QNAP Systems, Inc. - ネットワーク接続ストレージ(NAS)

Language

Support

QNAP Turbo NAS における iSCSI アドバンスト ACL の構成方法

本書類は、QNAP Turbo NASにおけるiSCSIアドバンストACL (アクセス制御リスト) の構成および設定の確認の方法について記載しています。すべてのx86ベースのTurbo NASモデル (TS-x39, TS-x59, TS-509, TS-809) はこの機能をサポートしています。

はじめに

クラスターネットワーク環境では、複数のiSCSIイニシエータがクラスター対応システムあるいはSCSIフェンシング機構により同一のiSCSI LUN (論理ユニット番号) にアクセスすることができます。クラスター対応機構はファイルロックを備え、ファイルシステムの破損を防ぎます。

クラスター環境においてiSCSIサービスを使用しない際に、iSCSIサービスが2つ以上のイニシエータに接続されている場合は、1つのiSCSI LUNに同時に複数のアクセスがないようにする必要があります。QNAP iSCSIアドバンストACL (アクセス制御リスト) は、iSCSI環境をセットアップする安全な方法を提供します。LUNマスキングポリシーを作成し、NAS上のiSCSIターゲットにマップされたLUNへアクセスを試みるiSCSIイニシエータに対する許可を構成することができます。

LUNマスキングは、接続されたiSCSIイニシエータのLUNアクセス権を定義する際に使用されます。イニシエータがLUNマスキングポリシーに割り当てられていない場合、デフォルトポリシーが適用されます。(図1を参照) 接続された各イニシエータに対し以下のLUNアクセス権をセットアップすることができます:

  • 読み取り専用: 接続されたイニシエータは、LUNからデータを読み取ることのみ可能です。
  • 読み取り/書き込み: 接続されたイニシエータは、LUNへの読み取り/書き込み権限があります。
  • アクセス拒否: 接続されたイニシエータはLUNにアクセスできません。

想定:

このハウツーでは、QNAP Turbo NASにおけるiSCSIアドバンストACLの構成方法について説明しています。テスト環境は表1のとおりに設定されています。ホスト1およびホスト2は、3つのLUNを持つ同一のiSCSIターゲットに接続しています。LUNのファイルシステム形式はNTFSです。デフォルトポリシーは、全てのイニシエータに対しアクセス拒否となっています。2つのイニシエータに対するLUN使用許可は表2に一覧されています。

 

注記 : ACL設定の変更中にいくつかのiSCSIイニシエータがiSCSIターゲットに接続した場合、全ての変更は、これらのイニシエータが接続を解除し、再度iSCSIターゲットに接続した後から有効となります。


図1:アドバンストACLのフローチャート
システム 情報
ホスト1 OS:Windows 2008
イニシエータIQN: iqn.1991-05.com.microsoft:host1
ホスト2 OS:Windows 2008
イニシエータIQN: iqn.1991-05.com.microsoft:host2
QNAP NAS iSCSI ターゲットIQN: iqn.2004-04.com.qnap:ts-439proii:iscsi.test.be23e6
LUN1名称:lun-1, サイズ:10GB
LUN2名称:lun-2, サイズ:20GB
LUN3名称:lun-3, サイズ:30GB

表1:テスト環境

  ホスト1 ホスト2
LUN 1 拒否 読み取り専用
LUN 2 Sola lettura 読み取り/書き込み
LUN 3 読み取り/書き込み 拒否

表2:LUNマスキング設定

QNAP NASにおけるiSCSI構成

デフォルトポリシー設定

NASのウェブ管理インターフェイスに管理者としてログインします。続いて、"Disc Management (ディスク管理)" > "iSCSI" > "ADVANCED ACL (アドバンストACL)" を開きます。 をクリックしてデフォルトポリシーを編集します。


図2:デフォルトポリシー

"Deny Access (アクセス拒否)" を選択し、すべてのLUNからのアクセスを拒否します。 "Apply (適用)" をクリックします。


図3:デフォルトポリシー構成

HOST1向けLUNマスキング構成:

  1. "Add a Policy (ポリシーの追加)" をクリックします。
  2. "Policy Name (ポリシー名)" に "host1-policy (ホスト1ポリシー)" と入力します。
  3. "Initiator IQN (イニシエータIQN)" に "iqn.1991-05.com.microsoft:host1" と入力します。
  4. 表2:LUNマスキング設定に従ってLUN使用許可を設定します。
  5. "Apply (適用)" をクリックします。

上記の手順を繰り返してホスト2のLUN使用許可を構成します。


図4:新しいポリシーの追加



図5:HOST1向け新規ポリシー構成


図6:HOST2向け新規ポリシー構成

ヒント: イニシエータIQNはどこにありますか?
ホスト1およびホスト2にて、Microsoft iSCSIイニシエータを開始し、'General (全般)'をクリックします。イニシエータのIQNは下図のように表示されます。

設定の確認

構成を確認するため、ホスト1およびホスト2にてこのiSCSIターゲットに接続することができます。
ホスト1における確認:

  1. iSCSIサービスに接続します。(詳細はWindowsのMicrosoft iSCSIイニシエータを使用してiSCSIターゲットに接続するを参照してください)
  2. Windows OSのスタートメニューにて "Computer (コンピュータ)" を右クリック、"Manage (管理)" を開きます。"Server Manager (サーバマネージャ)" ウィンドウにて、 "Disk Management (ディスク管理)" をクリックします。

ホスト1にはLUN-1 (10GB) に対するアクセス許可がありません。そのため、2つのディスクのみが一覧されています。ディスク1(20GB)は読み取りのみ、ディスク2(30GB)は書込みが可能です。

ホスト2における確認:
ホスト2の確認には、同じ手順を行います。"Server Manager (サーバマネージャ)" には2つのディスクが一覧されます。ディスク1(10GB)は読み取りのみ、ディスク2(20GB)は書込みが可能です。

リリース日: 2013-05-30
役に立ちましたか ?
ご意見をいただき、ありがとうございます。
ご意見をいただき、ありがとうございます。 ご質問がありましたら、support@qnap.com にお問合せください