Pourquoi le trafic iscsi doit-il être isolé?


8

Pourquoi le trafic SAN iscsi doit-il être isolé? J'essaie d'expliquer à mon gars du réseau pourquoi nous devrions isoler le trafic.



11
Comment pourriez-vous lui expliquer si vous ne savez pas? Vous plaidez pour une conception et une mise en œuvre architecturales particulières sans savoir vous-même pourquoi cette conception et cette mise en œuvre architecturales particulières sont importantes.
joeqwerty

1
Non, je sais, mais ce sont des gars du réseau de la vieille école qui veulent simplement jeter plus de bande passante sur le problème. J'espérais juste obtenir plus d'informations sur ce que je pourrais leur dire sur pourquoi et ce qui peut arriver si ce n'est pas isolé.
Jeffery Jarrells du

Réponses:


21

Parce que:

  • De très, très mauvaises choses se produiront si quelqu'un obtient un accès non autorisé à votre réseau de stockage
  • De très, très mauvaises choses se produiront si votre trafic iSCSI n'est pas séparé, et quelqu'un trouve que c'est une excellente idée de contourner la topologie STP au niveau d'un commutateur de périphérie, avec le résultat de l'ensemble de votre réseau ET de votre sous-système de stockage tombant en panne à la fois
  • De très très mauvaises choses se produiront si la conception du réseau iSCSI n'est pas effectuée avec soin. Le garder sur des VLAN isolés rend beaucoup plus difficile de faire quelque chose de stupide, comme essayer de transporter du trafic iSCSI à travers un routeur ou un pare-feu (il ne devrait pas y avoir de routeurs ou de pare-feu sur un réseau iSCSI)
  • De très, très mauvaises choses se produiront si votre administrateur de stockage / virtualisation veut implémenter des trames jumbo, et votre administrateur réseau ne veut pas mettre en œuvre des trames jumbo. Garder iSCSI séparé sur des commutateurs dédiés empêchera cela de se produire. Même le partage de commutateurs avec un trafic réseau régulier empêchera la non-concordance de MTU, car vous n'augmenteriez que la MTU sur les commutateurs qui ont du trafic iSCSI - pas les commutateurs connectés.

Je pourrais probablement énumérer d'autres raisons, mais je pense que cela suffit pour se faire une idée. Ne mélangez pas le trafic iSCSI avec tout autre type de trafic sur les mêmes ports. Si vous avez des commutateurs décents, allez-y et partagez la matrice de commutateurs avec d'autres trafics, mais conservez iSCSI sur des ports séparés dans des VLAN distincts.


1
Sans parler des performances, des performances et .... des performances.
symcbean

Donc, pour résumer, il se passera de très très mauvaises choses: P.
TMH

6

Parce que ne pas le faire permet au trafic régulier d'avoir un impact sur le trafic de stockage, ce qui est une mauvaise idée car cela signifie que le téléchargement d'un utilisateur pourrait retarder une lecture ou une écriture importante.


C'est un argument pour la QoS. Seriez-vous également d'accord pour isoler le trafic VoIP?
MSalters

Vous n'avez donc pas besoin de QoS, il a généralement un coût de latence
Chopper3

C'est par conception - QoS permet aux données non sensibles au temps d'attendre des données plus urgentes telles que le trafic iSCSI.
MSalters du

1

Vous ne voulez pas que les effets secondaires du trafic perturbent votre accès au SAN. Nous avons un petit environnement VMWare VSphere où nous avions d'abord le trafic VMotion et iSCSI passant par les mêmes commutateurs sur le même réseau. Différents adaptateurs réseau, mais le même réseau. Un bogue dans ESXi 5.0 faisait que les hôtes perdaient aléatoirement l'accès au SAN iSCSI chaque fois qu'une action VMotion plus longue qui utilisait plus d'une carte réseau était active. Selon la solution SAN et les clients iSCSI utilisés, vous pouvez vous attendre à toutes sortes de comportements amusants lorsque vous mélangez du trafic. Bien sûr, cela peut aussi fonctionner sans problème, mais cela ne dure généralement que jusqu'au jour où vos collègues sont tous en vacances et soudain, tout l'enfer se déchaîne.

Autre problème lorsque vous avez des systèmes SAN iSCSI dans votre réseau par défaut: quelqu'un pourrait utiliser une adresse IP attribuée à votre nœud SAN. Cela ne se produirait probablement pas par accident, mais quelqu'un qui essaie de vous causer des problèmes, à vous ou à l'entreprise, pourrait analyser votre réseau, découvrir le SAN et utiliser n'importe quel appareil compatible IP pour faire disparaître votre SAN comme par magie.

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.