na architekturze x86 (TS-x39, TS-x59, TS-509 i TS-809).
W klastrowym środowisku sieciowym wielu inicjatorów iSCSI może mieć dostęp do tej samej jednostki LUN iSCSI (Logical Unit Number) za pośrednictwem klastrowego systemu plików lub mechanizmu SCSI fencing. Mechanizm klastrowy zapewnia blokowanie plików w celu uniknięcia uszkodzenia systemu plików.
Jeśli nie korzystasz z usługi iSCSI w środowisku klastrowym, a usługa iSCSI jest połączona z więcej niż dwoma inicjatorami, musisz zapobiec jednoczesnym wielokrotnym dostępom do jednostki LUN iSCSI. Zaawansowana lista ACL (Access Control List) iSCSI firmy QNAP oferuje bezpieczny sposób konfigurowania środowiska iSCSI. Możesz tworzyć zasady maskowania LUN, aby skonfigurować uprawnienia inicjatorów iSCSI próbujących uzyskać dostęp do jednostki LUN zmapowanej do celów iSCSI na urządzeniu NAS.
Maskowanie LUN służy do definiowania praw dostępu do jednostki LUN dla podłączonego inicjatora iSCSI. Jeśli inicjator nie został przypisany do żadnej zasady maskowania LUN, zostanie zastosowana zasada domyślna (patrz rysunek 1). Dla każdego podłączonego inicjatora można skonfigurować następujące prawa dostępu do jednostki LUN:
Niniejszy poradnik pokazuje, jak skonfigurować zaawansowaną listę ACL na urządzeniu QNAP Turbo NAS. Środowisko testowe zostało skonfigurowane zgodnie z tabelą 1. Host 1 i Host 2 łączą się z tym samym celem iSCSI, który ma 3 jednostki LUN. Format systemu plików jednostek LUN to NTFS. Domyślna zasada to odmowa dostępu od wszystkich inicjatorów. Uprawnienia do jednostek LUN dla obu inicjatorów są wymienione w tabeli 2.
Uwaga: Jeśli niektóre inicjatory iSCSI są połączone z celami iSCSI podczas modyfikowania ustawień ACL, wszystkie modyfikacje wejdą w życie dopiero po rozłączeniu i ponownym połączeniu tych inicjatorów z celami iSCSI.
Rysunek 1: Schemat blokowy zaawansowanej listy ACL
Tabela 1: Środowisko testowe
Tabela 2: Ustawienia maskowania LUN
Zaloguj się do interfejsu administracyjnego NAS jako administrator. Przejdź do „Zarządzanie dyskami" > „iSCSI" > „ZAAWANSOWANA LISTA ACL". Kliknij
aby edytować zasadę domyślną.
Rysunek 2: Zasada domyślna
Wybierz „Odmów dostępu", aby odmówić dostępu do wszystkich jednostek LUN. Kliknij „ZASTOSUJ".
Rysunek 3: Konfiguracja zasady domyślnej
Powtórz powyższe kroki, aby skonfigurować uprawnienia do jednostek LUN dla Hosta 2.
Rysunek 4: Dodawanie nowej zasady
Rysunek 5: Konfigurowanie nowej zasady dla Hosta 1
Rysunek 6: Konfigurowanie nowej zasady dla Hosta 2
Wskazówka: Jak znaleźć IQN inicjatora?
Na Hoście 1 i Hoście 2 uruchom inicjator Microsoft iSCSI i kliknij „Ogólne". Poniżej możesz znaleźć IQN inicjatora.
Aby zweryfikować konfigurację, możemy połączyć się z tym celem iSCSI na Hoście 1 i Hoście 2.
Weryfikacja na Hoście 1:
Host 1 nie ma uprawnień dostępu do jednostki LUN-1 (10 GB). Dlatego na liście są tylko dwa dyski. Dysk 1 (20 GB) jest tylko do odczytu, a Dysk 2 (30 GB) jest zapisywalny.
Weryfikacja na Hoście 2:
Powtórz te same kroki podczas weryfikacji Hosta 2. W „Menedżerze serwera" na liście są dwa dyski. Dysk 1 (10 GB) jest tylko do odczytu, a Dysk 2 (20 GB) jest zapisywalny.
Wstęp
W klastrowym środowisku sieciowym wielu inicjatorów iSCSI może mieć dostęp do tej samej jednostki LUN iSCSI (Logical Unit Number) za pośrednictwem klastrowego systemu plików lub mechanizmu SCSI fencing. Mechanizm klastrowy zapewnia blokowanie plików w celu uniknięcia uszkodzenia systemu plików.
Jeśli nie korzystasz z usługi iSCSI w środowisku klastrowym, a usługa iSCSI jest połączona z więcej niż dwoma inicjatorami, musisz zapobiec jednoczesnym wielokrotnym dostępom do jednostki LUN iSCSI. Zaawansowana lista ACL (Access Control List) iSCSI firmy QNAP oferuje bezpieczny sposób konfigurowania środowiska iSCSI. Możesz tworzyć zasady maskowania LUN, aby skonfigurować uprawnienia inicjatorów iSCSI próbujących uzyskać dostęp do jednostki LUN zmapowanej do celów iSCSI na urządzeniu NAS.
Maskowanie LUN służy do definiowania praw dostępu do jednostki LUN dla podłączonego inicjatora iSCSI. Jeśli inicjator nie został przypisany do żadnej zasady maskowania LUN, zostanie zastosowana zasada domyślna (patrz rysunek 1). Dla każdego podłączonego inicjatora można skonfigurować następujące prawa dostępu do jednostki LUN:
- Tylko do odczytu: podłączony inicjator może jedynie odczytywać dane z jednostek LUN.
- Odczyt/Zapis: podłączony inicjator ma uprawnienia do odczytu i zapisu jednostek LUN.
- Odmów dostępu: jednostka LUN jest niewidoczna dla podłączonego inicjatora.
Założenia:
Niniejszy poradnik pokazuje, jak skonfigurować zaawansowaną listę ACL na urządzeniu QNAP Turbo NAS. Środowisko testowe zostało skonfigurowane zgodnie z tabelą 1. Host 1 i Host 2 łączą się z tym samym celem iSCSI, który ma 3 jednostki LUN. Format systemu plików jednostek LUN to NTFS. Domyślna zasada to odmowa dostępu od wszystkich inicjatorów. Uprawnienia do jednostek LUN dla obu inicjatorów są wymienione w tabeli 2.
Uwaga: Jeśli niektóre inicjatory iSCSI są połączone z celami iSCSI podczas modyfikowania ustawień ACL, wszystkie modyfikacje wejdą w życie dopiero po rozłączeniu i ponownym połączeniu tych inicjatorów z celami iSCSI.
Rysunek 1: Schemat blokowy zaawansowanej listy ACL
| System | Informacje |
| Host 1 | System operacyjny: Windows 2008 IQN inicjatora: iqn.1991-05.com.microsoft:host1 |
| Host 2 | System operacyjny: Windows 2008 IQN inicjatora: iqn.1991-05.com.microsoft:host2 |
| QNAP NAS | IQN celu iSCSI: iqn.2004-04.com.qnap:ts-439proii:iscsi.test.be23e6 Nazwa LUN 1: lun-1, rozmiar: 10 GB Nazwa LUN 2: lun-2, rozmiar: 20 GB Nazwa LUN 3: lun-3, rozmiar: 30 GB |
Tabela 1: Środowisko testowe
| Host 1 | Host 2 | |
| LUN 1 | Odmowa | Tylko do odczytu |
| LUN 2 | Tylko do odczytu | Odczyt/Zapis |
| LUN 3 | Odczyt/Zapis | Odmowa |
Tabela 2: Ustawienia maskowania LUN
Konfiguracja iSCSI na urządzeniu QNAP NAS
Ustawienia zasady domyślnej
Zaloguj się do interfejsu administracyjnego NAS jako administrator. Przejdź do „Zarządzanie dyskami" > „iSCSI" > „ZAAWANSOWANA LISTA ACL". Kliknij
aby edytować zasadę domyślną.
Rysunek 2: Zasada domyślna
Wybierz „Odmów dostępu", aby odmówić dostępu do wszystkich jednostek LUN. Kliknij „ZASTOSUJ".
Rysunek 3: Konfiguracja zasady domyślnej
Konfiguracja maskowania LUN dla Hosta 1:
- Kliknij „Dodaj zasadę".
- Wpisz „host1-policy" w polu „Nazwa zasady".
- Wpisz „iqn.1991-05.com.microsoft:host1" w polu „IQN inicjatora".
- Ustaw uprawnienia do jednostek LUN zgodnie z tabelą 2: Ustawienia maskowania LUN.
- Kliknij „ZASTOSUJ".
Powtórz powyższe kroki, aby skonfigurować uprawnienia do jednostek LUN dla Hosta 2.
Rysunek 4: Dodawanie nowej zasady
Rysunek 5: Konfigurowanie nowej zasady dla Hosta 1
Rysunek 6: Konfigurowanie nowej zasady dla Hosta 2
Wskazówka: Jak znaleźć IQN inicjatora?
Na Hoście 1 i Hoście 2 uruchom inicjator Microsoft iSCSI i kliknij „Ogólne". Poniżej możesz znaleźć IQN inicjatora.
Weryfikacja ustawień
Aby zweryfikować konfigurację, możemy połączyć się z tym celem iSCSI na Hoście 1 i Hoście 2.
Weryfikacja na Hoście 1:
- Połącz się z usługą iSCSI. (Szczegółowe informacje znajdziesz w artykule Łączenie z celami iSCSI za pomocą inicjatora Microsoft iSCSI w systemie Windows).
- W menu Start systemu Windows kliknij prawym przyciskiem myszy „Komputer" > „Zarządzaj". W oknie „Menedżer serwera" kliknij „Zarządzanie dyskami".
Host 1 nie ma uprawnień dostępu do jednostki LUN-1 (10 GB). Dlatego na liście są tylko dwa dyski. Dysk 1 (20 GB) jest tylko do odczytu, a Dysk 2 (30 GB) jest zapisywalny.
Weryfikacja na Hoście 2:
Powtórz te same kroki podczas weryfikacji Hosta 2. W „Menedżerze serwera" na liście są dwa dyski. Dysk 1 (10 GB) jest tylko do odczytu, a Dysk 2 (20 GB) jest zapisywalny.