【IT168 专稿】前面我们了解了SAN存储管理器入门，本文则介绍完成使用 SAN 存储管理器在光纤通道子系统和 iSCSI 子系统上如何部署LUN 的细节。下图给出了在两种子系统上部署 LUN 的过程。

　　图 1   SAN 存储管理器中的 LUN 部署过程

　　如果要在光纤通道子系统上部署 LUN，只需要确定将访问 LUN 的服务器，选择这些服务器上将用于 LUN 通信的 HBA 端口，最后直接为服务器分配 LUN。

　　如果要在 iSCSI 子系统上部署 LUN，该过程需要执行其他一些步骤。在确定将访问 LUN 的服务器并选择将用于 LUN 通信的 iSCSI 发起程序适配器之后，应执行下列操作：

　　1. 在 iSCSI 子系统上创建和配置目标，并允许这些目标上的门户处理 LUN I/O 通信。

　　2. 可以选择配置 iSCSI 安全性。

　　3. 建立从每一服务器上的 iSCSI 发起程序到一个或多个目标的登录会话。

　　4. 最后，为目标分配 LUN。

　　任务 1：配置服务器连接

　　部署 LUN 的第一项任务是配置 SAN 中的服务器在访问在存储子系统上创建的 LUN 时将使用的连接。

　　SAN 存储管理器自动发现服务器上的光纤通道端口和 iSCSI 发起程序适配器。仅需要确定将访问 LUN 的服务器，然后选择服务器上将为 LUN 访问启用哪些端口和/或发起程序适配器。

　　注：光纤通道端口也可以通过键入端口的全球通用名称 (WWN) 手动添加。

　　配置服务器连接

　　1.在"LUN 管理"中，单击"管理服务器连接"。

　　2.添加服务器：

　　- 在"管理服务器连接"对话框中，单击"添加"。

　　- 在"添加服务器"对话框中，键入名称或浏览到要添加的服务器，并可以选择键入其描述。

　　- 单击"确定"。服务器现在会在"管理服务器连接"对话框中列出。

　　3.在服务器上配置光纤通道端口：

　　- 在"管理服务器连接"对话框中，从服务器列表中选择服务器。"光纤通道端口"选项卡列出所选服务器上可用的所有 HBA 端口。

　　- 如果要手动输入新端口，在"光纤通道端口"选项卡上，单击"添加"，然后输入新端口的 WWN。可以选择为新端口键入一个描述。

　　- 要启用端口，在"启用"列中选中其复选框。

　　注：如果启用了多个光纤通道端口，且并未将服务器配置为使用多路径 I/O，则可能发生数据损坏。

　　- 选择了所有要启用的端口之后，单击"确定"。

　　注：如果只在光纤通道子系统上创建 LUN，在创建 LUN 之前不需要进行其他配置。可以跳到本指南后面的"任务 5：创建 LUN"。

　　4.在服务器上配置 iSCSI 发起程序适配器：

　　- 在"管理服务器连接"对话框中，从服务器列表中选择服务器。"iSCSI 发起程序适配器"选项卡列出所选服务器上可用的所有发起程序适配器。

　　- 要启用发起程序适配器，在"启用"列中选中其复选框。

　　注：如果启用了多个 iSCSI 发起程序适配器，且并未将服务器配置为使用多路径 I/O，则可能发生数据损坏。

　　- 选择了所有要启用的发起程序适配器之后，单击"确定"。

　　任务 2：配置目标并启用门户

　　创建目标是为了管理 SAN 中的 iSCSI 存储子系统和需要访问它们的服务器之间的连接。如果为某个目标分配了 LUN，则登录到该目标的所有服务器都将拥有访问分配给该目标的 LUN 的权限。

　　在配置目标时，选择该目标将为 LUN 访问提供的门户（网络连接）。

　　注：大多数情况下，可以自己创建和管理目标。但是，某些 iSCSI 存储子系统仅支持简单的目标配置，此时目标是在创建 LUN 时自动创建的。使用简单的目标配置，也无法删除目标或手动为目标分配 LUN。LUN 是在创建时自动进行分配的。对于此类型的子系统，只须确定将访问 LUN 的服务器或群集，iSCSI 子系统将启用从该服务器或群集到 LUN 的访问。

　　在 iSCSI 存储子系统上配置目标

　　1.在"LUN 管理"中，单击"管理 iSCSI 目标"。

　　2.在子系统下拉列表中，选择要为其配置目标的 iSCSI 存储子系统。

　　3.要在所选子系统上创建目标，单击"添加"。

　　4.在"添加目标"对话框中，为目标键入一个好记的名称。将自动为该目标分配一个独立的 iSCSI 名称。

　　5.在可用门户的列表中，选择要为 LUN 访问启用的所有门户，然后单击"确定"。

　　"管理 iSCSI 目标"对话框显示新目标，并在底部列出您启用的门户。

　　6.要配置更多目标，请返回第 2 步。

　　7.配置完目标后，请单击"确定"。
 

　　任务 3：配置安全性

　　使用 SAN 存储管理器有几种可用的 iSCSI 安全级别。基本级别是基于质询握手身份验证协议 (CHAP)。CHAP 是一个用于对连接对等方进行身份验证的协议，它基于共享机密（与密码相似的一种安全密钥）的对等方。IP 安全 (IPsec) 是一种在 IP 数据包层强制身份验证和数据加密的协议，它提供增加的安全级别。

　　必须选择最适合组织的安全策略的安全级别：

　　> 单向 CHAP 身份验证。使用此安全级别，仅目标对发起程序进行身份验证。机密仅是为目标设置的；希望访问该目标的所有发起程序需要使用相同的机密来启动与目标的登录会话。

　　> 相互 CHAP 身份验证。使用此安全级别，目标和发起程序会彼此进行身份验证。会为 SAN 中的每个目标和每个发起程序设置一个单独的机密。

　　> IPsec。使用此安全级别，会对在数据传输过程中发送的所有 IP 数据包进行加密和身份验证。系统会在所有 IP 门户上设置一个通用密钥，使所有对等方可以彼此进行身份验证并协商数据包加密。

　　注：至少应在 iSCSI 发起程序和目标之间使用单向 CHAP 身份验证。可为某个存储子系统设置何种安全级别，取决于硬件制造商。并非所有子系统都支持所有的 iSCSI 安全级别。建议您与硬件制造商联系，以确认其产品支持哪种安全级别。

　　配置 iSCSI 安全性1.在"LUN 管理"中，单击"管理 iSCSI 安全"。

　　2.要配置单向 CHAP 身份验证，请在"管理 iSCSI 安全"对话框中，配置"目标"选项卡上的下列设置：

　　- 如果要为不同的目标配置不同的 CHAP 机密，请在目标列表中，选择要为其设置 CHAP 机密的目标，然后单击"设置机密"。或要为一组目标使用相同的 CHAP 机密，请从列表中选择目标，然后单击"设置机密"。

　　- 在"设置机密"对话框中，键入并确认目标 CHAP 机密。

　　- 或者，如果要自动将新的机密传送给本地发起程序，可以选择"记住本地发起程序的机密"。

　　- 要设置新的机密，请单击"确定"。

　　3.要配置相互 CHAP 身份验证，必须首先按照步骤 2 配置单向 CHAP 身份验证。然后，在"本地发起程序"选项卡上输入以下配置：

　　- 键入并确认本地发起程序的 CHAP 机密。

　　- 在相互 CHAP 身份验证下，发起程序将仅能够登录到共享发起程序机密的目标。要与服务器需要访问的目标共享发起程序机密，请在目标列表中，选择要在发起程序上进行身份验证的每个目标。

　　- 要为本地发起程序设置新的机密并与所选的目标共享，请单击"应用机密"。

　　4.要配置 IPsec，请在"管理 iSCSI 安全"对话框中，配置"门户"选项卡上的下列设置：

　　- 如果要对不同的门户使用不同的 IPsec 密钥，请在门户列表中，选择一个门户，然后单击"设置 IPsec 密钥"。或要对一组门户使用相同的 IPsec 密钥，请从列表中选择门户，然后单击"设置 IPsec 密钥"。

　　- 在"设置 IPsec 密钥"对话框中，键入并确认新的 IPsec 密钥。

　　- 或者，如果要自动将新的密钥传送给本地发起程序，可以选择"记住本地发起程序的 IPsec 密钥"。

　　- 要设置新的 IPsec 密钥，请单击"确定"。

　　5. 完成配置 iSCSI 安全性后，请单击"确定"。

　　任务 4：在发起程序和目标之间建立登录会话

　　要使服务器可以访问为 iSCSI 子系统上的目标分配的 LUN，服务器发起程序必须先通过 iSCSI 登录过程与该目标建立会话。

　　可以使用 SAN 存储管理器登录到 iSCSI 目标。这会仅在运行 SAN 存储管理器的服务器和所选的目标之间启动一个登录会话。需要访问为目标分配的 LUN 的每台服务器都必须与该目标启动单独的登录会话。

　　注：如果可用（是否可用取决于在该服务器上安装的 iSCSI 发起程序软件），还可以使用本地 iSCSI 发起程序用户界面，在 SAN 中的服务器和目标之间启动一个登录会话。

　　在登录到目标时，可以选择在该会话期间要使用的 CHAP 身份验证类型。如果为门户设置了 IPsec 密钥，将自动进行数据加密。

　　在发起程序和 iSCSI 目标之间建立登录会话

　　1. 在"LUN 管理"中，单击"登录到 iSCSI 目标"。

　　2. 在"登录到 iSCSI 目标"对话框中，选择要与其建立登录会话的目标，然后单击"登录"。

　　3. 在"登录到目标"对话框中，选择用于登录会话的 CHAP 身份验证的类型：

　　- 使用单向 CHAP 身份验证登录

　　- 使用相互 CHAP 身份验证登录

　　4.要建立登录会话，请单击"确定"。

在完成了任务 1 到任务 4 之后，可以使用"创建 LUN 向导"创建 LUN，并且可以选择将该 LUN 分配给某个服务器或目标。
 

　　任务5：创建和分配 LUN

　　1.  在"LUN 管理"中，单击"创建 LUN"。

　　2.  按照"创建 LUN 向导"中的步骤操作，提供表 1 中的信息。

　　表 1   完成"创建 LUN 向导"

　　监视 LUN 创建的状态

　　创建 LUN 的过程可能需要数分钟或数小时，这取决于 LUN 的大小。在创建 LUN 时，不要关闭 SAN 存储管理器。如果会话在该过程完成之前结束，可能无法确定 LUN 的完成状态。

　　要在创建 LUN 时监视其状态，在"LUN 管理"节点中，参阅结果窗格中的"任务状态"列。在创建 LUN 时，该列显示 LUN 已完成的百分比。操作成功完成之后，任务状态将更改为"已创建"。

　　如果 LUN 创建失败，可以在结果窗格中单击该 LUN 项，以在下面的描述区中显示失败信息

　　提供对服务器群集的 LUN 访问

　　1. 在"LUN 管理"中，单击"管理服务器连接"。

　　2. 在"管理服务器连接"对话框中，单击"管理群集"。

　　3. 在"管理群集"对话框中，单击"添加"。

　　4. 在"添加新群集"对话框中，为群集键入一个名称，并可以选择键入帮助确定该群集的一般描述。

　　5. 从服务器列表中，选择要包含在新群集中的所有服务器。

　　6. 单击"确定"创建新群集，并再次单击"确定"返回"管理服务器连接"对话框。

　　7. 新群集现在会在"管理服务器连接"对话框中列出。要配置群集的连接，请通过从列表中选择服务器来配置包含在群集中的每个单独的服务器的光纤通道端口或 iSCSI 发起程序适配器。您在各个服务器上对配置进行的所有更改将在群集上生效。

　　8. 创建服务器群集后，可以按将 LUN 分配给各个服务器相同的方法，将 LUN 分配给这些服务器群集。