QNAP Systems, Inc. - Network Attached Storage (NAS)

Language

Support

Come configurare un’ACL avanzato iSCSI su QNAP Turbo NAS?

Questo documento illustra come eseguire la configurazione dell’ACL (elenco controllo degli accessi) avanzato iSCSI su QNAP Turbo NAS e verificarne le impostazioni.  Questa funzione è supportata da tutti i modelli Turbo NAS basati su x86 (TS-x39, TS-x59, TS-509, and TS-809). 

Introduzione

In un ambiente di rete cluster, è possibile consentire a più iniziatori iSCSI di effettuare l’accesso alla medesima iSCSI LUN (Logical Unit Number – Numero unità logica) con file system abilitato per il  cluster o tramite modalità di controllo della priorità per i conflitti.   Il meccanismo abilitato per il cluster offre il blocco dei file per evitare che il file system sia danneggiato.

Se il servizio iSCSI non viene utilizzato in ambiente cluster, e il servizio iSCSI è collegato tramite più di due iniziatori, è necessario evitare accessi multipli a un iSCSI LUN contemporaneamente.  QNAP con ACL avanzato iSCSI (Access Control List – elenco controllo degli accessi) mette a disposizione un modo sicuro per poter configurare il proprio ambiente iSCSI.  È possibile creare una politica di mascheramento LUN per configurare l’autorizzazione degli iniziatori iSCSI che tentano di eseguire l’accesso al LUN mappato sugli iSCSI destinatari del NAS.

Il mascheramento LUN viene utilizzato per definire i diritti di accesso al LUN per gli iniziatori iSCSI collegati.  Se un iniziatore non viene assegnato a nessuna politica di mascheramento LUN, viene applicata la politica predefinita (vedere figura 1).  È possibile definire i seguenti diritti di accesso a LUN per ogni iniziatore collegato:

  • Sola lettura: l'iniziatore collegato può leggere solo i dati presenti sui LUN.
  • Lettura / Scrittura: l’iniziatore collegato ha l’autorizzazione per la Lettura e Scrittura sui LUN.
  • Accesso negato: il LUN non è visibile all’iniziatore collegato.

Presupposti:

Questa guida dimostra come configurare l’ACL avanzato su QNAP Turbo NAS. L’ambiente di prova è impostato come Tabella 1: Ambiente di prova. Host 1 e Host 2 sono connessi alla stessa destinazione iSCSI dotata di 3 LUN.  Il formato del file system dei LUN è NTFS.  La policy predefinita consiste nel negare l'accesso da tutti gli iniziatori.  Le autorizzazioni LUN per i due iniziatori sono elencate nella Tabella 2: Impostazioni mascheramento LUN

Nota: Se alcuni iniziatori iSCSI sono stati collegati alle destinazioni iSCSI durante la modifica delle impostazioni ACL, tutte le modifiche avranno effetto solo dopo che gli iniziatori collegati vengono disconnessi e riconnessi alle destinazioni iSCSI.


Figura 1: Diagramma di flusso di ACL avanzato
Sistema Informazioni
Host 1 Sistema operativo: Windows 2008
Iniziatore IQN: iqn.1991-05.com.microsoft:host1
Host 2 Sistema operativo: Windows 2008
Iniziatore IQN: iqn.1991-05.com.microsoft:host2
QNAP NAS Destinazione iSCSI IQN: iqn.2004-04.com.qnap:ts-439proii:iscsi.test.be23e6
Nome LUN 1: lun-1, dimensione: 10GB
Nome LUN 2: lun-2, dimensione: 20GB
Nome LUN 3: lun-3, dimensione: 30GB

Tabella 1: Ambiente di prova

  Host 1 Host 2
LUN 1 Negato Sola lettura
LUN 2 Sola lettura Lettura/Scrittura
LUN 3 Lettura/Scrittura Negato

Tabella 2: Impostazioni mascheramento LUN

Configurazione iSCSI su QNAP NAS

Impostazioni policy predefinita

Accedere all’interfaccia di amministrazione web del NAS come amministratore. Andare su "Disk Management" (Gestione computer) > "iSCSI" >  "ADVANCED ACL" (ACL AVANZATO). Fare clic su  per modificare la policy predefinita.


Figura 2: Policy predefinita

Selezionare "Deny Access" (Nega accesso) per negare l’accesso da tutti i LUN. Fare clic su "APPLY" (Applica).


Figura 3: Configurazione policy predefinita

Configurare il mascheramento LUN per Host 1:

  1. Fare clic su "Add a Policy" (Aggiungi a policy).
  2. Inserire "host1-policy" in "Policy Name" (Nome policy).
  3. Inserire "iqn.1991-05.com.microsoft:host1" in "Initiator IQN" (Iniziatore IQN).
  4. Impostare le autorizzazioni LUN in relazione alla Tabella 2: Impostazioni mascheramento LUN.
  5. Fare clic su "APPLY" (Applica).

Ripetere le procedure descritte in precedenza per configurare le autorizzazioni LUN per Host 2.


Figura 4: Aggiungere una nuova policy


Figura 5: Configurare la Nuova policy per Host 1


Figura 6: Configurare la Nuova policy per Host 2

Suggerimento: Come è possibile definire l'iniziatore IQN?
Su Host 1 e Host 2, avviare l’iniziatore Microsoft iSCSI e fare clic su "General" (Generale).  È possibile trovare l’IQN dell’iniziatore come mostrato di seguito.

Verificare le impostazioni

Per verificare la configurazione, è possibile connettersi alla destinazione iSCSI su Host 1 e Host 2.
Verifica sull’Host 1:

  1. Connettersi al servizio iSCSI.  (Per i dettagli fare riferimento a Connettersi alle destinazioni iSCSI tramite l’iniziatore Microsoft iSCSI su Windows).
  2. Nel menu Start nel sistema operativo Windows, fare clic con il tasto destro su "Computer" > "Manage" (Gestione). Nella finestra "Server Manager" (Gestione server), fare clic su "Disk Management" (Gestione computer).

Host 1 non ha autorizzazione di accesso al LUN-1 (10 GB).  Pertanto, vengono elencati solo due dischi.  Disco 1 (20 GB) è in sola lettura mentre il Disco 2 (30 GB) è scrivibile.

Verifica sull'Host 2:
Ripetere le stesse procedure descritte in precedenza per la verifica sull'2. In "Server Manager" (Gestione server) sono elencati due dischi. Disco 1 (10 GB) è in sola lettura mentre il Disco 2 (20 GB) è scrivibile.

Data di rilascio: 2013-05-30
È stato utile?
Grazie per il feedback.
Grazie per il feedback. Per eventuali domande, contattare support@qnap.com
75% delle persone lo ritengono utile.