Fibre Channel a IP

Firmy, které v současné době využívají zařízení pro ukládání dat založená na technologii Fibre Channel, mají d...


Firmy, které v současné době využívají zařízení pro ukládání dat založená na
technologii Fibre Channel, mají díky relativně novým protokolům FCIP a iFCP
možnost rozšířit a propojit svá SAN řešení v prostředí existující TCP/IP
infrastruktury. Obě specifikace budí stále větší pozornost nejen u správců
podnikové infrastruktury, ale i u dodavatelů storage systémů.
Firmy z finančního sektoru, k nimž patří i Euronext.liffe, jsou typickým
příkladem subjektů, které kladou velký důraz na souvislý běh obchodních
procesů. V posledním roce se zmíněná firma soustředila na vybudování dvou
datových center, jednoho v Londýně a druhého v Paříži. Účelem této strategie
však není využívat infrastrukturu pro zálohování, ale pro sdílení zátěže
ačkoliv veškeré obchodní transakce mohou v případě nutnosti probíhat pouze v
jednom z těchto center.
Pro fungování duálního řešení replikuje IT sekce Euronext .liffe Market
Solutions data mezi dvěma SAN (Storage Area Network) sítěmi v těchto datových
centrech. Přestože by takový systém mohl být realizován synchronním propojením
s využitím optické technologie, v Market Solutions se rozhodli pro použití
technologie Fibre Channel over IP (FCIP) implementované ve čtyřech SAN
přepínačích Cisco MDS 9509.
FCIP podporuje asynchronní spojení přes IP síť mezi Fibre Channel (FC) systémy
pro ukládání dat, čímž je eliminováno omezení vzdálenosti, na kterou mohou
systémy komunikovat při synchronní replikaci (např. u aplikací v rámci
metropolitních sítí). Současně je tak možné zabezpečit ochranu investic do
infrastruktury.
FCIP není jedinou technologií, která může zajistit asynchronní spojení mezi
dvěma Fibre Channel systémy. Internet Fibre Channel Protocol (iFCP), jejž
podporuje ve svých zařízeních například firma Nishan (nedávno ji převzal
dodavatel storage switchů McData), plní stejnou funkci, ačkoliv trochu jiným
způsobem. Protokoly FCIP a iFCP bývají implementovány v SAN přepínačích a
gatewayích, které zpracovávají Fibre Channel data a zapouzdří je do IP. Obě
specifikace by měly být organizací IETF IP Storage Working Group
standardizovány v průběhu letošního roku.

Jednoduše s FCIP
Fibre Channel over IP (FCIP) představuje návrh standardu IETF pro propojování
Fibre Channel struktur v prostředí běžných TCP/IP sítí. Protokol tedy může být
využit jako alternativní technologie k propojování sítí SAN (Storage Area
Networks) prostřednictvím WDM (Wavelength Division Multiplexer) a optických
vláken. Využití dostupnějších a rozšířenějších IP služeb se přitom může odrazit
v dramatické redukci měsíčních nákladů za WAN (Wide Area Network) připojení a
stejně tak v možnosti zvýšení maximální vzdálenosti jednotlivých stran Fibre
Channel struktury.
FCIP zajišťuje přenos Fibre Channel dat tak, že vytváří v IP síti tunel mezi
dvěma koncovými body. FC rámce jsou na vysílající straně zapouzdřeny do TCP/IP
paketů, na straně příjemce je IP obálka odstraněna a do cílové FC struktury
jsou předána nativní FC data. Tato technika, označovaná jako tunneling, není
zdaleka nová byla používána kromě IP i u jiných protokolů, jako jsou AppleTalk
či SNA.
Technologie je implementována použitím FCIP gatewayí, které se typicky
připojují ke každé lokální SAN prostřednictvím rozšiřujícího portu ve Fibre
Channel přepínači. FC switch na straně příjemce je zodpovědný za nasměrování
každého rámce k odpovídajícímu Fibre Channel zařízení. V jediném FCIP tunelu
může souběžně probíhat i více přenosů, ačkoliv nejsou nijak odlišeny. Z
hlediska IP sítě je FCIP tunel neprůhledný.
Nástroje pro správu IP sítě "vidí" gatewaye na kterékoliv straně tunelu, avšak
nemohou sledovat jednotlivé Fibre Channel transakce, které v rámci tunelu
probíhají. Přenos se pak jeví, jako by probíhal mezi jediným zdrojem a jedinou
cílovou destinací, nikoliv jako komunikace mezi několika storage hostiteli a
cílovými zařízeními (tedy mezi dvěma lokálními sítěmi SAN).
Takové propojení dvou Fibre Channel přepínačů vytváří jedinou FC strukturu
analogickou dvěma přemostěným LAN nebo jiným sítím ve druhé vrstvě. To znamená,
že propojení dvou vzdálených stran pomocí FCIP gatewayí vytváří jedinou FC
strukturu, kterou lze rozšířit na velké vzdálenosti. Takto lze zachovat
fungování Fibre Channel struktury mezi dosti vzdálenými lokalitami, i když
slabými místy stále zůstávají rekonfigurace nebo kontrola nadměrných přenosů FC
struktury.
FCIP gatewaye jsou běžně implementovány v párech pro každou tunelovou linku.
Kupříkladu spojení bodu A a bodu B by vyžadovalo jeden pár, přičemž pro
propojení bodu A s bodem C bude nezbytná další dvojice gatewayí. Už z toho je
zřejmé, že je FCIP vhodnější pro jednoduché spojení typu point-to-point (tj.
bodové) než pro vícebodová propojení či křížové struktury. Protože FCIP
jednoduše zabalí (a rozbalí) Fibre Channel rámec do IP, je výrobcům ponechán
spíše malý prostor, jak diferencovat svá řešení. Někteří z dodavatelů proto
redukují FCIP funkcionalitu na zařízení typu blade, která lze zasunout do Fibre
Channel přepínače.
Pro správu FCIP využívá Service Locator Protocol (SLP), aby bylo možné
identifikovat FCIP gatewaye v IP síti. Při relativně malém počtu FCIP gatewayí
nabízí SLP vyhovující vyhledávací tabulkový mechanismus. Standardy iSCSI a iFCP
mohou rovněž využívat SLP, avšak pro komplexnější prostředí je preferován
Internet Storage Name Server (iSNS). FCIP však iSNS nepodporuje. Co se týče
bezpečnosti, autentizace, šifrování i integrita dat jsou zajištěny protokolem
IP Security (IPSec). FCIP používá i protokol pro automatickou správu klíčů
Internet Key Management, který IPSec také nabízí.

Sítě s iFCP
Internet Fibre Channel Protocol (iFCP) je dalším ze standardů pro zajištění
přenosu Fibre Channel dat přes TCP/IP síť. Prostřednictvím iFCP gatewaye lze
tedy propojit FC RAID pole, přepínače a servery do IP sítí.
IFCP pracuje s balením FC dat do IP paketů a s mapováním IP adres na jednotlivá
FC zařízení. Každé Fibre Channel zařízení má v IP síti svoji vlastní identitu,
takže může individuálně vysílat i přijímat storage přenos z jiných uzlů v IP
síti. Díky terminaci Fibre Channel signálování na iFCP gatewayi a přenášení
storage dat přes IP sítě může iFCP překonat omezení dosahu tradičních Fibre
Channel sítí, které činí zhruba 10 km.
FCIP se od iFCP liší tím, že představuje jednoduchý protokol pro tunelování,
který zpravidla propojuje dvě Fibre Channel struktury (aby tak vytvořil jedinou
strukturu). Takto je možné FCIP považovat za analogii k přístupu přemostění,
který je využíván pro rozšíření Layer 2 sítí a neposkytuje možnosti separace
chyb.
Při komunikaci mezi Fibre Channel strukturami pracuje každá doména iFCP
gatewaye jako autonomní systém, jehož konfigurace je neviditelná pro IP síť i
pro další domény iFCP gatewayí. Zatímco storage přenos mezi dvěma uzly v rámci
jediné iFCP gatewaye je přepínán nebo směrován s použitím nativního Fibre
Channelu, přenos, který prochází přes více iFCP gatewayí, je zapouzdřen do iFCP
a následně mapován na IP adresy, takže může být přepínán a směrován v prostředí
IP sítě.
Každý pár Fibre Channel uzlů, jenž komunikuje přes IP síť, zakládá samostatnou
iFCP session a správcům iFCP zařízení ponechává možnost nastavení parametrů
kvality služeb (Quality of Service) na velmi precizní úrovni. Spolu s využitím
vestavěné kontroly přetížení, detekce chyb a mechanismů obnovení v prostředí
TCP sítě poskytuje iFCP také robustní sledování chyb na straně Fibre Channelu.
Řešení chyb je prováděno na úrovni session, kdekoliv je třeba, takže
neovlivňuje přenos, který může probíhat mezi jinými storage zařízeními.
Stejně jako směrování v rámci "subsítě" umožňuje sledování chyb v sítích druhé
vrstvy, tak i iFCP nabízí typické znaky subsítě pro Fibre Channel struktury.
Rekonfigurace FC struktury a vysílání zpráv o změně stavu jsou omezeny na
jednotlivé subsítě. Tato schopnost poprvé umožňuje budování vysoce
škálovatelných sítí SAN.
Populární aplikací iFCP je propojení typu SAN-to-SAN (tedy mezi dvěma sítěmi
pro ukládání dat). Fibre Channel sítě jsou připojeny k iFCP gatewayím, které
mezi sebou komunikují v prostředí metropolitní sítě (Metropolitan-Area Networ,
MAN) nebo v rámci WAN.
Z hlediska bezpečnosti kombinují IP storage sítě elementární zoning a maskování
čísel logických jednotek či techniky segmentovaného zoningu s vyspělejšími
standardními bezpečnostními funkcemi, které jsou k dispozici v oblasti IP sítí.
IFCP se pro zajištění autentizace, šifrování i integrity dat opírá opět o IP
Security (IPSec). Stejně tak používá protokol pro tvorbu a automatickou správu
klíčů (Internet Key Management).

Jednodušší správa
S tím, jak se v oblasti SAN postupně začínají prosazovat standardy iSCSI a
iFCP, se nepochybně vyskytne otázka, jak zajistit efektivní správu takové
architektury. Situaci pak komplikuje fakt, že mnohé z firem budou například
nasazovat iSCSI zařízení v prostředí, v němž jsou využívány Fibre Channel
komponenty.
Internet Storage Name Service (iSNS) je připravovaný standard, který do oblasti
Fibre Channel a IP sítí pro ukládání dat přináší funkcionalitu plug-and-play.
ISNS zahrnuje automatickou identifikaci, správu a konfiguraci iSCSI a Fibre
Channel zařízení v TCP/IP síti. U Fibre Channel struktury poskytuje tyto služby
Simple Name Server.
V každé storage síti potřebují servery (iniciátoři) vědět, ke kterým zdrojům
pro ukládání dat (cílům) mohou přistupovat. Jednou z cest, jak toho dosáhnout,
je, že administrátor manuálně nakonfiguruje pro každého z iniciátorů jeho
vlastní seznam autorizovaných cílů a naopak pro každý cíl seznam autorizovaných
iniciátorů včetně kontroly přístupů. Ovšem takový proces je pochopitelně značně
časově náročný a dosti náchylný na výskyt chyb, přitom neúmyslná konfigurace
více serverů pro přístup ke stejným storage zdrojům by mohla vést až k havárii.
Internet Storage Name Server serverům umožňuje automaticky identifikovat
autorizované zdroje pro ukládání dat a připojovat se k nim. Možnost dynamické
adaptace serverů vůči změnám ve struktuře či dostupnosti zdrojů se projeví ve
vyšší efektivitě jejich využívání i správy.
ISNS je přizpůsobeno pro správu iSCSI i Fibre Channel zařízení přes internet
Fibre Channel Protocol. V koncových uzlech (iniciátor a cíl) takového iSNS
prostředí běží "odlehčení" iSNS klienti, jejichž úkolem je reprezentovat
hostitelské zařízení vůči iSNS serveru.

Základní služby iSNS
Služba registrace jmen a identifikace zdrojů cíle a iniciátoři registrují své
atributy i adresy, poté mohou dynamicky získávat informace o přístupných
ukládacích zařízeních.
Služba pro identifikaci domén a kontrolu přihlášení zdroje jsou v typické
storage síti rozděleny do skupin označovaných jako discovery domains
(identifikační domény), které mohou být spravovány prostřednictvím aplikací pro
síťový management. Tyto domény mají vliv na zvýšení bezpečnosti, neboť
poskytují kontrolu přístupu i k těm cílovým systémům, které samy o sobě touto
funkcí nedisponují, přičemž omezuje proces přihlašování každého iniciátora
pouze na relevantní podmnožinu cílů v síti.
Služba upozornění na změnu stavu iSNS server podává zprávy relevantním iSNS
klientům o událostech v síti, které by mohly mít vliv na provozní stav uzlů.
Události, jako je např. stav off-line u některých zdrojů pro ukládání dat,
změny v příslušnosti k určité identifikační doméně či selhání síťového spojení,
mohou spustit funkci pro oznámení o změně stavu. Tato upozornění zajistí
rychlou adaptaci sítě na změny v topologii, což je nezbytné pro zajištění
škálovatelnosti a dostupnosti.
Přímé mapování Fibre Channel a iSCSI zařízení iSNS databáze může ukládat
informace o FC a iSCSI systémech a údaje týkající se mapování mezi nimi v
prostředí, kde jsou využívány oba tyto protokoly. Informace o rozvržení jsou
pak dostupné kterémukoliv autorizovanému iSNS klientovi. Tento centrální
přístup nabízí potřebnou otevřenost a škálovatelnost.
Bezpečný provoz iSNS klienti využívají pro identifikaci iSNS serveru (či
serverů) různé metody včetně Dynamic Host Configuration Protocolu, Service
Location Protocolu a zpráv o průběhu broadcastu nebo multicastu. Framework iSNS
umožňuje také zajištění serverů pomocí redundance a failoveru. Stejně tak
umožňují iSNS servery ukládat a distribuovat X.509 certifikáty veřejného klíče,
které lze využít pro autentizaci iSCSI uzlů v průběhu jejich přihlašování.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.