QNAP Systems, Inc. - Network Attached Storage (NAS)

Language

Support

So konfigurieren Sie die iSCSI-erweiterte ACL am Turbo-NAS von QNAP

Dieses Dokument beschreibt, wie Sie die iSCSI-erweiterte ACL (Access Control List) am Turbo-NAS von QNAP konfigurieren und die Einstellungen überprüfen.  Alle x86-basierten Turbo-NAS-Modelle (TS-x39, TS-x59, TS-509 und TS-809) unterstützen diese Funktion. 

Einleitung

In einer Cluster-Umgebung kann durch ein "cluster aware"-Dateisystem oder SCSI-Fencing-Mechanismus der Zugriff mehrerer iSCSI-Initiatoren zu derselben iSCSI-LUN (Logical Unit Number) zugelassen werden.  Der "cluster aware"-Mechanismus bietet Dateisperrung zur Vermeidung von Dateisystemfehlern.

Wenn Sie den iSCSI-Dienst in einer Cluster-Umgebung nicht nutzen und der iSCSI-Dienst mit mehr als zwei Initiatoren verbunden ist, müssen Sie mehrere Zugriffe auf eine iSCSI-LUN gleichzeitig verhindern.  Die iSCSI-erweiterte ACL (Access Control List) von QNAP bietet Ihnen eine sichere Möglichkeit zur Einrichtung Ihrer iSCSI-Umgebung.  Sie können eine LUN-Maskierungsrichtlinie zur Zugangskonfiguration der iSCSI-Initiatoren erstellen, die versuchen, auf die auf den iSCSI-Zielen des NAS abgebildete LUN zuzugreifen.

LUN-Maskierung dient der Definition von LUN-Zugangsrechten eines verbundenen iSCSI-Initiators.  Falls ein Initiator keiner LUN-Maskierungsrichtlinie zugewiesen ist, gilt die Standardrichtlinie (siehe Abbildung 1).  Sie können bei den verbundenen Initiatoren die nachstehenden LUN-Zugangsrechte einrichten:

  • Read Only (Schreibschutz): Der verbundene Initiator kann die Daten von den LUNs nur lesen.
  • Read/Write (Lesen/Schreiben): Der verbundene Initiator hat Lese- und Schreibrechte auf die LUNs.
  • Deny Access (Zugang verweigern): Die LUN ist für den verbundenen Initiator nicht sichtbar.

Hypothesen:

Diese Anleitung zeigt, wie Sie die erweiterte ACL am Turbo-NAS von QNAP konfigurieren. Die Testumgebung ist wie in Tabelle 1 eingerichtet. Host 1 und Host 2 sind mit demselben iSCSI-Ziel verbunden, das über drei LUNs verfügt. Das Dateisystemformat der LUNs ist NTFS. Die Standardrichtlinie aller Initiatoren ist die Zugangsverweigerung. Die LUN-Erlaubnis der beiden Initiatoren wird in Tabelle 2 aufgelistet.

Hinweis: Wenn während der Modifikation der ACL-Einstellungen einige iSCSI-Initiatoren mit den iSCSI-Zielen verbunden sind, werden die Änderungen bei diesen verbundenen Initiatoren erst wirksam, nachdem diese die Verbindung zu den iSCSI-Zielen getrennt und wiederhergestellt haben.


Abbildung 1: Ablaufdiagramm der erweiterten ACL

System Informationen
Host 1 Betriebssystem: Windows 2008
Initiator-IQN: iqn.1991-05.com.microsoft:host1
Host 2 Betriebssystem: Windows 2008
Initiator-IQN: iqn.1991-05.com.microsoft:host2
QNAP NAS iSCSI-Ziel-IQN: iqn.2004-04.com.qnap:ts-439proii:iscsi.test.be23e6
LUN 1-Name: lun-1, Größe: 10 GB
LUN 2-Name: lun-2, Größe: 20 GB
LUN 3-Name: lun-3, Größe: 30 GB

Tabelle 1: Testumgebung

  Host 1 Host 2
LUN 1 Deny (Verweigern) Read Only (Schreibschutz)
LUN 2 Read Only (Schreibschutz) Read/Write (Lesen/Schreiben)
LUN 3 Read/Write (Lesen/Schreiben) Deny (Verweigern)

Tabelle 2: Einstellungen der LUN-Maskierung

iSCSI-Konfiguration am QNAP NAS

Einstellungen der Standardrichtlinie

Melden Sie sich als Administrator an der Webadministrationsschnittstelle des NAS an.  Wählen Sie "Disk Management" (Festplattenverwaltung) > "iSCSI" > "ADVANCED ACL" (Erweiterte ACL).  Klicken Sie zum Bearbeiten der Standardrichtlinie auf .


Abbildung 2: Standardrichtlinie

Wählen Sie zum Verweigern des Zugangs von allen LUNs "Deny Access (Zugang verweigern)".  Klicken Sie auf "APPLY (Übernehmen)".


Abbildung 3: Konfiguration der Standardrichtlinie

LUN-Maskierung für Host 1 konfigurieren:

  1. Klicken Sie auf "Add a Policy (Eine Richtlinie hinzufügen)".
  2. Geben Sie "host1-richtlinie" bei "Policy Name (Richtlinienname)" ein.
  3. Geben Sie "iqn.1991-05.com.microsoft:host1" bei "Initiator IQN (Initiator-IQN)" ein.
  4. Stellen Sie die LUN-Erlaubnis entsprechend Tabelle 2: Einstellungen der LUN-Maskierung ein.
  5. Klicken Sie auf "APPLY (Übernehmen)".

Wiederholen Sie die obengenannten Schritte zur Konfiguration der LUN-Erlaubnis bei Host 2.


Abbildung 4: Eine neue Richtlinie hinzufügen


Abbildung 5: Neue Richtlinie für Host 1 konfigurieren


Abbildung 6: Neue Richtlinie für Host 2 konfigurieren

Tipp: Wie und wo finde ich die Initiator-IQN?
Starten Sie an Host 1 und Host 2 Microsoft iSCSI Initiator und klicken Sie auf "Allgemein".  Sie finden die IQN des Initiators wie nachstehend gezeigt.

Einstellungen überprüfen

Zur Überprüfung der Konfiguration können wir dieses iSCSI-Ziel an Host 1 und Host 2 verbinden.
Überprüfung an Host 1:

  1. Stellen Sie eine Verbindung zum iSCSI-Dienst her.  (Einzelheiten entnehmen Sie bitte Unter Windows via Microsoft iSCSI Initiator mit iSCSI-Zielen verbinden).
  2. Rechtsklicken Sie im Start-Menü unter Windows auf "Computer" > "Verwalten".  Klicken Sie im "Server-Manager"-Fenster auf "Datenträgerverwaltung".

Host 1 hat kein Zugangsrecht zur LUN-1 (10 GB).  Daher werden nur zwei Laufwerke aufgelistet.  Datenträger 1 (20 GB) ist schreibgeschützt und Datenträger 2 (30 GB) ist beschreibbar.

Überprüfung an Host 2:
Wiederholen Sie dieselben Schritte bei der Überprüfung von Host 2. Zwei Laufwerke sind im "Server-Manager" aufgelistet. Datenträger 1 (10 GB) ist schreibgeschützt und Datenträger 2 (20 GB) ist beschreibbar.

Veröffentlichungsdatum: 2013-05-30
War es hilfreich?
Vielen Dank für Ihre Rückmeldung.
Vielen Dank für Ihre Rückmeldung. Wenden Sie sich bei Fragen bitte an support@qnap.com
67% der Nutzer fanden es hilfreich.