QNAP Systems, Inc. - Network Attached Storage (NAS)

Language

Support

Comment configurer l'ACL avancé iSCSI sur les Turbo NAS de QNAP?

Ce document vous explique comment configurer l'ACL (access control list : liste d'accès de contrôle) avancé iSCSI sur les Turbo NAS de QNAP et comment vérifier les paramètres.  Tous les modèles de Turbo NAS de type x86 (TS-x39, TS-x59, TS-509 et TS-809) prennent cette fonction en charge. 

Introduction

Dans un environnement réseau dense, il se peut qu'il soit permis à plusieurs initiateurs iSCSI d'accéder au même LUN (Logical Unit Number : Numéro d'unité logique) iSCSI par le système de fichiers à capacité cluster ou par le mécanisme de fencing SCSI.  Le mécanisme à capacité cluster apporte le verrouillage des fichiers de façon à éviter la corruption du système de fichiers.

Si vous n'utilisez pas le service iSCSI dans un environnement dense et si le service iSCSI est connecté par plus de deux initiateurs, vous devez empêcher les accès simultanés multiples à un LUN iSCSI. L'ACL (Access Control List) avancé iSCSI de QNAP vous offre un moyen sûr pour mettre sur pied votre environnement iSCSI.  Vous pouvez créer une politique de masquage de LUN pour configurer les permissions des initiateurs iSCSI qui tentent d'accéder au LUN mappé sur les cibles iSCSI sur le NAS.

Le Masquage de LUN est utilisé pour définir les droits d'accès au LUN pour un initiateur iSCSI connecté. Si un initiateur n'a été affecté par aucune politique de Masquage de LUN, c'est la politique par défaut qui est appliquée (Voir figure 1).  Vous pouvez définir les droits d'accès au LUN suivants pour chaque initiateur connecté :

  • Lecture seule : L'initiateur connecté ne peut que lire les données des LUN.
  • Lecture/Ecriture : L'iniateur connecté dispose de la permission permettant de Lire et d'Ecrire sur les LUN.
  • Refuser l'accès : Le LUN est invisible pour l'initiateur connecté.

Suppositions :

Nous expliquons ici comment configurer l'ACL avancé sur le Turbo NAS de QNAP.  L'environnement de test est configuré selon le Table 1 . L'Hôte 1 et l'Hôte 2 se connectent à la même cible iSCSI qui possède trois LUN. Le format du système de fichiers des LUN est NTFS. La politique par défaut consiste à interdire l'accès de tous les initiateurs.  La permission LUN pour les deux initiateurs est donnée dans le Table 2 .

Remarque : Si certains intiateurs iSCSI sont connectés aux cibles iSCSI pendant que vous modifiez les paramètres ACL, les modifications ne prennent effet qu'après que les initiateurs connectés se déconnectent puis se reconnectent aux cibles iSCSI.


Figure 1: Organigramme de l'ACL avancé
Système Informations
Hôte 1 Système d'exploitation : Windows 2008
IQN initiateur : iqn.1991-05.com.microsoft:host1
Hôte 2 Système d'exploitation : Windows 2008
IQN initiateur : iqn.1991-05.com.microsoft:host2
NAS de QNAP IQN cible iSCSI : iqn.2004-04.com.qnap:ts-439proii:iscsi.test.be23e6
Nom du LUN 1 : lun-1, taille : 10 Go
Nom du LUN 2 : lun-2, taille : 20 Go
Nom du LUN 3 : lun-3, taille : 30 Go

Tableau 1: Environnement de test

  Hôte 1 Hôte 2
LUN 1 Interdire Lecture seule
LUN 2 Lecture seule Lecture/Ecriture
LUN 3 Lecture/Ecriture Interdire

Tableau 2 : Paramètres du masquage de LUN

Configuration iSCSI sur les NAS QNAP

Paramètres de politique par défaut

Ouvrez une session en tant qu'administrateur sur l'interface de gestion web du NAS.  Allez sur “Disk Management” (Gestion de disque) > “iSCSI” > “ADVANCED ACL” (ACL AVANCE). Cliquez sur  pour modifier la politique par défaut.


Figure 2: Politique par défaut

Sélectionnez “Deny Access” (Refuser l'accès) pour refuser l'accès à tous les LUN.  Cliquez sur "APPLY" (APPLIQUER).


Figure 3: Configuration de la politique par défaut

Configurer le masquage LUN pour l'Hôte 1 :

  1. Cliquez sur “Add a Policy” (Ajouter une politique).
  2. Entrez “host1-policy” dans le champ “Policy Name” (Nom de politique).
  3. Entrez “iqn.1991-05.com.microsoft:host1” dans le champ “Initiator IQN” (IQN initiateur).
  4. Définissez les permissions LUN selon le Table 2: LUN Masking Settings .
  5. Cliquez sur "APPLY" (APPLIQUER).

Répétez les étapes ci-dessus pour configurer les permissions LUN pour l'Hôte 2.


Figure 4: Ajouter une nouvelle politique


Figure 5: Configurer une nouvelle politique pour l'Hôte 1


Figure 6: Configurer une nouvelle politique pour l'Hôte 2

Astuce : Comment faire pour trouver l'IQN initiateur ?
Sur Hôte 1 et Hôte 2, lancez l'initiateur iSCSI de Microsoft et cliquez sur “General” (Général).  Vous verrez l'IQN de l'initiateur ainsi qu'illustré ci-dessous.

Vérifier les paramètres
Pour vérifier la configuration, nous pouvons nous connecter à cette cible iSCSI sur Hôte 1 et Hôte 2.
Vérification sur Hôte 1 :

  1. Connectez-vous au service iSCSI.  (Voir Connexion aux cibles iSCSI par initiateur iSCSI de Microsoft sur Windows pour les détails).
  2. Dans le menu Démarrer du système d'exploitation Windows, faites un clic droit sur “Computer” (Poste de travail) > “Manage” (Gérer).  Dans le fenêtre “Server Manager” (Gestionnaire de serveur), cliquez sur “Disk Management” (Gestion de disque).

Le Hôte 1 n'a pas d'autorisation d'accès au LUN-1 (10 Go).  Dès lors, seuls deux disques sont mentionnés.  Le disque 1 (20 Go) est en lecture seule, tandis que le disque 2 (30 Go) est inscriptible.

Vérification sur Hôte 2 :

Répétez la même procédure pour vérifier l'Hôte 2. Deux disques sont mentionnés dans “Server Manager” (Gestionnaire de serveur).  Le disque 1 (10 Go) est en lecture seule, tandis que le disque 2 (20 Go) est inscriptible.

Date de sortie: 2013-05-30
Ont-elles été utiles pour vous ?
Merci pour votre commentaire.
Merci pour votre commentaire. Veuillez contacter support@qnap.com si vous avez des questions.
67% des utilisateurs pensent que ces informations sont utiles.