自己动手构建iSCSI磁盘阵列

核心提示： 市场上各厂商销售的阵列都是运行各自的私有软件，它们一般不会轻易受到日常病毒、蠕虫等的影响，自己动手构建iSCSI磁盘阵列(3)，这种固件升级之间的间隔时间要比Windows服务器补丁之间升级间隔长很多，另外，你会需要扩展LUN，因此你选择的iSCSI target应用要具有跨越几个RAID

市场上各厂商销售的阵列都是运行各自的私有软件，它们一般不会轻易受到日常病毒、蠕虫等的影响，这种固件升级之间的间隔时间要比Windows服务器补丁之间升级间隔长很多。另外，由于当你对自制的阵列进行补丁修补的时候，你必须关掉所有主机服务器使用的逻辑驱动器，所以这也就意味着你使用自制阵列会比使用市场上买到的专职阵列具有更长的停机维护时间。

自制的iSCSI安全吗？

尽管iSCSI规范定义了如何使用IPsec在加密的链接上发送协议，但是大多数厂商并没有实现这一选项功能部分。如果你使用在TCP/IP堆栈中支持IPsec的Windows Server或Linux分发来构建iSCSI阵列，那么iSCSI target软件将会使用那个堆栈，IPsec就可以对在你的服务器和磁盘阵列之间传输的数据进行加密，或者可以通过验证证书授权的形式来确保只有那些应该访问磁盘阵列上LUN的服务器才能够访问，这比通常的CHAP（Challenge-Handshake Authentication Protocol，挑战握手验证协议）鉴定要更具有安全性。

不过，IPsec的缺点是，所有的加密和解密都要吞噬CPU频率周期。我们使用于iSCSI减负载的TOE以及iSCSI HBA等并不支持IPsec减负载（IPsec off-load）。尽管包括Intel和3Com在内的主要网卡厂商都已经使得10/100安全NIC支持IPsec，但我们在市场上能见到的千兆以太网（Gigabit Ethernet）IPsec卡只有一种，那就是Cavium Network公司的Nitrox XL。你需要记住一点：IPsec只是在传输过程中加密数据。

那么，你应该寻找什么样的iSCSI target软件呢？首先要注重灵活性。随着服务器的需求空间变化，你会需要扩展LUN，因此你选择的iSCSI target应用要具有跨越几个RAID组或物理驱动器扩展LUN的能力，也就是要具备一组可靠的基于文件的LUN以及一个可以跨越多个驱动器来扩展卷的逻辑卷管理器。