Serwery NAS firmy QNAP - oficjalna strona w Polsce (NAS)

Language

Support

Jak skonfigurować zaawansowaną listę kontroli dostępu (ACL) iSCSI na serwerze QNAP Turbo NAS?

W tym dokumencie wyjaśniono, jak skonfigurować zaawansowaną listę kontroli dostępu (ACL) iSCSI na serwerze QNAP Turbo NAS i jak zweryfikować ustawienia. Funkcję tę obsługują wszystkie modele serwera Turbo NAS z procesorami x86 (TS-x39, TS-x59, TS-509 i TS-809).

Wprowadzenie

W klastrowym środowisku sieciowym różnym inicjatorom iSCSI można zezwolić na dostęp do tej samej jednostki iSCSI LUN przy użyciu systemu plików obsługującego klastry lub mechanizmu odgradzania SCSI. Mechanizm obsługi klastrów umożliwia blokowanie plików, aby zapobiec uszkodzeniu systemu plików.

Jeżeli nie używasz usługi iSCSI w środowisku klastrowym, a usługa iSCSI jest połączona z więcej niż dwoma inicjatorami, należy uniemożliwić jednoczesny dostęp do jednostek iSCSI LUN. Zaawansowana lista kontroli dostępu (Access Control List, ACL) interfejsu SCSI na serwerze QNAP umożliwia bezpieczną konfigurację środowiska iSCSI. Przy użyciu reguły maskowania LUN można skonfigurować uprawnienia inicjatorów iSCSI, które próbują uzyskać dostęp do jednostki LUN zamapowanej do obiektów docelowych iSCSI na serwerze NAS.

Maskowanie LUN służy do definiowania uprawnień dostępu połączonego inicjatora iSCSI do jednostki LUN. Jeżeli inicjator nie jest przypisany do żadnej reguły maskowania LUN, stosowana jest reguła domyślna (zobacz ilustrację 1). Dla poszczególnych połączonych inicjatorów można skonfigurować następujące uprawnienia dostępu do jednostki LUN:

  • Tylko do odczytu: Połączony inicjator może tylko czytać dane z jednostek LUN.
  • Odczyt/Zapis: Podłączony inicjator ma uprawnienia do odczytu i zapisu w jednostce LUN.
  • Brak dostępu: Jednostka LUN jest niewidoczna dla połączonego inicjatora.

Założenia:

W tym artykule wyjaśniono, jak skonfigurować zaawansowaną listę kontroli dostępu (ACL) na serwerze QNAP Turbo NAS. Konfigurację środowiska testowego przedstawia tabela 1. Host 1 i Host 2 łączą się z tym samym obiektem docelowym iSCSI, który ma 3 jednostki LUN. Jednostki LUN mają system plików w formacie NTFS. Reguła domyślna polega na odmowie dostępu dla wszystkich inicjatorów. Uprawnienie LUN dla dwóch inicjatorów podano w tabeli 2.

Uwaga: jeżeli jakieś inicjatory iSCSI zostaną połączone z obiektami docelowymi iSCSI podczas modyfikowania ustawień ACL, wszystkie modyfikacje zostaną zastosowane dopiero po odłączeniu i ponownym połączeniu tych inicjatorów z obiektami docelowymi iSCSI.

Ilustracja 1: Schemat blokowy funkcji Zaawansowana ACL

System Informacje
Host 1 System operacyjny: Windows 2008
Inicjator IQN: iqn.1991-05.com.microsoft:host1
Host 2 System operacyjny: Windows 2008
Inicjator IQN: iqn.1991-05.com.microsoft:host2
QNAP NAS IQN obiektu docelowego iSCSI: iqn.2004-04.com.qnap:ts-439proii:iscsi.test.be23e6
Nazwa LUN 1: lun-1, rozmiar: 10 GB Nazwa LUN 2: lun-2, rozmiar: 20 GB Nazwa LUN 3: lun-3, rozmiar: 30 GB

Tabela 1: Środowisko testowe

  Host 1 Host 2
LUN 1 Odmowa Tylko do odczytu
LUN 2 Tylko do odczytu Odczyt/zapis
LUN 3 Odczyt/zapis Odmowa

Tabela 2: Ustawienia maskowania LUN

Konfiguracja iSCSI na serwerze QNAP NAS

Ustawienia reguły domyślnej

Ustawienia reguły domyślnej Zaloguj się na serwerze NAS jako administrator za pośrednictwem interfejsu WWW. Wybierz „Menadżer pamięci” > „iSCSI” > „Zaawansowana ACL”. Kliknij , aby edytować regułę domyślną.

Ilustracja 2: Reguła domyślna

Wybierz „Odmowa dostępu”, aby odmówić dostępu w odniesieniu do wszystkich jednostek LUN. Kliknij przycisk „Zastosuj”.

Ilustracja 3: Konfiguracja reguł domyślnych

Konfigurowanie maskowania LUN dla Hosta 1:

  1. Kliknij przycisk „Dodaj regułę”.
  2. W polu „Nazwa reguły” wprowadź „host1-policy”.
  3. W polu „Inicjatora IQN” wprowadź „iqn.1991-05.com.microsoft:host1”.
  4. Skonfiguruj uprawnienia do jednostek LUN zgodnie z Tabelą 2: Ustawienia maskowania LUN.
  5. Kliknij przycisk „Zastosuj”.

Powtórz powyższe kroki, aby skonfigurować uprawnienia do jednostek LUN dla Hosta 2.

Rysunek 4: Dodawanie nowej reguły

Rysunek 5: Konfiguracja nowej reguły dla Hosta 1

Rysunek 6: Konfiguracja nowej reguły dla Hosta 2

Wskazówka: Jak znaleźć IQN inicjatora?
Na Hoście 1 i Hoście 2 uruchom inicjator Microsoft iSCSI i kliknij „Ogólne”. IQN inicjatora jest widoczny jak na poniższej ilustracji.

Weryfikacja ustawień

Aby zweryfikować konfigurację, można połączyć się z tym obiektem docelowym iSCSI na Hoście 1 i Hoście 2.
Weryfikacja na Hoście 1:

  1. Połącz się z usługą iSCSI. (Szczegółowe informacje zawiera artykuł Łączenie z obiektami docelowymi iSCSI przy użyciu Inicjatora iSCSI firmy Microsoft w systemie Windows).
  2. W menu Start systemu Windows kliknij prawym przyciskiem myszy pozycję „Komputer” > „Zarządzaj”. W oknie „Zarządzanie komputerem” kliknij pozycję „Zarządzanie dyskami”.

Host 1 nie ma uprawnień dostępu do jednostki LUN-1 (10 GB). W związku z tym wymienione są tylko dwa dyski. Dysk 1 (20 GB) jest tylko do odczytu, a Dysk 2 (30 GB) jest do zapisu.

Weryfikacja na Hoście 2:
Powtórz te same kroki podczas weryfikacji Hosta 2. Oba dyski są wymienione w „Menedżerze komputera”. Dysk 1 (10 GB) jest tylko do odczytu, a Dysk 2 (20 GB) jest do zapisu.

Data wydania: 2013-05-30
Czy te informacje okazały się pomocne?
Dziękujemy za przekazanie opinii.
Dziękujemy za przekazanie opinii. Jeśli masz pytania, napisz na adres support@qnap.com
75% ludzi uważa, że to pomaga.