Warum sollte der iscsi-Verkehr isoliert werden?

8

Warum sollte der iscsi SAN-Verkehr isoliert werden? Ich versuche meinem Netzwerk-Mitarbeiter zu erklären, warum wir den Datenverkehr isolieren sollten.

Jeffery Jarrells
quelle
11
Wie könnten Sie es ihm erklären, wenn Sie es nicht wissen? Sie befürworten eine bestimmte architektonische Gestaltung und Implementierung, ohne selbst zu wissen, warum diese bestimmte architektonische Gestaltung und Implementierung wichtig ist.
Joeqwerty
1
Nein, ich weiß, aber das sind Old-School-Netzwerk-Leute, die einfach mehr Bandbreite auf das Problem werfen wollen. Ich hatte nur gehofft, mehr Informationen darüber zu bekommen, was ich ihnen sagen könnte, warum und was passieren kann, wenn es nicht isoliert ist.
Jeffery Jarrells

Antworten:

21

Weil:

  • Sehr, sehr schlimme Dinge passieren, wenn jemand unbefugten Zugriff auf Ihr Speichernetzwerk erhält
  • Sehr, sehr schlimme Dinge werden passieren, wenn Ihr iSCSI-Verkehr nicht getrennt ist und jemand es für eine gute Idee hält, an einem Edge-Switch mit der STP-Topologie herumzuspielen, was dazu führt, dass Ihr gesamtes Netzwerk UND Ihr Speichersubsystem sofort ausfallen
  • Sehr, sehr schlimme Dinge werden passieren, wenn das iSCSI-Netzwerkdesign nicht sorgfältig durchgeführt wird. Wenn Sie es in isolierten VLANs belassen, ist es viel schwieriger, etwas Dummes zu tun, z. B. den Versuch, iSCSI-Verkehr über einen Router oder eine Firewall zu übertragen (in einem iSCSI-Netzwerk sollten keine Router oder Firewalls vorhanden sein).
  • Sehr, sehr schlimme Dinge werden passieren, wenn Ihr Speicher- / Virtualisierungsadministrator Jumbo-Frames implementieren möchte und Ihr Netzwerkadministrator keine Jumbo-Frames implementieren möchte. Wenn Sie iSCSI auf dedizierten Switches getrennt halten, wird dies verhindert. Selbst das Teilen von Switches mit regulärem Netzwerkverkehr verhindert eine MTU-Nichtübereinstimmung, da Sie die MTU nur auf den Switches mit iSCSI-Verkehr erhöhen würden - nicht auf den verbundenen Switches.

Ich könnte wahrscheinlich weitere Gründe auflisten, aber ich denke, es reicht aus, um eine Idee zu bekommen. Mischen Sie iSCSI-Verkehr nicht mit anderen Arten von Verkehr an denselben Ports. Wenn Sie über anständige Switches verfügen, teilen Sie die Switch-Struktur mit anderem Datenverkehr, lassen Sie iSCSI jedoch an separaten Ports in separaten VLANs.

pauska
quelle
1
Ganz zu schweigen von Leistung, Leistung und ... Leistung.
Symcbean
Zusammenfassend werden also sehr, sehr schlimme Dinge passieren: P.
TMH
6

Wenn Sie dies nicht tun, kann sich der reguläre Datenverkehr auf den Speicherdatenverkehr auswirken. Dies ist eine schlechte Idee, da der Download eines Benutzers beispielsweise ein wichtiges Lesen oder Schreiben verzögern kann.

Chopper3
quelle
Das ist ein Argument für QoS. Würden Sie sich auch für eine Isolierung des VoIP-Verkehrs aussprechen?
MSalters
Sie brauchen also kein QoS, es hat normalerweise
Latenzkosten
Das ist beabsichtigt - QoS lässt nicht zeitempfindliche Daten auf dringendere Daten wie iSCSI-Verkehr warten.
MSalters
1

Sie möchten nicht, dass Nebenwirkungen des Datenverkehrs Ihren SAN-Zugriff stören. Wir haben eine kleine VMWare VSphere-Umgebung, in der zunächst sowohl VMotion- als auch iSCSI-Datenverkehr über dieselben Switches im selben Netzwerk übertragen wurde. Unterschiedliche Netzwerkadapter, aber dasselbe Netzwerk. Ein Fehler in ESXi 5.0 führte dazu, dass die Hosts zufällig den Zugriff auf das iSCSI-SAN verloren, wenn eine längere VMotion-Aktion aktiv war, bei der mehr als ein Netzwerkadapter verwendet wurde. Abhängig von der SAN-Lösung und den verwendeten iSCSI-Clients können Sie beim Mischen des Datenverkehrs allerlei lustiges Verhalten erwarten. Natürlich kann es auch problemlos laufen, aber das dauert normalerweise nur bis zu dem einen Tag, an dem Ihre Kollegen alle im Urlaub sind und plötzlich die Hölle losbricht.

Ein weiteres Problem, wenn Sie iSCSI-SAN-Systeme in Ihrem Standardnetzwerk haben: Jemand könnte eine IP-Adresse verwenden, die Ihrem SAN-Knoten zugewiesen ist. Das würde wahrscheinlich nicht zufällig passieren, aber jemand, der versucht, Sie oder das Unternehmen in Schwierigkeiten zu bringen, könnte Ihr Netzwerk scannen, das SAN entdecken und jedes IP-fähige Gerät verwenden, um Ihr SAN auf magische Weise verschwinden zu lassen.

Dirk Trilsbeek
quelle