尽管TOE和iSCSI HBA在服务器运行一些常规应用程序,如SQL之类时,能帮助降低CPU 10-15%的运算周期时间。这点是不错,但对于厂商宣称的更快的磁盘I/O速度,我们在实践中却没有感觉出来。实际上,对于大多数中等规模以上的服务器,CPU并不是瓶颈所在,所以我们仅推荐少数需要的服务器使用TOE和HBA。
如果从iSCSI SAN的启动方面来看,那么iSCSI HBA的应用优势还是很明显的,它能使SAN的启动更为简易。此时的HBA扮演的是磁盘控制器的作用(还要有INT 13 BIOS支持),因此你可以把系统启动盘置于iSCSI的磁盘阵列上。况且,从SAN的启动方式使得创建多台同类服务器变得简单:只要简单拷贝启动卷就能在另一个磁盘创建Web站点或终端服务器。
EmBoot的netboot/i则是结合PXE(Pre-Execution Environment)和TFTP服务器使得服务器可以通过普通的以太网卡从iSCSI SAN启动。实现方式却是在本地磁盘中创建系统卷,然后通过传输拷贝到SAN作为启动项。听起来有点名不副实,不过我们却希望服务器厂商能在下一代产品中支持此项技术。
iSCSI的安全访问控制
每个连接iSCSI SAN的服务器都是通过访问自己的逻辑驱动器来管理文件系统,所以对于多服务器共享的SAN必须要建立起访问管理机制,以免逻辑驱动器上的一台服务器创建的数据被其他的服务器修改乃至覆盖。除了集群服务器(所有的磁盘都为服务器所共有)和一些特殊的SAN文件系统,其他的服务器都得有自己专属的逻辑驱动器。
iSCSI对于服务器的访问控制一般通过IP地址来判断,这在封闭的情况下运作还不错。不过,这也容易让一些未授权的服务器连接到数据库中。作为另一种访问控制方式,运用起始连接卡的IQN (iSCSI qualified name)在大型环境更为简便一些。因为运行中的服务器环境,更改IQN比IP地址要容易。
如果管理员如果不想让服务器固定的占有磁盘某个驱动器,那么他们可以在目标磁盘上运用CHAP (Challenge Handshake Authentication Protocol)密码保护敏感的卷文件。在iSCSI的规划中定义了iSCSI设备运用IPsec控制资源访问以及服务器-目标磁盘网络通信的安全加密。但这些书面定义由于产生CPU高利用率和延迟性无法具体落实到现实中去。目前支持IPsec的iSCSI目标磁盘仅仅是些软件产品,比如Stringbean Software的WinTarget在Windows环境下可以支持系统自带的Windows IPsec。所以看起来,SAN加密技术的成熟需要等待时日。
总的说来,建立iSCSI SAN所需的设备并不像你想的那么简单,但也并不是复杂如“阿波罗”。只要你有一个很好的规划,注意路由器和网络接口卡的选择,同时考虑建立后的磁盘数据安全访问控制,那么建立起一个企业级iSCSI SAN也就不再困难。