Interfaz de sistemas informáticos pequeños de Internet o iSCSI ( / aɪ ˈ s k ʌ z i / ⓘ eye- SKUZ -ee) es unprotocolo de Internetpara vincular instalaciones de almacenamiento de datos. iSCSI proporcionaacceso a nivel de bloqueadispositivos de almacenamientomediante la transmisiónSCSIa través de unaTCP/IP. iSCSI facilita las transferencias de datos a través deintranetsy la gestión del almacenamiento a largas distancias. Se puede utilizar para transmitir datos a través deredes de área local(LAN),redes de área amplia(WAN) oInternety puede permitir el almacenamiento y la recuperación de datos independientemente de la ubicación.
El protocolo permite a los clientes (llamados iniciadores ) enviar comandos SCSI ( CDB ) a dispositivos de almacenamiento ( destinos ) en servidores remotos. Es un protocolo de red de área de almacenamiento (SAN) que permite a las organizaciones consolidar el almacenamiento en matrices de almacenamiento mientras proporciona a los clientes (como bases de datos y servidores web) la ilusión de discos SCSI conectados localmente. [1] Compite principalmente con Fibre Channel , pero a diferencia del Fibre Channel tradicional que generalmente requiere cableado dedicado, [a] iSCSI se puede ejecutar a largas distancias utilizando la infraestructura de red existente. [2] IBM y Cisco fueron pioneros en iSCSI en 1998 y lo presentaron como borrador de estándar en marzo de 2000. [3]
En esencia, iSCSI permite que dos hosts negocien y luego intercambien comandos SCSI utilizando redes de Protocolo de Internet (IP). Al hacer esto, iSCSI toma un popular bus de almacenamiento local de alto rendimiento y lo emula en una amplia gama de redes, creando una red de área de almacenamiento (SAN). A diferencia de algunos protocolos SAN, iSCSI no requiere cableado dedicado; se puede ejecutar sobre la infraestructura IP existente. Como resultado, iSCSI a menudo se considera una alternativa de bajo costo al Fibre Channel , que requiere una infraestructura dedicada excepto en su forma FCoE (Fibre Channel over Ethernet). Sin embargo, el rendimiento de una implementación SAN iSCSI puede verse gravemente degradado si no se opera en una red o subred dedicada (LAN o VLAN ), debido a la competencia por una cantidad fija de ancho de banda.
Aunque iSCSI puede comunicarse con tipos arbitrarios de dispositivos SCSI, los administradores de sistemas casi siempre lo utilizan para permitir que los servidores (como los servidores de bases de datos) accedan a volúmenes de disco en matrices de almacenamiento. Las SAN iSCSI suelen tener uno de dos objetivos:
Un iniciador funciona como un cliente iSCSI. Un iniciador normalmente tiene para una computadora el mismo propósito que un adaptador de bus SCSI, excepto que, en lugar de cablear físicamente dispositivos SCSI (como discos duros y cambiadores de cinta), un iniciador iSCSI envía comandos SCSI a través de una red IP. Un iniciador se divide en dos tipos amplios:
Un iniciador de software utiliza código para implementar iSCSI. Normalmente, esto sucede en un controlador de dispositivo residente en el kernel que utiliza la tarjeta de red (NIC) y la pila de red existentes para emular dispositivos SCSI para una computadora hablando el protocolo iSCSI. Los iniciadores de software están disponibles para los sistemas operativos más populares y son el método más común para implementar iSCSI.
Un iniciador de hardware utiliza hardware dedicado, normalmente en combinación con firmware que se ejecuta en ese hardware, para implementar iSCSI. Un iniciador de hardware mitiga la sobrecarga del procesamiento iSCSI y TCP y las interrupciones de Ethernet y, por lo tanto, puede mejorar el rendimiento de los servidores que utilizan iSCSI. Un adaptador de bus de host iSCSI (más comúnmente, HBA) implementa un iniciador de hardware. Un HBA típico está empaquetado como una combinación de un controlador de interfaz de red Ethernet Gigabit (o 10 Gigabit) , algún tipo de tecnología de motor de descarga TCP/IP (TOE) y un adaptador de bus SCSI, que es como aparece para el sistema operativo. Un HBA iSCSI puede incluir una ROM opcional PCI para permitir el arranque desde una SAN iSCSI.
Un motor de descarga iSCSI , o tarjeta iSOE , ofrece una alternativa a un HBA iSCSI completo. Un iSOE "descarga" las operaciones del iniciador iSCSI para esta interfaz de red en particular desde el procesador host, liberando ciclos de CPU para las principales aplicaciones del host. Los HBA iSCSI o iSOE se utilizan cuando la mejora adicional del rendimiento justifica el gasto adicional de utilizar un HBA para iSCSI, [4] en lugar de utilizar un cliente iSCSI basado en software (iniciador). iSOE se puede implementar con servicios adicionales como el motor de descarga TCP (TOE) para reducir aún más el uso de CPU del servidor host.
La especificación iSCSI se refiere a un recurso de almacenamiento ubicado en un servidor iSCSI (más generalmente, una de las muchas instancias potenciales de nodos de almacenamiento iSCSI que se ejecutan en ese servidor) como destino .
Un destino iSCSI suele ser un dispositivo de almacenamiento en disco duro dedicado conectado a la red, pero también puede ser una computadora de uso general, ya que, al igual que con los iniciadores, el software para proporcionar un destino iSCSI está disponible para la mayoría de los sistemas operativos convencionales.
Los escenarios de implementación comunes para un destino iSCSI incluyen:
En un centro de datos o entorno empresarial, un destino iSCSI suele residir en una gran matriz de almacenamiento. Estos arreglos pueden tener la forma de hardware básico con implementaciones iSCSI basadas en software libre o como productos comerciales como Quantastor, CloudByte, StorTrends , Pure Storage , HP StorageWorks , EqualLogic , Tegile Systems , Nimble Storage , Reduxio, IBM Storwize . familia , Isilon , NetApp filer , Dell EMC , Kaminario , serie NS, CX4, VNX, VNXe, VMAX, Hitachi Data Systems HNAS o Pivot3 vSTAC.
Una matriz de almacenamiento normalmente proporciona destinos iSCSI distintos para numerosos clientes. [5]
Casi todos los sistemas operativos de servidores convencionales modernos (como BSD , Linux , Solaris o Windows Server ) pueden proporcionar funcionalidad de destino iSCSI, ya sea como una característica incorporada o con software complementario. Algunos sistemas operativos de propósito específico implementan soporte de destino iSCSI.
En terminología SCSI , LU significa unidad lógica , que se especifica mediante un número de unidad lógica único . Un LUN representa un dispositivo SCSI direccionable individualmente (lógico) que forma parte de un dispositivo SCSI físico (destino). En un entorno iSCSI, los LUN son esencialmente unidades de disco numeradas. [ cita necesaria ] Un iniciador negocia con un objetivo para establecer conectividad con un LUN; el resultado es una conexión iSCSI que emula una conexión a un disco duro SCSI. Los iniciadores tratan los LUN iSCSI de la misma manera que lo harían con un disco duro SCSI o IDE sin formato; por ejemplo, en lugar de montar directorios remotos como se haría en entornos NFS o CIFS , los sistemas iSCSI formatean y administran directamente los sistemas de archivos en iSCSI LUN.
En las implementaciones empresariales, los LUN suelen representar subconjuntos de grandes conjuntos de discos RAID , a menudo asignados uno por cliente. iSCSI no impone reglas ni restricciones a que varias computadoras compartan LUN individuales; deja el acceso compartido a un único sistema de archivos subyacente como una tarea para el sistema operativo.
Para el almacenamiento de datos generales en una computadora ya iniciada, se puede usar cualquier tipo de interfaz de red genérica para acceder a dispositivos iSCSI. [ cita necesaria ] Sin embargo, una interfaz de red genérica para consumidores no puede iniciar una computadora sin disco desde una fuente de datos iSCSI remota. [ cita necesaria ] En cambio, es común que un servidor cargue su sistema operativo inicial desde un servidor TFTP o un dispositivo de arranque local, y luego use iSCSI para el almacenamiento de datos una vez que haya finalizado el arranque desde el dispositivo local. [ cita necesaria ]
Se puede configurar un servidor DHCP separado para ayudar a las interfaces equipadas con capacidad de inicio de red a poder iniciar a través de iSCSI. En este caso, la interfaz de red busca un servidor DHCP que ofrezca una imagen de arranque PXE o bootp . [6] Esto se utiliza para iniciar el proceso de inicio remoto iSCSI, utilizando la dirección MAC de la interfaz de red de inicio para dirigir la computadora al destino de inicio iSCSI correcto [ cita requerida ] . Luego se puede usar un enfoque de solo software para cargar un pequeño programa de arranque que a su vez puede montar un objetivo iSCSI remoto como si fuera una unidad SCSI local y luego iniciar el proceso de arranque desde dicho objetivo iSCSI [ cita requerida ] . Esto se puede lograr utilizando una ROM de inicio del entorno de ejecución previa al arranque (PXE) existente, que está disponible en muchos adaptadores Ethernet con cable. El código de inicio también se puede cargar desde CD/DVD, disquete (o imagen de disquete) y almacenamiento USB, o puede reemplazar el código de inicio PXE existente en adaptadores que se pueden actualizar. [7] El software gratuito más popular que ofrece soporte de arranque iSCSI es iPXE . [8]
La mayoría de los controladores Intel Ethernet para servidores admiten el arranque iSCSI. [9]
iSCSI utiliza TCP (normalmente los puertos TCP 860 y 3260) para los protocolos en sí, y se utilizan nombres de nivel superior para direccionar los objetos dentro del protocolo. Los nombres especiales se refieren tanto a iniciadores como a destinos iSCSI. iSCSI proporciona tres formatos de nombres:
eui.02004567A425678D
)naa.52004567BA64678D
)Las direcciones en formato IQN ocurren con mayor frecuencia. Están calificados por una fecha (aaaa-mm) porque los nombres de dominio pueden caducar o ser adquiridos por otra entidad.
La autoridad de registro IEEE proporciona EUI de acuerdo con el estándar EUI-64. NAA es parte de OUI proporcionada por la Autoridad de Registro IEEE. Los formatos de nombres NAA se agregaron a iSCSI en RFC 3980, para brindar compatibilidad con las convenciones de nombres utilizadas en las tecnologías de almacenamiento Fibre Channel y Serial Attached SCSI (SAS).
Normalmente, un participante iSCSI se puede definir mediante tres o cuatro campos:
Los iniciadores iSCSI pueden localizar recursos de almacenamiento apropiados utilizando el protocolo del Servicio de nombres de almacenamiento de Internet (iSNS). En teoría, iSNS proporciona a las SAN iSCSI el mismo modelo de gestión que las SAN Fibre Channel dedicadas . En la práctica, los administradores pueden satisfacer muchos objetivos de implementación de iSCSI sin utilizar iSNS.
Los iniciadores y objetivos iSCSI prueban su identidad entre sí mediante CHAP , que incluye un mecanismo para evitar que aparezcan contraseñas de texto sin cifrar en el cable. Por sí solo, CHAP es vulnerable a ataques de diccionario , suplantación de identidad y ataques de reflexión . Si se siguen cuidadosamente, las mejores prácticas para usar CHAP dentro de iSCSI reducen la superficie de estos ataques y mitigan los riesgos. [11]
Además, como ocurre con todos los protocolos basados en IP, IPsec puede operar en la capa de red. El protocolo de negociación iSCSI está diseñado para adaptarse a otros esquemas de autenticación, aunque los problemas de interoperabilidad limitan su implementación.
Para garantizar que solo los iniciadores válidos se conecten a los arreglos de almacenamiento, los administradores comúnmente ejecutan iSCSI solo a través de redes de canal trasero lógicamente aisladas. En esta arquitectura de implementación, solo los puertos de administración de los arreglos de almacenamiento están expuestos a la red interna de propósito general y el protocolo iSCSI en sí se ejecuta en segmentos de red dedicados o VLAN . Esto mitiga los problemas de autenticación; los usuarios no autorizados no están físicamente aprovisionados para iSCSI y, por lo tanto, no pueden comunicarse con los arreglos de almacenamiento. Sin embargo, también crea un problema de confianza transitiva, ya que un único host comprometido con un disco iSCSI puede usarse para atacar recursos de almacenamiento de otros hosts.
Si bien iSCSI puede aislarse lógicamente de la red general utilizando únicamente VLAN, no se diferencia de ningún otro equipo de red y puede utilizar cualquier cable o puerto siempre que haya una ruta de señal completa entre el origen y el destino. Un solo error de cableado por parte de un técnico de red puede comprometer la barrera de separación lógica, y es posible que un puente accidental no se detecte de inmediato porque no causa errores de red.
Para diferenciar aún más iSCSI de la red normal y evitar errores de cableado al cambiar las conexiones, los administradores pueden implementar estándares de etiquetado y codificación de colores autodefinidos, como usar solo cables de color amarillo para las conexiones iSCSI y solo cables azules para las conexiones regulares. red y etiquetar claramente los puertos y conmutadores utilizados sólo para iSCSI.
Si bien iSCSI podría implementarse simplemente como un grupo de puertos VLAN en un gran conmutador multipuerto que también se utiliza para el uso general de la red, el administrador puede optar por utilizar conmutadores físicamente separados dedicados únicamente a las VLAN iSCSI, para evitar aún más la posibilidad de un cable conectado incorrectamente enchufado en el puerto incorrecto puenteando la barrera lógica.
Debido a que iSCSI tiene como objetivo consolidar el almacenamiento para muchos servidores en una única matriz de almacenamiento, las implementaciones de iSCSI requieren estrategias para evitar que iniciadores no relacionados accedan a los recursos de almacenamiento. Como ejemplo patológico, una única matriz de almacenamiento empresarial podría contener datos para servidores regulados de diversas formas por la Ley Sarbanes-Oxley para contabilidad corporativa, HIPAA para información sobre beneficios de salud y PCI DSS para procesamiento de tarjetas de crédito. Durante una auditoría, los sistemas de almacenamiento deben demostrar controles para garantizar que un servidor bajo un régimen no pueda acceder a los activos de almacenamiento de un servidor bajo otro.
Normalmente, los arreglos de almacenamiento iSCSI asignan explícitamente iniciadores a LUN de destino específicos; un iniciador no se autentica en la matriz de almacenamiento, sino en el activo de almacenamiento específico que pretende utilizar. Sin embargo, debido a que los LUN de destino para los comandos SCSI se expresan tanto en el protocolo de negociación iSCSI como en el protocolo SCSI subyacente, se debe tener cuidado para garantizar que el control de acceso se proporcione de manera consistente.
En su mayor parte, iSCSI opera como un protocolo de texto sin cifrar que no proporciona protección criptográfica para los datos en movimiento durante las transacciones SCSI. Como resultado, un atacante que pueda escuchar el tráfico Ethernet iSCSI puede: [12]
Estos problemas no ocurren sólo con iSCSI, sino que se aplican a cualquier protocolo SAN sin seguridad criptográfica. Los protocolos de seguridad basados en IP, como IPsec , pueden proporcionar protección criptográfica basada en estándares a este tráfico.
Las fechas de la siguiente tabla indican la primera aparición de un controlador nativo en cada sistema operativo. Ya en 2001 estaban disponibles controladores de terceros para Windows y Linux, específicamente para conectar el dispositivo IP Storage 200i de IBM. [13]
La mayoría de los destinos iSCSI implican disco, aunque los destinos de cambiador de medio y cinta iSCSI también son populares. Hasta ahora, los dispositivos físicos no han presentado interfaces iSCSI nativas a nivel de componentes. En cambio, los dispositivos con interfaces Parallel SCSI o Fibre Channel se conectan mediante software de destino iSCSI, puentes externos o controladores internos al gabinete del dispositivo.
Alternativamente, es posible virtualizar destinos de disco y cinta. En lugar de representar un dispositivo físico real, se presenta un dispositivo virtual emulado. La implementación subyacente puede desviarse drásticamente del objetivo presentado, como ocurre con los productos de biblioteca de cintas virtuales (VTL). Los VTL utilizan almacenamiento en disco para almacenar datos escritos en cintas virtuales. Al igual que con los dispositivos físicos reales, los objetivos virtuales se presentan mediante el uso de software de destino iSCSI, puentes externos o controladores internos del gabinete del dispositivo.
En la industria de productos de seguridad, algunos fabricantes utilizan un RAID iSCSI como objetivo, siendo el iniciador un codificador o una cámara con capacidad IP.
Existen múltiples sistemas que permiten conectar dispositivos Fibre Channel, SCSI y SAS a una red IP para su uso a través de iSCSI. Se pueden utilizar para permitir la migración desde tecnologías de almacenamiento más antiguas, el acceso a SAN desde servidores remotos y la vinculación de SAN a través de redes IP. Una puerta de enlace iSCSI conecta servidores IP con redes SAN de canal de fibra. La conexión TCP finaliza en la puerta de enlace, que se implementa en un conmutador de canal de fibra o como un dispositivo independiente.
Escriba "iqn". (Nombre calificado iSCSI)