Защита iSCSI в среде Windows

Защита Систем Хранения Данных играет далеко не последнюю роль в обеспечении безопасности всей ИТ инфраструктуры. Протокол iSCSI, используя в качестве среды передачи данных стандартные каналы связи, помимо очевидных преимуществ несет в себе и определенные риски, связанные с возможностью несанкционированного доступа и получения конфиденциальной информации злоумышленниками.

На сегодняшний день существует достаточное количество решений, позволяющих решить данную проблему. Так, например, при организации СХД на платформе Windows Server, системным администраторам изначально доступен ряд инструментов по защите СХД без дополнительных затрат.

CHAP аутентификация
Практически все СХД, предоставляющие доступ по iSCSI, позволяют ограничить доступ к дисковым ресурсам на основе клиентского имени (IQN - iSCSI Qualified Name). Однако, такой метод проверки подлинности никак нельзя назвать безопасным, ибо IQN может быть легко подделан без ведома сервера.

Стандарт, описывающий iSCSI (RFC 3720), предусматривает использование в качестве метода аутентификации протокол CHAP (Challenge Handshake Authentication Protocol). Данный протокол позволяет выполнять как одностороннюю аутентификацию (клиента или сервера), так и взаимную (Mutual Authentication) на основе секретного слова (secret) – строки символов, известных только клиенту и серверу.

Для настройки CHAP аутентификации на сервере (Microsoft Software iSCSI Target) и клиенте (Microsoft iSCSI Initiator) выполните следующие действия.

В консоли Microsoft Software iSCSI Target откойте свойства нужного таргета и перейдите на вкладку Authentication. Установите флаг Enable CHAP. В после User name введите имя, которое будет предоставлять клиент при аутентификации (например, IQN клиента), а полях Secret и Confirm Secret – секретное слово для аутентификации клиента. Если вам требуется настроить обратную аутентификацию, установите флаг Enable reverse CHAP authentication, в поле User name под данным флагом введите полный IQN таргета, а в полях Reverse Secret и Confirm secret – секретное слово для аутентификации сервера. Сохраните изменения, нажав OK.Теперь настройте клиента, открыв свойства iSCSI Initiator. Если вы решили настроить обратную аутентификацию, то на вкладке General нажмите кнопку Secret и введите секретное слово для аутентификации сервера. Перейдите на вкладку Discovery и с помощью кнопки Add Portal добавьте новый iSCSI сервер, а затем перейдите на вкладку Targets. Выберите таргет, к которому требуется подключиться и нажмите Log On… В окне Log On to Target нажмите кнопку Advanced...В окне Advanced Settings на вкладке General установите флаг CHAP logon information и введите имя пользователя (User name) и секретное слово (Target secret), указанные ранее при настройке таргета.Если вы используете обратную аутентификацию, установите флаг Perform mutual authentication. Нажмите OK для подключения таргета. Теперь, при попытке подключиться, используя неправильные учетные данные, вы получите сообщение об ошибке:
Шифрование с помощью IPSec
IPSec протокол, позволяющий выполнять подписывание и шифрование пакетов для их надежной передачи между узлами. В ОС семейства Windows управление IPSec осуществляется с помощью политик (Policy). На компьютере может быть несколько политик IPSec, однако активной/назначенной (assigned) – той, чьи настройки применяются в данный момент – только одна. Политика включает в себя одно или несколько правил, каждое из которых, в свою очередь, состоит из списка IP фильтров (IP Filter List) – на основе которого определяется, подпадает тот или иной IP пакет под действие данного правила или нет, а также действия (Filter Action) задающего поведение по отношению к данному трафику. IP фильтры достаточно гибки в настройке и позволяют определять направление, IP адрес источник и получателя трафика, используемые протоколы и порты.

Давайте рассмотрим процесс создания политики IPSec с нуля. Для упрощения описания, настройку я буду производить через консоль при помощи netsh.

Для начала создайте новоую политику, используя команду:
netsh ipsec static add policy "iSCSI Security Policy"

Теперь создайте новый список IP фильтров:
netsh ipsec static add filterlist name="iSCSI Target Filter List"

Добавьте новый IP фильтр в список:
netsh ipsec static add filter filterlist="iSCSI Target Filter List" srcaddr="10.0.0.2" dstaddr=ME protocol=TCP mirrored=yes srcport=0 dstport=3260
В srcaddr= и dstaddr= вы можете указывать как конкретные IP адреса, так и параметры ANY – для указания любого адреса или MY – для указания текущего компьютера. В srcport= и dstport= вы можете указать конктерный номер порта или 0 – для указания произвольного порта. Если к серверу обращаются несколько клиентов, вы можете добавить еще один фильтр в список, изменим адрес источника трафика на требуемый.

Добавьте новое действие для фильтра:
netsh ipsec static add filteraction name="Encrypt Traffic" inpass=yes action=negotiate qmsec="ESP[DES,SHA1]"
Для шифрования и подписывания IP пакетов я использую ESP (протоколы DES и SHA1 соответственно). При желании, для подписывания пакетов вы также можете использовать AH и более стойкий алгоритм шифрования 3DES (с длиной ключа 168 бит). Параметр inpass= указывает на то, что сервер может изначально принимать незашифрованные пакеты, но отвечать обязан только с использованием шифрования.

Наконец, создадим новое правило, используя ранее добавленную политику, фильтр и действие:
netsh ipsec static add rule name="iSCSI Protection" policy="iSCSI Security Policy" filterlist="iSCSI Target Filter List" filteraction="Encrypt Traffic" psk="12345"В качестве метода аутентификации я использую предварительный ключ (Preshared Key). Преимущество его использования заключается в простоте настройки. Недостатки – данный ключ хранится в открытом виде и может быть легко скомпроментирован. В качестве альтернативных вариантов аутентификации вы можете использовать Kerberos аутентификацию (если клиент и сервер находятся в доменах с настроенными доверительными отношениями) или сертификаты доверенного центра сертификации.

Аналогичным образом создадим и настроим политику на клиенте:
netsh ipsec static add policy "iSCSI Client Security Policy"
netsh ipsec static add filterlist name="iSCSI Target Filter List"
netsh ipsec static add filter filterlist="iSCSI Target Filter List" srcaddr=ME dstaddr=10.0.0.1 protocol=TCP mirrored=yes srcport=0 dstport=3260
netsh ipsec static add filteraction name="Encrypt Traffic" inpass=yes action=negotiate qmsec="ESP[DES,SHA1]"
netsh ipsec static add rule name="iSCSI Client Protection" policy="iSCSI Client Security Policy" filterlist="iSCSI Target Filter List" filteraction="Encrypt Traffic" psk="12345"Обратите внимание, что Preshared Key должен совпадать на клиенте и сервере.

Теперь осталось назначить созданные политики. На сервере:
netsh ipsec static set policy "iSCSI Security Policy" assign=yes

И на клиенте:
netsh ipsec static set policy "iSCSI Client Security Policy" assign=yes

После включения политик можете попробовать подключиться к серверу и проверить работу IPSec. Сделать это можно с помощью консоли MMC и оснастки IP Security Monitor.
Заключение
Использование встроенных механизмов аутентификации и шифрования позволяют обеспечить безопасный доступ к вашим данным по протоколу iSCSI. Однако, помните, что платой за испльзование IPSec может стать повышенная нагрузка на процессоры серверов и клиентов, и, как следствие, снижение быстродействия вашей СХД.

Кластерная файловая система MelioFS

Использование внешних хранилищ, подключаемых по протоколам FibreChannel, iSCSI или напрямую (DAS) в решениях виртуализации имеет множество разнообразных преимуществ, начиная с централизованного управления вашими дисковыми ресурсами и рациональным использованием свободного места серверами и заканчивая различными возможностями по обеспечению отказоустойчивости. Но есть одно "Но".

Далеко не все продукты предоставляют возможность совместного разделяемоего доступа к томам (как, например, файловая система VMFS в VMware ESX или Cluster Shared Volumes в Hyper-V R2). При использовании VMware Server, Microsoft Hyper-V R1, Parallels Virtuozzo Containers вам придется заботиться об этом самому. Иными словами, вы не можете предоставить двум и более узлам гарантированный доступ к тому для записи данных без риска что-нибудь испортить. Конечно, решить проблему можно, подбирая размер тома и размещая на нем только одну виртуальную машину, такое решение вполне жизнеспособно, однако... просто неудобно.

Вариант с использованием сетевых протоколов доступа к файлам (SMB/CIFS, NFS) не всегда оправдан с точки зрения производительности (хотя есть масса примеров, демонстрирующих весьма достойные результаты) и поддержки со стороны вендоров.

В этом случае могут помочь решения сторонних производителей. Например, MelioFS от компании Sanbolic.

Данная файловая система поддерживает списки контроля доступа (ACL - Access Control List), в отличии, например, от VMFS, и является полностью кластеризуемой ФС, в отличии от NTFS с использованием CSV, но, для корректной работы в многоузловой конфигурации ей требуется, чтобы все узлы находились в выделенной подсети. Из других преимуществ - поддержка разделов до 18 эксабайт, работа в 32-х и 64-х разрядных ОС Windows Server 2003/2008.

MelioFS включает в себя низкоуровневый драйвер для работы с файловой системой, службу сетевого взаимодействия между узлами, а также консоль управления Melio FS Configuration.

MelioFS поддерживает такие технологии и решения Microsoft, как Hyper-V, Failover Clustering, Network Load Balancing, DFS и прочие; на сайте можно найти ряд руководств по развертыванию наиболее популярных конфигураций.

Что мне понравилось в MelioFS так это простота установки и настройки. После запуска программы установки вам будет предложено принять лицензионное соглашение, выбрать директорию для установки и указать IP адрес для сетевого взаимодействия между узлами (по-умолчанию используются порты TCP 7777 и UDP 7777). По завершению установки вы сможете выбрать между триальным (30 дней) и полноценным (требует ввода регистрационного ключа) режимами работы программы.

Для создания на разделе ФС MelioFS, требуется предварительно отформатировать раздел и задать ему букву. После этого, диск будет доступен для форматирования под MelioFS из контекстного меню в Explorer.В качестве теста возможностей MelioFS я развернул следующую интересную конфигурацию.Были развернуты два узла с ОС Windows Server 2003. На каждом из узлов был поднят программный iSCSI Target StarWind Free. На локальных дисках узлов были созданы LUN'ы, которые затем презентовались как самому узлу, так и узлу партнеру.На одном из узлов каждый из презентованных LUN'ов был преобразован в динамический диск; на одном из динамических дисков был создан раздел и отформатирован сначала под NTFS, потом под MelioFS.

Наконец, средствами динамических дисков, данный раздел был преобразован в зеркальный (Mirror, Raid 1). Вот такой простенький вариант межузловой репликации томов под Windows. Правда я совсем не уверен, что данное решение поддерживается, но хотя бы данные не превращаются в кашу (а разделы в тыкву) при одновременной записи с двух узлов. :)

Загрузить MelioFS можно с сайта после прохождения регистрации.

P.S. если вы планируете разворачивать MelioFS на виртуальных машинах под VMware, не забудьте настроить синхронизацию времени между гостевой ОС и хостовой машиной в свойствах VMware Tools. MelioFS критичен к настройкам системного времени и без установки данного параметра у вас ничего работать не будет.

Обзор СХД HP Lefthand P4000 Virtual SAN Appliance (часть II)

Как и обещал, публикую продолжение обзора виртуальной СХД HP Lefthand P4000 Virtual SAN Appliance. В прошлый раз мы рассмотрели базовую настройку виртуальной машины, а также операции по созданию и публикации томов – функционал без которого не обходится ни одна СХД; сегодня я расскажу о тех вещах, которые делают из HP Lefthand продукт корпоративного уровня.


Организация многоузлового кластера
Если вы читали первую часть обзора, то должны помнить, что кластер HP Lefthand включает в себя один или несколько узлов. В кластере дисковое пространство всех узлов суммируется. Тома, организованные на таком кластере, равномерно хранятся на всех узлах, а это значит, что при обращении к такому многоузловому тому обеспечивается балансирование нагрузки и, как следствие, увеличивается производительность вашей СХД. Но что произойдет при отказе одного из узлов? В лучшем случае том станет недоступен, до тех пор, пока вы не вернете в строй выбывший узел, в худшем – вы потеряете всю информацию, хранящуюся на томе. Плохо? Конечно плохо! Как раз для борьбы с этой опасностью и существует репликация – вариант хранения данных при котором помимо основного тома в кластере размещается и постоянно синхронизируется одна или несколько его копий. Поэтому даже при выходе из строя одного (или нескольких) узлов кластера все данные на вашем томе останутся в целости и сохранности.

Для примера работы многоузлового кластера я буду использовать еще одну виртуальную машину с такими же параметрами, как и в первой части обзора.

После создания виртуальной машины и настройки сетевых параметров, запустите консоль HP Lefthand Networks Centralized Management Console, перейдите в Getting Started и запустите мастер Find New Nodes для поиска и добавления новых узлов.На первой странице мастера нажмите Next. На странице Search for nodes either globally or individually оставьте переключитель по-умолчанию (By IP address or Hostname (individual search)) и нажмите Next. На вкладке Search by node IP address or hostname с помощью кнопки Add... добавьте IP адрес нового узла, нажмите Finish для поиска, а затем Close для завершения работы мастера.Раскройте Available Nodes, щелкните правой кнопкой мыши по узлу и выберите Add to Existing Management Group.В окне Add to an Existing Management Group выберите управляющую группу, в которую собираетесь добавить узел, и нажмите Add. При необходимости укажите учетную запись и пароль для доступа к управляющей группе. Подождите, пока система выполнит необходимые настройки.

Заметьте, что пиктограмма вашей управляющей группы стала мигать, а во вкладке Details появилось предупреждение о менеджерах (managers) узлов.Чуть ниже я расскажу об этом, а пока не обращайте внимание (так надо).

После добавления узла в управляющую группу вы можете создать новый кластер и включить туда данный узел, либо добавить узел в текущий кластер. Нас интересует второй вариант.

Для добавления узла в кластер, щелкните по нему правой кнопкой мыши и выберите Add to Existing or New Cluster.В окне Add to or Create a Cluster, оставьте переключатель в значении Existing Cluster, укажите кластер, в который хотите добавить узел и нажмите Add.

Обратите внимание, что теперь дисковое пространство доступное для создание томов суммируется, а данные тома равномерно распределяются между всеми узлами.
На вкладке Node Use можно посмотреть, какой объем дискового пространства отводится под размещение томов. Перейдите в Volumes and Snapshots, щелкните правой кнопкой мыши по ранее созданному тому и выберите Edit Volumes.Перейдите на вкладку Advanced. Заметьте, что теперь для настройки доступен параметр уровня репликации (Replication Level). Данный параметр позволяет задавать количество копий (реплик) для тома (один том может иметь до 4-рех копий (4-Way)). Учтите, что количество копий не может превышать количество доступных узлов. Поэтому в текущем примере возможно установить значение Replication Level в 2-Way.После установки уровня репликации станет возможным изменить приоритет репликации (Replication Priority). Данный параметр имеет два возможных значения:

• Доступность (Availability) - позволяет клиентам продолжать записывать данные на том даже при отказе одного или нескольких узлов (зависит от уровня репликации). Хотя такой режим, потенциально, и может привести к рассинхронизации и потере данных, однако позволит серверам продолжать работать в штатном режиме, не ограничивая их в доступе к данным.
• Надежность (Redundancy) – данный режим обеспечивает максимальную сохранность данных в случае выхода из строя узлов кластера, так как оставляет доступ к томам только в режиме на чтение до тех пор, пока работа отказавших узлов не будет восстановлена, либо данный том не будет переведен администратором в режим доступности (availability).

Роль менеджеров в HP Lefthand
А теперь вернемся к предупреждению, которое возникло после добавления нового узла в управляющую группу.

Поскольку все узлы в кластере являются активными (позволяют считывать и записывать данные), то появляется еще одна проблема, известная как Split Brain. Она возникает в случае, когда приничиной неполадки является сбой в работе сети, приводящий к изоляции узлов. В этом случае, каждый из узлов может посчитать себя единственным активным узлом, по причине невозможности связаться с остальными, и продолжить запись на свою копию тома. В итоге может получиться, что информация на разных узлах рассинхронизируется, и, в дальнейшем, при восстановлении связи возникнет проблема с определением актуальных данных. Понятно, что уменьшить риск возникновения неполадки можно путем организации дополнительных линий связи между узлами (путем добавления нескольких виртуальных и физических адаптеров, коммутаторов, организации транков и т.п.), но есть и другой способ.

На каждый узел можно назначить роль менеджера (Manager), однако их количество в управляющей группе не может превышать 5-ти. Как и в других кластерных системах, узлы HP Lefthand организуют кворумы и используют систему выборов на основе простого большинства. Если после возникновения неполадок с сетью, узел по прежнему может связаться с большинством менеджеров в группе (n/2 + 1), значит он не изолирован и может продолжать работать.

Например, при организации трехузлового кластера (число узлов, n = 3), когда каждый узел является менеджером; в случае изоляции одного из узлов, он автоматические переходит в пассивное состояние и прекращает запись на том, так как остается в меньшинстве ( 1 < 1 + 1), тогда как два других остаются в активном состоянии и продолжают работать, так как могут связаться друг с другом ( 1 + 1 > 1).

Для активации роли менеджера щелкните правой кнопкой мыши по узлу и выберите Start Manager (на первом узле в управляющей группе роль менеджера включена по-умолчанию). В случае, когда у вас четное количество узлов вы можете поступить двумя способами: назначить менеджерами нечетное количество узлов (n-1); настроить на одном из узлов виртуального менеджера (virtual manager, n+1), который будет, что называется, работать за двоих.

Например, при четырехузловой конфигурации, маловероятный, но возможный случай, когда кластер разделился на две несвязанные подсети по два узла в каждой – тогда при использовании виртуального менеджера, в одной подсети менеджеров будет больше (2 + 1 > 1 + 1).
Для добавления виртуального менеджера, щелкните правой кнопкой мыши по управляющей группе и выберите Add Virtual Manager.На запрос системы ответьте OK. Щелкните правой кнопкой мыши по появившемуся разделу Virtual Manager и выберите Start Virtual Manager.В окне Node List укажите, на каком из узлов будет запущен виртуальный менеджер и нажмите OK.

Мгновенные снимки в HP Lefthand
Последняя тема, которой я хотел бы коснуться – мгновенные снимки. Как и другие СХД HP Lefthand позволяет создавать мгновенные снимки, сохраняющие актуальное состояние тома на заданный момент времени. HP Lefthand может выполнить презентацию мгновенных снимков, например, чтобы сохранить данные системой резервного копирования, откатить все изменения, выполненные на томе с момента создания снимка, либо удалить снимок, окончательно сохранив информацию на томе. Поддерживается возможность создания мгновенных снимков как вручную (при выборе в контекстном меню тома варианта New Snapshot), так и по расписанию (New Schedule to Snapshot a Volume). В последнем случае вы можете задать дату и время выполнения операции (Start At), частоту повторения (Recur Every), длительно хранения (Retain Snapshots For), либо количество хранимых мгновенных снимков (Retain Maximum Of) для экономии пространства на СХД и возможности перезаписи старых снимков. Кроме того, мгновенные снимки могут храниться на томе, расположенном на удаленной СХД/кластере (Remote Volume – специальный тип тома, настраивающийся при его создании). Такие мгновенные снимки называются мгновенными сниками на удаленной СХД (Remote Snapshots). Данная возможность может пригодиться при организации территориально-распределенных СХД, либо для синхронизации данных между основным и резервным ЦОД.

При создании такого снимка (New Remote Snapshot – для создания вручную или New Schedule to Remote Snapshot a Volume – для создания по расписанию) вам понадобится указать том на удаленной СХД, к которому будет привязан мгновенный снимок. Том можно создать заранее, либо из окна New Remote Snapshot при помощи кнопки New Remote Volume. Логично, что для этого вам поднадобится отдельный кластер, но для экспериментов создать том можно и в существующем.

Заключение
На этом обзор HP Lefthand VSA подходит к концу. Я хотел рассказать об основных возможностях виртуальной СХД, хотя, на мой взгляд, получилось немного растянуто и сумбурно. Я намеренно опустил остальные функции HP Lefthand, такие как мониторинг, разграничение прав, организация территориально-распределенных СХД, конфигурация сайтов и пропускной способности каналов, обеспечение отказоустойчивости виртуальных СХД и многое, многое другое. В общем, читайте замечательное руководство по данному продукту, если хотите узнать больше. А на сегодня все.

Обзор СХД HP Lefthand P4000 Virtual SAN Appliance

Должен заметить, что первоначально я планировал писать статью совсем по другой теме, нежели HP Lefthand. Но замеченная благодаря отечественным блоггерам (тут и тут) статья о кластеризации vCenter несколько изменила мои планы. Поэтому...


Введение
Преимущество использования программных средств по организации СХД, таких вендоров как HP, FalconStor, StarWind и иных, заключается в возможности более гибкого подбора аппаратной платформы и комплектующих. Программные средства обладают большим функционалом, позволяющим организовывать кластерные, территориально распределенные СХД, настраивать репликацию данных по стандартным каналам связи и многое другое.

В данной статье я опишу основные возможности виртуальной оснастки HP Lefthand P4000 Virtual SAN Appliance, позволяющий превратить ферму ваших серверов виртуализации в полноценную СХД корпоративного уровня.

Отличительной особенностью данного продукта является возможность развертывания в качесте виртуальной оснастки (Virtual Appliance), работающей под VMware Virtual Infrastructure/vSphere, что позволяет в считанные минуты развернуть полноценное отказоустойчивое многоузловое сетевое хранилище, используя локальные дисковые ресурсы ваших ESX серверов – внутренние жесткие диски или непосредственно подключаемое хранилище (Direct-Attached Storage).

Следует отметить, что данное решение не из дешевых (даже за VSA версию HP хочет несколько тысяч американских президентов), и если вы ищете простое сетевое iSCSI хранилище, возможно, вам стоит посмотреть в сторону более бюджетных решений. Однако, вся прелесть HP Lefthand заключается совсем в другом.

Настройка HP Lefthand
Для установки HP Lefthand загрузите последнюю актуальную версию с сайта HP (AT004-10007). Распаковав архив, импортируйте виртуальную машину с помощью стандартных средств Virtual Infrastructure Client (File -> Virtual Appliance -> Import…). По-умолчанию виртуальная машина использует один vCPU и 1Гб памяти, а также имеет один виртуальный сетевой адаптер – для тестов этого вполне хватит. Виртуальная машина поддерживает до 5 дисков для хранения данных. Обратите внимание, что вы должны присвоить дискам специальные SCSI ID, начиная с SCSI ID 1:0 и по SCSI ID 1:4 включительно. Иначе диски нельзя будет добавить в виртуальный raid. Для тестирования я добавил один небольшой диск на 8 Гб.После включения и загрузки виртуальной машины потребуется выполнить ее первоначальную настройку. Подключитель с помощью консоли виртуальной машины и в командной строке наберите start. Войдите в систему, нажав Login.

В меню выберите Network TCP/IP Settings. Укажите сетевой адаптер, который требуется настроить (по-умолчанию, eth0).

Перемещаясь между элементами интерфейса при помощи Tab, задайте сетевые настройки виртуальной машины. В поле Hostname введите полное DNS имя узла, снимите флаг с Disable Interface и включите Use the following IP address. Введите необходимые IP адрес, маску подсети и маршрутизатор по-умолчанию. Нажмите несколько раз OK, чтобы принять настройки. Вернитесь в главное меню (Back) и выйдите из настроек (Logout).

Теперь вы сможете управлять виртуально машиной удаленно. Делается это при помощи консоли управления HP Lefthand Networks Centralized Management Console. На сайте доступны версии консоли под Windows и Linux.

При первом запуске вам будет предложено произвести поиск доступных узлов. На главной странице Welcome to the Find Nodes Wizard нажмите Next. Поскольку в наличии у нас только один узел, то выберем вариант поиска по IP адресу или DNS-имени (By IP address or Hostname (individual search)). Нажмите Next. Нажмите Add и добавьте IP адрес узла, который вы указывалина этапе настроект, а затем Finish. После обнаружения всех узлов завершите работу мастера, нажав Close.Как видите, рабочая область программы разбита на две области; та, что слева включает в себя дерево, предназначенное для отображения всей структуры СХД и быстрого перехода между категориями, область справа содержит информацию и доступные действия. Например в разделе Storage на вкладке Disk Setup отображается информация о вашем виртуальном raid массиве.В дальнейшем, при добавлении дополнительных дисков в виртуальную машину, вы также сможете инициализировать и включить их в массив из данной вкладки. Часть свободного дискового пространства отводится под служебную информацию и избыточность. По этой причине, если вы создадите слишком маленький диск (меньше 3 Гб), его просто не хватит.

В разделе TCP/IP Network вы можете задать сетевые настройки узла – Ip-адрес, маску, предпочитаемые DNS серверы, маршруты, задать скорость работы интерфейсов и включить поддержку Jumbo Frames.

Для выполнения более продвинутых операций вам потребуется создать управляющую группу (Management Group), включающую в себя один и/или несколько узлов HP Lefthand. Управляющая группа позволяет вам централизованно управлять всеми узлами, назначать права администраторам СХД, настраивать сайты для организации территориально распределенных кластеров и многое другое.

Для создания управляющей группы щелкните правой кнопкой мыши по имени узла и выберите Add to New Management Group. Запустится мастер Management Groups, Clusters, and Volumes Wizard. На стартовой странице Create a Management Group задайте имя группы Management Group Name и нажмите Next.

На странице Add Administrative User задайте имя и пароль учетной записи, которой будут делегированы полные права на управление группой и входящими в нее узлами. Нажмите Next.На странице Management Group Time задайти настройки времени для узлов. Вы можете использовать внешние NTP серверы в качестве источников времени (Use a Network Time Protocol (NTP) Server), либо задать время вручную Manually set the time. Нажмите Next.

На странице Create a Cluster вам будет предложено создать кластер для вашей СХД. Что же это такое, и для чего он нам нужен?

Кластер является основной логической единицей при построении СХД и включает в себя один либо несколько узлов. В пределах кластера дисковое пространство всех узлов является общим. Это значит, что имея в кластере два узла с 10 Тб дискового пространства в каждом, вы можете создать и презентовать одному вашему серверу один раздел размером 15 Тб, либо раздел на 7 Тб, который, вдобавок, будет реплицироваться между двумя узлами (аналог Raid 1). Условно говоря, кластер представляет собой некий большой сетевой raid массив. При всем при этом, вам не требуется настраивать механизмы репликации, указывать на каких узлах размещать данные и реплики, рассчитывать доступное свободное место на каждом узле – за вас это делает система, все, что вам требуется - указать размер раздела под ваши нужды и требуемый уровень доступности. А в случае настройки репликации всех ваших томов вы всегда сможете исключить отказавший узел Lefthand из кластера и заменить его новым, без остановки сервисов и перезагрузки серверов как будто это обычный диск в вашем массиве.

Все узлы в кластере разделяют один или несколько виртуальных IP адресов, по которым происходит подключение клиентов iSCSI (iSCSI Initiators), балансируется нагрузка между узлами.

Для тестов мы создадим стандартный кластер (Standard Cluster). Нажмите Next.

На странице Create Cluster задайте имя кластера (Cluster Name). Нажмите Next.

На странице Assign Virtual IPs and Subnet Masks добавьте виртуальный IP адрес и маску для вашего кластера (Add…) и нажмите Next.На странице Create Volume вам предложат создать и презентовать новый том на нашем кластере. Но я бы советовал вам пока пропустить данный шаг, установив флаг Skip Volume Creation и нажав Finish. После завершения настройки нажмите Close.

Заметьте, что теперь при подключении к управляющей группе вам потребуется аутентифицироваться, используя ранее созданную учетную запись.На этом настройка кластера завершена, давайте теперь рассмотрим базовые операции по работе с СХД.

Создание томов
Основная функция HP Lefthand – создание и презентация томов. Поддерживается возможность создания ‘классических’ полноразмерных (full size) томов, так и ‘новомодных’ тонких (thin provisioning), под которые место выделяется динамически, по мере заполнения. При необходимости вы можете создать тонкий том, размер которого превышает физическое доступное свободное место на кластере – главное вспомнить, что ваши виртуальные гигабайты могут рано или поздно понадобиться.

Вдобавок, для обоих типов томов поддерживается возможность изменения разделов 'на лету' как в сторону увеличения, так и в сторону уменьшения. В последнем случае будьте предельно осторожны, данная операция, потенциально, может привести к потере данных.

Управление томами осуществляется из Volumes and Snapshots. Щелкнув правой кнопкой мыши по данному разделу и выбрав New Volume, вы создадите том.Обязательными параметрами являются только имя тома (Volume Name) и его размер (Size), задающиеся на вкладке Basic. На вкладке Advanced вы можете задать тип тома – полноразмерный (Full) или тонкий (Thin), а также настроить параметры отказоустойчивости. После создания тома вы можете изменить любые его настройки, кроме имени.

Отслеживать объем занятого пространства вы можете на вкладке Use Summary, в разделе кластера. Все достаточно наглядно.
Презентация томов
Для доступа клиентов (iSCSI инициаторов) к тому вам потребуется презентовать его. Для этого щелкните правой кнопкой мыши по разделу Servers и выберите New Server. В поле Name и Description задайти имя и краткое описание для клиента. В разделе Authentication укажите каким образом кластер будет аутентифицировать клиента. По-умолчанию, аутентификация осуществляет по IQN имени инициатора; при необходимости вы также можете настроить CHAP аутентификацию. Узнать IQN имя можно из настроек клиента. Нажмите OK для завершения настроек.Щелкните по созданной записи сервера и выберите Assign and Unassign Volumes and Snapshots. Установите флаг Assigned напротив тома, который хотите презентовать и установите уровень доступа – нет доступа (None), только на чтение (Read) или на чтение и на запись (Read/Write).
Все, что осталось, это выполнить настройки на стороне клиента для доступа к томам. Примеры настроек для Windows Server 2008 и для VMware ESX Server 4.0.

Заключение
На этом первая часть обзора завершена. Впереди – обзор функции моментальных снимков, настройка многоузлового кластера и репликации томов.