Как настроить расширенный список управления доступом (ACL) iSCSI на сервере QNAP Turbo NAS?

  1. введение
  2. допущения:
  3. Настройка iSCSI на сервере QNAP NAS
  4. Настройка маскирования LUN для хоста 1:
  5. Проверка настроек

В этом документе объясняется, как настроить iSCSI расширенного списка управления доступом (ACL) на QNAP Turbo NAS и как проверить параметры. Эта функция поддерживается всеми моделями сервера Turbo NAS с процессорами x86 (TS-x39, TS-x59, TS-509 и TS-809).

введение

В кластерной сетевой среде с разными инициаторами iSCSI вы можете разрешить доступ к одному и тому же iSCSI LUN, используя файловую систему, которая поддерживает кластеры, или механизм разделения SCSI. Механизм поддержки кластеров позволяет блокировать файлы, чтобы предотвратить повреждение файловой системы.

Если вы не используете службу iSCSI в кластерной среде, а служба iSCSI подключена более чем к двум источникам, вы должны запретить одновременный доступ к логическим устройствам iSCSI. Расширенный список контроля доступа (ACL) интерфейса SCSI на сервере QNAP обеспечивает безопасную настройку среды iSCSI. Используя правило маскирования LUN, вы можете настроить разрешения инициатора iSCSI, которые пытаются получить доступ к LUN, сопоставленному с целями iSCSI на NAS.

Маскировка LUN используется для определения прав доступа подключенного инициатора iSCSI к LUN. Если инициатор не назначен никакому правилу маскирования LUN, используется правило по умолчанию (см. Рисунок 1). Для отдельных подключенных инициаторов вы можете настроить следующие права доступа к LUN:

  • Только для чтения: объединенный инициатор может только читать данные из LUN.
  • Чтение / запись: подключенный инициатор имеет права на чтение и запись в LUN.
  • Нет доступа: LUN невидим для подключенного инициатора.

допущения:

В этой статье объясняется, как настроить расширенный список управления доступом (ACL) на NAS-сервере QNAP Turbo. Конфигурация тестовой среды показана в Таблице 1. Хост 1 и Хост 2 подключаются к одной и той же цели iSCSI, которая имеет 3 LUN. У LUN есть файловая система NTFS. Правило по умолчанию запрещает доступ всем инициаторам. Разрешение LUN ​​для двух инициаторов приведено в таблице 2.

Примечание. Если какие-либо инициаторы iSCSI подключаются к целям iSCSI при изменении параметров ACL, все изменения будут применены только после отключения и повторного подключения этих инициаторов к целям iSCSI.

В этом документе объясняется, как настроить iSCSI расширенного списка управления доступом (ACL) на QNAP Turbo NAS и как проверить параметры

Рисунок 1: Блок-схема функции Advanced ACL

Информационнаясистема

хоста 1 Операционная система: Windows 2008
IQN инициатора: iqn.1991-05.com.microsoft:host1 Host 2 Операционная система: Windows 2008
Инициатор IQN: iqn.1991-05.com.microsoft:host2 QNAP IQN ISCSI Цель: iqn.2004-04.com.qnap: ts-439pro: iscsi.test.be23e6
Название LUN ​​1: лун-1, размер: 10 ГБ Название LUN ​​2: лун-2, размер: 20 ГБ Название LUN ​​3: лун-3, размер: 30 ГБ

Таблица 1: Тестовая среда

Хост 1Хост 2

LUN 1 Отказ в чтении LUN 2 Только чтение Чтение / запись LUN 3 Чтение / запись отказа

Таблица 2: Настройки маскирования LUN

Настройка iSCSI на сервере QNAP NAS

Настройки правил по умолчанию

Настройки правил по умолчанию Войдите в NAS как администратор через веб-интерфейс. Выберите «Диспетчер памяти»> «iSCSI»> «Расширенный ACL». Нажмите здесь Настройки правил по умолчанию Войдите в NAS как администратор через веб-интерфейс редактировать правило по умолчанию.

Нажмите здесь   редактировать правило по умолчанию

Рисунок 2: Правило по умолчанию

Выберите «Доступ запрещен», чтобы запретить доступ ко всем LUN. Нажмите «Применить».

Рисунок 3: Конфигурация правил по умолчанию

Настройка маскирования LUN для хоста 1:

  1. Нажмите «Добавить правило».
  2. В поле «Имя правила» введите «host1-policy».
  3. В поле «Инициатор IQN» введите «iqn.1991-05.com.microsoft:host1».
  4. Сконфигурируйте разрешения для LUN в соответствии с Таблицей 2: Настройки маскирования LUN.
  5. Нажмите «Применить».

Повторите описанные выше шаги, чтобы настроить разрешения для LUN для хоста 2.

Повторите описанные выше шаги, чтобы настроить разрешения для LUN для хоста 2

Рисунок 4: Добавление нового правила

Рисунок 4: Добавление нового правила

Рисунок 5: Настройка нового правила для хоста 1

Рисунок 5: Настройка нового правила для хоста 1

Рисунок 6: Настройка нового правила для хоста 2

Совет: Как мне найти инициатора IQN?
На хосте 1 и хосте 2 запустите инициатор Microsoft iSCSI и нажмите «Общие». IQN инициатора виден, как показано на следующем рисунке.

Проверка настроек

Чтобы проверить конфигурацию, вы можете подключиться к этой цели iSCSI на хосте 1 и хосте 2.
Проверка хоста 1:

  1. Подключитесь к службе iSCSI. (Подробная информация включена в статью Подключение к целевым объектам iSCSI с помощью iSCSI Microsoft Initiator в Windows ).
  2. В меню «Пуск» Windows щелкните правой кнопкой мыши «Компьютер»> «Управление». В окне «Управление компьютером» нажмите «Управление дисками».

Узел 1 не имеет разрешения на доступ к устройству LUN-1 (10 ГБ). Поэтому в списке только два диска. Диск 1 (20 ГБ) доступен только для чтения, а диск 2 (30 ГБ) доступен для записи.

Диск 1 (20 ГБ) доступен только для чтения, а диск 2 (30 ГБ) доступен для записи

Проверка хоста 2:
Повторите те же шаги при проверке хоста 2. Оба диска перечислены в «Диспетчере компьютеров». Диск 1 (10 ГБ) доступен только для чтения, а диск 2 (20 ГБ) доступен для записи.