Продолжаем рассказывать о главном продукте для создания отказоустойчивых хранилищ StarWind Virtual SAN, который позволяет обеспечивать бесперебойное функционирование кластеров виртуальных машин на базе серверов виртуализации VMware ESXi или Microsoft Hyper-V. Сегодня мы рассмотрим механизм назначения прав доступа инициаторов в консоли StarWind Management Console, с помощью которой администраторы управляют всеми аспектами виртуальных хранилищ.
В отличие от других решений, платформа VSAN от StarWind позволяет построить двух и трехузловые кластеры хранилищ на локальных дисках хост-серверов быстро, просто, недорого и надежно, не прибегая к длительным процедурам настройки.
Чтобы обеспечить максимальную гибкость в определении прав инициаторов хост-серверов виртуализации для доступа к хранилищам, в StarWind Virtual SAN есть удобный механизм разграничения доступа. Чтобы приступить к его настройке, нужно в Management Console выбрать хост и перейти для него на вкладку Access Rights.
По умолчанию все инициаторы имеют доступ ко всем добавленным таргетам (DefaultAccessPolicy), что позволяет им осуществлять любые соединения в рамках действующих разрешений CHAP:
Когда вы создаете HA-устройства в VSAN, права доступа (ACL-правила) начинают добавляться автоматически для тех инициаторов, которые вы указываете при настройке хранилищ:
Чтобы начать редактировать права доступа инициаторов на хосте StarWind, переходим на вкладку Access Rights, где доступны следующие действия:
Создать новое правило доступа
Изменить уже существующее правило
Удалить одно или несколько правил
Организовать правила
Новое правило можно добавить из контекстного меню, выбрав пункт Add Rule:
Здесь при создании правила вы задаете его имя, а также информацию по всем серверам, инициаторы которых будут соединяться с таргетами данного сервера (добавить их можно как по IP/DNS имени, так и по IQN-идентификатору инициатора). Удобнее всего и правильнее добавлять объекты по IQN, так как у сервера может быть несколько инициаторов:
Можно задать несколько объектов - удалять, редактировать и добавлять их:
Для того, чтобы получить IQN-идентификатор в Windows Server, нужно открыть Microsoft iSCSI Initiator и перейти на вкладку Configuration. У сервера VMware ESXi IQN инициатора отображается в его свойствах:
В итоге вкладка Source у вас будет выглядеть следующим образом:
Обратите внимание на чекбокс Set to "Allow" - именно он и вводит правило в действие. Если вы его не установите, то правило работать не будет.
Далее ту же самую операцию вам нужно провести и для целевых устройств (таргетов). Здесь уже таргет при добавлении в список выбирается из комбо-бокса:
Обратите внимание, что в рамках одного правила можно добавить несколько таргетов - это дает больше гибкости, но лучше выбрать более гранулярный подход и использовать в качестве назначения один таргет, чтобы легче было понимать логику правил.
На целевом сервере у вас может быть несколько IP-адресов, поэтому на вкладке Interface вам нужно выбрать тот IP-адрес, который будет принимать соединения как StarWind VSAN target. По умолчанию все интерфейсы могут принимать все соединения в рамках созданного правила, поэтому, если вам нужны конкретные интерфейсы - задайте этот параметр в выпадающем списке.
Помните, что если вы используете StarWind VSAN for Hyper-V для гиперконвергентного сценария (и хранилище и сервер исполнения ВМ находятся на одной машине), то вы обязательно должны добавить интерфейс 127.0.0.1.
После этого нажмите Ok для создания правила:
После того, как вы создадите все нужные вам правила, нужно для политики по умолчанию DefaultAccessPolicy снять чекбокс Set to "Allow", чтобы ограничить список возможных соединений в рамках правил. Это заблокирует все не определенные явно соединения:
После этого вы можете изменять правила, выбирая пункт Modify Rule из контекстного меню соответствующего правила:
После того как вы создали все правила доступа на хосте, вам нужно перезапустить службу StarWind VSAN Service. Помните, что если вы используете серверы в HA-конфигурации (то есть в кластере хранилищ), то такие же правила нужно создать и на узлах-партнерах и тоже перезапустить службу StarWind на них.
Ну и последняя опция - это возможность реорганизации правил, это просто порядок их отображения для удобства администратора. Для этого кликните по свободному пространству окна правил и выберите там пункт Arrange Rules. Тут вы увидите порядок правил, где нужное правило можно перемещать вверх и вниз:
На этом все - работа с правилами очень проста. Если у вас повышенные требования к безопасности инфраструктуры хранения, то не забудьте настроить CHAP-аутентификацию.
Скачать бесплатную пробную полнофункциональную версию решения StarWind Virtual SAN можно по этой ссылке. Также у компании появилась и программа платы за лицензии по мере их использования в целях снижения капитальных затрат (за подробностями обращайтесь к менеджерам StatWind).