Следует ли использовать маскирование или зонирование LUN в хранилище?
Когда дело доходит до сетевого хранения данных, у вас есть несколько различных вариантов, и вам следует изучить их, чтобы понять, какой вариант соответствует потребностям вашего бизнеса и ИТ-инфраструктуры. Существует 3 основных типа решений для хранения данных: Fibre Channel, iSCSI и NAS, и каждый из них имеет свои преимущества и недостатки. Сейчас мы не будем рассматривать эти особенности, но сделаем это в одной из следующих статей.
Итак, сейчас мы поговорим о зонировании и маскировании LUN (Logical Unit Number), о том, что они делают и чем отличаются, когда речь идет о предоставлении доступа к устройствам хранения данных. Можно использовать зонирование и маскирование LUN одновременно, но это не является обязательным условием. Ни один из этих вариантов не используется в NAS-хранилищах, а зонирование применяется только в хранилищах с волоконным каналом. Маскирование LUN можно использовать с хранилищем iSCSI и хранилищем fibre channel. Теперь давайте обсудим маскирование и зонирование LUN.
Маскирование LUN
Маскировка LUN — это процесс маскировки или скрытия LUN от узлов, которые не должны их видеть или иметь к ним доступ. Если хранилище не позволяет просматривать LUN для конкретного хоста, то он даже не существует, поскольку это касается хоста. Маскируя LUN, вы предотвращаете запись данных несколькими хостами на один и тот же LUN, что может привести к серьезным проблемам.
Как вы можете видеть в нашей конфигурации, ACL (Access Control List) для контроллера 1 говорит, что HBA A1 имеет доступ к LUN 1 и LUN 2, а HBA B1 имеет доступ к LUN 3. Тогда ACL для контроллера 2 говорит, что HBA A2 имеет доступ к LUN 1 и LUN 2, а HBA B2 имеет доступ к LUN 3. Для упрощения, хост A имеет доступ к LUNам 1 и 2, а хост B — к LUNу 3. Таким образом, более одного хоста не будут иметь доступ к определенному LUN, что может привести к повреждению LUN. Это не означает, что вы не можете разделить LUN между хостами, поскольку это довольно распространенная процедура. Хосты VMware, например, могут иметь доступ к одним и тем же LUN, поскольку можно создать несколько хранилищ данных на LUN для использования разными хостами.
Зонирование
Зонирование SAN — это процесс разделения устройств-хостов и хранилищ путем создания зон, в которых только определенные устройства могут взаимодействовать с определенными ресурсами хранения, находящимися в той же зоне. Он также используется для того, чтобы хосты не общались друг с другом. Это зонирование выполняется на ткани хранилища, а ткань состоит из устройств, которые соединяют узлы с хранилищем.
Большинство зон — это зоны с одним инициатором, где у вас только один инициатор на зону, но вы можете иметь несколько целей. В то же время инициаторы и цели могут быть членами нескольких зон.
Существует также 2 вида зонирования, которые обычно используются: жесткое зонирование и мягкое зонирование.
Жесткое зонирование — основано на портах, и все, что вы подключаете к определенному порту, связанному с зоной, становится частью этой зоны. Этот тип зонирования менее безопасен, поскольку вы можете подключиться к порту и автоматически стать частью зоны.
Мягкое зонирование — основано на WWN (World Wide Name), когда вы можете перемещать устройства по сети, и они будут оставаться в той же зоне, потому что WWN не меняется. Если вам нужно заменить HBA, вам придется изменить конфигурацию зоны. Все еще существует угроза подмены WWN, чтобы обойти этот тип безопасности. Вы также можете использовать псевдонимы для WWPN, чтобы не запоминать весь 64-битный шестнадцатеричный номер. Это более популярная конфигурация из двух.
Зоны группируются в так называемые наборы зон. Набор зон может содержать более одной зоны, а зона может находиться в нескольких наборах зон, но одновременно активным может быть только один набор зон.
В примере ниже у нас есть 2 узла, каждый из которых подключен к Fabric A и Fabric B, которые подключены к контроллеру A и контроллеру B на хранилище. Существует соединение от HBAs на хосте 1, подключенное к Prod Zone на Fabric A и Prod Zone на Fabric B для резервирования. Существует также соединение от HBA на хосте 2, подключенных к Dev Zone на Fabric A и Dev Zone на Fabric B.
Такая конфигурация не позволяет Host 1 и Host 2 взаимодействовать друг с другом, а также разделяет зоны Production Zone и Development Zone.