Sicherheit im Fibre Channel SAN: So funktionieren Zoning und LUN Masking

© Salih Külcü, 123RF

Maskiert

Fibre Channel SANs (Storage Area Networks) spielen im Storage-Umfeld auch in Zukunft eine tragende Rolle. Dieser Artikel erklärt die grundlegende Funktionsweise eines Fibre Channel SANs und beschreibt, wie man sie mit Zoning und LUN Masking besser strukturiert.
Was das Backup wert war, erweist sich, sobald man es versucht ganz oder teilweise wiederherzustellen. Spätestens dann macht sich die Wahl des richtigen Tools ... (mehr)

Viele Firmen verwenden Fibre Channel und iSCSI SANs, um Daten nicht lokal auf einzelnen Servern, sondern zentral zu speichern. Ein SAN besteht daher immer aus Servern, Netzwerkkomponenten (Switches) und Speicher- oder Tape-Systemen. Abbildung 1 zeigt ein Fibre Channel SAN mit vier Servern, zwei Switches und zwei Speichersystemen.

Abbildung 1: Aufbau eines Fibre Channel SANs mit vier Servern, zwei Switches und zwei Speichersystemen (einem Dual-Controller Active-/Passive-System mit SAS/NL-SAS-HDDs und einem Single-Controller-System mit SATA-HDDs).

Host Bus Adapter (HBAs) werden in Servern eingebaut und verbinden diese mit Fibre Channel Switches oder in einfachen Konfigurationen auch direkt mit einem Speichersystem. Mehrere HBAs in einem einzelnen Server erlauben den gleichzeitigen Anschluss eines Servers an zwei unterschiedliche Switches. Ähnlich wie im Ethernet-Umfeld gibt es für diesen Zweck auch Dual-Port-HBAs. Diese sind im Vergleich zu zwei einzelnen Single-Port-HBAs günstiger und belegen nur einen Erweiterungsslot im Server, allerdings sind bei einem Ausfall des HBAs auch beide Ports offline ( Abbildung 2 ).

Abbildung 2: FC Dual-Port-HBA QLE2562 von Qlogic.

Fibre Channel Switches verbinden mehrere Server mit mehreren Speicher- oder Tape-Systemen. Welche Server-Ports (Initiators) dabei auf welche Ports der Speicher- oder Tape-Systeme (Targets) zugreifen dürfen, regelt der Administrator über die Zoning-Konfiguration – dazu gleich mehr. Die Zoning-Konfiguration ist dabei immer für die gesamte Fabric gültig. Eine solche Fabric besteht zumindest aus einem Switch, kann sich aber auch aus mehreren Switches zusammensetzen, die miteinander verbunden sind. Dual-Fabric-Konfigurationen mit zwei voneinander vollkommen unabhängigen Fabrics beugen Komplettausfällen des SANs bei Konfigurationsfehlern im Zoning vor. Selbst wenn eine Fabric vollständig ausfällt, können die Server noch über die verbleibende Fabric auf Speicher- und Tape-Systeme zugreifen.

Fibre-Channel-Speichersysteme besitzen daher in der Regel auch zumindest zwei FC Ports, um solche Dual-Fabric-Konfigurationen zu ermöglichen. Für eine höhere Ausfallsicherheit gibt es außerdem Speichersysteme mit zwei Storage-Controllern. Diese unterteilen sich in Active-/Passive-Systeme wie das linke in Abbildung 1 und im Vergleich dazu teurere Active-/Active-Systeme. Bei einem Active-/Passive-System steuert ein Controller dabei ein oder mehrere RAID Volumes exklusiv an. Erst wenn dieser Controller ausfällt oder ein Server einen Failover eines RAID Volumes veranlasst, wird der zweite Controller für dieses RAID Volume aktiv. Im Normalbetrieb können aber durchaus beide Controller aktiv arbeiten – aber eben nur für unterschiedliche RAID Volumes. Active-/Active-Systeme erlauben im Gegensatz dazu den gleichzeitigen Zugriff von mehreren Controllern auf ein einzelnes RAID Volume. Was die Festplatten betrifft, lassen sich in den meisten Speichersystemen sowohl SAS/Nearline-SAS- als auch SATA-Festplatten einsetzen, Enterprise-Systeme nutzen mitunter auch Fibre Channel als Festplatteninterface. SAS-, Nearline-SAS- und Fibre-Channel-Festplatten besitzen zwei Ports pro Festplatte, was wiederum die Ausfallsicherheit innerhalb des Storage-Systems erhöht [1] .

In der Fibre-Channel-Terminologie werden Kommunikationsgeräte wie HBAs oder Storage Controller als Nodes bezeichnet, deren Ports als N_Ports (Node Ports) deklariert. N_Ports können direkt miteinander verbunden werden, etwa wenn der HBA eines Servers direkt an den Port eines Storage Systems angeschlossen werden soll. Alternativ kann ein N_Port an einen F_Port (Fabric Port) eines Fibre Channel Switch angeschlossen werden. Sollen mehrere Switches untereinander verbunden werden, um die Fabric zu vergrößern, werden E_Ports (Expansion Ports) der Switches untereinander verbunden. Bei aktuellen Switches kann jeder Switch-Port sowohl als F_Port als auch E_Port genutzt werden – man spricht in diesem Zusammenhang dann von G_Ports (Generic Ports) [2] .

Eindeutig

Nodes und Ports in einem Fibre Channel SAN werden über eindeutige World Wide Names (WWNs) identifiziert. Diese bestehen aus 8 Bytes (64 Bits) und werden für Nodes auch als WWNNs (World Wide Node Names) und für Ports als WWPNs (World Wide Ports Names) bezeichnet. Ein Dual-Port HBA besitzt in der Summe drei WWNs: einen WWNN und zwei WWPNs [3] . Obwohl die WWNs den MAC-Adressen aus dem Ethernet-Umfeld sehr ähnlich sind, da sie weltweit einmalig vergeben werden, kommen WWNs nicht für das Routen von Frames zum Einsatz. Zusätzlich zum WWPN bekommt jeder N_Port einer Fibre Channel Fabric zu diesem Zweck eine 24 Bit Portadresse (N_Port ID). Die N_Port ID vergibt dabei der Simple Name Server (SNS) beim Login des Ports in der Fabric. Der SNS ist dabei im Fibre Channel Switch integriert. Dieser Aufwand lohnt, da durch die kürzeren 24-Bit-Portadressen der Overhead im Frameheader im Vergleich zu 64-Bit-WWPNs sinkt.

Was ist Zoning?

Zoning ist eine Gruppierung von Nodes im SAN (zum Beispiel des HBA eines Servers mit Storage- oder Tape-Systemen). Durch das Zoning erreicht man einen Zustand, in dem nur Nodes, die sich gemeinsam in einer Zone befinden, miteinander kommunizieren können. Eine einzelne Node-Komponente – sei es der Port eines HBAs, eines Servers oder der Port eines Storage- oder Tape-Systems – kann dabei gleichzeitig Mitglied in mehreren Zonen sein.

Zoning unterbindet damit den Zugriff von unberechtigten Servern auf für sie verbotene Storage-Systeme. Daneben verhindert Zoning auch die ungewünschte Kommunikation zwischen Servern untereinander sowie Unterbrechungen durch sogenannte Registered State Change Notifications (RSCNs) in der gesamten Fabric. RSCNs dienen der Benachrichtigung von Zustandsänderungen in der Fabric. Obwohl Zoning dafür sorgt, dass nur berechtigte Server überhaupt auf ein Storage-System zugreifen können, bleibt noch ein anderer Punkt bezüglich des Zugriffsschutzes offen.

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023