基本信息
存儲區域網
存儲區域網(簡稱SAN)是專用的、高性能網路,它用於在伺服器與存儲資源之間的傳輸數據。由於SAN是一個獨立的專用網路,從而可以避免在客戶機與伺服器之間的任何傳輸衝突。
SAN技術允許伺服器到存儲設備、存儲設備到存儲設備或者伺服器到伺服器的高速連線。這個存儲方案使用獨立的網路基礎設施,消除了任何由於現有網路連線出現故障而帶來的問題。
存儲區域網有如下特點:
1.高性能——SAN允許兩個或兩個以上的伺服器同時高速訪問磁碟或磁帶陣列,提供增強的系統性能。
2.實用性——存儲區域網具有內在的災難容錯的能力,因為數據可以鏡像映射到一個在10KM(6.2英里)之外的SAN上。
3.可擴展性——如何LAN和MAN,SAN也可以使用各種各樣的網路技術。這就使得系統間的備份數據操作、檔案移動、數據複製很容易重新定位。
套用
存儲成為整個系統的瓶頸是指存儲設備的頻寬達到最大值,或IOPS達到最大值,存儲設備限制了系統性能的進一步提升,甚至影響了整個系統的正常運行。由於不同業務系統對存儲的性能要求不同,一般小檔案(小於1MB)讀寫型的系統中對IO的要求較高,大檔案的讀寫型系統對存儲設備頻寬的要求比較高。不同網路存儲系統套用模式下系統對存儲設備的要求不同,瓶頸點出現的位置和特點也不一樣。
網路存儲系統套用模式1:小型網站系統,套用大多集中於遠程用戶對WEB頁面訪問,網站內部為WEB伺服器和資料庫之間的讀寫,套用系統對存儲的壓力非常小,差不多所有類型、所有檔次的存儲設備都可以作為核心存儲,存儲設備的頻寬和IOPS很難會達到極限。在這樣的系統中,與存儲設備連線的網路設備一般都千兆乙太網交換機,交換機本身的交換能力大多都是10Gb,只有接入網部分的可用頻寬較小,一般只有100Mb/s左右的接入頻寬,因此接入網最有可能成為存儲網路的瓶頸。
網路存儲系統套用模式2:如果該網站是一個大型的網路視頻系統,支持大量用戶線上進行視頻節目播放和下載,這種類型的網站前端接入網一般都在2Gb/s以上。此時要分析瓶頸位置,首先要比較接入網頻寬和存儲頻寬,同時還要比較線上用戶的最大IO訪問量和存儲設備的IOPS值。一般來講,由於NAS設備的頻寬和IOPS相對較小,因此NAS比iSCSI和FC-SAN設備更容易成為系統的瓶頸,而iSCSI和FC-SAN較難成為瓶頸。如果存儲設備採用NAS,則存儲系統成為瓶頸的機率大於接入網,如果存儲設備採用FC-SAN,則存儲系統成為瓶頸的機率小於接入網。
瓶頸還經常會出現在負責節目播放和下載功能的視頻伺服器處。如果視頻伺服器配置的數量不足,或視頻伺服器之間無法正常地實現自動地網路負載均衡,那么整個系統的性能壓力瓶頸就會出現在視頻伺服器,使用整個視頻網站無法給遠程用戶提供流暢的節目畫面。
網路存儲系統套用模式3:資料庫系統,資料庫系統的存儲套用一般都表現為大量的IO訪問,對頻寬要求較低。如果存儲設備的IOPS較小時,會降低資料庫的檢索和查尋速度,從來影響整個業務的效率。因此建議資料庫系統採用IOPS(可按業務規模、工作站數量、每秒的讀寫訪問次數和估算)比較大的FC-SAN設備,不建議採用IOPS相對較小的NAS或iSCSI設備。大型資料庫存儲最好能採用15000RPM的高速FC磁碟,這樣才能將資料庫伺服器成為整個系統的壓力瓶頸。由於SATA硬碟在隨機IO讀寫時的性能不佳,因此存儲設備不建議採用SATA磁碟,否則存儲設備極有可能資料庫系統的IOPS瓶頸。
網路存儲系統套用模式4:非線性編輯製作系統。在非線性編輯製作網路中,所有工作站共享式地訪問核心存儲系統,每台工作站同時以50-200Mb/S的恆定碼率訪問存儲設備。業務系統對頻寬的壓力非常,而IOPS壓力較小。
存儲設備的總可用頻寬越大,存儲設備就能支持更多數量的編輯製作工作站,網路的規模就越大,網路系統所能承擔的業務就越重要。因此網路存儲系統套用模式的存儲一般都會選擇主機連線埠多、特別是磁碟連線埠多、頻寬大的FC-SAN設備。存儲設備內部設計時,一般會通過增加磁碟數量、增加擴展櫃數量、跨擴展櫃創建RAID組、增加主機通道數量等方式最大限度地利用存儲控制器前端和後端的總可用頻寬,使得磁碟、磁碟通道、主機通道等的總頻寬大於控制器的總頻寬,這樣在工作站訪問時存儲設備時,才能最大地發揮出控制器的頻寬性能。頻寬瓶頸在控制器部位才能說明是最好的存儲系統設計方案。
設備
磁碟陣列,例如XYRATEX的磁碟陣列,用來存放大量數據,保障其穩定運行
如何預防存儲區域網路SAN風險和威脅
未經授權的訪問是最為常見的安全威脅,它的成因可以是簡單地接上了錯誤的電線,複雜者可以是將一台已被入侵的伺服器連線到光纖網路上,未被授權的訪問將導致其它形式的攻擊。
隨著存儲區域網路(SAN)的日益普及,SAN的安全問題日益受到人們的關注。為了保證SAN的高度安全性,企業必需對SAN的常見風險和攻擊有通盤的了解,然後才能對症下藥,最大程度抵禦這些威脅,儘可能避免系統停頓及經濟損失。
每一個攻擊點都有可能成為後續攻擊的墊腳石。為了保證高度的安全保護,SAN系統管理員必須在入侵者和數據之間設定多個監測點。認識各個攻擊點有助制定相應的抗擊對策。就象一座城堡擁有多種抵禦入侵者的武器,企業同樣必須安裝多個屏障來阻擋安全威脅。
攻擊點跨越基礎設施的多個層次。第1、5和6點從物理層上開始,在光纜連線到裝置時發作。1到4點可能在物理連線完成後啟動。如果掌握每個攻擊點的具體威脅,則可以定出最有效的對策,本文將分析下列各類威脅:
未經授權的訪問
欺騙 (Spoofing)
數據盜竊(Sniffing)
未經授權的訪問
未經授權的訪問是最為常見的安全威脅,它的成因可以是簡單地接上了錯誤的電線,複雜者可以是將一台已被入侵的伺服器連線到光纖網路上,未被授權的訪問將導致其它形式的攻擊,因此必須先作介紹。
系統管理員控制未經授權訪問
過身份鑑定
欺騙 (Spoofing)
欺騙是與未經授權訪問有關的一種威脅。欺騙以多種形式和名稱:仿冒、身份竊取、搶劫、偽裝和WWN欺騙。欺騙是根據它所發作的法層面而命名,其中一種形式是假冒用戶,而另一種是偽裝成一個已被授權的WWN。
抗擊欺騙的方法就是讓竊取者提供一些只有被授權的用戶才知曉的特殊信息。對於用戶來說,需要知道和提供的只是一個密碼。對於設備而言,Nx_連線埠或交換機的WWN是與這個機密信息相連的。管理話路也可以進行身份鑑別,確保入侵者不能管理光纖網路或設備。
系統管理員檢測欺騙行為
乙太網CHAP實體身份鑑別
CT訊息鑑別
光纖渠道DH-CHAP實體身份鑑別
當實體及用戶的身份被鑑別後,傳輸就可以在授權設備之間安全地流動,但在連線中流動的數據仍然會受到數據盜竊(Sniffing)的威脅,這在下一個章節中將詳細討論。
數據盜竊(Sniffing)
數據會通過很多種途徑被竊取,其中一種途徑就是在數據還在傳輸的過程中進行盜竊,Sniffing 是對數據線進行窺探,例如“光纖通道分析器”就是一種可以完全監控數據傳輸的數據盜竊方法。如果數據盜竊做得巧妙,它是不會影響設備的操作。防止數據盜竊的方法是加密(encryption)。“封裝安全法”(ESP)可以對光纖傳輸數據進行加密,以確保全全性。乙太網傳輸能通過SSL或者類似的協定來加密。這些加密技術可以使用不同的加密程度使得被竊數據沒有可乘之機。
存儲加密
隨著SAN變得日益複雜,大量數據在一個共享的系統里被集成和複製,用戶開始關注存儲數據的安全。McDATA與其合作夥伴攜手合作,不斷開發整合解決方案,對存儲數據進行一目了然的線速加密保護。這些設備使用硬體加密及鑰匙管理把存儲數據鎖上,同時執行整體光纖網路安全及訪問控制,這些經McDATA認證的解決方案已經被多個政府單位和企業用戶採用。
攻擊點 觸發點 對策 SANtegrity™解決方案
威脅#1:未經授權的訪問
1、帶外管理應用程式 用戶啟動管理話路 使用光纖網路服務的管理應用程式需要得到授權 IP訪問控制名單(ACL)、串列連線埠鑑別、SMZ
2、帶內管理程式 用戶啟動管理話路 授權 MACL
3、用戶對套用 用戶在應用程式登錄 授權 RBAC
4、設備對設備 Nx_連線埠PLOGI至其它設備 Nx_連線埠對Nx_連線埠授權 軟硬分區、邏輯單元禁止
5、裝置對光纖網路Nx_連線埠在光纖網路登錄 Nx_連線埠對光纖網路授權 連線埠或交換機綁定、鎖定光纖網路
6、交換機對交換機 E_連線埠加入光纖網路交換機對交換機授權 光纖網路綁定
7、攻擊存儲數據 內部/管理訪問 對存儲數據進行加密 認證夥伴解決方案
威脅#2:欺騙 (Spoofing)
1、帶外管理應用程式 用戶啟動管理話路 使用光纖網路服務的管理應用程式需要身份鑑別 CHAP實體身份鑑別
2、帶內管理程式 用戶啟動管理話路 使用光纖網路服務的管理應用程式需要身份鑑別 CHAP實體身份鑑別、CT信息鑑別
3、用戶對套用 用戶在應用程式上登錄 用戶身份鑑別 用戶身份鑑別
4、設備對設備 在假冒的WWN進行Nx_連線埠PLOGI Nx_連線埠對Nx_連線埠需要身份鑑別 CHAP身份鑑別
5、設備對光纖網路在假冒的WWN進行Nx_連線埠登錄 Nx_連線埠對光纖網路需要身份鑑別 CHAP身份鑑別
6、交換機對交換機 E_連線埠用錯誤的WWN加入光纖網路 交換機對交換機需要身份鑑別 CHAP身份鑑別
威脅#3:數據盜竊(Sniffing)
1、帶內攻擊點 “中間人”從中下手 對數據傳輸加密 ESP
2、帶外攻擊點 “中間人” 從中下手 對數據傳輸加密 IP加密技術
虛擬化
在存儲單位成本下降的同時,運營費用卻在不斷地增加。其中,一部分費用是為了增加數據的保持力,但我認為,更重要的原因是針對縫隙市場的存儲解決方案的增多。這些解決方案為實現同樣的存儲功能,但需要不同的管理工具,使用重複的存儲和網路資源,而且回響變化的能力差。為了去除這些方案,我們需要採用面向服務的方法。
那么原來的方案和面向服務的方法之間有什麼不同呢?我們先來看幾個縫隙市場存儲解決方案的例子。
一種是單片存儲陣列,它是目前套用最廣的縫隙市場解決方案,僅有幾個存儲廠商能夠生產,但它能夠滿足非常重要任務的存儲需求。它的可用性很好,因為它有多個存儲處理器,連線到同一存儲快取上。因此,一兩個存儲處理器故障並不會造成數據丟失或無法訪問,因為其餘存儲處理器還能繼續訪問全局快取(需要正確配置可選路徑)中的數據。
另一種縫隙市場方案是有兩個處理器的模組化存儲陣列。它的兩個處理器之間沒有共享的全局快取,每個處理器都有自己的快取,為了避免當一個處理器故障時導致數據丟失,它在寫操作時在另一個快取中做了鏡像。如果一個處理器發生故障,那么就會失去一半的快取、一半的處理能力,以及連線到故障控制器上的所有存儲連線埠。此時,如果讓它繼續工作,就有可能因另一個處理器也故障而導致快取中的數據丟失。這種存儲陣列為只需要很少連線連線埠而無需遠程複製的開放系統而設計。
NAS是另一種縫隙市場解決方案,它提供已分享檔案訪問。在大多數情況下,NAS系統存儲的內容都分模組排列,因為它運行在開放式系統上,不需要大量連線,而且由於它沒有檔案複製功能,也不需要基於控制器的複製。
最近,我們可以看到,新型存儲解決方案正在增多,它們實現的功能同樣是磁碟到磁碟備份(虛擬磁帶庫)、內容存檔、近線存儲、資料庫最佳化、Thin Provisioning(存儲資源隨需分配)等。它們是廠商私有的解決方案,但能整合其他廠商的模組化陣列。
採用面向服務的方法來實現存儲將能夠滿足以上這些需求,它將這些存儲解決方案轉換為服務,能夠在異構存儲設備上的通用平台上運行。例如,不是為每個特定的廠商硬體開發複製功能,而是通用平台上的複製服務。它還能使這些解決方案在統一的管理下一起工作。
那么,應該怎樣開發面向服務的存儲解決方案來滿足這些需求呢?日立在這方面首先做的是,將高可用性、多處理器、全局快取控制器分別從單片存儲器陣列的後端磁碟陣列分離開。這使得企業級附屬檔案USP控制單元能夠通過標準FC接口虛擬地面向任何廠商的磁碟陣列。現在,模組化的磁碟陣列就可以使用所有這些大型的企業級存儲系統功能了。然後,我們再添加檔案服務。因為我們使用了企業級的存儲控制單元體系結構,它具有高性能和很好的可擴展性,所以我們能夠繼續為這個平台添加功能,使它能夠滿足所有連線到該平台上的存儲附屬檔案需求。
虛擬化已經不是新聞了。它將被面向服務的方案所替代,但虛擬化對於實現面向服務的存儲非常有用。和面向服務的存儲解決方案(SOSS)並列的還有SOA(面向服務的體系結構)和SOI(面向服務的基礎架構),它們共同構建動態數據中心。SOA能減少應用程式開發和管理的成本,但它需要SOI和SOSS的支持。