Jak skonfigurować zaawansowaną listę kontroli dostępu (ACL) iSCSI na serwerze QNAP Turbo NAS?
W tym dokumencie wyjaśniono, jak skonfigurować zaawansowaną listę kontroli dostępu (ACL) iSCSI na serwerze QNAP Turbo NAS i jak zweryfikować ustawienia. Funkcję tę obsługują wszystkie modele serwera Turbo NAS z procesorami x86 (TS-x39, TS-x59, TS-509 i TS-809).
Wprowadzenie
W klastrowym środowisku sieciowym różnym inicjatorom iSCSI można zezwolić na dostęp do tej samej jednostki iSCSI LUN przy użyciu systemu plików obsługującego klastry lub mechanizmu odgradzania SCSI. Mechanizm obsługi klastrów umożliwia blokowanie plików, aby zapobiec uszkodzeniu systemu plików.
Jeżeli nie używasz usługi iSCSI w środowisku klastrowym, a usługa iSCSI jest połączona z więcej niż dwoma inicjatorami, należy uniemożliwić jednoczesny dostęp do jednostek iSCSI LUN. Zaawansowana lista kontroli dostępu (Access Control List, ACL) interfejsu SCSI na serwerze QNAP umożliwia bezpieczną konfigurację środowiska iSCSI. Przy użyciu reguły maskowania LUN można skonfigurować uprawnienia inicjatorów iSCSI, które próbują uzyskać dostęp do jednostki LUN zamapowanej do obiektów docelowych iSCSI na serwerze NAS.
Maskowanie LUN służy do definiowania uprawnień dostępu połączonego inicjatora iSCSI do jednostki LUN. Jeżeli inicjator nie jest przypisany do żadnej reguły maskowania LUN, stosowana jest reguła domyślna (zobacz ilustrację 1). Dla poszczególnych połączonych inicjatorów można skonfigurować następujące uprawnienia dostępu do jednostki LUN:
- Tylko do odczytu: Połączony inicjator może tylko czytać dane z jednostek LUN.
- Odczyt/Zapis: Podłączony inicjator ma uprawnienia do odczytu i zapisu w jednostce LUN.
- Brak dostępu: Jednostka LUN jest niewidoczna dla połączonego inicjatora.
Założenia:
W tym artykule wyjaśniono, jak skonfigurować zaawansowaną listę kontroli dostępu (ACL) na serwerze QNAP Turbo NAS. Konfigurację środowiska testowego przedstawia tabela 1. Host 1 i Host 2 łączą się z tym samym obiektem docelowym iSCSI, który ma 3 jednostki LUN. Jednostki LUN mają system plików w formacie NTFS. Reguła domyślna polega na odmowie dostępu dla wszystkich inicjatorów. Uprawnienie LUN dla dwóch inicjatorów podano w tabeli 2.
Uwaga: jeżeli jakieś inicjatory iSCSI zostaną połączone z obiektami docelowymi iSCSI podczas modyfikowania ustawień ACL, wszystkie modyfikacje zostaną zastosowane dopiero po odłączeniu i ponownym połączeniu tych inicjatorów z obiektami docelowymi iSCSI.
Ilustracja 1: Schemat blokowy funkcji Zaawansowana ACL
| System | Informacje |
| Host 1 |
System operacyjny: Windows 2008 Inicjator IQN: iqn.1991-05.com.microsoft:host1 |
| Host 2 |
System operacyjny: Windows 2008 Inicjator IQN: iqn.1991-05.com.microsoft:host2 |
| QNAP NAS |
IQN obiektu docelowego iSCSI: iqn.2004-04.com.qnap:ts-439proii:iscsi.test.be23e6 Nazwa LUN 1: lun-1, rozmiar: 10 GB Nazwa LUN 2: lun-2, rozmiar: 20 GB Nazwa LUN 3: lun-3, rozmiar: 30 GB |
Tabela 1: Środowisko testowe
| Host 1 | Host 2 | |
| LUN 1 | Odmowa | Tylko do odczytu |
| LUN 2 | Tylko do odczytu | Odczyt/zapis |
| LUN 3 | Odczyt/zapis | Odmowa |
Tabela 2: Ustawienia maskowania LUN
Konfiguracja iSCSI na serwerze QNAP NAS
Ustawienia reguły domyślnej
Ustawienia reguły domyślnej Zaloguj się na serwerze NAS jako administrator za pośrednictwem interfejsu WWW. Wybierz „Menadżer pamięci” > „iSCSI” > „Zaawansowana ACL”. Kliknij 
, aby edytować regułę domyślną.
Ilustracja 2: Reguła domyślna
Wybierz „Odmowa dostępu”, aby odmówić dostępu w odniesieniu do wszystkich jednostek LUN. Kliknij przycisk „Zastosuj”.
Ilustracja 3: Konfiguracja reguł domyślnych
Konfigurowanie maskowania LUN dla Hosta 1:
- Kliknij przycisk „Dodaj regułę”.
- W polu „Nazwa reguły” wprowadź „host1-policy”.
- W polu „Inicjatora IQN” wprowadź „iqn.1991-05.com.microsoft:host1”.
- Skonfiguruj uprawnienia do jednostek LUN zgodnie z Tabelą 2: Ustawienia maskowania LUN.
- Kliknij przycisk „Zastosuj”.
Powtórz powyższe kroki, aby skonfigurować uprawnienia do jednostek LUN dla Hosta 2.
Rysunek 4: Dodawanie nowej reguły
Rysunek 5: Konfiguracja nowej reguły dla Hosta 1
Rysunek 6: Konfiguracja nowej reguły dla Hosta 2
Wskazówka: Jak znaleźć IQN inicjatora?
Na Hoście 1 i Hoście 2 uruchom inicjator Microsoft iSCSI i kliknij „Ogólne”. IQN inicjatora jest widoczny jak na poniższej ilustracji.
Weryfikacja ustawień
Aby zweryfikować konfigurację, można połączyć się z tym obiektem docelowym iSCSI na Hoście 1 i Hoście 2.
Weryfikacja na Hoście 1:
- Połącz się z usługą iSCSI. (Szczegółowe informacje zawiera artykuł Łączenie z obiektami docelowymi iSCSI przy użyciu Inicjatora iSCSI firmy Microsoft w systemie Windows).
- W menu Start systemu Windows kliknij prawym przyciskiem myszy pozycję „Komputer” > „Zarządzaj”. W oknie „Zarządzanie komputerem” kliknij pozycję „Zarządzanie dyskami”.
Host 1 nie ma uprawnień dostępu do jednostki LUN-1 (10 GB). W związku z tym wymienione są tylko dwa dyski. Dysk 1 (20 GB) jest tylko do odczytu, a Dysk 2 (30 GB) jest do zapisu.
Weryfikacja na Hoście 2:
Powtórz te same kroki podczas weryfikacji Hosta 2. Oba dyski są wymienione w „Menedżerze komputera”. Dysk 1 (10 GB) jest tylko do odczytu, a Dysk 2 (20 GB) jest do zapisu.
