网络存储（四）之ISCSI的进阶

风烛5suH 2018-08-18

展开全文

前言

上一篇博客中我们讲了如何搭建一个简单的iscsi网络存储系统，这块有个安全问题就是，任何知道target name的客户端都可以随意连接ISCSI服务器。但是很多时候，通过授权认证连接共享磁盘或者分区是必须的，例如只允许客户端主机A连接target共享出来的磁盘分区1，而客户端主机b只运行连接target分享的磁盘分区2，在这种情况下，就需要在ISCSI target主机上进行授权设定了。
ISCSI在授权访问和安全管理方面很有优势，它能够以主机为基础，也就是以IP地址为基础来设定允许或者拒绝，也可以通过账户名密码认证来设定允许或者拒绝存取。
下面通过一套实验环境来配置看看情况
| 客户端/服务端 | IP | 共享的磁盘 |
| :----- | ---:| :---: |
| 服务器端 | 172.16.22.142 | /dev/sdb下的两个分区 |
| 客户端 | 172.16.160.191 | /dev/sdb1 |
| 客户端 | 172.16.160.192 | /dev/sdb2 |

通过ip来限定客户端连接不同的磁盘或者分区
通过用户名密码连接不同的磁盘或分区

通过ip来限定

首先更改配置文件,我在服务器端（172.16.22.142）配置文件如下：

[root@salt etc]# tail /etc/tgt/targets.conf #.2016.11.09.com.server:test.target1>    backing-store /dev/sdb5    initiator-address 172.16.160.191   # 这个参数就是限定了哪个ip能够过来访问，详情可以看配置文件的样例.2016.11.09.com.server:test.target2>    backing-store /dev/sdb5    initiator-address 172.16.160.192

改为重启服务

[root@salt etc]# /etc/init.d/tgtd restartStopping SCSI target daemon: initiators still connected    [FAILED]Starting SCSI target daemon:                               [  OK  ]

此时在客户端 172.16.160.191 查看：

[root@localhost ~]# iscsiadm -m discovery  -t sendtargets -p 172.16.22.142172.16.22.142:3260,1 iqn.2016-11.com.ljf:server.target1   # 共享的，所有人可以查看，未作限定172.16.22.142:3260,1 iqn.2016.11.09.com.server:test.target1  # 191只能查看target1这块盘

在另一个客户端 172.16.160.192 查看：

[root@linux-node1 ~]# iscsiadm -m discovery -t sendtargets -p 172.16.22.142172.16.22.142:3260,1 iqn.2016-11.com.ljf:server.target1 # 共享的，所有人可以查看，未作限定172.16.22.142:3260,1 iqn.2016.11.09.com.server:test.target2   # 192只能查看target2这块盘

自此，通过ip来限定客户端连接不同的磁盘或者分区。

通过用户名密码

iscsi target以账户名密码方式认证分为两阶段
第一阶段是discovery查询认证所使用的账户和密码（即sendTarget用的）
第二阶段是登陆target /iqn 所使用的账户密码（即login登陆时使用的）
这种方式复杂点，需要在Initiator主机和iscsi target服务器上进行简单配置。

配置ISCSI target

我们在172.16.22.142上配置tgtd，配置文件内容如下：

[root@salt ~]# tail /etc/tgt/targets.conf .2016.11.com.server:test.target_191haha>    backing-store /dev/sdb2     incominguser user191 user191    # 第一个user191是用户名，第二个user191是密码.2016.11.com.server:test.target192>    backing-store /dev/sdb1    incominguser user192 user192

配置完成后重启服务：

[root@salt ~]# service  tgtd restart

然后我们在iscsi Initiator 172.16.160.191上配置用户名和密码，命令如下：

[root@localhost ~]# grep ^[a-Z]  /etc/iscsi/iscsid.conf   # 增加下面6行node.session.auth.authmethod = CHAPnode.session.auth.username = user191     # 登陆连接的时候验证身份node.session.auth.password = user191discovery.sendtargets.auth.authmethod = CHAPdiscovery.sendtargets.auth.username = user191   # discovery 的时候验证身份discovery.sendtargets.auth.password = user191[root@localhost ~]# /etc/init.d/iscsi restart   #改完后重启服务[root@localhost ~]# iscsiadm -m discovery -t sendtargets -p 172.16.22.142 iscsiadm: This command will remove the record [iface: default, target: iqn.2016.11.09.com.server:test.target191, portal: 172.16.22.142,3260], but a session is using it. Logout session then rerun command to remove record.172.16.22.142:3260,1 iqn.2016.11.com.server:test.target192172.16.22.142:3260,1 iqn.2016.11.com.server:test.target_191haha[root@localhost ~]# iscsiadm -m node  -p 172.16.22.142  -l   # 登陆服务器

iscsi Initiator 172.16.160.192同理可得，同样的操作，我就不演示了。

错误总结

在这没有成功之前，我这边出现了一个奇怪的情况，就是在iscsi Initiator端死活discovery不了我刚才设定的
通过用户名密码来访问的磁盘，服务端tgtd程序和客户端iscsi重启N回都没有改变这症状,突然我在iscsi服务器端ps -ef |grep tgtd发现了启动了多个程序，导致客户端发现不了。于是，杀死进程重启服务就好使了。

[root@salt ~]# /etc/init.d/tgtd stopStopping SCSI target daemon:                               [  OK  ][root@salt ~]# netstat -lnpt        #奇怪的是，明明stop掉了进程，为什么还有tgtd进程呢？Active Internet connections (only servers)Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name   tcp        0      0 0.0.0.0:22                  0.0.0.0:*                   LISTEN      1538/sshd           tcp        0      0 0.0.0.0:4505                0.0.0.0:*                   LISTEN      1704/python2.6      tcp        0      0 0.0.0.0:4506                0.0.0.0:*                   LISTEN      1833/python2.6      tcp        0      0 0.0.0.0:3260                0.0.0.0:*                   LISTEN      2953/tgtd           tcp        0      0 :::22                       :::*                        LISTEN      1538/sshd           tcp        0      0 :::3260                     :::*                        LISTEN      2953/tgtd           [root@salt ~]# /etc/init.d/tgtd stopStopping SCSI target daemon: not running                   [FAILED][root@salt ~]# netstat -lnptActive Internet connections (only servers)Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name   tcp        0      0 0.0.0.0:22                  0.0.0.0:*                   LISTEN      1538/sshd           tcp        0      0 0.0.0.0:4505                0.0.0.0:*                   LISTEN      1704/python2.6      tcp        0      0 0.0.0.0:4506                0.0.0.0:*                   LISTEN      1833/python2.6      tcp        0      0 0.0.0.0:3260                0.0.0.0:*                   LISTEN      2953/tgtd           tcp        0      0 :::22                       :::*                        LISTEN      1538/sshd           tcp        0      0 :::3260                     :::*                        LISTEN      2953/tgtd           [root@salt ~]# ps -ef |grep tgt   root       2953      1  0 Nov08 ?        00:00:00 tgtdroot       2956   2953  0 Nov08 ?        00:00:00 tgtdroot       5233   2915  0 00:09 pts/0    00:00:00 grep tgt[root@salt ~]# kill 2956              #干掉他们后启动服务器就好了[root@salt ~]# kill 2953[root@salt ~]# kill -9 2953[root@salt ~]# kill -9 2953-bash: kill: (2953) - No such process[root@salt ~]# kill -9 2956-bash: kill: (2956) - No such process[root@salt ~]# kill -9 2956-bash: kill: (2956) - No such process[root@salt ~]# [root@salt ~]# /etc/init.d/tgtd startStarting SCSI target daemon:                               [  OK  ]